CHECKPOINT安裝配置中文手冊(cè)

第3頁(yè)，共19頁(yè)安裝配置CHECKPOINT防火墻大綱首先明確兩個(gè)概念VPN/FWMoudule或者M(jìn)anagermentServer在WINDOWS上安裝的最小需求GUIClient在WINDOWS上安裝的最小需求安裝之前的準(zhǔn)備工作安裝軟件總過程配置防火墻總過程具體安裝過程安裝Licenses啟動(dòng)GUI，定義網(wǎng)絡(luò)對(duì)象定義安全策略（RuleBase）定義NAT創(chuàng)建一個(gè)管理員帳號(hào)Administrator創(chuàng)建一個(gè)GUICilentKeyHitSessionCertificateAuthorityFingerprint（指紋）高可用性HA（HighAvailability）首先明確兩個(gè)概念：VPN/FWMoudule；部署在網(wǎng)關(guān)上，其安全策略在ManagermentServer上創(chuàng)建并編譯后下載到Moudule上執(zhí)行。它可以安裝在多種硬件平臺(tái)上。它包括兩部分：一、檢測(cè)模塊：根據(jù)安全策略對(duì)所有通過它的通訊進(jìn)行檢測(cè)。二、安全服務(wù)器：提供認(rèn)證和應(yīng)用層的內(nèi)容安全。ManagermentServer：在PolicyEditorGUI上定義的安全策略，最后保存在ManagermentServer上。它的主要工作是維護(hù)CHECKPOINT數(shù)據(jù)庫(kù)，包括：定義的網(wǎng)絡(luò)對(duì)象，定義的用戶，LOG文件等。VPN/FWMoudule或者M(jìn)anagermentServer在WINDOWS上安裝的最小需求：操作系統(tǒng)：NT、WIN2000CPU：PII300以上硬盤剩余空間：40M內(nèi)存：128MGUIClient在WINDOWS上安裝的最小需求：操作系統(tǒng)：WIN9X、WINME、WINNT4+SP6、WIN2000professional硬盤剩余空間：40M內(nèi)存：128M安裝之前的準(zhǔn)備工作在安裝VPN-1/FW-1的計(jì)算機(jī)去掉不需要的服務(wù)，例如：NETBEUI、FTP、HTTPserver保證內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)都能互通（ping）關(guān)閉WINDOWS上的IPForwding，該功能由VPN-1/FW-1來控制。驗(yàn)證DNS：在內(nèi)網(wǎng)瀏覽一個(gè)外部知名網(wǎng)站，能訪問即可。定義IP地址：記下準(zhǔn)備分配給計(jì)算機(jī)各網(wǎng)卡的IP地址備用。（在計(jì)算機(jī)的DOS狀態(tài)下鍵入config/all，即可顯示各網(wǎng)卡的IP地址）確認(rèn)網(wǎng)關(guān)計(jì)算機(jī)名與外網(wǎng)卡的IP地址相對(duì)應(yīng)（可以查看計(jì)算機(jī)\system32\drivers\etc\lmhost.asm）目的是為了確保在把網(wǎng)關(guān)定義為一個(gè)網(wǎng)絡(luò)對(duì)象時(shí)（見二、1、）通過點(diǎn)擊getaddress時(shí)，可以自動(dòng)獲得IP地址，如果不能獲取，IKE加密過程會(huì)不正常。決定在那臺(tái)計(jì)算機(jī)上下列安裝軟件（module、managementserver、GUI），如果是安裝單網(wǎng)關(guān)產(chǎn)品，module、managementserver、GUI可以安裝在同一臺(tái)計(jì)算機(jī)上，當(dāng)然GUI也可以安裝在另一臺(tái)計(jì)算機(jī)上進(jìn)行遠(yuǎn)程控制。確認(rèn)計(jì)算機(jī)的操作系統(tǒng)軟件版本和平臺(tái)與VPN/FW組件相對(duì)應(yīng)如果安裝前已經(jīng)有VPN/FW在本機(jī)上運(yùn)行，那么，把他們退出運(yùn)行（包括GUI）安裝軟件總過程在安裝軟件（module、managementserver）之前把計(jì)算機(jī)從網(wǎng)絡(luò)上斷開，安裝完畢再接入網(wǎng)絡(luò)中在網(wǎng)關(guān)設(shè)備/計(jì)算機(jī)上安裝VPN/FWmodule在managementserver上安裝VPN-1/FW-1在管理工作站上安裝GUIClient以上過程安裝完畢之后，把他們接入到網(wǎng)絡(luò)中去，并驗(yàn)證他們與網(wǎng)絡(luò)的連通性。在managementserver上定義GUI主機(jī)在managementserver上定義管理員帳號(hào)（具備管理安全策略的權(quán)限）把以上計(jì)算機(jī)連接到網(wǎng)絡(luò)中，并保證對(duì)網(wǎng)絡(luò)的連通性配置防火墻總過程啟動(dòng)GUIClient連接到managementserver創(chuàng)建安全策略定義網(wǎng)絡(luò)對(duì)象，定義添加GUIClient主機(jī)名、定義管理員并設(shè)置權(quán)限。定義組，并把用戶加入組定義Rulebase（安全策略）外網(wǎng)用戶只能訪問DMZ區(qū)內(nèi)網(wǎng)用戶可以訪問內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)管理員可以從任何IP地址TELNET登陸到DMZ區(qū)的（SMTP、WEB、FTP）服務(wù)器定義NAT在本地驗(yàn)證安全策略的正確性把安全策略分發(fā)到安裝到VPN-1/FW-1Moudule的計(jì)算機(jī)上。通過菜單policy—》install具體安裝過程在WINDOWS中插入光盤會(huì)自動(dòng)運(yùn)行SETUP程序。在第一個(gè)畫面forevaluation:當(dāng)你僅需要作測(cè)試時(shí)點(diǎn)擊該項(xiàng)，并且保證你手頭有評(píng)估用的臨時(shí)LIENCESforpurchasedproduct:NEXT:當(dāng)你手頭已經(jīng)有正式LIENCES時(shí)，點(diǎn)擊該按鈕在licenseagreement頁(yè)面，選擇YES在ProductMenu頁(yè)面，選擇你所購(gòu)買的產(chǎn)品，一般選缺省項(xiàng)，點(diǎn)擊NEXT在Server/GatewayComponentss頁(yè)面，選擇你所要安裝的具體模塊，點(diǎn)擊NEXT說明：A、如果僅僅是在其他管理工作站上安裝CLIENT，那么在以上頁(yè)面只選中ManagementClient即可。B、安裝過程自動(dòng)安裝SVNFoundation，SVN用于除GUIClient以外的所有NG產(chǎn)品。在VPN-1/FW-1EnterpriseProduct頁(yè)面選擇安裝在本機(jī)上的產(chǎn)品的類型。EnterprisePrimaryManagement在第一臺(tái)計(jì)算機(jī)上安裝SERVEREnterpriseSecondaryManagement在第二臺(tái)計(jì)算機(jī)上安裝SERVEREnforcementModule&PrimaryManagement同時(shí)安裝SERVER和MODULEEnforcementModule只安裝MODULE在BackwardCompatibility頁(yè)面，選擇是否支持向下兼容：Installwithbackwardcompatibility.如果你需要管理CP4.1ModuleInstallwithoutbackwardcompatibility.在DynamicallyAssignedIPAddress頁(yè)面，選擇是否使用動(dòng)態(tài)分配IP地址？在ChooseDestination頁(yè)面，顯示CP安裝的缺省路徑，建議不要更改，否則以后還需要設(shè)置環(huán)境變量，很麻煩的。選擇ManagementClient要安裝的具體內(nèi)容，（無論用不用，最好都選中）安裝完畢，重新啟動(dòng)計(jì)算機(jī)。安裝Licenses（GUICient不需要Licenses）獲取Licenses：所有CP產(chǎn)品都需要相應(yīng)的Licenses來激活，GUI除外。如果你購(gòu)買了正版的CP軟件，那么在包裝上會(huì)有一個(gè)CertificateKey，例如是：“CK0123456789ab”你可以通過它來獲取一個(gè)臨時(shí)Licenses，（有效期一個(gè)月），而后可以獲取永久Licenses，具體辦法咨詢你的集成商。如果你沒有購(gòu)買正版的CP軟件，但是你想作測(cè)試，你也可以通過神州數(shù)碼協(xié)調(diào)索取臨時(shí)Licenses做測(cè)試。安裝Licenses：你必須有Licenses才能使用CP產(chǎn)品，如果沒有在安裝配置過程中輸入Licenses，你還可以按照下面的步驟安裝Licenses，Licenses應(yīng)安裝在Managementserver和Module上。 在cpconfigLicenses頁(yè)面只能管理本機(jī)（要集中管理多個(gè)Licenses只能通過SecureUpdate）。在該頁(yè)面有3項(xiàng)內(nèi)容需要設(shè)置： IPAddreess：本機(jī)外網(wǎng)卡的IP地址，在申請(qǐng)Licenses時(shí)提交的。 ExpirationDate：Licenses的過期時(shí)間，如MAY25，2002。 SKU/Feature：例如：CPSUITE-EVAL-3DES-v50 SignatureKey：例如：SAFGGGEEF–SDFDSFDS–SDFSWER–SDFSERWT 手動(dòng)填寫完畢，點(diǎn)擊按鈕“Calculate”來計(jì)算你的輸入是否有誤。 安裝Licenses也可以通過直接從文件（一般是EMAIL發(fā)來的TXT附件）中獲取，啟動(dòng)GUI，定義網(wǎng)絡(luò)對(duì)象啟動(dòng)GUI，輸入你的用戶名，口令，和服務(wù)器名，進(jìn)入PolicyEditor界面。定義網(wǎng)絡(luò)對(duì)象的一些注意事項(xiàng)：在CP數(shù)據(jù)庫(kù)中不需要定義PrimaryManagementServer的對(duì)象。一般地，在安全策略中沒有必要涉及ManagementServer。ManagementServer根據(jù)其數(shù)據(jù)庫(kù)中的定義，可以自動(dòng)與其他CPModule之間建立加密通訊。相反，你必須明確的定義所有安裝Module的計(jì)算機(jī)。在以下窗口中創(chuàng)建一個(gè)FWALL對(duì)象：打開以上窗口有3種方式：A、在菜單“Manage”中選擇“NetworkObjects”然后點(diǎn)擊“NEW”B、在對(duì)象工具條上點(diǎn)擊圖標(biāo)C、網(wǎng)絡(luò)對(duì)象樹中點(diǎn)擊圖表填寫FWALL對(duì)象的各項(xiàng)內(nèi)容A、NAME：鍵入該計(jì)算機(jī)的HOSTNAMEIPAddress；鍵入外網(wǎng)卡IP地址，例如Cvomment:對(duì)該對(duì)象加以注釋或描述TYPE類型：選擇Gateway（如果是GUI可選擇HOST）CPProductsInstalled：選擇本機(jī)安裝的CP版本：這里選擇“NG”O(jiān)bjectManagementManagedbythisManagementServer(internal):如本機(jī)同時(shí)安裝SERVER和ModuleManagedbyanotherManagementServer(internal):與以上相反Communication按鈕：點(diǎn)擊后出現(xiàn)：輸入ONE-TIME口令，開始與ManagementServer進(jìn)行第一次通訊，點(diǎn)擊“Intitaliza”按鈕，此時(shí)，ManagementServer會(huì)加密發(fā)出簽名認(rèn)證到FWALL上，用于建立ManagementServer與Module之間的信任關(guān)系。如果返回的Truststate是“TrustEstablish”，則說明二者之間的信任關(guān)系已經(jīng)建立。點(diǎn)擊“CLOSE”添加一個(gè)接口（Interface）在以下窗口中點(diǎn)擊“Topology”定義接口的最簡(jiǎn)單的方法就是點(diǎn)擊上圖中的“GetTopology”按鈕，可以直接獲取接口信息。祥見下圖：當(dāng)然，你也可以手動(dòng)定義接口信息：通過點(diǎn)擊上圖中的“ADD”按鈕即可然后輸入每個(gè)接口的NAME、IP地址、子網(wǎng)掩碼，是內(nèi)網(wǎng)卡還是外網(wǎng)卡 最終的定義結(jié)果如下：定義內(nèi)網(wǎng)（loaclnet）定義該網(wǎng)絡(luò)的NAME、IP地址、子網(wǎng)掩碼，注釋內(nèi)容，是否把廣播地址看作網(wǎng)絡(luò)的一部分定義DMZ區(qū)網(wǎng)絡(luò)具體內(nèi)容同上定義DMZ區(qū)中的WEB、FTP、MAILSERVER（主機(jī)）輸入該主機(jī)的NAME、IP地址、子網(wǎng)掩碼，注釋內(nèi)容，TYPE類型（選擇HOST）不要選中“□CheckPointproductinstalled

創(chuàng)建Users在下圖中點(diǎn)擊“ADD”，（缺省只顯示標(biāo)準(zhǔn)用戶的模板，）然后輸入該USER的用戶名，設(shè)置其認(rèn)證方法為操作系統(tǒng)口令。定義安全策略（RuleBase）在定義完網(wǎng)絡(luò)對(duì)象和USER之后，就可以開始定義安全策略了。點(diǎn)擊工具欄中的圖標(biāo)，來添加一條策略了1、缺省的一套丟棄一切包的策略必須更改。2、開始定義策略，以上的SOURCE源設(shè)備或地址、DESTINATION、目的設(shè)備或地址SERVICE：服務(wù)ACTION：對(duì)應(yīng)的操作TRACK：是否跟蹤INSTALLON：安裝位置TIME：時(shí)間以上所有內(nèi)容都可以通過點(diǎn)擊對(duì)應(yīng)的位置來選擇對(duì)象 3、以下舉例說明：第一條：任何設(shè)備、地址對(duì)FWALL的訪問都拒絕響應(yīng)，并記錄下來，發(fā)送告警第二條：內(nèi)網(wǎng)可以訪問除了FTP服務(wù)器之外的所有地址或設(shè)備。第三條：內(nèi)網(wǎng)對(duì)FTP服務(wù)器的訪問，只開放了FTP服務(wù)，其他服務(wù)均被拒絕第四條；所有網(wǎng)絡(luò)或地址均可通過SMTP協(xié)議訪問EMAIL服務(wù)器第五條：所有網(wǎng)絡(luò)或地址均可通過HTTP協(xié)議訪問WEB服務(wù)器第六條：Managers用戶組內(nèi)的所有成員均可通過TELNET協(xié)議訪問FTP服務(wù)器，但是必須通過口令認(rèn)證。第七條：除以上允許的策略外，其他所有通過FWALL的通訊都被拒絕。注意：以上只是個(gè)例子，絕對(duì)不可照搬！?。。∧惚仨毟鶕?jù)你公司的網(wǎng)絡(luò)拓?fù)浜蛯?shí)際需求情況制定自己的安全策略。4、在本地驗(yàn)證你的安全策略5、驗(yàn)證無誤，下發(fā)你的安全策略到相應(yīng)的FWALL上去。在“Policy”菜單上選擇“Install”來下發(fā)你的安全策略定義NAT1、有兩種方法可以進(jìn)行IP地址轉(zhuǎn)換，Hiding：把你所有的非法IP地址隱藏在合法地址之后， 優(yōu)點(diǎn)：你仍使用你已有的有限的合法地址 缺點(diǎn)：外網(wǎng)不能建立與非法地址主機(jī)的連接。Static；靜態(tài)轉(zhuǎn)換，在一一對(duì)應(yīng)的基礎(chǔ)上實(shí)現(xiàn)非法地址與合法地址的轉(zhuǎn)換（對(duì)應(yīng)） 優(yōu)點(diǎn)：外網(wǎng)能建立與非法地址主機(jī)的連接。 缺點(diǎn)：需要太多的合法地址2、定義過程定義一臺(tái)主機(jī)（HOST）點(diǎn)擊“NAT”標(biāo)簽選中“∨AddAutomaticAddressTranslationRules”設(shè)置“Hide”和“Static”NAT公網(wǎng)地址公網(wǎng)地址創(chuàng)建一個(gè)管理員帳號(hào)Administrator必須至少定義一個(gè)管理員，否則將無人能管理SERVER輸入NAME，口令（至少四個(gè)字符，不能有空格）設(shè)定權(quán)限：主管理員最好選Read/WriteAll，對(duì)于其他級(jí)別的管理員可以分別單獨(dú)設(shè)置其權(quán)限。對(duì)于并發(fā)會(huì)話（幾個(gè)管理員同時(shí)登陸）的處理為防止幾個(gè)管理員同時(shí)修改一個(gè)安全策略，VPN/FW執(zhí)行一個(gè)鎖定機(jī)制：即若干管理員可以同時(shí)瀏覽一個(gè)安全策略，但是只能有一個(gè)有寫入的權(quán)限。管理員獲得寫入權(quán)限的條件是：該管理員必須具有Read/WriteAll的權(quán)限同一時(shí)間內(nèi)沒有其他管理員獲得寫入的權(quán)限，如果你登陸時(shí)已經(jīng)有人登陸進(jìn)去，那么系統(tǒng)會(huì)提示你是否愿意退出登陸還是愿意以只讀的方式登陸。當(dāng)然，如果你愿意，你也可以了直接以只讀的方式登陸，在登陸界面選中“ReadOnly”即可。創(chuàng)建一個(gè)GUICilent如果managementserver和Module安裝在同一臺(tái)計(jì)算機(jī)上，就不再需要指定GUI主機(jī)名了。如果不指定其他GUI主機(jī)名，那么，只能在同一臺(tái)計(jì)算機(jī)安裝的GUI上進(jìn)行管理工作。在GUIClient頁(yè)面的RmoteHostname欄中輸入以下五種格式的地址：IP地址： 例如：計(jì)算機(jī)名： 例如：CLIENTAAAAny：表示對(duì)CLIENT計(jì)算機(jī)沒有限制，但是必須在RULEBASE中添加明確的允許或禁止的主機(jī)的策略條目IP1-IP2： 設(shè)定一個(gè)地址范圍，例如-0設(shè)定20臺(tái)主機(jī)WildCard： 例如：10.1.33.*或者*.注意：如果GUI與managementserver之間的連接通過Module，那么，安全策略必須首先安裝在Module上，保證新創(chuàng)建的GUI能串過Module連接到managementserver。KeyHitSession為生成一個(gè)隨機(jī)加密關(guān)鍵字的seeds，你需要任意輸入若干字符，但是，鍵入每個(gè)字符應(yīng)有幾秒的時(shí)間間隔，不要連續(xù)輸入同樣的兩個(gè)字符，字符輸入之間的延時(shí)盡量不同。CertificateAuthority該頁(yè)面用于安裝InternalCertificateAuthority，并生成一個(gè)授權(quán)給ManagementServer的加密內(nèi)部通訊SecureInternalCommunication(SIC)，SIC認(rèn)證用于對(duì)CP通訊組件之間的通訊進(jìn)行授權(quán)。或者對(duì)CP通訊組件與OPSEC應(yīng)用程序之間的通訊的授權(quán)。.該頁(yè)面用于對(duì)PrimaryManagementServer與本機(jī)（GUI）之間的一次連接（one-timelink）通訊進(jìn)行加密。PrimaryManagementServer沿著這條鏈路把認(rèn)證分發(fā)到本機(jī)上，一旦認(rèn)證到達(dá)本機(jī)，那么本機(jī)就可以與其他的CP通訊組件之間進(jìn)行通訊。為了初始化一個(gè)Module的通訊，在PolicyEditor上輸入同樣的one-time口令。在GUIClient上連接到ManagementServer，并打開PolicyEditor，創(chuàng)建一個(gè)Module對(duì)象，設(shè)置一個(gè)NAME，和一個(gè)IP地址在GeneralPropeties頁(yè)面，選擇CheckPointGateway,點(diǎn)擊“Communication”輸入口令。在進(jìn)行下一步以前必須確保在Module上已經(jīng)啟動(dòng)SVNFoundation服務(wù)和VPN-1/FW-1服務(wù)，并且保證Module和ManagementServer能夠進(jìn)行IP通訊點(diǎn)擊“Intalize”按鈕，開始Module的初始化進(jìn)程。此時(shí)，簽名認(rèn)證被加密傳輸?shù)組odule上。TrustState欄會(huì)報(bào)告Module的狀態(tài)：在ManagementServer上的ICA（InternernalCertificateAuthority）發(fā)出認(rèn)證Certificate，并且已發(fā)送到Module上之后，就算建立起了TrustState信任狀態(tài)如果Module被初始化或者RESET，那么，cpconfig中報(bào)告的Module的信任狀態(tài)將和PolicyEditor中報(bào)告的不同。cpconfig中報(bào)告的Module的信