CHECKPOINT 4.1安装配置手册

企业级防火墙 /VPN 网关 – VPN-1 Pro

Check Point VPN-1 Pro 是紧密集成的防火墙和 VPN 网关，为企业应用程序和网络资源提供全面的安全和远程连接。 VPN-1 Pro 将市场领先的FireWall-1 安全套件与久经考验的 VPN 技术结合在一起，通过提供到企业网络、远程用户和移动用户、分支机构、业务合作伙伴的安全连接，满足了互联网、内联网和外联网 VPNs 的严格需求。它具有行业最智能的安全检测技术、 Stateful Inspection 和 Application IntelligenceTM，为阻止网络层和应用层攻击提供了预先的防御机制。 VPN-1 Pro 解决方案可用在业界最广泛的开放式平台和安全设备之上，可以满足任何规模企业的性价比需求。

虚拟防火墙– VPN-1 VSX

VPN-1 VSXT是一种为诸如数据中心和园区网等大型企业环境设计的高速、多策略虚拟安全解决方案。基于经过实践证明的安全解决方案， VPN-1 Pro ， VSX 可以为复杂基础架构中的多个网络提供综合全面的保护，帮助它们安全的连接到互联网和 DMZ 等共享的资源，并且实现了在提供集中管理的同时允许它们之间进行安全互动。 VSX 网关利用一台硬件设备就可以帮助各单位创建一个包括路由器、交换机和 VPN-1 网关的复杂、虚拟的网络。这种解决方案替换和改造负责安全保护和联网的物理设备，减少了为整个网络提供安全保障所需的硬件投入。目前，只有 VSX 提供的平台才实现了高可扩展性、虚拟化网络，以及可以被轻松部署和管理的安全服务。

集中管理– SmartCenter 和 SmartCenter Pro

SmartCenter 是基于目前业界最一致、最强大的管理架构，安全管理架构

（ SMART ）的基础之上。它支持企业集中定义边界、内部和 Web 的安全策略；关联和优化安全事件；实施高级的监视和报告功能——这一切都通过一个控制台来实现。在所有网关分配安全策略升级变得很简单，从而确保一致的策略实施并提高运营效率。这样，企业能保护对业务关键的资产并实现它们在安全方面投资的最大化。

SmartCenter 解决方案提供了功能强大的软件工具来集中配置、管理和监视多个 Check Point 网关和执行点。它们包括一个类似仪表盘的界面来集中定义 VPN 、防火墙和服务质量（ quality-of-service ）的策略以及一台管理服务器来存储这些策略。

终端安全 – Integrity

Integrity 可以确保您的企业网络免受恶意代码或者目标攻击的入侵。在为每个网络终端提供主动防御的同时，它还提供了集中式策略管理和实施。 Integrity 使您可以为每台接入网络的电脑轻松开发、管理和实施无与伦比的安全方案，从而提供全面的接入保护。在保持 IT 部门和终端用户生产能力的同时， Integrity 的保护功能可以恢复企业数据和关键系统的保密性、完整性和有效性。

Integrity 客户端和服务器软件通过集中管理的主动保护以及策略实施的一致性检查确保所有联网计算机的安全。

官方网址：http://www.checkpoint.com.cn/

SQL SEVER中 CHECKPOINT 语法如下： CHECKPOINT

CHECKPOINT 命令用于将当前工作的数据库中被更改过的数据页data page 或日志页（log page）从数据缓冲器（data buffer cache）中强制写入硬盘。 CHECKPOINT作为软件防火墙,需要安装在NT, 2000或SUN的平台上, 以下的手册是指安装在NT的平台下的SINGLE GATEWAY的产品, 有三个区( 内部网, INTERNET, DMZ)

CHECKPOINT防火墙主要分为两大模块: 1.Management Module 2.VPN/Firewall Module

VPN-1/FIREWALL-1产品有:

1.Enterprise Security Console: 包括Management Module 2.Enterprise Center: 包括Enterprise Security Console, VPN/FW module. 3.VPN-1/FIREWALL-1 Network Security Center: 包括VPN-1/FW-1 Enterprise Center, Open Security Extension.

4.单一的GATEWAY: 包括Management Module, VPN/Firewall Module

(单一的GATEWAY, Management Module和VPN/Firewall Module必须装在一台机器上)

网络环境的设置:

至少需要有两个网段, 一个是内部网, 一个接公网, 一般来讲还有一个

DMZ(非军事化区), 这样就有三个网段.DMZ区主要用于放你的INTERNET服务器, 如WWW, MAIL等.

CHECKPOINT 4.1安装前的准备 网管联盟bitsCN@com

1. WINDOWS NT SERVER 4.0+SP6, 至少有两块网卡, 必须删除NETBEUI协议. 2. 停在不需要的服务. 3. 检查路由.

4. 在网络选项中，打开 “IP FORWARDING”, 启用IP FORWARDING, ( 利用CHECKPOINT来控制IP FORWARDING) 5. 在外部网卡上设置DNS(可选).

安装步骤

插入安装光盘。

1． .在 “The Welcome“窗口。 2． 选择 'Next'.

3． 在 'Licence Agreement“选择'Yes'.

4． 在 “Product Menu“ 选择 ”Server/Gateway components“. 5． 选择 'Next'.

6． 在“Server/Gateway components“的窗口选择”VPN-1/FireWall-1“和”Floodegate-1” 7． 选择“Next“

8.在“Setup Type“的窗口, 选择 “Stand Alone Installation”. 9． 选择“Next“, 在 “Information” 窗口, 选择 ”Next“. 10．“VPN-1/Firewall-1 Gateway/Server mode”的窗口，选

择”VPN-1/Firewall-1 Gateway Module- Limited hosts ( 25-250 ), 选择 “Next”.

11. 选择“Install without Backward compatibility”, 选择“Next” -> “Next”, 选择”OK”,

系统会自动安装CHECKPOINT SP2. 网管联盟bitsCN_com

12. 在安装“Client Managent” 时，选择安装所有组件。 13．系统会自动安装“Floodegate-1”和SP2. 14. 在“Question”提示时，选择”NO”.

15. 在”Licensed”窗口中，添加一个“License”.

16. 在“Administrators”窗口中，至少添加一个管理员。 17. 配置公网IP

18. 在”GUI CLIENTS”的窗口中，添加远端管理机器的IP. 19.输入连接INTERNET的网卡的名字，可从“IPCONFIG /ALL”中得到信息。 20.在“IP FORWARDING”的窗口中，选择“Control IP Forwarding”. 21.根据提示，输入不同的字符直至完成。 22．重新启动机器

LICENSE的安装

1 . 进入http://license.checkpoint.com

2. 选择“Permanent and Evaluation License”.

3. 填入用户信息和“Certificate Key”, 根据提示完成申请。会得到如下的信息。

Expiration Date: 01Apr2001 Host ID: xx.xx.xx.xx

Features: cpsuite-aeal-des-v41 cprs:4.1:rs5

License String: aTKRhsYJ3-fp2yX5Hug-XCenB3wqp-X4ac7X3Wu (Validation

code: LcKbi)

4. 在防火墙的机器上，进入”CHECK POINT CONFIGURATION TOOL”, 在“LICENSE”的菜单中，选择添加，填入上面的信息。系统会自动重启防火墙的服务。 中国网管论坛bbs.bitsCN.com

配置CHECKPOINT

1. 打开“CHECKPOINT POLICY EDITOR”

2. 输入管理员名和口令。

3. 定义防火墙，从菜单中选择“MANAGE”->”NETWORK OBJECTS”,选择”NEW”->

“WORKSTATION”, 输入防火墙的NETBIOS名，输入防火墙公网的IP, 选择“GATEWAY”，选择安装了“VPN-1/FIRWALL-1”和”FLOODGATE-1”.

4. 在“WORKSTATION PROPERTIES”中，进入”INTERFACES”菜单，分别加入三块网卡的“NAME”,”IP”,”MASK”, 可用”IPCONFIG /ALL”获得以上信息。

5. 定义内部网和DMZ区，从菜单中选择“MANAGE”->”NETWORK OBJECTS”,

选择”NEW”->“NETWORK”, 输入内部网名称，IP （输入网段，如

192.168.0.0 ）,输入MASK. 选择“NAT”菜单，选择”Add Automatic Address Translation Rules”,在“Translation Method”中，选择”Hide “, 在“Hiding IP address”中，输入防火墙的公网的IP, xx.xx.xx.xx 网管网www_bitscn_com

6. 参照5，定义DMZ区。

定义安全策略。

具体的配置，可使用GUI的客户端来查看。

1. 打开“CHECKPOINT POLICY EDITOR”

2. 添加“Stealth Rule”, 目的不允许任何机器访问防火墙。

3. 定义内部网访问策略.

定义NAT

如邮件服务器在DMZ区，IP 地址为192.167.0.2, 为了使用和保护邮件服务器，需要进行NAT转换。具体步骤如下：

1． 定义邮件服务器，定义防火墙，打开“CHECKPOINT POLICY EDITOR”，从菜单中选择“MANAGE”->”NETWORK OBJECTS”,选

择”NEW”->“WORKSTATION”, 输入邮件服务器的NETBIOS名，输入邮件服务器IP, 192.167.0.2

2. 定义NAT, 选择“NAT”菜单，选择”Add Automatic Address Translation Rules”, 在“Translation Method”中，选择”STATIC “, 在“Valid IP address”中，输入邮件服务器的公网IP, xx.xx.xx.xx

3. 修改LOCAL.ARP, 进入C:\\WINNT\\FW1\\4.1\\STATE\\, 编辑LOCAL.ARP, 加入邮件服务器的公网IP对应于防火墙外部网卡的MAC地址. 重启防火墙的服务。 网管u家u.bitsCN.com

4. 在防火墙上中增加路由表，route add xx.xx.xx.xx mask 255.255.255.255 192.167.0.2

5. 一般在防火墙前面有个前端路由器, 你如果在对WEB SERVER或MAIL SERVER做静态NAT后, 最好将前端路由器的ARP CACHE清除, 然后在前端路由器上, PING你的NAT的地址,再用SH IP ARP来看看, MAC地址是不是对应于防火墙外部网卡的地址.

ANTI-SPOOFING的设置

CHECKPOINT 使用ANTI-SPOOFING来防止IP欺骗, 但是在配置防火墙的INTERFACE时要注意:

可分为以下几种情况:

1. 只有两个网段, 一个内部网, 一个公网, 没有WEB等服务器需要做静态的NAT.

选中防火墙的OBJECT属性, 选择\\\"INTERFACE\\\" , 选择\\\"有效地址\\\ 在防火墙内部网卡上选择\\\"THIS NET\\\在防火墙外部网卡上选择\\\" OTHERS\\\"

网管论坛bbs_bitsCN_com

2. 有两个网段, 一个内部网, 一个公网, 有WEB等服务器需要做静态的NAT.

使用GROUP 来解决,

1. 定义一个组.

2. 将内部网和你WEB服务器NAT后的地址( 即公网地址) 加入此组中. 3 . 在内部网INTERFACE 上不选\\\"THIS NET\\\" 选择\\\"Specfic\\\选择你建的组.

4. 在防火墙外部网卡的INTERFACE上, 选择\\\"OTHERS\\\"