分享
 
 
 

Checkpoint的安装流程

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

·安装流程:

Firewall-1提供的Check Point治理软件不能在Linux系统上运行。目前的版本仅支持 Windows NT、windows 2000和一些UNIX系统(例如Solaris)。因此,要使用Firewall-1, 需要另增一台计算机作为治理工作站。Firewall-1 for Solaris治理软件工作得并不好,所 以我个人推荐使用基于Windows NT或Windows 2000版本的治理软件。虽然Firewall-1治理软 件包含在同一张光盘上,但它必须与Firewall网关软件分开独立安装。

快速提示:我几乎对我所有的Red Hat Linux系统安装都使用kickstart build。kickstart 安装让我能够从一个包含了所有升级更新的Red Hat安装目录进行快速安装,而且不需要参 与到安装过程--所有安装问题的回答都已在kickstart的配置文件中了。关于kickstart的 更多信息请访问以下链接文档:

http://www.linux.com/howto/KickStart-HOWTO.Html

http://www.redhat.com/support/manuals/RHL-7-Manual/ref-guide/ch-kickstart2.html

通常说来,安装Firewall-1的Linux系统的分区需求如下:

* /(根分区),根分区包含了基本的系统结构。空间大约为100-200MB。

* swap(交换分区)。这应该和系统内存大小差不多。

* 建议设置独立的/usr分区。/usr是Red Hat Linux系统安装大多数应用程序的目录。为 /usr分区大约需预留1GB的空间。

* 设置独立的/var分区也有一定帮助。大多数的动态数据,例如spool文件、日志文件等, 都存放在这里。但是在Linux系统中安装Firewall-1时,Firewall-1的日志文件是存放到 /opt,而不是/var目录下。因此为/var分区预留200MB或稍大一些的空间就基本足够了。

* 由于Firewall-1缺省被安装到/opt目录下。该目录包含了Firewall-1软件程序、配置文件 和日志文件等。对于Firewall-1机器,应为其分配尽可能大的分区。

假如是从CD(或其它手工安装方式)安装系统,则以上所有分区都能够手工创建。我测试安 装Firewall-1系统时用的kickstart配置文件(ks.cfg)文件中定义了如下分区:

part / --size 200

part swap --size 128

part /usr --size 1000

part /var --size 200

part /opt --size 1

--grow 注重在定义/opt分区时"--grow"参数的使用,它使该分区使用磁盘的所有剩余空间。

安装Firewall-1前做一下配置:

* 编辑/etc/inetd.conf文件,禁用所有不需要的服务。通常我是把该文件中所有的服务都 禁用。对于telnet,可用OpenSSH替代。

* 运行ntsysv关闭任何不需要的服务。非凡地,Firewall-1系统不应该运行大多数的标准服 务。例如我把除了crond、network、random、sshd和syslog以外的其它服务都关闭了。

* 重启系统,运行"netstat -a"命令查看该机器还打开了什么端口。假如发现你不期望或不 清楚的开放端口,就应该仔细分析研究了。

* 确保所有网卡都被安装且正常工作(可使用"netconf"程序),和路由表设置正确。在这 里,通常可以通过"ping"命令来确保系统的网络功能正常。这样使后面可能的问题调试更加 简单些。

安装Firewall-1

cd /cdrom/cdrom0

./InstallU

* 读取和接受许可协议。

* 选择安装方式。可选项为(1) VPN-1 & FireWall-1 Stand Alone Installation(统一安 装)和 (2) VPN-1 & FireWall-1 Distributed Installation(单独安装)。对于单一型 的防火墙,应该选择选项(1)。假如采用分布式防火墙并由防火墙治理控制台治理,可以 选择选项(2)。请确保你拥有足够的Firewall-1许可证!

* 选择一个Firewall-1模块。可选项为(1) VPN-1 & FireWall-1 - Limited hosts (25, 50, 100, 250)、(2) VPN-1 & FireWall-1 - Unlimited hosts 和 (3) VPN-1 & FireWall-1 - SecureServer。假如你有无限制IP地址的许可证,应该选择选项(2)。假如 你的许可证是有IP地址限制的,请选择选项(1)。

* Do you wish to start VPN-1 & FireWall-1 automatically from /etc/rc.d/rc3.d and /etc/rc.d/rc5.d (y/n) [y] ? 此处应回答y(yes)。 * 配置许可证。不要在这里增加任何许可证,而应该使用"fw putlic"命令。 * 设置系统治理员。在这里应该增加至少一名系统治理员(例如"fwadmin"用户)及其口 令。另外应该为该系统治理员赋予写("W")权限。

* 配置GUI客户。在这里应该增加至少一个GUI客户,即Firewall-1治理工作站的IP地址。

* 配置SMTP服务顺。Firewall-1提供发送报警电子邮件的功能。假如希望使用该功能,就需 要在这里进行相应配置。

* 配置SNMP extension。出于安全方面的考虑,不推荐在Firewall-1激活SNMP extension。 然而在可治理网络环境中也许需要该功能支持。

* 配置用户组。它答应设置除root外该组中的用户能够启动或停止Firewall-1软件。不推荐。

* 配置IP转发。它答应在启动时禁止IP转发选项。推荐使用该选项。

* 配置缺省过滤器。它答应在启动时使Firewall安装缺省的过滤器。建议选择(N),因为该 功能似乎会对网络堆栈的正常工作有影响。

* 配置随机数池(Random Pool)。Firewall-1使用在这里输入的随机字符串来对随机数池进 行初始化。

* 启动Firewall-1。此时可能会出现一条错误消息:“FW-1: only 25 internal hosts allowed”,因为此时还未安装Firewall-1许可证。

在Firewall-1安装后,应该执行如下任务:

* 马上退出登录并再次登录。Firewall-1的安装程序会在/etc/profile.d中安装一些额外的 脚本,以使缺省路径中包含Firewall-1可执行程序(/etc/fw/bin)的路径。退出登录并 再次登录就能正确设置缺省路径了。

* 安装Firewall-1许可证。使用Firewall-1许可证书电子邮件中的命令。

* 登录到治理工作站上,安装Check Point治理客户,运行策略编辑器,然后连接到防火墙。

* 创建网络对象和规则!

Firewall-1具有从单个治理模块控制多台防火墙的功能。在讨论之前,先解释几个概念:

* 治理工作站。这是运行Check Point治理软件的Windows NT或Windows 2000工作站。它允 许用户浏览、编辑和删除防火墙规则,和与Firewall-1治理模块通讯。

* Firewall-1治理模块。这是一个运行在一台或多台Firewall-1系统中的"fwm"守护进程。 它接受来自治理工作站的连接,接受规则的更新,和在一个或多个执行模块中进行分发。

* 执行模块。这是用于执行规则集的"fwd"守护进程和"fwmod.2.2.x"内核模块。它运行于互 联网网关上。

通常都是在同一台机器(互联网网关)上运行Firewall-1治理模块(fwm)和执行模块。然而 这却不是必须的,非凡在有多台互联网网关,或者多个信任网络之间的多台网关的情况下。

在安装过程中会提示两种安装方式,它们是:

* VPN-1 & FireWall-1 Stand Alone Installation(统一安装)

* VPN-1 & FireWall-1 Distributed Installation(单独安装)

Firewall-1统一安装方式在同一台机器上统一安装治理模块和执行模块。单独安装则答应指 定其中之一模块,或两模块都安装。

例如,X公司在美国拥有一个广域网络。WAN中大多数的网站通过帧中继连接,而在San Francisco和New York的两个节点各有互联网连接。此时就可能需要单独安装方式:在New York节点安装治理模块和执行模块;在San Francisco节点仅安装执行模块。这样可从中心 治理控制台控制这两台防火墙,且仅能连接到New York防火墙来同时更新防火墙规则集。

一定要确保在安装Firewall-1前选择正确的安装方式。假如选择了统一安装方式,则当试图 在多个执行模块中应用一个规则集时会产生错误!因此事前必须对网络的结构和互联网连接 方式有足够的了解。

在Linux安装防火墙模块之前(或刚安装完之后),应在Windows系统安装Firewall-1 GUI。 只需将光盘插入光盘驱动器中,根据自动运行的安装程序的指示操作即可。 假如安装程序没有自动启动,则可手工运行它。(位于光盘的\windows\CPMgmtClnt-41目录 下的SETUP.EXE程序。)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有