当前位置：文档之家› Check Point教程

Check Point教程

Check point防火墙基本操作手册CheckPoint(中国)TEL:(86)10 8419 3348 FAX:(86)10 8419 3399©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:目录目录 (2)防火墙架构 (3)防火墙的Web管理 (3)配置IP： (4)配置DNS和Host: (5)配置路由: (5)通过防火墙的管理客户端管理 (5)添加防火墙 (7)添加策略步骤 (10)IP节点添加 (10)添加网段 (11)IPS的配置 (13)更新IPS库 (14)新建IPS动作库 (14)应用控制 (16)更新数据库 (16)添加应用控制策略 (17)App Wike (18)自定义添加应用 (18)QOS配置 (20)Qos策略的添加 (20)日志工具的使用 (20)筛选日志 (21)临时拦截可以连接 (22)©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:防火墙架构Check point 防火墙的管理是通过一个三层架构来实现的。

首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。

具体实现过程见图示：防火墙的Web 管理首先打开Web 管理界面，出现登录界面：登陆后的界面设备的Web界面只能配置设备的IP地址，网关，DNS和路由。

还可以针对设备的事件，SNMP监控，代理等信息。

配置IP：©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:配置DNS 和Host:配置路由:通过防火墙的管理客户端管理打开管理客户端。

管理客户端的界面介绍。

SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用他来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

点击SmartDashboard后出现登录界面，如图：©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:这里输入用户名，密码，以及管理服务器的ip 地址。

点击ok 登录到配置界面。

第一个选项Demo Mode 是查看防火墙的演示界面。

点击Demo Mode 选择下拉列表框中的Advance 选项可以查看Check point 公司定义的各项配置演示。

Cetificate （证书）选项是替代管理员用户名和密码验证的一种选择，这个证书有管理服务器生成，用户自己保存在本地，需要用它验证时点击旁边的小方块，添加这个证书，然后选择管理服务器地址，然后点击ok 登录。

最下面的Read Only 选项是以只读方式登录防火墙。

没有改配置的权限。

注意：防火墙一次只可以容许一个用户以管理员身份登录，可以修改火墙配置，其他以管理员身份登录防火墙的用户，要么强制断开当前已登陆的帐户，要么以只读身份登录。

登陆SmartConsole 配置界面：添加防火墙设备有两种模式。

一种是独立模式，一种是分布式。

独立式则把防火墙和管理平台都装在一台设备上面。

分布式则把防火墙和管理平台分别安装在两台设备上面。

管理平台需要管理防火墙则要通过SIC 来进行管理。

独立式只需要安装管理软件则可以直接管理防火墙。

分布式在安装好后则只有Smart Center 。

右键点击Check Point 点击Security Gateway/Management …。

右键添加设备，添加有两种模式。

一种为向导模式，一种为自定义模式。

这里选择自定义添加设备。

选择需要的对象，然后回出现弹出界面以便我们配置其具体属性。

然后点击Topology 点击Get interface with Topology 的到防火墙接口信息。

添加防火墙必须通过topology 获取到设备上面的相关接口IP ，否则策略下发后将不生效。

配置完成，点击ok 。

完成防火墙配置。

然后下面的配置节点对象以及网络对象都是相同意思，做好相应配置。

设备添加完成后我们可以在树形栏中看到设备添加成功后会出现一个新设备。

添加策略步骤添加完设备之后我们要添加公司内部需要经过防火墙的网段。

可以只添加需要做策略的网段或者IP。

首先添加IP节点，右键Nodes点击Node-Host添加IP节点。

右键NetWork 点击Network添加网段。

添加网段的属性。

添加完策略之后需要对策略进行下发。

下发策略到防火墙有两种方式 1. 通过点击快捷按钮来进行下发。

1、测试策略是否有错误。

2、下发策略到防火墙3、显示策略下发的防火墙4、显示策略下发记录2.通过点击菜单中的Policy中的Install进行下发IPS的配置Check Point的IPS功能在防火墙上面开启后可以基本拦截70%的攻击，如果需要做更精确的配置可以通过手动自定义IPS的拦截事件。

通过点击Download Update更新数据库更新完库后我们可以针对IPS的项目进行修改。

首先我们新建一个动作库。

该库名为test模式为扫描。

如果需要进一步对设备进行测试。

可以针对这个规则进行修改。

点开在Test这一列针对需要修改的进行修改。

默认为全扫描模式。

只需要双击你需要修改的规则。

做到内网的应用控制初次使用应用控制需要更新应用数据库到最新。

更新数据库©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:添加应用控制策略选择应用控制模块后点击Policy 然后点击添加策略进行添加。

Check Point 的应用控制是通过云端去识别应用，你可以到应用库中查看目前可以识别的应用或者URL，还可以针对类型进行控制，如果限制shoppint 则可以针对所有购物网站进行限制。

它会通过网站的特征码来匹配。

匹配成功后来进行限制。

App Wike点击App Wike可以检索到防火墙上更新到的所有应用。

QOS配置默认打开Qos页面有一条默认策略，无限制。

右键点击添加策略，添加新策略Qos策略的添加日志工具的使用Smart Tracket 日志查看工具：©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:©2010 Check Point Software Technologies Ltd. All rights reserved.Classification:Check Point 自带的日志查看工具可以对设备的日志进行筛选，分类。

图中我们看到有相应注释，左边All Records 是显示防火墙的所有日志,Firewall 是显示防火墙的日志，VPN 是显示的VPN 的日志，如果我们点击图中上面的向下的小箭头，即显示最新出现的日志。

e商务文档

Check Point教程

相关文档推荐：