?安装流程:
Firewall-1提供的Check Point管理软件不能在Linux系统上运行。目前的版本仅支持 Windows NT、Windows 2000和一些UNIX系统(例如Solaris)。因此,要使用Firewall-1, 需要另增一台计算机作为管理工作站。Firewall-1 for Solaris管理软件工作得并不好,所 以我个人推荐使用基于Windows NT或Windows 2000版本的管理软件。虽然Firewall-1管理软 件包含在同一张光盘上,但它必须与Firewall网关软件分开独立安装。
快速提示:我几乎对我所有的Red Hat Linux系统安装都使用kickstart build。kickstart 安装让我能够从一个包含了所有升级更新的Red Hat安装目录进行快速安装,而且不需要参 与到安装过程--所有安装问题的回答都已在kickstart的配置文件中了。关于kickstart的 更多信息请访问以下链接文档:
http://www.linux.com/howto/KickStart-HOWTO.html
http://www.redhat.com/support/manuals/RHL-7-Manual/ref-guide/ch-kickstart2.html
通常说来,安装Firewall-1的Linux系统的分区需求如下:
* /(根分区),根分区包含了基本的系统结构。空间大约为100-200MB。
* swap(交换分区)。这应该和系统内存大小差不多。
* 建议设置独立的/usr分区。/usr是Red Hat Linux系统安装大多数应用程序的目录。为 /usr分区大约需预留1GB的空间。
* 设置独立的/var分区也有一定帮助。大多数的动态数据,例如spool文件、日志文件等, 都存放在这里。但是在Linux系统中安装Firewall-1时,Firewall-1的日志文件是存放到 /opt,而不是/var目录下。因此为/var分区预留200MB或稍大一些的空间就基本足够了。
* 由于Firewall-1缺省被安装到/opt目录下。该目录包含了Firewall-1软件程序、配置文件 和日志文件等。对于Firewall-1机器,应为其分配尽可能大的分区。
如果是从CD(或其它手工安装方式)安装系统,则以上所有分区都能够手工创建。我测试安 装Firewall-1系统时用的kickstart配置文件(ks.cfg)文件中定义了如下分区:
part / --size 200
part swap --size 128
part /usr --size 1000
part /var --size 200
part /opt --size 1
--grow 注意在定义/opt分区时"--grow"参数的使用,它使该分区使用磁盘的所有剩余空间。
安装Firewall-1前做一下配置:
* 编辑/etc/inetd.conf文件,禁用所有不需要的服务。通常我是把该文件中所有的服务都 禁用。对于telnet,可用OpenSSH替代。
* 运行ntsysv关闭任何不需要的服务。特别地,Firewall-1系统不应该运行大多数的标准服 务。例如我把除了crond、network、random、sshd和syslog以外的其它服务都关闭了。
* 重启系统,运行"netstat -a"命令查看该机器还打开了什么端口。如果发现你不期望或不 清楚的开放端口,就应该仔细分析研究了。
* 确保所有网卡都被安装且正常工作(可使用"netconf"程序),和路由表设置正确。在这 里,通常可以通过"ping"命令来确保系统的网络功能正常。这样使后面可能的问题调试更加 简单些。
安装Firewall-1
cd /cdrom/cdrom0
./InstallU
* 读取和接受许可协议。
* 选择安装方式。可选项为(1) VPN-1 & FireWall-1 Stand Alone Installation(统一安 装)和 (2) VPN-1 & FireWall-1 Distributed Installation(单独安装)。对于单一型 的防火墙,应该选择选项(1)。如果采用分布式防火墙并由防火墙管理控制台管理,可以 选择选项(2)。请确保你拥有足够的Firewall-1许可证!
* 选择一个Firewall-1模块。可选项为(1) VPN-1 & FireWall-1 - Limited hosts (25, 50, 100, 250)、(2) VPN-1 & FireWall-1 - Unlimited hosts 和 (3) VPN-1 & FireWall-1 - SecureServer。如果你有无限制IP地址的许可证,应该选择选项(2)。如果 你的许可证是有IP地址限制的,请选择选项(1)。
* Do you wish to start VPN-1 & FireWall-1 automatically from /etc/rc.d/rc3.d and /etc/rc.d/rc5.d (y/n) [y] ? 此处应回答y(yes)。 * 配置许可证。不要在这里增加任何许可证,而应该使用"fw putlic"命令。 * 设置系统管理员。在这里应该增加至少一名系统管理员(例如"fwadmin"用户)及其口 令。另外应该为该系统管理员赋予写("W")权限。
* 配置GUI客户。在这里应该增加至少一个GUI客户,即Firewall-1管理工作站的IP地址。
* 配置SMTP服务顺。Firewall-1提供发送报警电子邮件的功能。如果希望使用该功能,就需 要在这里进行相应配置。
* 配置SNMP extension。出于安全方面的考虑,不推荐在Firewall-1激活SNMP extension。 然而在可管理网络环境中也许需要该功能支持。
* 配置用户组。它允许设置除root外该组中的用户能够启动或停止Firewall-1软件。不推荐。
* 配置IP转发。它允许在启动时禁止IP转发选项。推荐使用该选项。
* 配置缺省过滤器。它允许在启动时使Firewall安装缺省的过滤器。建议选择(N),因为该 功能似乎会对网络堆栈的正常工作有影响。
* 配置随机数池(Random Pool)。Firewall-1使用在这里输入的随机字符串来对随机数池进 行初始化。
* 启动Firewall-1。此时可能会出现一条错误消息:“FW-1: only 25 internal hosts allowed”,因为此时还未安装Firewall-1许可证。
在Firewall-1安装后,应该执行如下任务:
* 立刻退出登录并再次登录。Firewall-1的安装程序会在/etc/profile.d中安装一些额外的 脚本,以使缺省路径中包含Firewall-1可执行程序(/etc/fw/bin)的路径。退出登录并 再次登录就能正确设置缺省路径了。
* 安装Firewall-1许可证。使用Firewall-1许可证书电子邮件中的命令。
* 登录到管理工作站上,安装Check Point管理客户,运行策略编辑器,然后连接到防火墙。
* 创建网络对象和规则!
Firewall-1具有从单个管理模块控制多台防火墙的功能。在讨论之前,先解释几个概念:
* 管理工作站。这是运行Check Point管理软件的Windows NT或Windows 2000工作站。它允 许用户浏览、编辑和删除防火墙规则,和与Firewall-1管理模块通讯。
* Firewall-1管理模块。这是一个运行在一台或多台Firewall-1系统中的"fwm"守护进程。 它接受来自管理工作站的连接,接受规则的更新,和在一个或多个执行模块中进行分发。
* 执行模块。这是用于执行规则集的"fwd"守护进程和"fwmod.2.2.x"内核模块。它运行于互 联网网关上。
通常都是在同一台机器(互联网网关)上运行Firewall-1管理模块(fwm)和执行模块。然而 这却不是必须的,特别在有多台互联网网关,或者多个信任网络之间的多台网关的情况下。
在安装过程中会提示两种安装方式,它们是:
* VPN-1 & FireWall-1 Stand Alone Installation(统一安装)
* VPN-1 & FireWall-1 Distributed Installation(单独安装)
Firewall-1统一安装方式在同一台机器上统一安装管理模块和执行模块。单独安装则允许指 定其中之一模块,或两模块都安装。
例如,X公司在美国拥有一个广域网络。WAN中大多数的网站通过帧中继连接,而在San Francisco和New York的两个节点各有互联网连接。此时就可能需要单独安装方式:在New York节点安装管理模块和执行模块;在San Francisco节点仅安装执行模块。这样可从中央 管理控制台控制这两台防火墙,且仅能连接到New York防火墙来同时更新防火墙规则集。
一定要确保在安装Firewall-1前选择正确的安装方式。如果选择了统一安装方式,则当试图 在多个执行模块中应用一个规则集时会产生错误!因此事前必须对网络的结构和互联网连接 方式有足够的了解。
在Linux安装防火墙模块之前(或刚安装完之后),应在Windows系统安装Firewall-1 GUI。 只需将光盘插入光盘驱动器中,根据自动运行的安装程序的指示操作即可。 如果安装程序没有自动启动,则可手工运行它。(位于光盘的\windows\CPMgmtClnt-41目录 下的SETUP.EXE程序。)
