天诚世纪网络科技有限公司网络安全事业部Checkpoint操作手册文档
目录
●Smart Dashboard (3)
●SmartView Tracker (7)
●SmartView monitor (9)
●Checkpoint网关gateway模式 (11)
●PPPOE拨号 (16)
●checkpoint桥接bridge模式 (19)
●ISP双链路接入配置 (21)
●NAT地址转换 (28)
●SSL VPN (31)
●Site-to-site 预共享密码vpn (38)
●Site-to-site 证书vpn （cp270与edge/safe@office） (42)
●RemoteAccess vpn (48)
●IPS (52)
Smart Dashboard
1.登录smart center
2.功能介绍
Checkpoint属性
更新网络拓扑
Nodes对象
网段Network
开启NAT功能
配置完任何firewall防火墙规则，都需要安装策略，否则规则不会生效
1.Smartview tracker 登录
2.功能界面介绍
Network&endpoint：记录网络安全日志
Management：记录操作checkpoint日志
●SmartView monitor
1.登录smartview monitor
2.界面介绍
Traffic---Top services
Traffic---Top Interfaces
Traffic---Top soures
1.网络拓扑图
2.配置步骤：
1)登录SmartDashboard
2)新建网段对象
将192.168.200.0定义为内网网段inside192.168.200.0
将192.168.1.0定义为公网网段outside192.168.1.0
3)开启NAT功能
双击inside192.168.200.0，到NAT，将add automatic address translation打上钩，确定
4)建立防火墙规则
防火墙firewall建立规则，允许源地址到目标地址任何服务
5)安装规则
运行install policies
6)客户端配置
PPPOE拨号
1.在checkpoint的console口命令行中，增加下面语法
[Expert@cp]# mknod /dev/ppp c 108 0 （重启设备后，这条命令会丢失，需要在启动脚本里增加）
[Expert@cp]# vi $CPDIR/tmp/.CPprofile.csh （在脚本里增加此命令）
在最后增加一行内容是mknod /dev/ppp c 108 0
保存，重启设备
2.web界面新建pppoe拨号
External接口接到moder，internal接到交换机
External接口需要自动获取ip地址（adsl线路是动态，获取到的公网ip地址是动态。

）如果adsl是固定ip，External接口需要手动填写固定ip地址
新建pppoe拨号
拨号成功
注：checkpoint拨号时候要注意，用华为moder时候，会出现不兼容现象。

与中国电信商务领航moder结合使用正常
checkpoint桥接bridge模式
1.登录checkpoint的web管理界面
2.将两个接口加入桥接bridge接口
3.新建bridge
ISP双链路接入配置网络拓扑：
Isp-1线路192.168.1.221
Isp-2线路192.168.10.2
1)登陆Checkpoint web界面配置接口ip地址
Isp-1 分配到External 接口192.168.1.221 Isp-2 分配到Lan1接口192.168.10.2
Internal接口192.168.20.1 是内网网关
2)增加两条isp的默认路由
isp-1 线路的网关
isp-2 线路的网关
3)登陆smartdashboard，双击cp270
4)选择Topology，get各个网卡接口ip地址信息
5)Topology—isp Redundancy，把support isp Redundancy选择上
在Redundancy mode中选择负载均衡模式，还是主次模式 在ISP Links in order of priority 中Add建立isp-1线路
Add 建立isp-2线路
电信与网通的所使用DNS域名解释地址不同，分别填写各自的DNS
网络拓扑：
1.新建nodes---host
2.NAT---选择手动static，指定公网ip地址
3.新建防火墙规则
source是所有人，访问destination是ftpserver，server是any，动作是允许4.安装策略
5.验证ftp服务器是否映射成功
SSL VPN 1)网管对象
软件版本使用R70
更改端口：
SSL VPN需要使用443端口确认此端口没有被checkpoint使用。

默认情况
下checkpoint的路由、接口的配置使用此端口：
如果此端口被使用，进入超级终端使用下列命令更换端口：webui enable <port number> (webui enable 444)
此时通过端口444访问上页。

2.配置SSL VPN
启用office模式
黑框标注的是需要定义的支持visitor模式
只有启动了visitor模式，才能启动SSL VPN 启动SSL VPN
服务端设置完毕
3.使用SSL VPN访问
通过IE登陆VPN
使用SSL VPN的客户端机器需要安装相应的ActiveX/Java控件，使用IE登录后会有相应安装提示，安装即可。

登录
输入用户名密码即可登陆。

默认可以连接8小时。

PC右下角提示连接状态5.测试
拓扑
Ping内网接口
连接成功后
断开后
Site-to-site 预共享密码vpn 1.定义vpn对象Interoperable device
2.定义site-to-site vpn community
3.配置防火墙vpn规则
Site-to-site 证书vpn （cp270与
edge/safe@office）
网络描述：总部使用静态ip地址，分部使用动态ip地址，通过证书方式来建立vpn连接
网络拓扑：
1.分别在cp 270和UTM-1 edge上建立网段并做NAT，确保两台pc能正常接入
外网（以cp270为例）：
在
定义内部网段，开启NAT功能
下发策略完成后就可以正常和外网通讯：
和外网连接正常：
UTM-edge同样道理。

2.在cp 270上建立VPN对象：
对象信息如下红色矩形为注意事项：
方框中的内容两者用逗号隔开为 CN=vpnedge VPN Certificate, O=cp270..c9eq8u
cp270
Satellite gateways分支网关选EDGE：
4.将生成的证书到过来并在EDGE上安装（web界面——VPN选择第三项证书
然后安装）
5.在firewall建立VPN选择site-to-site认证方式是证书方式，目标网关（是对
端）192.168.1.221 网段是192.168.10.0即可，尝试VPN连接。

RemoteAccess vpn
1.配置checkpoint的remoteAcces vpn 属性
2.RemoteAccess---office mode
3.定义用户
4.定义remote vpn communities。