CHECKPOINT作为软件防火墙,需要安装在NT, 2000或SUN的平台上, 以下的手册是指安装在NT的平台下的SINGLE GATEWAY的产品, 有三个区( 内部网, INTERNET, DMZ)
CHECKPOINT防火墙主要分为两大模块:
1.Management Module
2.VPN/Firewall Module
VPN-1/FIREWALL-1产品有:
1.Enterprise Security Console: 包括Management Module
2.Enterprise Center: 包括Enterprise Security Console, VPN/FW module.
3.VPN-1/FIREWALL-1 Network Security Center: 包括VPN-1/FW-1 Enterprise Center, Open Security Extension.
4.单一的GATEWAY: 包括Management Module, VPN/Firewall Module
(单一的GATEWAY, Management Module和VPN/Firewall Module必须装在一台机器上)
网络环境的设置:
至少需要有两个网段, 一个是内部网, 一个接公网, 一般来讲还有一个DMZ(非军事化区), 这样就有三个网段.DMZ区主要用于放你的INTERNET服务器, 如WWW, MAIL等.
CHECKPOINT 4.1安装前的准备
1. WINDOWS NT SERVER 4.0+SP6, 至少有两块网卡, 必须删除NETBEUI协议.
2. 停在不需要的服务.
3. 检查路由.
4. 在网络选项中,打开 “IP FORWARDING”, 启用IP FORWARDING, ( 利用CHECKPOINT来控制IP FORWARDING)
5. 在外部网卡上设置DNS(可选).
安装步骤
插入安装光盘。
1. .在 “The Welcome“窗口。
2. 选择 'Next'.
3. 在 'Licence Agreement“选择'Yes'.
4. 在 “Product Menu“ 选择 ”Server/Gateway components“.
5. 选择 'Next'.
6. 在“Server/Gateway components“的窗口选择”VPN-1/FireWall-1“和”Floodegate-1”
7. 选择“Next“
8.在“Setup Type“的窗口, 选择 “Stand Alone Installation”.
9. 选择“Next“, 在 “Information” 窗口, 选择 ”Next“.
10.“VPN-1/Firewall-1 Gateway/Server mode”的窗口,选择”VPN-1/Firewall-1 Gateway Module- Limited hosts ( 25-250 ), 选择 “Next”.
11. 选择“Install without Backward compatibility”, 选择“Next” - “Next”, 选择”OK”,
系统会自动安装CHECKPOINT SP2.
12. 在安装“Client Managent” 时,选择安装所有组件。
13.系统会自动安装“Floodegate-1”和SP2.
14. 在“Question”提示时,选择”NO”.
15. 在”Licensed”窗口中,添加一个“License”.
16. 在“Administrators”窗口中,至少添加一个管理员。
17. 配置公网IP
18. 在”GUI CLIENTS”的窗口中,添加远端管理机器的IP.
19.输入连接INTERNET的网卡的名字,可从“IPCONFIG /ALL”中得到信息。
20.在“IP FORWARDING”的窗口中,选择“Control IP Forwarding”.
21.根据提示,输入不同的字符直至完成。
22.重新启动机器
LICENSE的安装
1 . 进入http://license.checkpoint.com
2. 选择“Permanent and Evaluation License”.
3. 填入用户信息和“Certificate Key”, 根据提示完成申请。会得到如下的信息。
Expiration Date: 01Apr2001
Host ID: xx.xx.xx.xx
Features: cpsuite-aeal-des-v41 cprs:4.1:rs5
License String: aTKRhsYJ3-fp2yX5Hug-XCenB3wqp-X4ac7X3Wu (Validation
code: LcKbi)
4. 在防火墙的机器上,进入”CHECK POINT CONFIGURATION TOOL”, 在“LICENSE”的菜单中,选择添加,填入上面的信息。系统会自动重启防火墙的服务。
配置CHECKPOINT
1. 打开“CHECKPOINT POLICY EDITOR”
2. 输入管理员名和口令。
3. 定义防火墙,从菜单中选择“MANAGE”-”NETWORK OBJECTS”,选择”NEW”-
“WORKSTATION”, 输入防火墙的NETBIOS名,输入防火墙公网的IP, 选择“GATEWAY”,选择安装了“VPN-1/FIRWALL-1”和”FLOODGATE-1”.
4. 在“WORKSTATION PROPERTIES”中,进入”INTERFACES”菜单,分别加入三块网卡的“NAME”,”IP”,”MASK”, 可用”IPCONFIG /ALL”获得以上信息。
5. 定义内部网和DMZ区,从菜单中选择“MANAGE”-”NETWORK OBJECTS”,选择”NEW”-“NETWORK”, 输入内部网名称,IP (输入网段,如192.168.0.0 ),输入MASK. 选择“NAT”菜单,选择”Add Automatic Address Translation Rules”,在“Translation Method”中,选择”Hide “, 在“Hiding IP address”中,输入防火墙的公网的IP, xx.xx.xx.xx
6. 参照5,定义DMZ区。
定义安全策略。
具体的配置,可使用GUI的客户端来查看。
1. 打开“CHECKPOINT POLICY EDITOR”
2. 添加“Stealth Rule”, 目的不允许任何机器访问防火墙。
3. 定义内部网访问策略.
定义NAT
如邮件服务器在DMZ区,IP 地址为192.167.0.2, 为了使用和保护邮件服务器,需要进行NAT转换。具体步骤如下:
1. 定义邮件服务器,定义防火墙,打开“CHECKPOINT POLICY EDITOR”,从菜单中选择“MANAGE”-”NETWORK OBJECTS”,选择”NEW”-“WORKSTATION”, 输入邮件服务器的NETBIOS名,输入邮件服务器IP, 192.167.0.2
2. 定义NAT, 选择“NAT”菜单,选择”Add Automatic Address Translation Rules”,
在“Translation Method”中,选择”STATIC “, 在“Valid IP address”中,输入邮件服务器的公网IP, xx.xx.xx.xx
3. 修改LOCAL.ARP, 进入C:\WINNT\FW1\4.1\STATE\, 编辑LOCAL.ARP, 加入邮件服务器的公网IP对应于防火墙外部网卡的MAC地址. 重启防火墙的服务。
4. 在防火墙上中增加路由表,route add xx.xx.xx.xx mask 255.255.255.255 192.167.0.2
5. 一般在防火墙前面有个前端路由器, 你如果在对WEB SERVER或MAIL SERVER做静态NAT后, 最好将前端路由器的ARP CACHE清除, 然后在前端路由器上, PING你的NAT的地址,再用SH IP ARP来看看, MAC地址是不是对应于防火墙外部网卡的地址.
ANTI-SPOOFING的设置
CHECKPOINT 使用ANTI-SPOOFING来防止IP欺骗, 但是在配置防火墙的INTERFACE时要注意:
可分为以下几种情况:
1. 只有两个网段, 一个内部网, 一个公网, 没有WEB等服务器需要做静态的NAT.
选中防火墙的OBJECT属性, 选择"INTERFACE" , 选择"有效地址",
在防火墙内部网卡上选择"THIS NET", 在防火墙外部网卡上选择" OTHERS"
2. 有两个网段, 一个内部网, 一个公网, 有WEB等服务器需要做静态的NAT.
使用GROUP 来解决,
1. 定义一个组.
2. 将内部网和你WEB服务器NAT后的地址( 即公网地址) 加入此组中.
3 . 在内部网INTERFACE 上不选"THIS NET" 选择"Specfic", 选择你建的组.
4. 在防火墙外部网卡的INTERFACE上, 选择"OTHERS"
