[计算机硬件及网络]checkpoint 防火墙基本操作及应急措施

《[计算机硬件及网络]checkpoint 防火墙基本操作及应急措施》由会员分享，可在线阅读，更多相关《[计算机硬件及网络]checkpoint 防火墙基本操作及应急措施（82页珍藏版）》请在金锄头文库上搜索。

1、防火墙基本操作及应急措施,陈世雄 安全工程师 CCSE,议程,智能边界安全解决方案 CheckPoint 配置基础 常见问题及应急措施,Check Point 简介,最受信赖、最可依靠的互联网安全厂商 我们致力发展安全领域并且比任何厂商更优秀! 全球财富100企业中，100%企业使用我们的产品 在防火墙和虚拟专用网络（VPN）市场中占有领导地位 在全球 VPN/防火墙软件市场销售额中占70%份额（Infonetics提供数据） VPN/防火墙软件市场占有率超过 54% （IDC提供数据） 安全硬件设备市场份额中有 36% 为 Check Point 产品（由 Infonetics 提供） 以客

2、为本的企业原则 业界领先的技术合作伙伴关系 强大且广泛的渠道合作伙伴关系,应用智能,2003,Check Point: 一直走在客户现实需求的前面,创新历程,Web智能,2004,我们的策略,2004上半年提供! 安全远程访问 Web 服务器保护 统一认证 一致性策略管理,市场领先 十年的成功史 最新发布 - InterSpect 2.0 Connectra 2.0 Intergrity 6.0,Check Point InterSpect Zone Labs,SMART 管理,无忧保护,深入检查,智能 安全解决方案,智能边界安全解决方案,边界安全挑战,边界的安全,攻击保护 分支机构之间的安全

3、联接 远程员工的安全访问 能够控制的Internet访问,攻击保护 必须能针对网络层和应用层的攻击 必须能防范已知的和未知的攻击,分支机构之间的安全联接 高效地管理 应用策略的一致性 大规模地VPN部署,远程员工的安全访问 容易部署和配置 客户端保护（即使不在办公室）,能够控制Internet访问 灵活地认证 对新应用的支持,PERIMETER,防火墙的基本功能,访问控制 认证（可采用OPSEC智能卡：用来存储证书或用户名及密码） 地址转换（多对一和一对一方式） 内容的安全保护 QoS带宽管理,Example FireWall-1 Security Policy,多层安全网关,同时集成网络和应

4、用层的功能 提供全面的攻击防护和网络安全,PERIMETER,控制对Internet网络资源的访问,RPC,P2P,基于高性能的状态监测，我们支持超过150多种应用 。,ICMP,DNS,CIFS,H.323,SIP,SOAP,IPSEC,MGCP,GTP,TCP序列,PERIMETER,BitTorrent,Skype,重要的应用暴露,Web 服务器,邮件服务器,FTP 服务器,VoIP 网关,DNS,Peer-to-Peer,黑客,拒绝为合法用户服务 ( DoS 攻击) 获取管理员权限访问服务器或客户端 访问后台数据库 安装木马软件以避开安全检查 在服务器上安装 “嗅探” 软件以捕获用户名

5、/口令,黑客目标,因特网,安全策略通常 “允许”这些通信,Microsoft 网络,PERIMETER,应用智能,Application Intelligence 是一组高级功能 被集成于Check Point FireWall-1 NG 和 SmartDefense中 检测和避免应用层的攻击,PERIMETER,CIFS 支持,需求: 支持 Microsoft 环境 通常的解释: “安全的访问共享驱动器” 好处 安全: 你的用户可能使用Microsoft网络（很大的安全漏洞），而没有你的知识。现在，你可以保护他们！ 生产力: 提供对内部共享驱动器的安全互联网访问，朝着真正的办公室家庭的工作模

6、式迈进了一大步 整体拥有成本（TCO）: 很少的用户需要笔记本电脑，因为他们可以通过他们的家用PC访问办公室的文件 控制: 管理用户访问共享文件和打印资源,需求: 保护新的 P2P 应用，如 Kazaa, 即时通信等等 好处 安全: 这些应用是一个很大的安全隐患，现在我们可以保护它们 控制: 允许你想要的服务的使用 (Web browsing), 拒绝你不想要的 (P2P),Peer-to-Peer 应用,攻击防护 的集中控制,从日志中 得到攻击的证据,实时 攻击信息,响应，警告 和配置跟踪,攻击防护 SmartDefense,PERIMETER,“无忧”保护获得最大安心,防护各种已知和未知的

7、攻击，让您安心 不仅针对网络层攻击，而且更需要防护应用层攻击,无忧保护,VPN解决方案边界数据私密性传输,利用Internet安全连接多个分支机构 减少对frame relay 和租用线路的依靠,公司总部站点,Internet,分支机构站点,PERIMETER,远程访问 VPNs,提供通过Internet访问公司网络内部资源的方法 降低了长途、大型Modem Pool和技术支持的费用 VPN-1 SecureClient 提供桌面安全配置和基于策略的访问控制,公司总部站点,Internet,远程或移动用户 提供个人防火墙保护,PERIMETER,Check Point VPN-1 网关部署场景

8、,互联网,公司总部,VPN-1 Pro 和 SmartCenter或Provider-1,VPN-1 Edge,VPN-1 Express,中型地区场点,远程场点,主和备VPN-1 Edge,PERIMETER,保护边界的安全解决方案,挑战:,Check Point Enterprise 边界VPN/安全解决方案，保护企业网络和应用以及远程联接 Check Point SmartDefense 业界唯一的主动攻击保护解决方案，针对已知的和未知的网络层和应用层攻击 Check Point Express 专为中型企业定制的解决方案。强健的安全、远程的访问及中央基于策略的管理 VPN-1 Edge

9、 针对远程分支机构的安全联接，专为大规模VPN分支部署而设计 SafeOffice 专为小型企业定制的成本高效的安全专用设备 SecureClient - 中央管理的VPN客户端及个人防火墙解决方案,攻击保护 网络层和应用层保护 抵御已知的和未知的攻击 分支机构之间安全联接 高效管理 应用策略的一致性 大规模VPN部署 远程员工安全访问 容易部署和配置 客户端保护 即使不在办公室 能够控制的Internet访问 灵活地认证 对新应用的支持,Check Point 解决方案:,PERIMETER,CheckPoint 配置基础,使用SmartDashboard配置防火墙,登陆防火墙,使用Smar

10、tDashboard配置防火墙,SmartDashboard 界面,使用SmartDashboard配置防火墙,配置防火墙属性,使用SmartDashboard配置防火墙,配置防火墙属性 配置网卡,使用SmartDashboard配置防火墙,配置防火墙属性 配置日志,使用SmartDashboard配置防火墙,新建防火墙模块,使用SmartDashboard配置防火墙,新建防火墙模块 输入名称、IP， 建立SIC安全通信,使用SmartDashboard配置防火墙,至少建两个防火墙模块后， 建防火墙集群,使用SmartDashboard配置防火墙,建防火墙集群 把防火墙加入 到集群中,使用Sm

11、artDashboard配置防火墙,建防火墙集群,使用SmartDashboard配置防火墙,建防火墙集群,使用SmartDashboard配置防火墙,建防火墙集群 集群工作方式， 是HA，还是 Load Sharing,使用SmartDashboard配置防火墙,建防火墙集群 建同步网络，使多台防火墙之间同步状态信息,使用SmartDashboard配置防火墙,建防火墙集群 编辑集群网卡,使用SmartDashboard配置防火墙,建防火墙集群 集群网卡Anti-Spoofing配置,使用SmartDashboard配置防火墙,建防火墙集群 日志设定,使用SmartDashboard配置防火

12、墙,建主机对象,使用SmartDashboard配置防火墙,建主机对象 对主机做 静态NAT,使用SmartDashboard配置防火墙,建网络对象,使用SmartDashboard配置防火墙,建网络对象 对网络对象 做动态NAT,使用SmartDashboard配置防火墙,添加安全规则,使用SmartDashboard配置防火墙,安装安全规则,使用SmartView Tracker,使用SmartView Status,使用SmartUpdate,常见问题及应急措施,典型故障现象一： 防火墙性能变慢，内网客户端访问外网速率降低,可能故障原因： 1）网络线路原因 2）防火墙负载过重或并发连接数

13、过大 3）防火墙或内网可能受到攻击,解决方案,查明网络可能出现的故障，例如：路由调整；线路干扰；端口大量发送不正常广播包等等 通过防火墙GUI界面系统状态查看器（SmartView Status）系统资源占用情况：,解决方案（续）,如果发现防火墙核心内存太少，以至于不能支撑更多的用户会话。防火墙核心缺省配置为支持25000个并发连接数，如果需要支持更大的并发连接数，请调整以下并发连接数、相应占用内存大小及防火墙状态连接表大小参数,解决方案（续）,如果怀疑受到攻击，请查看日志查看器SmartView Tracker,典型故障现象二：新制定的安全策略不能从管理服务器下发到防火墙模块上,可能故障原因

14、： 1）管理服务器和防火墙模块的系统时间是否同步或基本同步 2）网络不通 3）Check Point 内部通信（SIC：Secure Internal Communication）意外中断,解决方案,查看管理服务器和防火墙模块的系统时间是否同步或基本同步 由于防火墙模块可能有策略不让“ping”，因此测试网络通断需要从防火墙模块对管理服务器进行“ping”测试，查看是否连通，如果不同，请查看网络故障 查看SIC是否通信正常,典型故障现象三：日志查看器不能正常打开，系统始终处于等待和连接日志服务器状态,可能故障原因：硬盘资源不够，日志需要进行转移 解决方案： 在管理服务器上停止防火墙服务：cps

15、top 将$FWDIR/log（C:winntfw15.0nglog）下的fw*.log等占用空间特别大的文件删除 在管理服务器上启动防火墙服务：cpstart 选择“开始”“程序”“Check Point SmartConsole R55 ”“SmartView Tracker”登录日志服务器即可,典型故障现象四：防火墙管理服务器如何备份,可能出现的现象： 以前的安全策略及创建的对象意外删除 防火墙管理服务器系统某些原因导致Crash或无法正常工作,解决方案,在每次修改过任何安全策略或对象后，进行存盘：选择”File”Save” 在每次修改过任何安全策略或对象后，进行对象和安全策略数据库存储

16、备份： 为当前对象及策略数据库创建一个备份映像：,解决方案（续）,当日后需要将管理服务器环境恢复到以前的某个版本时，请在以下界面中先选择该备份对象，然后选择”Store Version”即可恢复： 在每次对安全策略或对象进行过较大修改后，对管理服务器的核心系统配置进行备份。,解决方案（续）,通过Upgrade tools进行备份CheckPoint 设置 以管理员身份登陆系统，在命令行下： 1，# cd $FWDIR/bin/upgrade_tools/ (在Unix,Liunx系统下) C: cd %FWDIR% : cd bin/upgrade_tools/ (在Windows 系统下) 2，# upgrade_export 如： #upgrade_export r55backup.tgz