CheckPoint日常维护手册.doc

1、Check Point 日常维护手册第一章：安装CheckPoint产品要求4SmartCenter安装步骤5第二章：SmartDashboard进行基本配置19第二章 FireWall1访问控制20一、访问控制的需求20二、针对安全访问控制的FireWall1解决方案20三、访问控制需要考虑到的问题26四、配置访问控制27第三章 智能防护（SmartDefense）30一、在线防护的需求30二、SmartDefense的解决方案31三、设置SmartDefense需要考虑的问题34四、配置SmartDefense35五、SmartDefense StormCenter模块35第四章 网络地址

2、转换 （NAT）44一、隐藏内部网络地址的必要性44二、CheckPoint 地址转换（NAT）解决方案44三、NAT的规划52四、配置NAT52第五章 内容安全57一、内容安全的需求57二、针对内容安全的FireWall1解决方案57三、设置Web安全需要考虑的问题76四、配置内容安全80第六章 认证88一、为什么需要认证88二、 FireWall-1认证解决方案88三、如何选择认证方式95四、如何配置认证95第七章Voice Over IP (VoIP)的安全101一、VoIP的安全需求101二、CheckPoint 关于VoIP的安全解决方案101三、基于SIP的VoIP的安全保护问题1

3、08四、配置基于SIP的VoIP109五、SIP的排错111六、配置基于H.323的VoIP112第八章 FireWall1的高级设置115一、网络地址转换的高级设置115二、内容安全的高级配置119第九章 VPN-1/FireWall-1安装之前的安全防护121一、在VPN-1/FireWall-1启用之前达到安全121二、引导安全121三、初始化策略122四、缺省过滤规则和初始化策略配置124第十二章：Nokia防火墙安装手册130第十三章：策略备份141CheckPoint日常维护手册第一章：安装CheckPoint产品要求SmartCenter安装步骤接受许可安装初始页面，forwar

4、d进入下一个页面普通型企业Checkpoint使用于中心办公和分支机构的公司安装演示模式全新安装基于以前导出的配置进行安装根据购买的产品以及需求进行选择，如果此服务器不是防火墙，则不要选择vpn-1 power防火墙模块服务器时间管理器GUI管理端内往安全VPN客户端基于web接入服务器，可以观看策略运行，状态以及管理员的行为统一用户授权主备服务器，以及日志服务器的选择，默认选择主服务器即可是否安装SSLvpn组建如动态更新，日志，报告等插件确认进行安装安装开始安装目录正在安装smartcenter服务器安装完毕安装gui图形界面选择安装组建GUI客户端日至跟踪事件分析器状态更新，如许可，ch

5、eckpoint安装包Secureclient打包工具状态检测图形报表链路状态检测，如，地址，策略运行是否正在进行安装是否将图标放在桌面添加license，可以从文件导入，可以手动添加也可以通过管理服务器添加不添加许可，点击确认（通过服务器添加）输入用户名密码添加管理员信息添加管理地址，通过gui连接服务器进行初始化ca认证安装完成，重新启动服务器重新启动之前确认光盘不要在光驱中第二章：SmartDashboard进行基本配置输入设置的管理员用户名密码确认ICA正常，正常登陆管理客户端第二章 FireWall1访问控制本章内容一、 访问控制的需求二、 针对安全访问控制的FireWall1解决方

6、案三、 访问控制需要考虑的问题四、 配置访问控制一、访问控制的需求作为一名网络管理员，你需要一种方式来安全地控制对网络或者主机等网络资源和协议的访问，以决定具体哪些资源可以被访问，如何被访问，采用认证还是采用访问控制。我们采用用户认证来决定究竟“谁”能访问这些资源，具体细节详见第五章“认证”。二、针对安全访问控制的FireWall1解决方案本节内容1、网络边界的访问控制2、安全策略库3、访问控制规则示例4、访问规则的组成元素5、隐含规则6、防止IP地址欺骗7、新增服务1、网络边界的访问控制FireWall1网关（防火墙）通常放在网络边界作为执行点，防火墙负责对所有进出的数据进行监测，并且通过访

7、问控制来管理进出的数据。任何没有被指定的数据是不能通过防火墙的。图1-1 FireWall-1 强制执行点监测所有通过防火墙的数据FireWall1管理员的责任是制定和实行公司的网络安全策略，在一个有多台防火墙的网络环境里，我们制定的策略必须具备一致性。为了保证策略的一致性，在Smartcenter server center管理控制台制定一个企业级的安全策略，用smartdashboard 管理客户端来安装策略，并将策略分发到防火墙网关上。将不同的安全策略应用在相应防火墙的执行点上。FireWall-1能够详细地了解通过防火墙的各种服务和应用程序，并据此提供安全的访问控制。状态监测技术能够监

8、测所有应用层的信息，并可以为超过150种预定义的应用程序、服务和协议提供全面的安全访问控制，还能够根据客户的需求自定义的服务。状态监测能够从所有的应用层中提取状态信息（这些状态信息可以帮助我们制定安全策略），并且将这些信息保留在动态状态表中，用来和后续的连续连接作比较。更详细的状态监测技术文档参见。2、安全策略库我们通过在安全规则库中制定一整套安全规则来实现安全策略，一个好的安全策略才能真正实现防火墙的安全功能。一个基本的安全策略概念没有明确指出允许通过防火墙的就是被禁止通过的。规则库里指明哪些通信允许通过防火墙，哪些通信禁止通过防火墙。在规则中通过标明源、目的、服务种类、时间范围、日志记录以

9、及日志级别等来记录。检查分析日志是安全管理的一个重要方面，并且要小心保护好日志。在匹配访问规则时，我们依据第一匹配原则。当防火墙收到一个属于某个连接的数据包后，先匹配规则库中的第一条，然后匹配第二条，依次类推。当发现有和这个数据包符合的访问规则时，停止查询并直接执行这条访问控制规则。如果所有的访问规则都不匹配，那么就将这个数据包拒绝掉。切记，对数据包的操作是执行第一条找到的匹配规则，而不是最好的匹配规则。3、访问控制规则示例这是一条典型的访问控制规则，它表明任何来自Alaska_LAN组的主机，可以向任何目标建立HTTP连接，而且所有的连接都将被记录到日志中。图1-2 访问控制规则示例4、规则

10、库的组成元素一条规则是由各个元素组成的，但并不是规则中所有的元素字段都会被指定。表11 规则表组成元素Source and Destination （源和目标）这个概念是指谁向谁发起的连接。如果应用程序工作在客户端/服务器这种模式下，即C/S结构中，源是客户端，一旦连接建立，那么允许双向通信。你也可以使用negtaed（否定）选项。也就是说，可以选择除了这个指定网络之外的所有其它地址。VPN配置是否将规则加载在任意连接上，可以选择加密或者明文，或者仅用在VPN连接中。限制这条规则中的VPN，可以点击鼠标右键，选择Replace。Service（服务）我们在service区域中定义应用服务，也可

11、以自定义新的服务。Action（操作）一个数据包能够被接收(accept)、拒绝(reject)、丢弃(drop)。其它的操作和认证（参见第五章“认证”）相关。如果一个连接被拒绝，那么防火墙将向连接的发起端发送一个RST数据包，并且关闭连接。如果包被丢弃，那么连接的发起端将不会收到任何回应，最终连接将超时。Track（记录）选择各种方式的日志记录。具体参见” Check Point Management Guide”。Install-on（规则加载点）指明将规则加载在某台防火墙上，通常不必将一些特殊规则加在所有防火墙上。例如，某条规则允许指定网络服务跨越某个指定防火墙。如果其它防火墙不允许这些

12、服务访问防火墙后的网络资源，那么这条规则就不能加载在这些防火墙上。具体参见” Check Point Management Guide”。Time（时间）指定规则发生作用的时间范围。 5、隐含规则安全策略是由许多安全规则组成的，除了由管理员设置的安全规则以外，防火墙还能生成隐含策略。隐含策略是由全局属性（global property）的设置自动产生的，隐含规则设置了允许某些特定的连接和服务进出防火墙。以下是两个缺省被激活的重要隐含规则：l FireWall1中与控制（指各防火墙模块之间）相关连接l 由FireWall1网关发起的源访问连接隐含规则其它方面的连接设定通过全局属性的设置，防火墙产

13、生了一组隐含规则，它们在规则表中的位置（相对于规则表中的规则）可以是first（第一条规则之前）、 last（最后一条规则之后）、 before last（最后一条规则之前）。隐含规则也能进行日志记录，这些隐含规则依据以下的顺序执行。1） 定义为first的隐含规则。如果我们设置为first，那么隐含规则就不会被安全规则表中的规则所修改或者覆盖。因为没有规则能加在隐含规则之前。2） 规则1到规则n-1（假设我们的规则共有n条）。3） 定义为before last的规则。如果设置为before last，那么隐含规则就设置在最后一条规则之前执行，即从n-1开始，一直到最后一条规则之前。4） 最后

14、一条规则（即规则n）。5） 定义为last的隐含规则。那么隐含规则将在安全规则表中最后一条规则后执行，通常最后一条规则是拒绝任何连接，那么隐含规则就没有执行的机会。6） 隐含的丢弃规则（不记录日志）。6、防止IP地址欺骗网络入侵者本身没有权力访问某些资源，于是通过修改数据包的IP地址，使得数据包显示为来自一个拥有高等级的网段，从而非法获得更高的访问权限。防治网络地址欺骗的关键就是查清数据包的源地址，以及是从哪个接口进入防火墙的。防地址欺骗（anti-spoofing）校验数据包来自防火墙的哪个接口，目标地址在防火墙的哪个接口。确认一个数据包的源地址是来自内网，也确实是来自防火墙内网的接口，如果

15、这个数据包被路由，它的目标地址也从正确的网络接口转发。一个数据包，虽然源地址是内网的IP地址，但却是从防火墙外网口进入的，这样的数据包将会被防火墙丢弃，因为数据包没有从正确的网络接口进入防火墙。图1-3解释了防地址欺骗具体是怎样工作的。Alaska_GW FireWall-1将做如下检测确认：l 所有从IF1进入的数据包都是来自Internet。l 所有从IF2进入的数据包都是来自Alaska_lan、Alaska_RND_LAN或者Florida_lan。ALASKA_RND_GW FireWall-1将做如下检测确认：l 所有从IF3进入防火墙的数据包都来自Alaska_Lan、Flori

16、da_lan或者Internet。l 所有从IF4进入防火墙的数据包都来自Alaska_RND_LAN。在配置防火墙接口的时候你需要指明，哪些端口连接INTERNET，哪些接口连接内部网络。图1-3显示了具体的配置情况。图1-3防地址欺骗配置示意图什么是合法地址合法地址就是允许进入FireWall-1接口的地址。合法地址是由网络拓扑结构决定的。防火墙管理员配置了反地址欺骗（anti-spoof）后必须告诉防火墙，哪些网络地址接在哪些接口的后面。我们可以通过使用“get interface with topology”选项，这将根据网络拓扑结构自动定义网络接口，并产生网络对象（network o

17、bject），防火墙通过阅读路由表来获得这些信息。7、新增服务本节内容：SSLv3服务SSHv2 服务FTP_BASIC协议类型Domain_UDP 服务Blocking Visitor 模式SSLv3 服务我们可以检验客户是否使用SSLv3或者更高的版本，这些版本弥补了许多早期SSL版本的安全漏洞。ssl_v3服务强制执行SSL v3的检测。如果在规则中加入了ssl_v3服务，那么采用SSLv2进行的连接请求会被拒绝掉。许多浏览器都使用SSLv2。如果希望连接通过FireWall-1，那么使用HTTPS服务。SSHv2服务我们可以检验客户是否使用SSH的第2版本（SSHv2）或者更高的版本，

18、这些版本的SSH弥补了以前版本的安全漏洞。ssh_version_2服务强制执行SSHv2的检测。如果在规则中使用了SSHv2服务，使用SSHv1的连接将被丢弃掉。FTP_BASIC 服务类型FTP_BASIC是一个新的协议类型，这个协议是一套精简的FTP协议，它由标准FTP协议类型来进行FTP安全检查。使用FTP_BASIC减少了FTP连接问题，FTP的应用和RFC存在着不匹配。下面的检查不是由FTP_BASIC来执行的，而是由FTP协议类型来执行。l 每一个数据包由一个换行符来终结，因此，端口命令不会因为被不同的数据包分割开，这样可以避免FTP反弹攻击。l 数据连接不允许采用知名端口来作为

19、数据包的源或目的端口，这样可以避免FTP数据连接被用来访问其它的服务。l 不允许在数据连接中双向通信，因为这功能会被不合理的使用。Domain_UDP服务Domain_UDP服务为DNS提供访问服务控制。l 通过使用Domain_UDP服务可以提高DNS的性能。DNS连接包括查询包（Query）和回应包（Reply）。FireWall-1在UDP超时之前通常还保持虚拟DNS连接。如果防火墙一接收到回应包就直接删除这个连接，这样就会提高DNS的处理速度。具体配置步骤是，使用数据库工具（Database Tool）将delete_on_reply (false)参数设置为true。l DNS日志中

20、含有全面的信息。l DNS支持EDNS查询校验。这允许使用BIND，允许ENS包头内的数据为全零，不允许控制数据包长度的包头为全零。Blocking Visitor模式TCPT介绍Visitor模式和TCP隧道协议（TCPT）是由Checkpoint推出的，它允许安全客户端（SecureClient）在任何防火墙的内部（即使防火墙设置了严格的从内到外的访问规则限制）依然能够建立连接。例如，一条策略只允许防火墙内部向外部发动建立HTTP和HTTPS连接，禁止一些建立安全连接所需要的协议（如IKE）。在这样的情况下也可以建立安全客户端连接。为什么要禁止Visitor模式和对外TCPTVPN-1/F

21、ireWall-1管理员可以通过设置严格的对外（outgoing）访问限制来禁止Visitor模式，即允许普通的HTTPS连接访问一个外部端口，并禁止TCPT访问这个端口。通过网关对象的设置可以允许Visitor 模式和向内（incoming）的TCPT连接通过防火墙网关。详见设置参见VPN-1手册。VPN-1/FireWall-1如何识别TCPTVPN-1/FireWall-1通过内容检查来发现TCPT包，按照安全需求可将TCPT包拒绝（reject）掉。这意味着不仅仅只检查端口。TCPT的缺省端口是TCP 443端口，这个端口和SSL一样。当然，这个端口也是可以修改的（具体内容参见“如何使

22、用修改端口开/阻断向外TCPT”）。阻断外向TCPTSSL的缺省TCP端口是443。如果没有哪条规则允许TCPT使用这个端口，也不用加载一条明确的拒绝TCPT的规则，这个数据包也将被隐含地阻断（Blocked）。有许多服务，不仅仅要检测端口号，还要检查内容。如果你阻止TCPT向外输出包，同时某个规则允许的服务与TCPT使用同样的端口并且执行内容检查，那么无论TCPT还是这个服务都将被拒绝掉，唯一的例外是SSLv3服务。一个允许SSLv3的规则可以只允许SSLv3的连接，然后拒绝TCPT。依次点击“TCP Service Properties”“Advanced”，在弹出窗口可以定义有指定协议类

23、型并且执行内容检测的服务（Service）。具体配置参见“如何阻断Visitor模式（阻断向外TCPT）”。三、访问控制需要考虑到的问题本节内容防欺骗措施简洁性基本规则规则的顺序拓扑结构的思考DMZX11服务隐含规则的制定1、防欺骗措施如果你不设置防地址欺骗，那你精心设计的访问控制规则可能就要功亏一篑了。一个居心叵测的坏家伙很可能通过修改一下数据包的源地址就可以获得访问权限。确认在FireWall-1的每个接口卡上都设置了防地址欺骗保护，无论是内部接口还是外部接口。具体配置参见“配置防地址欺骗”。2、简洁性访问规则设置的简洁性是关键，配置上一个小小的错误就可以造成巨大的安全漏洞。为什么黑客可以

24、悄悄地欺骗？为什么碎片包可以通过你的防火墙？很可能就是因为你偶然放行了不受限制的信息协议！要保持规则尽量简洁，规则越多越容易出错。规则越少，越容易读，越容易维护。切记！3、基本规则要注意，只允许你认为该通过的数据通过防火墙。要考虑两方面的连接，一个是从内部（保护区）向外部（非保护区）建立的连接，另一个是从外部（非保护区）向内部（保护区）建立的连接。建议在配置安全访问策略的时候采用下面的基本访问控制规则。l 密秘规则（stealth rule）防止任何对FireWall-1的直接访问。l 清除规则（cleanup rule）丢弃所有不被明确允许通过的数据包。隐含规则中也有这样的规则。但是清除规则

25、（cleanup rule）允许你记录任何访问企图。要牢牢记住一条基本原则“没有明确允许的，就是被禁止的”。4、规则顺序规则顺序是非常关键的，同样的规则不同的排列顺序将从根本上改变防火墙的工作。最好是把相对精确的规则放置在规则库的前端，把相对常规的规则放在规则库的后端，这样就可以避免在匹配精确规则前先匹配常规规则，并且避免你的错误配置。5、关于拓扑方面的考虑DMZ如果有向Internet提供服务的服务器，最好建立一个非军事区（DMZ）。服务器在DMZ区对任何网络的计算机都是可达的，所有外部可以访问的服务器都放置在DMZ区。DMZ区的设置是为了将所有可被外部非信任区（例如来自Internet）访

26、问的服务器单独分配一个区域。入侵者仅仅允许访问这些对外提供访问的服务器，要尽量保证DMZ区服务器的安全。除了一些应用程序（例如用户认证）以外，不要允许DMZ区服务器向内部网络主动发起连接。6、X11服务X11（X window system Version 11）图形界面是UNIX系统的图形化系统，要允许X11通过，必须专门为X11服务设定一条规则。我们将服务设置为Any,源和目的地址设置为any，X11服务依然无法通过，这是因为X11服务的特殊性，GUI应用程序事实上是服务器而不是客户端。7、编辑隐含规则隐含规则是在全局属性（global property）的firewall-1 impli

27、ed rules页面里编辑的。通常情况下不必修改这些配置，大多数的选项都不选，从而可以在访问规则里更细致地设置规则。例如，你希望ICMP PING能通过防火墙。以下是推荐选项：表1-2 FireWall-1隐含规则的建议配置四、配置访问控制本节内容定义访问控制规则定义基本策略配置防地址欺骗如何配置阻止VISITOR 模式1、定义访问控制规则图1-2是一个访问控制规则的示例，使用以下步骤定义规则：（1）定义所有的网络对象和主机对象（详见CheckPoint管理服务器手册）。（2）在菜单上依次选择RulesAdd rule，可选项有Bottom、Top、Below和Above。（3）在Source

28、和Destination栏里单击鼠标右键，选择Add。接着选择一个网络对象后单击OK。（4）在Service栏里单击鼠标右键选择Add。选择一个服务或者一个服务组，单击OK。（5）在Action栏里单击鼠标右键选择Accept、Drop或者Reject。（6）在Track栏里单击鼠标右键选择Add，并选择一种记录方式。2、定义一个基本策略图1-4展示了网络需要怎样的访问控制策略。图1-4 一个网络安全访问策略的示例访问控制策略需求：1) 允许内部用户访问WEB；2) 允许所有用户访问DMZ区的服务器；3) 保护内部网络不受外部攻击。这个策略也需要两条基本规则：秘密规则（stealth rule

29、）和清除规则（cleanup rule）。产生这个策略并在SmartDashboard上添加这个策略，选择RulesAdd Rules。具体细节见图1-6所示的安全访问控制规则库。图1-6 一个点型的安全访问控制规则库3、配置防地址欺骗首先要确认在每个FireWall-1防火墙的每一个接口上（包括内部接口）都配置了防地址欺骗。以下是基本的一个配置实例如何在一个外网接口和内网接口上配置防地址欺骗。为外部网口定义一个有效地址（1） 在SmartDashboard中选择ManageNetwork Objects。（2） 选择Check Point Gateway并右键点击edit。（3） 在Prop

30、erties列表中点击Topology。（4） 点击GetInterfaces在防火墙上观察网络接口信息。（5） 选择连接Internet的网络接口，点击Edit。（6） 在Interface Properties窗口点击Topology，选择External（leads out to the Internet，向外连接到Internet）。（7） 选中Perform Anti-Spoofing based on interface topology（在该接口上执行防地址欺骗）选项，在Spoof Tracking（防地址欺骗记录）中选择Log,配置完毕后点击OK。为内部接口定义有效地址（8）

31、在名称栏中选择内部接口，点击Edit。（9） 在Interface properties窗口点击Topology,再点击Internal(leads to the local network，向内连接到本地网络)。（10） 在Ip Address behind this interface（接口后面的IP地址）下：l 如果这个接口后只有一个网络，选择Network defined by the interface IP and netmask（由接口IP和网络掩码定义的网络）。l 如果这个接口后面有一个以上的网络，那么定义一个包括这个接口后面所有网络对象的组网络对象。使用Specific来选择

32、。（11） 选择Perform Anti-spoofing based on interface topology（在该接口上执行防地址欺骗）。在spoof tracking （地址欺骗记录）选择Log，点击OK。（12） 在所有内部接口上重复步骤（8）到（11）。（13） 安装安全策略。4、配置阻断Visitor 模式关于阻止TCPT的详细信息参见“阻止Visitor 模式”。如何配置阻止Visitor模式（阻止内向外TCPT）在管理服务器（Manager server）使用数据库工具配置阻止向外TCPT。这些在每一个防火墙Module上配置。将Disable_outgoing_tcpt (

33、false)参数修改为true。如何通过改变端口来阻止向外TCPT通过改变端口号来禁止TCPT。在管理服务器（Manager server）使用数据库工具（Databasetool）配置全局属性以阻止向外TCPT。Tcp_outgoing_port (443)将这个端口号改成其它的数值。第三章 智能防护（SmartDefense）本章内容一、 在线防护的需求二、 对于在线防护的SmartDefense解决方案三、 设置SmartDefense需要考虑的问题四、 配置SmartDefense五、 SmartDefense StormCenter模式一、在线防护的需求现在在网络安全方面存在着许多安

34、全风险，并且呈现不断上升的趋势，这些不断增长的风险包含更多的复杂性和变化性。安全管理员需要一种途径来检测和阻止这些攻击，并且能够经常了解新的攻击行为，以便阻止这些攻击。图2-1 网络攻击FireWall-1 Access Control(访问控制)可以对通过防火墙中的可疑连接进行阻断，但是很多的攻击是使用被误开放的通道和服务。例如，如果将ICMP pings的服务开启，大量的此类连接就形成了拒绝服务攻击（DOS），从而阻止了其他有效的访问链接。另外一个例子是SYN的攻击，它将阻止一台基于TCP/IP的服务器对其他的用户提供服务。这个攻击是通过在一次握手的连接中不向服务器的SYNACK（同步应答

35、）响应发送最后的应答，这将导致服务器保持此状态直到最后超时。内容安全，一般提供病毒检测等功能，但这些是不够的。它还能够检测单个数据报的内容，但是必须是基于某个特定的服务，而且不能检测包含有恶意行为的模式。二、SmartDefense的解决方案本节主要内容1、 SmartDefense的简介2、 SmartDefense订阅(subscription)服务3、 SmartDefense功能分类4、 SmartDefense的工作方式5、 SmartDefense的树型结构1、 SmartDefense简介Check Point SmartDefense为识别和防御不同类型的攻击提供了统一的架构。

36、在安全规则表中没有明确定义保护措施的情况下，SmartDefense也能为网络提供在线防护的能力。它分析通过网络的连接，跟踪潜在的威胁事件并且可选择地进行报警。应用智能安全技术（intelligent security technology）可以保护客户免受全部已知的和大部分未知的网络攻击。保持最新的防御措施不需要最新的技术知识。只需要简单地点击就可以从SmartDefense的web站点上获取所有最新的防御知识库。SmartDefense提供了一个有以下功能的控制台：l 选择需要进行防御的攻击行为，以及获取攻击行为的详细信息。l 简单配置针对不同攻击的参数，包括记录的选项。l 在受到攻击时接

37、收实时的信息，更新SmartDefense的最新功能。注意：SmartDefense只能被部署在安装有Check Point NG FP2和更高版本的网关产品上。前期的版本不能进行任何的智能防护的定义。包含有最新防护库的最新版本只能应用在Check Point网关产品的最新版本中。2、 SmartDefense订阅服务智能防护功能已经免费包含在FireWall1的产品中。但是，用户需要订购智能防护的订阅服务，以便随时获得及时更新的防护知识库，以下是checkpoint智能防护站点：1) HTTP和CIFS蠕虫信息；2) 检测脚本（INSPECT file）更新；3) 动态攻击防护。已经订阅的客

38、户能够通过简单的点击自动进行SmartDefense升级。没有有效的订阅许可的客户不能进行在线的防护知识库更新，但可以手工定义HTTP和CIFS的蠕虫防护信息。3、 SmartDefense的功能分类CheckPoint SmartDefense用户免受攻击和其他不合理的或可疑的访问连接。它提供以下的分类功能：l 防御攻击行为（Defense against attacks）l 隐含防御措施(Implicit Defense)l 可疑行为分析(Abnormal Behavior Analysis)一些SmartDefense的特征（featrue 应该是指特征库内的攻击特征类型的脚本码）提供了

39、不止一个种类的功能。比如，初始序列号码防御（ISN Defender）不仅可以防御一个特定的攻击行为，而且还可以内置防御。1） 防御攻击行为(Defense against attacks)Check Point SmartDefense保护客户免受已知或未知的攻击。攻击行为被截停在网关处，保护作为攻击目标的目标服务器。SmartDefense配置简单，并且对于管理员来说，在进行攻击防御的同时不需要去了解攻击行为的技术细节。SmartDefense特征库能够防御以下类型的攻击行为：l 拒绝服务攻击l TCP/IP协议攻击l Web和应用的漏洞l 网络探测l HTTP蠕虫示例：ISN防护一个TC

40、P连接开始于三次握手的过程。客户端发送一个SYN数据报，服务器回复SYN/ACK，最后客户端发送一个ACK来建立连接。对于每次的SYN/ACK，服务器同时产生一个序列码（SN）来区分不同的连接。 序列码（SN）一般由某些种类的密钥来产生，对于一些操作系统来说，我们可以从上一个的SN猜测出下一个SN。一个通过猜测获得有效SN的外部客户端可以通过这个SN来发送一个SYN/ACK的数据报，以便建立连接。这个连接可能来自于一个实际不存在的IP地址，也有可能携带有害的数据内容。SmartDefense的ISN防护通过使用本身产生的SN（使用强加密的密钥）替代服务器生成的SN来防御这类的攻击。2）隐含防护

41、(Implicit Defense)隐含防护措施可以保护包括互联网的内部网络实体的信息，这些信息将被重新定义。例如，当一台内部的服务器建立一个TCP连接，它将发送连续的序列号（SN）。对于某些操作系统来说，这些SN可以判断操作系统类型。SmartDefense使用“指纹欺骗”来保证外部客户端不能判断内部服务器使用的操作系统类型，这主要通过指纹的替代来实现。3）可疑行为分析SmartDefense提供报表和分析网络访问行为模式。它通过分析由FireWall1执行点模块发到管理模块的日志来检测这些行为模式。如果检测到一个可疑的行为，管理员可以通过日志或其他方式的报警来跟踪当前访问，具体的方式由配置

42、的设定决定。例如，有一个连续的事件被侦测到，从而许多类的连续事件都将被配置定义。对于每一类的连续事件来说，如果此类访问的行为在一个给定的时间段里的重复次数超过了定义的次数，那它将被认为是可疑的活动。4、SmartDefense的树形结构SmartDefense控制台被划分为一个树状结构，用来分类SmartDefense的防护功能。下面概述了树型结构的主要分类。注意：SmartDefense的更新功能被添加到树型结构的一个分类当中，与攻击防护分类相同。1）Anti-Spoofing Configuration Status（防欺骗配置情况）这个页面说明如何在网关中配置防欺骗的设置。它主要存在于C

43、heckpoint网关的防欺骗未激活的情况中，例如，在接口卡的“IP address behind this interface”属性设为“Not Dfined”。在重新配置某个网关时你可以改变这个设定。2） Network Security (网络安全)Denial of Service拒绝服务（DoS）攻击的目的是通过向目标服务器发送大量的伪造数据，导致目标服务器不能响应合法的请求。这类攻击利用操作系统的漏洞以达到远程攻击机器的目的。IP and ICMP这个页面允许激活有关第三层尝试的详细序列（IP 和ICMP协议）。例如，当企图使用分片越过防火墙或发起拒绝服务攻击时，分片的超时记录会在

44、发现这些数据包的同时进行日志的记录。TCPVPN1/FireWall1进行基于IP和基于协议的鉴别，也能够通过分析数据报来确认是否包含允许选定的内容。为了检测TCP的数据报是否合法，将执行以下的测试：l 协议类型检测l 协议头分析l 协议标记分析和验证SYN攻击防护可以保护服务器免受来自TCP连接的SYN包可能导致的拒绝服务攻击。序列验证是一种在TCP连接中匹配TCP数据报的序列号的机制。在一个TCP会话中，匹配连接的数据报如果包含有不正确的序列，数据报将被丢弃或被剥离。Fingerprint Scrambling在某些情况下可以根据操作系统或连接的指纹特征来判断机器的操作系统类型或模拟一个已

45、存在的连接。SmartDefense通过误报指纹信息来使这个情况变得不可能。Successive EventsSuccessive Events detection（连续事件侦测，从前的恶意活动检测）提供了用来检测可疑和恶意的访问行为的机制，并且及时通知安全管理员。连续事件侦测运行在SmartDefense服务器上，并且分析来自VPN/FireWall执行模块的日志，以日志中的数据匹配攻击特征。安全管理员能够修改攻击侦测的参数，开关对某些特定攻击的侦测，甚至将Successive Event特征库全部关闭。那些不发送到SmartCenter服务器的日志（例如本地日志和发送到日志服务器的日志）将

46、不会被分析。Dynamic Ports一部分应用（例如重负载的FTP以及SIP协议）在建立连接的时会动态打开端口。如果这些端口与在SmartDashboard中预先定义的端口相同，那么这些端口将被关闭。使用这个页面的选项可以定义将一个连接打开的动态端口关闭（drop），无论这个端口是否与预定义的端口相同。也可以选择只要是被动态打开的低端口（小于1024）都将被关闭。3）Application Intelligence（应用智能）WebHTTP是一个用来连接互联网上服务器的信息传输协议。它的主要功能是与Web服务器建立连接，并且向客户端的浏览器传送HTML页面。在这个页面中允许你配置关于HTTP协议的不同防护措施。例如，general HTTP Worm Catcher可以消除大部分使用HTTP服务器和客户端安全漏洞的企图，使用正确的表达来匹配HTTP头。这也使得可以不在规则表中进行配置就可以对全部HTTP访问激活security server(CheckPoint的一项安全服务)防护。MailSMTP securi