大綱
一、 首先明确兩個概念
二、 VPN/FW Moudule 或者 Managerment Server 在 WINDOWS上安裝的最小需求
三、 GUI Client在 WINDOWS上安裝的最小需求
四、 安裝之前的準備工作
五、 安裝軟體總過程
六、 配置防火牆總過程
七、 具體安裝過程
八、 安裝Licenses
九、 啟動GUI ,定義網絡對象
十、 定義安全政策(Rule Base)
十一、 定義NAT
十二、 建立一個管理者帳号 Administrator
十三、 建立一個GUI Cilent
十四、 Key Hit Session
十五、 Certificate Authority
十六、 Fingerprint(指紋)
十七、 高可用性HA(High Availability)
一、 首先明确兩個概念:
1、 VPN/FW Moudule;
部署在網關上,其安全政策在 Managerment Server 上建立并編譯後下載下傳到Moudule上執行。它可以安裝在多種硬體平台上。它包括兩部分:一、檢測子產品:根據安全政策對所有通過它的通訊進行檢測。二、安全伺服器:提供認證和應用層的内容安全。
2、 Managerment Server:
在Policy Editor GUI上定義的安全政策,最後儲存在Managerment Server上。它的主要工作是維護CHECK POINT 資料庫,包括:定義的網絡對象,定義的使用者,LOG檔案等。
二、 VPN/FW Moudule 或者 Managerment Server 在 WINDOWS上安裝的最小需求:
1、 作業系統:NT 、WIN2000
2、 CPU:PII300以上
3、 硬碟剩餘空間:40M
4、 記憶體:128M
三、 GUI Client在 WINDOWS上安裝的最小需求:
1、 作業系統:WIN9X、WIN ME、WIN NT4+SP6、WIN2000professional
2、 硬碟剩餘空間:40M
3、 記憶體:128M
四、 安裝之前的準備工作
1、 在安裝 VPN-1/FW-1的計算機去掉不需要的服務,例如:NETBEUI、FTP、HTTP server
2、 保證内網、外網、DMZ區都能互通(ping)
3、 關閉WINDOWS上的 IP Forwding,該功能由VPN-1/FW-1來控制。
4、 驗證DNS:在内網浏覽一個外部知名網站,能通路即可。
5、 定義IP位址:記下準備配置設定給計算機各網卡的IP位址備用。(在計算機的DOS狀态下鍵入 config /all,即可顯示各網卡的IP位址)
6、 确認網關計算機名與外網卡的IP位址相對應(可以檢視計算機/system32/drivers/etc/lmhost.asm)目的是為了確定在把網關定義為一個網絡對象時(見二、1、)通過點選 get address 時,可以自動獲得IP位址,如果不能擷取,IKE加密過程會不正常。
7、 決定在那台計算機上下列安裝軟體(module、management server、GUI),如果是安裝單網關産品,module、management server、GUI可以安裝在同一台計算機上,當然GUI也可以安裝在另一台計算機上進行遠端控制。
8、 确認計算機的作業系統軟體版本和平台與VPN/FW元件相對應
9、 如果安裝前已經有VPN/FW在本機上運作,那麼,把他們退出運作(包括GUI)
五、 安裝軟體總過程
1、 在安裝軟體(module、management server)之前把計算機從網絡上斷開,安裝完畢再接入網絡中
2、 在網關裝置/計算機上安裝VPN/FW module
3、 在management server 上安裝VPN-1/FW-1
4、 在管理工作站上安裝GUI Client
5、 以上過程安裝完畢之後,把他們接入到網絡中去,并驗證他們與網絡的連通性。
6、 在management server 上定義 GUI主機
7、 在management server 上定義管理者帳号(具備管理安全政策的權限)
8、 把以上計算機連接配接到網絡中,并保證對網絡的連通性
六、 配置防火牆總過程
1、 啟動GUI Client 連接配接到management server
2、 建立安全政策
A、 定義網絡對象,
B、 定義添加GUI Client主機名、定義管理者并設定權限。
C、 定義組,并把使用者加入組
D、定義 Rule base (安全政策)
I、 外網使用者隻能通路DMZ區
II、 内網使用者可以通路 内網、外網、DMZ區
III、 管理者可以從任何IP位址TELNET登陸到DMZ區的(SMTP、WEB、FTP)伺服器
E、 定義NAT
F、 在本地驗證安全政策的正确性
G、把安全政策分發到安裝到VPN-1/FW-1 Moudule 的計算機上。
通過菜單 policy—》install
七、 具體安裝過程
1、 在WINDOWS中插入CD光牒會自動運作SETUP程式。
2、 在第一個畫面
for evaluation:當你僅需要作測試時點選該項,并且保證你手頭有評估用的臨時LIENCES
for purchased product:
NEXT: 當你手頭已經有正式LIENCES時,點選該按鈕
3、 在license agreement 頁面,選擇YES
4、 在Product Menu頁面,選擇你所購買的産品,一般選預設項,點選 NEXT
5、 在Server/Gateway Componentss頁面,選擇你所要安裝的具體子產品,點選NEXT
說明:
A、如果僅僅是在其他管理工作站上安裝CLIENT,那麼在以上頁面隻選中Management Client即可。
B、安裝過程自動安裝SVN Foundation ,SVN用于除GUI Client以外的所有NG産品。
6、 在VPN-1/FW-1 Enterprise Product 頁面選擇安裝在本機上的産品的類型。
Enterprise Primary Management 在第一台計算機上安裝 SERVER
Enterprise Secondary Management 在第二台計算機上安裝 SERVER
Enforcement Module & Primary Management 同時安裝SERVER 和 MODULE
Enforcement Module 隻安裝 MODULE
7、 在Backward Compatibility頁面,選擇是否支援向下相容:
Install with backward compatibility. 如果你需要管理 CP 4.1 Module
Install without backward compatibility.
8、 在Dynamically Assigned IP Address頁面,選擇是否使用動态配置設定IP位址?
9、 在Choose Destination頁面,顯示CP安裝的預設路徑,建議不要更改,否則以後還需要設定環境變量,很麻煩的。
10、 選擇Management Client 要安裝的具體内容,(無論用不用,最好都選中)
11、 安裝完畢,重新啟動計算機。
八、 安裝Licenses (GUI Cient不需要Licenses)
1、 擷取Licenses:所有CP産品都需要相應的Licenses來激活,GUI除外。
A、 如果你購買了正版的CP軟體,那麼在包裝上會有一個 Certificate Key,例如是:“CK0123456789ab”你可以通過它來擷取一個臨時Licenses,(有效期一個月),而後可以擷取永久Licenses,具體辦法咨詢你的內建商。
B、 如果你沒有購買正版的CP軟體,但是你想作測試,你也可以通過神州數位協調索取臨時Licenses做測試。
2、 安裝Licenses:
你必須有Licenses才能使用CP産品,如果沒有在安裝配置過程中輸入Licenses,你還可以按照下面的步驟安裝Licenses,Licenses應安裝在 Management server 和 Module上。
在cpconfig Licenses 頁面隻能管理本機(要集中管理多個Licenses隻能通過SecureUpdate)。在該頁面有3項内容需要設定:
IP Addreess: 本機外網卡的IP位址,在申請Licenses時送出的。
Expiration Date: Licenses的過期時間,如MAY 25,2002。
SKU/Feature: 例如:CPSUITE-EVAL-3DES-v50
Signature Key: 例如:SAFGGGEEF – SDFDSFDS – SDFSWER – SDFSERWT
手動填寫完畢,點選按鈕“Calculate”來計算你的輸入是否有誤。
安裝Licenses也可以通過直接從檔案(一般是EMAIL發來的TXT附件)中擷取,
九、 啟動GUI ,定義網絡對象
1、 啟動GUI,輸入你的使用者名,密碼,和伺服器名,進入Policy Editor界面。
2、 定義網絡對象的一些注意事項:
u 在CP資料庫中不需要定義Primary Management Server的對象。
u 一般地,在安全政策中沒有必要涉及Management Server。
u Management Server根據其資料庫中的定義,可以自動與其他CP Module之間建立加密通訊。
u 相反,你必須明确的定義所有安裝Module的計算機。
3、 在以下視窗中建立一個FWALL對象:
打開以上視窗有3種方式:
A、在菜單“Manage”中選擇“Network Objects”然後點選“NEW”
B、在對象工具條上點選圖示
C、網絡對象樹中點選圖表
4、 填寫FWALL對象的各項内容
A、NAME: 鍵入該計算機的HOSTNAME
B、 IP Address;鍵入外網卡IP位址,例如 192.168.3.1
C、 Cvomment: 對該對象加以注釋或描述
D、 TYPE類型: 選擇Gateway (如果是GUI可選擇HOST)
E、 CP Products Installed:選擇本機安裝的CP版本:這裡選擇“NG”
F、 Object Management
Managed by this Management Server(internal): 如本機同時安裝SERVER 和Module
Managed by another Management Server(internal): 與以上相反
G、 Communication按鈕:點選後出現:
輸入ONE-TIME 密碼,開始與Management Server進行第一次通訊,
H、 點選“Intitaliza”按鈕,此時,Management Server會加密發出簽名認證到FWALL上,用于建立Management Server與Module 之間的信任關系。
I、 如果傳回的Trust state是“Trust Establish”,則說明二者之間的信任關系已經建立。
J、 點選“CLOSE”
4、 添加一個接口(Interface)
在以下視窗中點選“Topology”
定義接口的最簡單的方法就是點選上圖中的“GetTopology”按鈕,可以直接擷取接口資訊。
祥見下圖:
當然,你也可以手動定義接口資訊:通過點選上圖中的“ADD”按鈕即可
然後輸入每個接口的NAME、IP 位址、子網路遮罩,是内網卡還是外網卡
最終的定義結果如下:
5、 定義内網(loaclnet)
定義該網絡的NAME、IP 位址、子網路遮罩,注釋内容,是否把廣播位址看作網絡的一部分
6、 定義DMZ區網絡
具體内容同上
7、 定義DMZ區中的WEB、FTP、MAIL SERVER (主機)
輸入該主機的 NAME、IP 位址、子網路遮罩,注釋内容,TYPE類型(選擇HOST)
不要選中“□CheckPoint product installed
8、 建立Users
在下圖中點選“ADD”,(預設隻顯示标準使用者的模闆,)
然後輸入該USER的使用者名,設定其認證方法為作業系統密碼。
十、 定義安全政策(Rule Base)
在定義完網絡對象和USER之後,就可以開始定義安全政策了。
點選工具欄中的
圖示,來添加一條政策了
1、預設的一套丢棄一切包的政策必須更改。
2、開始定義政策,以上的 SOURCE源裝置或位址、
DESTINATION、目的裝置或位址
SERVICE:服務
ACTION:對應的操作
TRACK:是否跟蹤
INSTALL ON:安裝位置
TIME:時間
以上所有内容都可以通過點選對應的位置來選擇對象
3、以下舉例說明:
第一條:任何裝置、位址對FWALL的通路都拒絕響應,并記錄下來,發送告警
第二條:内網可以通路除了FTP伺服器之外的所有位址或裝置。
第三條:内網對FTP伺服器的通路,隻開放了FTP服務,其他服務均被拒絕
第四條;所有網絡或位址均可通過SMTP協定通路EMAIL伺服器
第五條:所有網絡或位址均可通過HTTP協定通路WEB伺服器
第六條:Managers使用者組内的所有成員均可通過TELNET協定通路FTP伺服器,但是必須通過密碼認證。
第七條:除以上允許的政策外,其他所有通過FWALL的通訊都被拒絕。
注意:以上隻是個例子,絕對不可照搬!!!!
你必須根據你公司的網絡拓撲和實際需求情況制定自己的安全政策。
4、在本地驗證你的安全政策
5、驗證無誤,下發你的安全政策到相應的FWALL上去。
在“Policy”菜單上選擇“Install”來下發你的安全政策
十一、 定義NAT
1、有兩種方法可以進行IP位址轉換,
Hiding:把你所有的非法IP位址隐藏在合法位址之後,
優點:你仍使用你已有的有限的合法位址
缺點:外網不能建立與非法位址主機的連接配接。
Static;靜态轉換,在一一對應的基礎上實作非法位址與合法位址的轉換(對應)
優點:外網能建立與非法位址主機的連接配接。
缺點:需要太多的合法位址
2、定義過程
A、 定義一台主機(HOST)
B、 點選“NAT”标簽
C、 選中“∨Add Automatic Address Translation Rules”
D、設定“Hide”和“Static”NAT
|
十二、 建立一個管理者帳号 Administrator
1、 必須至少定義一個管理者,否則将無人能管理SERVER
2、 輸入NAME,密碼(至少四個字元,不能有空格)
3、 設定權限:主管理者最好選 Read/Write All,對于其他級别的管理者可以分别單獨設定其權限。
4、 對于并發會話(幾個管理者同時登陸)的處理
為防止幾個管理者同時修改一個安全政策,VPN/FW執行一個鎖定機制:即若幹管理者可以同時浏覽一個安全政策,但是隻能有一個有寫入的權限。
管理者獲得寫入權限的條件是:
A、 該管理者必須具有Read/Write All的權限
B、 同一時間内沒有其他管理者獲得 寫入的權限,如果你登陸時已經有人登陸進去,那麼系統會提示你是否願意退出登陸還是願意以隻讀的方式登陸。
當然,如果你願意,你也可以了直接以隻讀的方式登陸,在登陸界面選中“Read Only”即可。
十三、 建立一個GUI Cilent
1、 如果 management server 和 Module 安裝在同一台計算機上,就不再需要指定GUI主機名了。
2、 如果不指定其他GUI主機名,那麼,隻能在同一台計算機安裝的GUI上進行管理工作。
3、 在 GUI Client 頁面的 Rmote Hostname 欄中輸入以下五種格式的位址:
IP 位址: 例如:10.1.222.3
計算機名: 例如:CLIENTAAA
Any: 表示對CLIENT計算機沒有限制,但是必須在RULE BASE 中添 加明确的允許或禁止的主機的政策條目
IP1-IP2: 設定一個位址範圍,例如10.1.111.1-10.1.111.20 設定20台主機
Wild Card: 例如:10.1.33.* 或者 *.checkpoit.com
4、 注意:如果GUI 與 management server 之間的連接配接通過 Module,那麼,安全政策必須首先安裝在 Module上,保證新建立的 GUI 能串過Module 連接配接到management server 。
十四、 Key Hit Session
為生成一個随機加密關鍵字的 seeds,你需要任意輸入若幹字元,但是,鍵入每個字元應有幾秒的時間間隔,不要連續輸入同樣的兩個字元,字元輸入之間的延時盡量不同。
十五、 Certificate Authority
1、 該頁面用于安裝Internal Certificate Authority,并生成一個授權給Management Server的加密内部通訊Secure Internal Communication (SIC) ,SIC 認證用于對CP通訊元件之間的通訊進行授權。或者對CP通訊元件與OPSEC 應用程式之間的通訊的授權。
.
2、 該頁面用于對Primary Management Server 與本機(GUI)之間的一次連接配接(one-time link)通訊進行加密。Primary Management Server沿着這條鍊路把認證分發到本機上,一旦認證到達本機,那麼本機就可以與其他的CP通訊元件之間進行通訊。
3、 為了初始化一個Module 的通訊,在Policy Editor上輸入同樣的one-time密碼。
4、 在GUI Client上連接配接到Management Server,并打開Policy Editor,建立一個Module對象,設定一個NAME,和一個IP位址
5、 在General Propeties頁面,選擇 Check Point Gateway ,點選“Communication”
6、 輸入密碼。
7、 在進行下一步以前必須確定在Module上已經啟動 SVN Foundation服務和 VPN-1/FW-1 服務,并且保證 Module和Management Server能夠進行IP通訊
8、 點選“Intalize”按鈕,開始 Module 的初始化程序。此時,簽名認證被加密傳輸到Module上。
9、 Trust State欄會報告Module 的狀态:
在Management Server上的ICA(Internernal Certificate Authority)發出認證Certificate ,并且已發送到Module上之後,就算建立起了Trust State信任狀态
10、 如果Module 被初始化或者 RESET,那麼,cpconfig 中報告的Module的信任狀态将和 Policy Editor 中報告的不同。
11、 cpconfig 中報告的Module的信任狀态有以下三種:
A、 Uninitialized
—Module沒有被初始化,是以也就不能進行通訊,因為它沒有收到Management Server.上的ICA發來的認證certificate
B、 Initialized but trust not established
—在cpconfig中的Secure Internal Communication頁面顯示Module的這個狀态表示一次one-time密碼已經輸入,但是Module還沒有收到Management Server.上的ICA發來的認證certificate
C、 Trust established
—Module和 Management Server之間的認證已經建立,并且Module可以進行加密通訊。
十六、 Fingerprint(指紋)
1、 指紋是一個字元串,由Management Server的認證分發,用于校驗GUI 所連接配接的Management Server是不是真實身份。
2、 當你通過GUI 第一次連接配接到Management Server時,你應該比較一下該指紋内容和Policy Editor 中的指紋内容是否相同。
3、 如何用指紋來驗證Management Server的真實身份:
A、 在以上頁面,點選“Export to file”,來儲存成一個檔案。
B、 把這個檔案通過非網絡手段(例如,軟碟、優盤、電話、傳真)傳到GUI Client端,來比較驗證GUI所連接配接的Management Server是否真實的身份。
4、 在GUI Client端,當第一次連接配接到Management Server時,Management Server的指紋會顯示出來:
5、 確定剛才通過非網絡手段傳來的Management Server的指紋跟上圖顯示的一樣。
十七、 高可用性HA(High Availability)
1、 在下圖中指定這個網關是否是一個High Availability Gateway Cluster 的一個成員。