CheckPoint防火墙操作手册

《CheckPoint防火墙操作手册》由会员分享，可在线阅读，更多相关《CheckPoint防火墙操作手册（14页珍藏版）》请在金锄头文库上搜索。

1、 CheckPointCheckPoint 防火操作手册防火操作手册 1 配置主机对象 定义防火墙策略时，如需对 IP 地址进行安全策略控制则需首先配置这个对象，下面 介 绍主机对象配置步骤， 在 “Network Objects” 图标处， 选择 “Nodes” 属性上点击右键， 选择 “Node”， 点击“Host”选项， 定义主机对象的名称，IP Address 属性，同时可按照该主机的重要性定义颜色，配置完成后 点击 OK,主机对象创建完成。 项目 描述 General Properties 主机一般属性定义（必配） Topology 主机对象接口定义（选配） NAT 主机对象 NAT

2、 配置（选配） Advance 主机高级属性配置（选配） 2 配置网段对象 定义防火墙策略时， 如需对网段进行安全策略控制则需首先配置这个网络对象， 配置步 骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项， 定义网段名称，比如 DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩 码，如有必要可以添加注释（Comment） ，配置完成后点击确认。 项目 描述 General 网段一般属性定义（必配） NAT 网段对象 NAT 配置（选配） 3 配置网络组对象 如果需要针对单个 IP 地址、 IP 地址范围或者整个网段进行安全策略控制， 可以将

3、这 些 对象添加到网络组， 如下在防火墙 “Group” 属性上点击右键， 选择 “Simple Group” 选项， 项目 描述 Simple Group 一般组对象定义 Group With Exclusion 排除组中特例对象定义 如下图从左面的“Not in Group”对象中选择需要添加到“In Group”对象中，配置完 成后 点击 OK 即可 4 配置地址范围对象 除了配置 IP 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是， 如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项， 让 IP

4、 Range 配置属性显示出来。 配置“Address Rage” ，选择“Address Ranges” ，如下图 输入地址名称、起始 IP 地址与结束 IP 地址，完成后点击 OK 即可。 5 5 配置服配置服务务对对象象 5.1 配置 TCP 服务对象 Check Point 防火墙内置了预定义的近千种服务， 包括 TCP、 UDP、 RPC、 ICMP 等各种 类 型服务， 通常在定义防火墙安全策略时， 大多数服务已经识别并内置， 因此无需额外添加， 但 也有很多企业自有开发程序使用特殊端口需要自行定义， 下面介绍如何自定义服务， 如下 图 所示，点击第二个模块标签，即 Service

5、s，已经预定义多种类型服务，用户根据需要自定 义 新的服务类型，下面举例定义 TCP 类型服务，右键点击“TCP”，选择“New TCP 如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围 以上举例新建 TCP 协议的端口服务， 如需定义 UDP 协议或其他协议类型按照同样流程操作 即可。 5.2 配置 UDP 服务对象 如下图所示，点击第二个模块标签，即 Services，已经预定义多种类型服务，用户根据 需要自定义新的服务类型，下面举例定义 UDP 类型服务，右键点击“UDP”，选择“New UDP”， 如下图， 可以点以单个 UDP 服务端口服务对象， 如果是一

6、段端口， 可以定义端口范围。如果 有其他特殊协议类型需要定义， 如 RPC、 ICMP 等， 配置方式与 TCP 和 UDP 服务端口 定义 类似。 5.3 防火墙策略配置 防火墙配置界面如图所示： 在 SmartDashboard 上面，如需从导航条中选择添加策略，则点击“Rules”， 项目 Bottom 在 rule base 最下面添加策略 Top 在 rule base 最上面添加策略 Below 在当前高亮显示策略之下添加策略 Above 在当前高亮显示策略之上添加策略 在SmartDashboard上面，也有添加规则的快捷按钮，将鼠标停留在快捷按钮上会有提示。在 下面标签中，“F

7、irewall”是定义防火墙策略区域也称“Rulebase”或“规则库”，另外还 有其他标签分别是配置不同模块功能的区域，如下图所示： 项目 描述 Firewall 定义安全策略 NAT 定义 NAT 策略 IPS 配置 IPS 软件刀片 Application Control 配置应用控制软件刀片 Anti-Spam & Mail 配置垃圾邮件过滤软件刀片 Mobile Access 配置移动客户端 VPN 访问软件刀片 DLP 配置数据防泄密软件刀片 Anti-Virus & URL Filtering 配置防病毒和网址过滤软件刀片 IPSec VPN 配置 IPSec VPN 软件刀片

8、QOS 配置流量控制刀片 Desktop 配置移动客户端桌面安全策略 点击图中快捷按钮，在规则库中添加一条策略，然后点击下图中“”输入需要添加的地址或 者网段，分别包含“Source”，“Destination”，“VPN”，“Service”，“Action”等 属性。 项目 描述 Add Rule 在当前策略之上添加一条策略 Delete 删选选中的策略 Copy 复制选中的策略 Cut 剪切选中的策略 Paste 粘贴选中的策略 Rule Expiration 配置策略的有效期 Add Section Title 为策略添加主标题 Hide 隐藏选中的策略 Disable Rules 禁

9、用选中的策略 Select All 选中所策略 5.4 配置网络地址转换（配置网络地址转换（NAT） CheckPoint防火墙可以灵活的配置，Static NAT（基于一对一的静态NAT），Manual Nat（多端口对应一个地址端口NAT）,以及Hide NAT(地址隐藏在单个IP之后的NAT) 5.5 配置 Hide NAT Hide NAT配置通常是把需要保护的私有地址的网段隐藏在一个公网地址之后实现访问 Internet的功能需求， 内部私有地址可以隐藏在防火墙的公网之后访问Internet， 也可以是 隐藏在一个单独的地址之后访问Internet。 具体配置如下： 通常是内部网段要

10、通过防火墙访问到Internet， 因此我给需要访问Internet的网络对象 配置NAT， Hide在防火墙后面访问到互联网； 首先定义内部网段对象， 新建一个 “Network” 。 配置“Network”的名称，网络地址，子网掩码，然后点击“NAT”属性， 注意：点击“OK”之后，此时在NAT页的标签里会自动生成NAT的策略； 根据NAT策略的匹配顺序，第一条策略是该网段的互访不需要做NAT转换，会优先匹配，第二条策略是该网段访问到任何地方会自动以防火墙的地址访问出去。 内网网段的Hide NAT做好之后，还需要定义防火墙策略允许内网的访问。 5.6 配置 Static NAT Stat

11、ic NAT的配置即一对一的NAT配置，比如发布DMZ区域服务器到Internet，或者其他内网发布到Internet的需求。 具体配置如下： 首先选择需要对外发布应用服务的“Node”主机对象，双击该对象，出现如下图所示界面，选择“NAT”属性， 点击“NAT”选项，弹出如下页面， 项目 Add Automatic Address Translation rules 勾选此项，对该网段启用 NAT Translation method 网络地址转换的方式，选择 Static Translate to IP Address 配置该对象 NAT 后的地址 Install on Gateway 该

12、对象的 NAT 策略在哪个防火墙执行 如果是内网服务器对外发布应用端口，则需要在配置完成 NAT 后，再添加安全策略，如 下“Any”访问到“Web-Server”的“http”服务都“Accept”并且记录“log”。 5.7 配置 Manual NAT 配置手工(Manual)NAT 通常是在公网 IP 地址不够或者其他原因的前提下使用， 比如只有一个公网地址，并且配置在防火墙的外网口，但企业内部多个服务器需要对 Internet 分别 发布 HTTP 或者 FTP 服务。 因此我们分别将防火墙公网 IP 的 HTTP 80 端口，FTP 21 端口分别映射给内网 主机 A 和主机 B，具体手工 NAT 策略的配置如下，首先配置防火墙外网口地址为一 个主机对象， 命名为“FW-Ext-IP”,然后在“NAT”规则库中手工添加如下 NAT 策 略。 如上图所示，手工NAT配置就完成，然后在“Firewall”规则库中定义防火墙安全策 略允许外网访问即可。