本文由ｎｏ１ｍｏｏｎｂｏｙ贡献 ｄｏｃ１。

双　ＣｈｅｃｋＰｏｉｎｔ　防火墙实施方案 目　录 第一章　客户环境概述……　４　１．１　概述　……　４　１．２　网络拓扑与地址分配表　……　４　１．３　安装前准备事宜　……　６　第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置　……　７　２．１　概述　……　７　２．２　初始化　ｎｏｋｉａ３８０　……　７　２．３　设置　ｎｏｋｉａ　基本信息　……　８　２．３．１　Ｎｏｋｉａ　端口　ＩＰ　地址设定　……　８　２．３．２　设置网关路由　……　８　２．３．３　设置　Ｎｏｋｉａ　平台时间　……　９　２．３．４　设定　Ｎｏｋｉａ　高可用　ＶＲＲＰ　参数　……　９　２．４　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１４　２．４．１　在　ｎｏｋｉａ　平台上　ｃｈｅｃｋｐｏｉｎｔ　的安装与卸载　……　１４　２．４．２　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１６　第三章　管理服务器的安装与配置……　１７　３．１ｃｈｅｃｋｐｏｉｎｔ　ｓｍａｒｔｃｅｎｔｅｒ　的安装……　１８　３．１．１　安装前的准备　……　１８　３．１．２　安装步骤　……　１８　３．２　配置　ｃｈｅｃｋｐｏｉｎｔ　对象和参数　……　２０　３．２．１　建立　ｓｉｃ　……　２０　３．２．２　定义防火墙对象拓扑结构　……　２１　３．２．３　使用同样的步骤按照表　１　的参数建立　ＩＰ３８０Ｂ　ｃｈｅｃｋｐｏｉｎｔ　ｇａｔｅｗａｙ　对象。

　……　２１　３．３　基于　ｎｏｋｉａ　ｖｒｒｐ　或者　ｃｌｕｓｔｅｒ　的设置……　２２　３．３．１　基于　Ｎｏｋｉａ　ＶＲＲＰ　的设置　……　２２　３．３．２　为　ｎｏｋｉａ　ｖｒｒｐ　定义策略　……　２２　３．３．３　高可用性的检查　……　２３　３．４ｎｏｋｉａ　ｃｌｕｓｔｅｒ　的设置　……　２３　３．５　暂时没有　……　２３　第四章　策略设定……　２４　４．１　概述　……　２４　４．２　ｎｅｔｓｃｒｅｅｎ　的策略　……　２４　４．３　经过整理后转换成　ｃｈｅｃｋｐｏｉｎｔ　的策略　……　２４　４．４　设定策略　……　２４　４．４．１　定义主机对象　……　２４　４．４．２　定义网络对象　……　２５　４．４．３　定义组　……　２６　４．４．４　定义服务　……　２６ ４．４．５　添加标准策略　……　２７　４．４．６　添加　ＮＡＴ　策略……　２７　第五章　切换与测试……　２９　５．１　切换　……　２９　５．２　测试　……　２９　５．３　回退　……　３０　第六章　日常维护……　３１　６．１　防火墙的备份与恢复　……　３１　６．１．１　ｎｏｋｉａ　防火墙的备份与恢复方法　……　３１　６．１．２　ｃｈｅｃｋｐｏｉｎｔ　ｍａｎａｇｅｍｅｎｔ　上的备份与恢复　……　３３ 第一章 客户环境概述 １．１　概述 ＸＸＸＸＸＸ　公司因应企业内部的网络需求，对总部网络进行扩容改动，中心　防火墙从原来的　ｎｅｔｓｃｒｅｅｎ　换成两台　Ｎｏｋｉａ　ＩＰ３８０，两台　ｎｏｋｉａ　互为热备。

维持原　有的服务不变。

　由于这次网络改动比较大，所以先离线进行安装和测试，最后再进行切换 １．２　网络拓扑与地址分配表 ＸＸＸＸＸＸ　改造前网络拓扑如下 改动后，ＸＸＸ　将按照以下图进行实施　改动后， 给个设备及端口的地址分配入下表所示　ＩＰ　地址分配表（表　１） 管理服务器参数　ＩＰ　地址　防火墙各端口参数　端口　Ｅｔｈ１　用途　外网　口　Ｅｔｈ２　Ｅｔｈ３　Ｅｔｈ４　？　ＤＭＺ　内网　同步　口　ｇａｔｅｗａｙ　静态路　由　１７２．１６．１００．５／３０　１７２．１６．１００．６／３０　１７２．１６．１００．１／３０　１０．１０１．１．１０１／２４　１０．１０１．１．１０２／２４　１０．１０１．１．１／２４　１９２．１６８．１１．１／２４　１９２．１６８．１１．２／２４　Ｎｏｋｉａ３８０Ａ　Ｎｏｋｉａ３８０Ｂ　虚拟地址 １．３　安装前准备事宜 １．管理服务器硬件平台　ＣＰＵ　奔腾　３　５００　以上　内存　１２８　以上　硬盘　６０Ｍ　以上　操作系统，ｗｉｎｄｏｗｓ　２０００　ｓｅｒｖｅｒ　＋ＳＰ４　补丁 ２．网络连线　３．Ｃｈｅｃｋｐｏｉｎｔ　及　ｎｏｋｉａ　管理软件　Ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包　ｆｏｒ　ｗｉｎｄｏｗｓ　ｈｏｔｆｉｘ０９　或以上 ４．Ｎｏｋｉａ　ＩＰ３８０　设备两台　内置　ＩＰＳＯ３．８　ｂｕｉｌｄ　３９　内置　ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包 第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置 ２．１　概述 首先我们可以对两台　Ｎｏｋｉａ　ＩＰ３８０　进行安装与配置，由于　Ｎｏｋｉａ　防火墙将会　替代　Ｎｅｔｓｃｒｅｅｎ，所以　Ｎｏｋｉａ　防火墙可以进行离线配置。

配置步骤如下。

２．２　初始化　ｎｏｋｉａ３８０ １．　使用　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　线，连接　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　口和管理　ｐｃ　的串行端口，并打　开电源家电。

　２．　打开　ｗｉｎｄｏｗｓ　超级终端按照下图设置 ３．　Ｎｏｋｉａ　ＩＰ３８０　正常开机后填入防火墙的名字：ＩＰ３８０Ａ　。

如下图 ４．　输入默认管理员用户　ａｄｍｉｎ　的密码并确认密码，这里密码填　ｐａｓｓｗｏｒｄ，密　码以后可以通过　ｗｅｂ　界面进行修改。

如下图所示 ５．　设定使用基于　ｗｅｂ　的浏览器进行管理还是基于文本的浏览器进行管理，这　里选择　１ ６．　设定初始网络参数，这里需要设定一块网卡的　ＩＰ　地址，以方便进行基于　ｗｅｂ　的管理，如下图所示，分别填入网卡号和　ＩＰ　地址，暂时不设定　ｄｅｆａｕｌｔ　ｒｏｕｔｅ，并配置端口成　１００Ｍ　全双工。

７．　确认以上信息正确，由于网络上并没有　ＶＬＡＮ　设置，所以并不需要进行　Ｖｌａｎ　配置。

如下图 ２．３　设置　ｎｏｋｉａ　基本信息 主要设定　ｎｏｋｉａ　底层基本参数，包括　ＩＰ　地址，路由，时间，ＶＲＲＰ　设定 ２．３．１　Ｎｏｋｉａ　端口　ＩＰ　地址设定 １．使用网线连接管理机和　ｎｏｋｉａ　端口，打开　ＩＥ　浏览器，输入刚才定义的　ｎｏｋｉａＩＰ　地址　ｈｔｔｐ：／／１９２．１６８．１１．１　，使用用户名　ａｄｍｉｎ，密码　ｐａｓｓｗｏｒｄ　登陆。

如下图所示。

２．登陆后点击　ｃｏｎｆｉｇ　按钮，进入配置界面，如下图所示。

３．点击　ｉｎｔｅｒｆａｃｅ　按钮后，进入　ｉｎｔｅｒｆａｃｅ　配置界面。

点击逻辑端口　Ｅｔｈ３ｃ０　配置　Ｅｔｈ３　的　ＩＰ　的，如下图所示。

在　Ａｃｔｉｖｅ　选项上选　Ｏｎ，ＮｅｗＩＰａｄｄｒｅｓｓ　框添上　ＩＰ　地址，ＮｅｗＭａｓｋＬｅｎｇｔｈ　框填上子　网掩码的长度，如下图所示。

４．　Ａｐｐｌｙ　键。

　５．　配置网卡物理参数。

点击　ＵＰ　按钮，回到　Ｉｎｔｅｒｆａｃｅ　ｃｏｎｆｉｇｕｒａｔｉｏｎ　界面，点击 物理端口号　Ｅｔｈ３　出现以下界面。

修改　ｌｉｎｋ　ｓｐｅｅｄ　的参数为　１００Ｍ，修改　Ｄｕｐｌｅｘ　为　Ｆｕｌｌ。

　６．Ａｐｐｌｙ　键和　Ｓａｖｅ　键，保存配置。

　７．重复以上步骤，按照　ＩＰ　列表分配表（表　１）中参数配置各个端口地址。

如下图　（图略） ２．３．２　设置网关路由 完成　ＩＰ　地址的设定以后，需要做的是设定默认网关和静态路由　１．　进入配置界面，点击　Ｒｏｕｔｉｎｇ　Ｃｏｎｆｉｇｕｒａｔｉｏｎ　－＞　Ｓｔａｔｉｃ　Ｒｏｕｔｅ，进入下图所示 在　ｄｅｆａｕｌｔ　项选择　Ｏｎ，ｎｅｘｔ　ｈｏｐ　ｔｙｐｅ　选　ｎｏｒｍａｌ，然后点击　ａｐｐｌｙ　２．在原来的参数下面会出现新一项参数　Ｇａｔｅｗａｙ　Ｔｙｐｅ，　这里选择　ａｄｄｒｅｓｓ，　点击　ＡＰＰＬＹ　如下图所示： ３．　填上　ｎｏｋｉａ　的网关，然后点击　ａｐｐｌｙ　后点击　ｓａｖｅ，完成默认网关的设置。

如下图　所示　这里网关地址填：？？？？？ ４．　在　ｎｅｗ　ｓｔａｔｉｃ　ｒｏｕｔｅ　填上要网段地址，在　ｍａｓｋ　ｌｅｎｇｔｈ　填上网段掩码，ｎｅｘｔ　ｈｏｐ　ｔｙｐｅ　选上　ｎｏｒｍａｌ，ｇａｔｅｗａｙ　ｔｙｐｅ　选上　ａｄｄｒｅｓｓ，并点击　ａｐｐｌｙ，如下图所示 ５．　Ａｐｐｌｙ　后会出现　ｇａｔｅｗａｙ　ａｄｄｒｅｓｓ　参数框，填入下一跳地址，点击　ａｐｐｌｙ，完成　静态路由的添加。

如下图 ６．重复步骤　４、５　添加更多的静态路由，完成后按　ｓａｖｅ　保存　这里需要设置的静态路由有？？？？？？？ ２．３．３　设置　Ｎｏｋｉａ　平台时间 １．　进入配置界面后，点击　ｓｙｓｔｅｍ　ｃｏｎｆｉｇｕｒａｔｉｏｎ　下的　ｌｏｃａｌ　ｔｉｍｅ　ｓｅｔｕｐ ２．　在　ｓｅｃｅｃｔ　ｃｉｔｙ　中选择　Ｃｈｉｎａ／ＨｏｎｇＫｏｎｇ，在　ｍａｎｕａｌ　ｓｅｔ　ｄａｙ　ａｎｄ　ｔｉｍｅ　分别填　上日期和时间，如下图，完成后点击　ａｐｐｌｙ，再点击　ｓａｖｅ。

２．３．４　设定　Ｎｏｋｉａ　高可用　ＶＲＲＰ　参数　ａ．　设定时间同步　管理服务器与执行点之间必须做到时间同步，才可以成功建立安全连　接（ＳＩＣ），同时，再做　ＶＲＲＰ　时两个执行点之间的时间也必须做到同　步，他们的状态表才能正常及时地交换。

所以，必须为设备设置　ＮＴＰ　时间服务。

　我们以　ＩＰ３８０Ａ　作为时间的基准服务，　ＩＰ３８０Ｂ　作为作为客户段，　进行参　数配置。

　１．　在　ＩＰ３８０Ａ　上点击　Ｒｏｕｔｅｒ　Ｓｅｒｖｉｃｅｓ　下的　ＮＴＰ，进入　ＮＴＰ　配置界面，　在　Ｅｎａｂｌｅ　ＮＢＴ　上选　ｙｅｓ 在　ＮＴＰ　Ｒｅｆｅｒｅｎｃｅ　Ｃｌｏｃｋ　下的　ＮＴＰ　Ｍａｓｔｅｒ　选　ｙｅｓ，Ｓｔｒａｔｕｍ　填上　３（这项　填写范围为　１－１５），点击　ＡＰＰＬＹ，再点击　ＳＡＶＥ，这样　ＩＰ３８０Ａ　便成　为时间服务器。

　２．　在　ＩＰ３８０Ｂ　配置页面上点击　Ｒｏｕｔｅｒ　Ｓｅｒｖｉｃｅｓ　下的　ＮＴＰ，进入　ＮＴＰ　配置界面，　ＮＴＰ　Ｇｌｏｂａｌ　Ｓｅｔｔｉｎｇｓ　上选　ｙｅｓ，　在　点击　ＡＰＰＬＹ，　如下图： 在　ＮＴＰ　ｓｅｒｖｅｒｓ　下　ａｄｄ　ｎｅｗ　ｓｅｒｖｅｒ　ａｄｄｒｅｓｓ　上添加　ＩＰ３８０Ａ　的地址　１９２．１６８．１１．１。

点击　ＡＰＰＬＹ，出现下图 点击　ｓａｖｅ　保存配置，时间同步配置完毕。

　注意，第一次时间同步时间比较长。

ｂ．　配置　ＶＲＲＰ　参数　同一设备的某一端口监控另一端口，　当发现被监控端口出现问题时　（例　如，端口断开），按照预先设定的规则，监控端口更改自身的优先级。

　属于同一　ＶＲＲＰ　组的成员共享一个虚拟　ＩＰ　地址，这个地址将作为终端　设备的网关或者路由设备的下一跳地址使用。

一般来说，是高优先级的设备在本机故障的情况下降低自身的优先级，　使得原来低优先级的设备接管工作，实现服务的高可用性。