防火墙基本操作及应急措施陈世雄安全工程师
CCSE
议程
▪智能边界安全解决方案▪CheckPoint 配置基础▪常见问题及应急措施
Check Point 简介
▪最受信赖、最可依靠的互联网安全厂商
–我们致力发展安全领域——并且比任何厂商更优秀!
–全球财富100企业中，100%企业使用我们的产品
–在防火墙和虚拟专用网络（VPN）市场中占有领导
地位
•在全球 VPN/防火墙软件市场销售额中占70%份额
（Infonetics提供数据）
•VPN/防火墙软件市场占有率超过 54% （IDC提供数据）
•安全硬件设备市场份额中有 36% 为 Check Point 产品（由
Infonetics 提供）
▪以客为本的企业原则
–业界领先的技术合作伙伴关系
–强大且广泛的渠道合作伙伴关系
状态检测 /
FireWall-1
1993
OPSEC 1997 VPN-1
1998
Next Generation
2001 SmartDefense
2002 应用智能
2003 Check Point:
一直走在客户现实需求的前面
创新历程
1994 1995 1996
1999 2000
Web 智能
2004
我们的策略
2004上半年提供!
▪ 安全远程访问 ▪ Web 服务器保护
▪ 统一认证 ▪ 一致性策略管理
▪ 市场领先
▪ 十年的成功史 ▪ 最新发布
- InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0
▪ Check Point InterSpect ▪ Zone Labs
SMART 管理
无忧保护
边界
深入检查
智能 安全解决方案
智能边界安全解决方案
边界安全挑战
边界的安全
•攻击保护
•分支机构之间的安全联接
•远程员工的安全访问•能够控制的Internet 访问攻击保护
必须能针对网络层和应用层的攻击必须能防范已知的和未知的攻击
分支机构之间的安全联接
高效地管理
应用策略的一致性
大规模地VPN部署
远程员工的安全访问
容易部署和配置
客户端保护（即使不在办公室）
能够控制Internet访问
灵活地认证
对新应用的支持
PERIMETER
防火墙的基本功能
▪访问控制
▪认证（可采用OPSEC智能卡：用来存储证书或用户名及密码）
▪地址转换（多对一和一对一方式）
Example FireWall-1 Security Policy
▪内容的安全保护
▪QoS带宽管理
多层安全网关
PERIMETER
同时集成网络和应用层的功能
提供全面的攻击防护和网络安全
控制对Internet 网络资源的访问
RPC
P2P
ICMP
DNS
CIFS H.323 SIP
SOAP IPSEC MGCP
GTP TCP 序列 PERIMETER
BitTorrent
Skype
重要的应用暴露
Web 服务器
邮件服务器
FTP 服务器
VoIP 网关
DNS
Peer-to-Peer
黑客
•拒绝为合法用户服务 ( DoS 攻击) •获取管理员权限访问服务器或客户端 •访问后台数据库
•安装木马软件以避开安全检查
•
在服务器上安装 “嗅探” 软件以捕获用户名/口令
黑客目标
因特网
安全策略通常 “允许”这些通信
Microsoft 网络
PERIMETER
应用智能
Application Intelligence 是一组高级功能
– 被集成于Check Point FireWall-1 NG 和 SmartDefense 中 – 检测和避免应用层的攻击
验证是否遵循标准 ✓ 验证协议是否符合预期用法
✓ 阻止可疑数据 ✓ 控制应用的有害操作
✓
PERIMETER
CIFS 支持
–需求: 支持 Microsoft 环境
–通常的解释: “安全的访问共享驱动器”
–好处
•安全: 你的用户可能使用Microsoft网络（很大的安
全漏洞），而没有你的知识。

现在，你可以保护他
们！
•生产力: 提供对内部共享驱动器的安全互联网访问，
朝着真正的办公室—家庭的工作模式迈进了一大步
•整体拥有成本（TCO）: 很少的用户需要笔记本电
脑，因为他们可以通过他们的家用PC访问办公室的
文件
•控制: 管理用户访问共享文件和打印资源
Peer-to-Peer 应用–需求: 保护新的 P2P 应用，如 Kazaa, 即时通
信等等
–好处
•安全: 这些应用是一个
很大的安全隐患，现在
我们可以保护它们
•控制: 允许你想要的服
务的使用 (Web
browsing), 拒绝你不想
要的 (P2P)
攻击防护
的集中控制
从日志中
得到攻击的证据
实时
攻击信息响应，警告和配置跟踪
攻击防护— SmartDefense PERIMETER
“无忧”保护获得最大安心
无忧保护▪防护各种已知和未知的攻击，让您安心▪不仅针对网络层攻击，而且更需要防护应用层攻击
VPN解决方案—边界数据私密性传输
▪利用Internet安全连接多个分支机构
▪减少对frame relay 和租用线路的依靠
公司总部站点
Internet
分支机构站点
PERIMETER
远程访问 VPNs
▪提供通过Internet 访问公司网络内部资源的方法 ▪降低了长途、大型Modem Pool 和技术支持的费用
▪VPN-1 SecureClient 提供桌面安全配置和基于策略的访问控制
公司总部站点
Internet
远程或移动用户 提供个人防火墙保护
PERIMETER
Check Point VPN-1 网关部署场景
互联网公司总部
VPN-1 Pro和
SmartCenter或
Provider-1
VPN-1 Edge
VPN-1 Express
中型地区场点
远程场点
主和备VPN-1 Edge
PERIMETER
保护边界的安全解决方案
挑战:
•Check Point Enterprise
-边界VPN/安全解决方案，保护企业网络和应用以及远程联接
▪Check Point SmartDefense
-业界唯一的主动攻击保护解决方案，针对已知的和未知的网络层和应用层攻击
▪Check Point Express
-专为中型企业定制的解决方案。

强健的安全、远程的访问及中央基于策略的管理
•VPN-1 Edge
-针对远程分支机构的安全联接，专为大规模VPN 分支部署而设计 •Safe@Office
-专为小型企业定制的成本高效的安全专用设备 ▪SecureClient
- 中央管理的VPN 客户端及个人防火墙解决方案
• 攻击保护
•网络层和应用层保护 •抵御已知的和未知的攻击
• 分支机构之间安全联接
•高效管理
• 应用策略的一致性 • 大规模VPN 部署
• 远程员工安全访问
• 容易部署和配置
• 客户端保护 – 即使不在办公室
• 能够控制的Internet 访问
•灵活地认证
•对新应用的支持
Check Point 解决方案:
PERIMETER
CheckPoint 配置基础
登陆防火墙
SmartDashboard 界面
配置防火墙属性
配置防火墙属性配置网卡
配置防火墙属性配置日志
新建防火墙模块
新建防火墙模块输入名称、IP，建立SIC安全通信
至少建两个防火墙模块后，建防火墙集群
建防火墙集群把防火墙加入到集群中
建防火墙集群
建防火墙集群
建防火墙集群集群工作方式，是HA，还是Load Sharing
建防火墙集群建同步网络，使多台防火墙之间同步状态信息
建防火墙集群编辑集群网卡
建防火墙集群集群网卡Anti-Spoofing配置
建防火墙集群日志设定
建主机对象
建主机对象对主机做静态NAT
建网络对象
建网络对象对网络对象做动态NAT
添加安全规则
安装安全规则
使用SmartView Tracker
使用SmartView Status
使用SmartUpdate
常见问题及应急措施
典型故障现象一：
防火墙性能变慢，内网客户端访问外网速率降低
可能故障原因：
1）网络线路原因
2）防火墙负载过重或并发连接数过大
3）防火墙或内网可能受到攻击
解决方案
▪查明网络可能出现
的故障，例如：路
由调整；线路干扰；
端口大量发送不正
常广播包等等
▪通过防火墙GUI界
面—系统状态查看
器（SmartView
Status）系统资源占
用情况：
解决方案（续） 如果发现防火墙核心内存太少，以至于不
能支撑更多的用户会
话。

防火墙核心缺省
配置为支持25000个
并发连接数，如果需
要支持更大的并发连
接数，请调整以下并
发连接数、相应占用
内存大小及防火墙状
态连接表大小参数。