Checkpoint防火墙安全配置手册V

精品文档---下载后可任意编辑 安全配置手册 Version 1.1 XX公司 二零一五年一月 精品文档---下载后可任意编辑 目录 1综述5 2Checkpoint的几种典型配置6 2.1checkpoint 初始化配置过程：6 2.2Checkpoint Firewall-1 GUI安装13 2.3Checkpoint NG的对象定义和策略配置18 3Checkpoint防火墙自身加固34 1 综述 本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全法律规范》。 2 Checkpoint的几种典型配置 2.1 checkpoint 初始化配置过程： 在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint的配置。如下图所示，SSH连接到防火墙，在命令行中输入以下命令： IP350[admin]# cpconfig Welcome to Check Point Configuration Program ================================================= Please read the following license agreement. Hit ENTER to continue. （显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息） Do you accept all the terms of this license agreement (y/n) ?y （输入y同意该版权声明） Which Module would you like to install ? ------------------------------------------- (1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module (2) VPN-1 & FireWall-1 Enforcement Module (3) VPN-1 & FireWall-1 Enterprise Primary Management Checkpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块： GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上； Management：存储为防火墙定义的各种安全策略和对象； Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载； 以上三个选项中假如Management与Enforcement Module安装于同一台设备上，则选择（1），假如Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。在此处我们选择（1） Enter your selection (1-3/a-abort) [1]:1 IP forwarding disabled Hardening OS Security: IP forwarding will be disabled during boot. Generating default filter Default Filter installed Hardening OS Security: Default Filter will be applied during boot. This program will guide you through several steps where you will define your Check Point products configuration. At any later time, you can reconfigure these parameters by running cpconfig Configuring Licenses. ======================= Host Expiration Features Note: The recommended way of managing licenses is using SecureUpdate. This window can be used to manage local licenses only on this machine. Do you want to add licenses (y/n) [y] ? n （询问用户是否需要安装Checkpoint License，可以在此时输入，也可在安装完毕时用命令行方式输入，因为使用命令行方式输入较为方便，建议用户在安装完毕后使用copy -> paste的方式输入License。在此处我们选择n） Configuring Administrators. ============================= No Check Point Administrators are currently defined for this Management Station. Administrator name: fwadmin (配置Checkpoint Firewall-1/VPN-1的管理员用户名，注意系统自身与Checkpoint的管理员不相同) Password: Verify Password: （设置管理员的密码，Checkpoint管理员密码没有长度的限制） Permissions for all Management Clients (Read/[W]rite All, [R]ead Only All, [C]us tomized) W （设置该管理员的用户权限，有三种权限，写权限W，读权限R，自定义权限C，在此处选择W，给予管理员最大的权限） Administrator fwadmin was added successfully and has Read/Write permission to all management clients Add another one (y/n) [n] ? （提示是否还加入其它用户） Configuring GUI clients. ========================== GUI clients are trusted hosts from which Administrators are allowed to log on to this Man