Checkpoint中文資料[方案]

1、Check Point FireWall-1技 術(shù) 資 料目錄Check Point FireWall-1技術(shù)白皮書 TOC o 2-3 t 標題 1,1 1.FireWall-1簡介 PAGEREF _Toc477748419 h 21.1.狀態(tài)檢測機制 PAGEREF _Toc477748420 h 21.2.FireWall-1產(chǎn)品組成 PAGEREF _Toc477748421 h 31.2.1.Check Point FireWall-1產(chǎn)品包括以下模塊： PAGEREF _Toc477748422 h 31.2.2.FireWall-1提供單網(wǎng)關(guān)和企業(yè)級兩種產(chǎn)品組合。 PAGERE

2、F _Toc477748423 h 31.3.OPSEC PAGEREF _Toc477748424 h 41.4.企業(yè)級防火墻平安管理 PAGEREF _Toc477748425 h 41.5.分布的客戶機/效勞器結(jié)構(gòu) PAGEREF _Toc477748426 h 41.6.認證Authentication PAGEREF _Toc477748427 h 51.7.地址翻譯NAT PAGEREF _Toc477748428 h 51.8.內(nèi)容平安 PAGEREF _Toc477748429 h 51.9.連接控制 PAGEREF _Toc477748430 h 61.10.路由器平安管理

3、PAGEREF _Toc477748431 h 62.FireWall-1的規(guī)劃 PAGEREF _Toc477748432 h 72.1.FireWall-1體系結(jié)構(gòu) PAGEREF _Toc477748433 h 72.1.1.管理模塊 PAGEREF _Toc477748434 h 72.1.2.防火墻模塊 PAGEREF _Toc477748435 h 82.2.典型配置分析 PAGEREF _Toc477748436 h 9網(wǎng)關(guān)方式配置 PAGEREF _Toc477748437 h 9防火墻的網(wǎng)關(guān)和別離的管理工作站 PAGEREF _Toc477748438 h 92.2.3.防火

4、墻網(wǎng)關(guān)和兩個內(nèi)部網(wǎng)絡(luò) PAGEREF _Toc477748439 h 102.2.4.由一個管理工作站和控制的兩個防火墻網(wǎng)關(guān) PAGEREF _Toc477748440 h 112.2.5 失效恢復(fù)網(wǎng)關(guān)配置 PAGEREF _Toc477748441 h 113.與Cisco PIX的比擬 PAGEREF _Toc477748442 h 12Check Point FireWall-1安裝配置手冊4.FireWall-1安裝 PAGEREF _Toc477748443 h 154.1.安裝前的準備 PAGEREF _Toc477748444 h 154.1.1.網(wǎng)絡(luò)環(huán)境準備 PAGEREF _

5、Toc477748445 h 154.1.2.配置需求 PAGEREF _Toc477748446 h 164.2.一步一步的安裝 PAGEREF _Toc477748447 h 175.FireWall-1卸載 PAGEREF _Toc477748448 h 286.停止FireWall-1運行 PAGEREF _Toc477748449 h 286.1.卸載平安策略 PAGEREF _Toc477748450 h 286.2.停止狀態(tài)檢測 PAGEREF _Toc477748451 h 286.3.屏蔽FireWall-1 PAGEREF _Toc477748452 h 287.重新配置F

6、ireWall-1 PAGEREF _Toc477748453 h 288.典型配置案例 PAGEREF _Toc477748454 h 298.1.工程簡介及工程要求： PAGEREF _Toc477748455 h 298.1.1.拓撲圖 PAGEREF _Toc477748456 h 298.1.2.工程具體要求如下： PAGEREF _Toc477748457 h 298.2.FireWall-1安裝過程及考前須知： PAGEREF _Toc477748458 h 308.3.FireWall-1的規(guī)那么制定細節(jié)及含義 PAGEREF _Toc477748459 h 308.4.定義網(wǎng)

7、絡(luò)規(guī)那么的考前須知： PAGEREF _Toc477748460 h 318.5.安裝完FireWall-1防火墻后的測試工作 PAGEREF _Toc477748461 h 329.小結(jié) PAGEREF _Toc477748462 h 32Check Point FireWall-1技術(shù)白皮書FireWall-1簡介狀態(tài)檢測機制FireWall-1提出了一個全新的“狀態(tài)檢測的防火墻技術(shù)，它可以在網(wǎng)絡(luò)層實現(xiàn)所有必要的防火墻功能。利用狀態(tài)檢測技術(shù)，F(xiàn)ireWall-1的檢測模塊訪問和分析所有從通訊層得到的數(shù)據(jù)。為了控制無連接的協(xié)議例如：基于RPC和UDP的應(yīng)用，F(xiàn)ireWall-1提供了虛擬會話

8、信息，這些會話信息的“狀態(tài)和“上下文數(shù)據(jù)動態(tài)地存儲和更新。從通訊和應(yīng)用狀態(tài)積累起來的數(shù)據(jù)，網(wǎng)絡(luò)配置和平安規(guī)那么常常用來產(chǎn)生適當?shù)膭幼鳎邮?、拒絕或者加密通訊的數(shù)據(jù)包。任何沒有被平安規(guī)那么明確允許的數(shù)據(jù)包默認被丟棄，并且產(chǎn)生實時的報警，為系統(tǒng)管理者提供完全的網(wǎng)絡(luò)狀態(tài)。FireWall-1采用Check Point公司的狀態(tài)檢測Stateful Inspection專利技術(shù)，以不同的效勞區(qū)分應(yīng)用類型，為網(wǎng)絡(luò)提供高平安、高性能和高擴展性保證。FireWall-1狀態(tài)檢測模塊分析所有的包通訊層，汲取相關(guān)的通信和應(yīng)用程序的狀態(tài)信息。狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用。狀態(tài)檢測

9、模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度平安和數(shù)據(jù)完整。網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)那么，實現(xiàn)平安策略。狀態(tài)檢測模塊可以識別不同應(yīng)用的效勞類型，還可以通過以前的通信及其它應(yīng)用程序分析出狀態(tài)信息。狀態(tài)檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包是否滿足平安策略。狀態(tài)檢測模塊把相關(guān)的狀態(tài)和狀態(tài)之間的關(guān)聯(lián)信息存儲到動態(tài)連接表中并隨時更新，通過這些數(shù)據(jù)，F(xiàn)ireWall-1可以檢測到后繼的通信。狀態(tài)檢測技術(shù)對應(yīng)用程序透明，不需要針對每個效勞設(shè)置單獨的代理，使其具有更高的平安性、高性能、更好的伸縮性和擴展性，可以很容易把用戶的新

10、應(yīng)用添加到保護的效勞中去。FireWall-1提供的INSPECT語言，結(jié)合FireWall-1的平安規(guī)那么、應(yīng)用識別知識、狀態(tài)關(guān)聯(lián)信息以及通信數(shù)據(jù)構(gòu)成了一個強大的平安系統(tǒng)。INSPECT是一個面向?qū)ο蟮哪_本語言，為狀態(tài)檢測模塊提供平安規(guī)那么。通過策略編輯器制定的規(guī)那么存為一個用INSPECT寫成的腳本文件，經(jīng)過編譯生成代碼并被加載到安裝有狀態(tài)檢測模塊的系統(tǒng)上。腳本文件是ASCII文件，可以編輯，以滿足用戶特定的平安要求。FireWall-1產(chǎn)品組成Check Point FireWall-1產(chǎn)品包括以下模塊：根本模塊：狀態(tài)檢測模塊Inspection Module：提供訪問控制、客戶機認證、

11、會話認證、地址翻譯和審計功能；防火墻模塊FireWall Module：包含一個狀態(tài)檢測模塊，另外提供用戶認證、內(nèi)容平安和多防火墻同步功能；管理模塊Management Module：對一個或多個平安策略執(zhí)行點安裝了FireWall-1的某個模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器平安管理模塊等的系統(tǒng)提供集中的、圖形化的平安管理功能；可選模塊連接控制Connect Control：為提供相同效勞的多個應(yīng)用效勞器提供負載平衡功能；路由器平安管理模塊Router Security Management：提供通過防火墻管理工作站配置、維護3Com，Cisco，Bay等路由器的平安規(guī)那么；其它模塊，如

12、加密模塊等。圖形用戶界面GUI：是管理模塊功能的表達，包括策略編輯器：維護管理對象、建立平安規(guī)那么、把平安規(guī)那么施加到平安策略執(zhí)行點上去；日志查看器：查看經(jīng)過防火墻的連接，識別并阻斷攻擊；系統(tǒng)狀態(tài)查看器：查看所有被保護對象的狀態(tài)。FireWall-1提供單網(wǎng)關(guān)和企業(yè)級兩種產(chǎn)品組合。單網(wǎng)關(guān)產(chǎn)品：只有防火墻模塊包含狀態(tài)檢測模塊、管理模塊和圖形用戶界面各一個，且防火墻模塊和管理模塊必須安裝在同一臺機器上。企業(yè)級產(chǎn)品：可以有假設(shè)干根本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨立的狀態(tài)檢測模塊。企業(yè)級產(chǎn)品的不同模塊可以安裝在不同的機器上。OPSECCheck Point是開放

13、平安企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導(dǎo)者之一。OPSEC允許用戶通過一個開放的、可擴展的框架集成、管理所有的網(wǎng)絡(luò)平安產(chǎn)品。OPSEC通過把FireWall-1嵌入到已有的網(wǎng)絡(luò)平臺如Unix、NT效勞器、路由器、交換機以及防火墻產(chǎn)品，或把其它平安產(chǎn)品無縫集成到FireWall-1中，為用戶提供一個開放的、可擴展的平安框架。目前已有包括IBM、HP、Sun、Cisco、BAY等超過135個公司參加到OPSEC聯(lián)盟。企業(yè)級防火墻平安管理FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理平安策略。企業(yè)的防火墻平安策略都存放在防火墻管理模塊的一個規(guī)那么庫里。規(guī)那么庫里存放的是一些有序的規(guī)那么

14、，每條規(guī)那么分別指定了源地址、目的地址、效勞類型 、FTP、TELNET等、針對該連接的平安措施放行、拒絕、丟棄或者是需要通過認證等、需要采取的行動日志記錄、報警等、以及平安策略執(zhí)行點是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護對象上上實施該規(guī)那么。FireWall-1管理員通過一個防火墻管理工作站管理該規(guī)那么庫，建立、維護平安策略，加載平安規(guī)那么到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。這些系統(tǒng)和管理工作站之間的通信必須先經(jīng)過認證，然后通過加密信道傳輸。FireWall-1直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)平安策略提供了強有力的工具。平安策略編輯器：維護被保護對象，維護規(guī)那么庫，添加、編輯、刪除規(guī)

15、那么，加載規(guī)那么到安裝了狀態(tài)檢測模塊的系統(tǒng)上。日志管理器：提供可視化的對所有通過防火墻網(wǎng)關(guān)的連接的跟蹤、監(jiān)視和統(tǒng)計信息，提供實時報警和入侵檢測及阻斷功能。系統(tǒng)狀態(tài)查看器：提供實時的系統(tǒng)狀態(tài)、審計和報警功能。分布的客戶機/效勞器結(jié)構(gòu)FireWall-1通過分布式的客戶機/效勞器結(jié)構(gòu)管理平安策略，保證高性能、高伸縮性和集中控制。FireWall-1由根本模塊防火墻模塊、狀態(tài)檢測模塊和管理模塊和一些可選模塊組成。這些模塊可以通過不同數(shù)量、平臺的組合配置成靈活的客戶機/效勞器結(jié)構(gòu)。管理模塊包括了圖形用戶界面和管理員定義的相關(guān)管理對象規(guī)那么庫，網(wǎng)絡(luò)對象，效勞、用戶等。防火墻模塊、狀態(tài)檢測模塊以及其它可選

16、模塊用來執(zhí)行平安策略，安裝了這些模塊的系統(tǒng)稱為受保護對象Firewalled System，又稱為平安策略執(zhí)行點Security Enforcement Point。FireWall-1的客戶機/效勞器結(jié)構(gòu)是完全集成的，只有一個統(tǒng)一的平安策略和一個規(guī)那么庫，通過一個單一的防火墻管理工作站，管理多個裝載了防火墻模塊、狀態(tài)檢測模塊或可選模塊的系統(tǒng)。認證Authentication遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問內(nèi)部資源。FireWall-1可以在不修改本地效勞器或客戶應(yīng)用程序的情況下，對試圖訪問內(nèi)部效勞器的用戶進行身份認證。FireWall-1的認證效勞集成在其平安策略

17、中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。FireWall-1提供三種認證方法：用戶認證User Authentication：針對特定效勞提供的基于用戶的透明的身份認證，效勞限于FTP、TELNET、 、 S、RLOGIN。客戶機認證Client Authentication：基于客戶機IP的認證，對訪問的協(xié)議不做直接的限制?？蛻魴C認證不是透明的，需要用戶先登錄到防火墻認證IP和用戶身份之后，才允許訪問應(yīng)用效勞器?？蛻魴C不需要添加任何附加的軟件或做修改。當用戶通過用戶認證或會話認證后，同時也就已經(jīng)通過客戶機認證。會話認證Session Authentication：提供

18、基于效勞會話的的透明認證，與IP無關(guān)。采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的效勞時必須單獨認證。FireWall-1提供多種認證機制供用戶選擇：S/Key，F(xiàn)ireWall-1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。地址翻譯NATFireWall-1支持三種不同的地址翻譯模式：靜態(tài)源地址翻譯：當內(nèi)部的一個數(shù)據(jù)包通過防火墻出去時，把其源地址一般是一個內(nèi)部保存地址轉(zhuǎn)換成一個合法地址。靜態(tài)源地址翻譯與靜態(tài)目的地址翻譯通常是配合使用的。靜態(tài)目的地址翻譯：當外部的一個數(shù)據(jù)包通過防火墻進入內(nèi)部網(wǎng)時，把其目的地址合法地址轉(zhuǎn)換成一

19、個內(nèi)部使用的地址一般是內(nèi)部保存地址。動態(tài)地址翻譯也稱為隱藏模式：把一個內(nèi)部網(wǎng)的地址段轉(zhuǎn)換成一個合法地址，以解決企業(yè)的合法IP地址太少的問題，同時隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)平安性能。內(nèi)容平安FireWall-1的內(nèi)容平安效勞保護網(wǎng)絡(luò)免遭各種威脅，包括病毒、Jave和ActiveX代碼攻擊等。內(nèi)容平安效勞可以通過定義特定的資源對象，制定與其它平安策略類似的規(guī)那么來完成。內(nèi)容平安與FireWall-1的其它平安特性集成在一起，通過圖形用戶界面集中管理。OPSEC提供給用開發(fā)接口API以集成第三方內(nèi)容過濾系統(tǒng)。FireWall-1的內(nèi)容平安效勞包括：利用第三方的防病毒效勞器，通過防火墻規(guī)那么配置，掃描

20、通過防火墻的文件，去除計算機病毒；根據(jù)平安策略，在訪問WEB資源時，從 頁面剝離Java Applet，ActiveX等小程序及Java，Script等代碼；用戶定義過濾條件，過濾URL；控制FTP的操作，過濾FTP傳輸?shù)奈募?nèi)容；SMTP的內(nèi)容平安隱藏內(nèi)部地址、剝離特定類型的附件等；可以設(shè)置在發(fā)現(xiàn)異常時進行記錄或報警；通過控制臺集中管理、配置、維護。連接控制FireWall-1的連接控制模塊提供了負載平衡功能，在提供相同效勞的多個應(yīng)用效勞器之間實現(xiàn)負載分擔(dān)，應(yīng)用效勞器不要求都放在防火墻后面。用戶可選用不同的負載均衡算法：Server Load該方法由效勞器提供負載均衡算法，需要在應(yīng)用效勞器端

21、安裝負載測量引擎；Round TripFireWall-1利用ping命令測定防火墻到各個應(yīng)用效勞器之間的循回時間，選用循回時間最小者響應(yīng)用戶請求；Round RobinFireWall-1根據(jù)其記錄表中的情況，簡單地指定下一個應(yīng)用效勞器響應(yīng)；RandomFireWall-1隨機選取應(yīng)用效勞器響應(yīng)；DomainFireWall-1按照域名就近原那么，指定最近的應(yīng)用效勞器響應(yīng)。路由器平安管理可以通過FireWall-1的管理工作站對企業(yè)范圍內(nèi)的路由器提供集中的平安管理：通過圖形用戶界面生成路由器的過濾和配置；引入、維護路由器的訪問控制列表；記錄路由器事件需要路由器支持日志功能；在路由器上執(zhí)行通過

22、圖形用戶界面制定的平安策略。FireWall-1可以集中管理以下路由器：Cisco routers, IOS version 9 - 11Cisco PIX Firewall，F(xiàn)ireWall-1的規(guī)劃FireWall-1體系結(jié)構(gòu)FireWall-1有兩個主要模塊組成，管理模塊和防火墻模塊。管理模塊管理模塊包括圖形用戶界面GUI和管理效勞器。圖形用戶界面是管理效勞器的前端，它管理FireWall-1的數(shù)據(jù)庫：配置規(guī)那么、網(wǎng)絡(luò)對象、效勞、用戶等。管理模塊可以配置成為Client/Server結(jié)構(gòu)。客戶端可以運行在Windows 95、Windows NT或者X/Motif圖形用戶界面的系統(tǒng)上，控

23、制著運行在支持平臺的管理效勞器。客戶端通過GUI和用戶進行交互，但是所有數(shù)據(jù)數(shù)據(jù)庫和配置文件有管理效勞器來維護。防火墻模塊防火墻模塊包括狀態(tài)檢測模塊、FireWall-1平安效勞器，并具有高可用性的特性。以下圖描述了防火墻模塊和狀態(tài)檢測模塊之間的關(guān)系。狀態(tài)檢測模塊通過駐留程序的方式實現(xiàn)了平安訪問控制、客戶端和會話認證、網(wǎng)絡(luò)地址翻譯、日志報警和加密功能。并且負責(zé)同管理進行模塊通訊。防火墻模塊實現(xiàn)了用戶認證、內(nèi)容平安等功能。運行平臺如下表所示：組件平臺FireWall-1 GUI客戶端Client/Server配置Windows 95, Windows NT (3.51 and 4.0),X/Mo

24、tif (on Solaris 2.5 and higher, HP-UX10.x, IBM AIX 4.2.1 and 4.3.0)FireWall-1管理效勞器Client/Server配置Windows NT (3.51 and 4.0, Intel only), SolarisFireWall-1管理模塊OpenLook GUI)Solaris 2.5 and higherFireWall-1防火墻模塊Windows NT (Intel only), Solaris 2.5 andhigher, HP-UX 10.x, IBM AIX 4.2.1 and 4.3.0,Nokia IP

25、RoutingFireWall-1狀態(tài)檢測模塊Windows NT (Intel only), Solaris 2.5 andhigher, HP-UX 10.x, IBM AIX 4.2.1 and 4.3.0,Bay Networks, TimeStep PermitGate, Xylan(limited functionality)SecuRemoteWindows 95, Windows NT (3.51 and 4.0,Intel only)典型配置分析網(wǎng)關(guān)方式配置這種配置需要以下產(chǎn)品的一個：單網(wǎng)關(guān)產(chǎn)品企業(yè)中心如果需要加密，應(yīng)該選擇相應(yīng)的VPN-1產(chǎn)品。另外，如果路由器需要由防火墻來

26、管理，還應(yīng)該選擇Open Security Extension/1產(chǎn)品。防火墻的網(wǎng)關(guān)和別離的管理工作站這種配置需要以下產(chǎn)品：網(wǎng)關(guān)方式的企業(yè)中心即使只需要一個產(chǎn)品，產(chǎn)品的不同模塊必需安裝在兩個主機的每一個上防火墻模塊安裝在防火墻網(wǎng)關(guān)上，管理模塊安裝在管理工作站上。如果安裝了企業(yè)中心，管理工作站應(yīng)該安裝在內(nèi)部網(wǎng)絡(luò)的一個主機上。這樣管理工作站可以管理其它網(wǎng)關(guān)和主機上任何數(shù)量的防火墻模塊或者狀態(tài)檢測模塊。每一個其它的防火墻模塊和狀態(tài)檢測模塊是一個獨立的產(chǎn)品。如果需要加密，應(yīng)該選擇相應(yīng)的VPN-1產(chǎn)品。另外，如果路由器需要由防火墻來管理，還應(yīng)該選擇Open Security Extension/1產(chǎn)品。

27、防火墻網(wǎng)關(guān)和兩個內(nèi)部網(wǎng)絡(luò)這種配置需要以下產(chǎn)品的一個：單網(wǎng)關(guān)產(chǎn)品企業(yè)中心如果安裝了企業(yè)中心，管理工作站應(yīng)該安裝在內(nèi)部網(wǎng)絡(luò)的一個主機上。這樣管理工作站可以管理其它網(wǎng)關(guān)和主機上任何數(shù)量的防火墻模塊或者狀態(tài)檢測模塊。每一個其它的防火墻模塊和狀態(tài)檢測模塊是一個獨立的產(chǎn)品。如果需要加密，應(yīng)該選擇相應(yīng)的VPN-1產(chǎn)品。另外，如果路由器需要由防火墻來管理，還應(yīng)該選擇Open Security Extension/1產(chǎn)品。由一個管理工作站和控制的兩個防火墻網(wǎng)關(guān)這種配置需要以下產(chǎn)品：FireWall-1企業(yè)中心為第一個網(wǎng)關(guān)和管理工作站提供防火墻模塊為第二個網(wǎng)關(guān)提供如果需要加密，應(yīng)該選擇相應(yīng)的VPN-1產(chǎn)品。另外，

28、如果任何一個路由器需要由防火墻來管理，還需要Open Security Extension的一個產(chǎn)品。另外可以用網(wǎng)絡(luò)平安中心代替FireWall-1企業(yè)中心。管理工作站和第一個網(wǎng)關(guān)的防火墻模塊是網(wǎng)絡(luò)平安中心的一局部。失效恢復(fù)網(wǎng)關(guān)配置這種配置需要以下產(chǎn)品：FireWall-1企業(yè)中心如果需要加密，應(yīng)該選擇相應(yīng)的VPN-1產(chǎn)品。另外，如果任何一個路由器需要由防火墻來管理，還需要Open Security Extension的一個產(chǎn)品。另外，可以用網(wǎng)絡(luò)平安中心代替FireWall-1企業(yè)中心。與Cisco PIX的比擬比擬工程Check Point FireWall-1Cisco PIX防火墻產(chǎn)品產(chǎn)

29、品類型Cisco PIX Firewall 520介質(zhì)軟件防火墻硬件防火墻操作系統(tǒng)CPU品牌/類型/頻率Sun/UltraSPARC-II/300 MHzIntel/Pentium/ 233 MHz硬件平臺Sun Ultra II520技術(shù)核心技術(shù)完全的狀態(tài)檢測技術(shù)ASA自適應(yīng)平安算法狀態(tài)信息從七個層次得到的信息關(guān)于數(shù)據(jù)包的來源和目的的信息訪問控制網(wǎng)絡(luò)層過濾FTP, , SMTP , SMTP認證方法RADIUS, TACACS, TACACS+, SecurID, Defender, OS password, S/KeyRADIUS, TACACS+, Secure, AXENT, CRYP

30、TOCard, NDS, NT domain,Unix domain協(xié)議認證All protocolsFTP, , telnetURL過濾支持支持第三方URL過濾支持WebSense, SurfWatchFinjan, Trend, WorldTalk內(nèi)容過濾支持支持第三方病毒掃描產(chǎn)品支持Trend Micro, Symantec, eSafe, Data Fellows,IntegralisMIMEsweeper, Trend端口轉(zhuǎn)換支持支持網(wǎng)絡(luò)地址轉(zhuǎn)換支持支持管理遠程GUI支持支持遠程GUI可管理防火墻的數(shù)量無限制10個遠程GUI和被管理的防火墻的會話加密加密加密，w/optional e

31、ncryption card遠程GUI平臺支持Solaris, Windows NT, 95, AIX, HP-UXWindows NT事件經(jīng)由SNMP Trap提示支持支持事件經(jīng)由e-mail提示支持支持事件經(jīng)由自定義的腳本提示支持不支持日志/報告計費支持支持日志信息排序支持不支持日志信息過濾支持支持日志文件格式文本格式系統(tǒng)日志格式日志文件輸出格式ASCII文本VPNIPSec加密算法支持DES, Triple DESDES, Triple DESIPSec認證算法支持MD5, SHA-1, CBC-DES-MACMD5, SHA-1IKE支持支持支持其它加密算法支持RC4-40, FWZ-

32、1, DES-40, CAST, CAST-40不支持其它認證算法支持不支持MD5CA效勞器產(chǎn)品支持EntrustNetscape (Entrust and VeriSign)性能100M帶寬情況下延遲時間單位：秒不啟動NAT啟動NAT吞吐率Mbps不啟動NAT6075啟動NAT4575可擴展性系統(tǒng)擴展只需要增加相應(yīng)的模塊即可系統(tǒng)擴展需要更換設(shè)備可升級性軟件可升級方便、維護簡單硬件升級比擬復(fù)雜互操作性同路由器可管理3Com、Cisco、Bay路由器的平安規(guī)那么僅可同Cisco路由器進行互操作價格公開報價人民幣報價7.4萬約15萬Check Point FireWall-1安裝配置手冊FireW

33、all-1安裝安裝前的準備網(wǎng)絡(luò)環(huán)境準備為了能使防火順利的安裝配置,在網(wǎng)關(guān)上安裝前必須確定一些問題比方：當前的路由配置，DNS設(shè)置等。路由請按下面的步驟來確認當前的路由配置情況：從要內(nèi)部網(wǎng)絡(luò)可信任網(wǎng)絡(luò)的一個主機經(jīng)由網(wǎng)關(guān)向外部網(wǎng)絡(luò)不信任網(wǎng)絡(luò)的路由器發(fā)送一個ICMP包使用ping命令；從要內(nèi)部網(wǎng)絡(luò)可信任網(wǎng)絡(luò)的一個主機經(jīng)由網(wǎng)關(guān)向向Internet網(wǎng)絡(luò)發(fā)送一個TELNET命令，確認能到達Internet主機；從Internet主機向內(nèi)部網(wǎng)絡(luò)的主機發(fā)送TELNET命令。如果任何一個測試沒有成功，請查明原因再進行下一步。IP轉(zhuǎn)發(fā)對于NT，翻開“Advanced TCP/IP Configuration中的“

34、IP Enable Routing選項。DNS確認您的DNS能正常工作，最簡單的方法是讓您的內(nèi)部一臺機器用瀏覽器瀏覽Internet上的某個著名的站點。如果不能正常連接，這說明DNS效勞是無效的，請在解決這個問題后繼續(xù)下一步的操作。IP地址確認網(wǎng)關(guān)上所有網(wǎng)卡的IP地址的定義情況，當您配置防火墻的平安策略是您需要這些信息,如果您安裝的是單網(wǎng)關(guān)產(chǎn)品你還需要知道外網(wǎng)卡(與Internet相連接的網(wǎng)卡)的名稱。NT上用ipconfig /all查看IP地址的有關(guān)信息。注意：在NT上用“-來隔離MAC地址的字段。網(wǎng)關(guān)確認網(wǎng)關(guān)的外網(wǎng)卡對應(yīng)的網(wǎng)關(guān)IP地址，可在lmhosts里查找。這可以使在網(wǎng)關(guān)上定義一個網(wǎng)

35、絡(luò)對象時，在“Workstation Properties中單擊“Get Address時得到它的IP地址。如果沒有正確配置，ISAKMP/OAKLEY加密功能將不能正常工作。FirWall-1的部件配置確定需要安裝哪些FireWall-1的模塊，并確定在每一個計算機上要安裝的FireWall-1組件。連通性確認所有要安裝防火墻模塊的主機包括GUI 客戶端都是連通的，可以通過主機之間互相發(fā)出的ping命令來確認所有的主機是連通的。如果在安裝防火墻時不做這些工作，那么在安裝了防火墻后一旦出現(xiàn)連通性方面的問題你將不能確定問題的根源在那里。你可以節(jié)省很多時間去調(diào)試FireWall-1，就僅僅為了發(fā)現(xiàn)

36、連通性的問題。注意：如果你以前已經(jīng)安裝了防火墻請停止它們包括圖形控制界面。配置需求FireWall-1GUI Client最小安裝的硬件配置需求操作系統(tǒng)Windows95 或 WindowsNT硬盤空間20兆內(nèi) 存16兆網(wǎng) 卡該操作系統(tǒng)支持的所有網(wǎng)卡FireWall-1 Management server最小安裝的硬件配置需求硬件平臺Sun SPACE-based systemIntel x86 or PentiumHP PA-RISC 700/800RS6000 PowerPC操作系統(tǒng)WindowsNT(Intel only)Solair 2.5 或更高版本硬盤空間20兆內(nèi) 存管理模塊最少需

37、要32兆，建議使用40M網(wǎng) 卡該操作系統(tǒng)支持的所有網(wǎng)卡FireWall-1防火墻模塊最小安裝的硬件配置需求硬件平臺Sun SPACE-based systemIntel x86 or PentiumHP PA-RISC 700/800RS6000 PowerPC操作系統(tǒng)WindowsNT(Intel only)Solair 2.5 或更高版本硬盤空間20兆內(nèi) 存16兆網(wǎng) 卡該操作系統(tǒng)支持的所有網(wǎng)卡一步一步的安裝在Windows NT下從CD-ROM安裝FireWall-1軟件模塊，請按以下步驟進行：第一步：在Windows下翻開“文件菜單，選擇“運行。第二步：輸入Windows路徑下運行“se

38、tup程序。第三步：在“Select Components窗口中選擇要安裝的FireWall-1組件如圖4-1。圖4-1第四步：如果以前您已經(jīng)在您的計算機中安裝了 FireWall-1 安裝程序?qū)⑻崾臼欠裆壔蚋采w現(xiàn)有的系統(tǒng)如圖4-2。在整個安裝過程中，臨時文件和目錄將會保存在有環(huán)境變量所指定的路徑下。圖4-2注意：如果你的計算機中已經(jīng)有FireWall-1在運行中，它將會自動終止。在安裝完成后必需重新啟動FireWall-1，配置平安規(guī)那么。如果選擇升級安裝，那么以前所定義的對象和平安策略將被保存，如果選擇覆蓋安裝，以前所定義的對象和平安策略將被刪除。第五步：在“Choose Destina

39、tion Location窗口中選擇要安裝的路徑如圖4-3。圖4-3可以通過“Browse按鈕選擇和默認路徑不同的路徑。注意：如果FireWall-1的安裝路徑和“Choose Destination Location所指定的默認路徑不同，就必需設(shè)置環(huán)境變量“FWDIR，使其指向安裝FireWall-1的路徑。如果不進行設(shè)置，將影響“fwinfo調(diào)試工具的功能。圖4-4第六步：選擇“next按鈕繼續(xù)安裝。第七步：在“Select Product Type窗口中，選擇要安裝的FireWall-1組件如圖4-4。按照下表選擇要安裝的產(chǎn)品。要安裝的FireWall-1產(chǎn)品選擇項FireWall-1

40、Enterprise CenterVPN-1 & FireWall-1 Enterprise productFireWall-1 Network security centerFireWall-1 Internet GatewayVPN-1 & FireWall-1 single Gateway productFireWall-1 Internet Gateway/nFireWall-1 Enterprise security consoleVPN-1 & FireWall-1 Enterprise Management productFireWall-1 FireWall ModuleVPN

41、-1 &FireWall-1 FireWall moduleFireWall-1 FireWall Module/nFireWall-1 Inspection ModuleFireWall-1 inspection moduleFireWall-1 Inspection Module/n要安裝的VPN-1產(chǎn)品選擇項VPN-1 Enterprise Encryption CenterVPN-1 & FireWall-1 Enterprise productVPN-1 Enterprise Security centerVPN-1 Global Security CenterVPN-1 Gatew

42、ay/nVPN-1 & FireWall-1 single Gateway productVPN-1 Enterprise security consoleVPN-1 & FireWall-1 Enterprise Management productVPN-1 ModuleVPN-1&FireWall-1 FireWall module單擊“next進行下一步的安裝。第八步：如果要安裝FireWall-1 Enterprise Center，將出現(xiàn)選擇安裝模塊的對話框如圖4-5。圖4-5假設(shè)安裝防火墻模塊，選擇“FireWall Module；假設(shè)安裝管理效勞器，選擇“Management

43、Server。第九步：如果選擇“FireWall-1 FireWall Module產(chǎn)品，將提示選擇指定的產(chǎn)品如圖4-6。圖4-6第十步：如果選擇“FireWall-1 Inspection Module產(chǎn)品，將提示選擇指定的產(chǎn)品如圖4-7。圖4-7第十一步：增加license如圖4-8所示。圖4-8第十二步：添加新的license請點擊add將彈出如圖4-9的對話框。圖4-9輸入licenses數(shù)據(jù)，單擊“OK。注意：如果你只須要運行Window GUI Client，不需要輸入license。增加license對話框中各項說明：工程說明Host你申請licenses 所使用的主機IPFea

44、ture您申請licenses的特性說明，有空格分開。例如：pfm routers control encryptionKey License。例如：7ffe25da-bff63481-36a8b7b3第十三步：點擊next繼續(xù)下一步的安裝。第十四步：指定管理員對話框如圖4-10。圖4-10指定可以經(jīng)由GUI客戶端管理防火墻的管理員，管理員可以通過GUI客戶端和所安裝的管理效勞器進行通訊。注意：至少必需定義一個管理員，否那么將不能和管理效勞器進行通訊。第十五步：單擊“add增加一個管理員，彈出“Edit Administrator對話框，如圖4-11所示。圖4-11第十六步：輸入“Admini

45、strator Name和“Password最多可以輸入8個字符，口令須要輸入兩次。第十七步：從下拉菜單中選擇選擇管理員的權(quán)限“Permission。第十八步：單擊“next進行下一步的安裝。第十九步：指定GUI Client，這樣管理員可以通過遠程計算機使用GUI Client管理所安裝的管理效勞器。注意：如果沒有定義GUI Client，僅可以通過和管理效勞器安裝在同一個主機的GUI客戶端來管理管理效勞器如圖4-12所示。輸入GUI客戶端的名字，單擊“add按鈕，把GUI客戶端增加到列表中去。要刪除列表中的GUI客戶端，選中后單擊“remove按鈕。圖4-12圖4-13第二十步：如果僅僅在

46、一個主機上安裝了防火墻模塊，必須指定它的“Master，這樣所有的日志和報警將被發(fā)送到“Master，也可以通過“Master，防火墻模塊可以維護它的平安規(guī)那么如圖4-13。第二十一步：輸入主機名，單擊“add按鈕增加主機到“Master列表中如圖4-14?？梢暂斎肴魏螖?shù)量的“Master，防火墻模塊將使用列表中能建立連接的第一個主機，所以列表中主機名字的順序是很重要的。要移動列表中的“Master，選中它后上移按“Up，下移“Down。當增加一個“Master時，需要指定“Master管理模塊和防火墻模塊之間進行通訊的認證口令。這個口令和在“Master上發(fā)出的“fw putkey命令的口令

47、完全一樣。圖4-14第二十二步：輸入兩次口令，按“OK確定。圖4-15第二十三步：在圖4-13中按“next，進行下一步的安裝。如果在本地安裝了一個管理模塊，必須指定遠程的防火墻模塊如圖4-15所示，防火墻模塊上，該“Master被定義為管理模塊。第二十四步：輸入主機名，單擊“Add按鈕，將增加該主機到遠程防火墻模塊列表中。第二十五步：當增加一個遠程的防火墻模塊時，必須指定在管理模塊和遠程防火墻模塊之間的通訊的認證口令。這個口令和從遠程被保護主機上發(fā)出的“fw putkey命令所使用的口令一樣。第二十六步：單擊“Next進行下一步的安裝。對于單網(wǎng)關(guān)產(chǎn)品僅FireWall Module/n和In

48、spection Module/n產(chǎn)品需要配置外部網(wǎng)卡如圖4-16所示。圖4-16第二十七步：指定外網(wǎng)卡名稱如圖4-16所示，而不是它的IP。在命令行方式下用ipconfig觀察網(wǎng)卡的名稱，網(wǎng)卡的名稱會在第一行中描述。例如：在第一行會顯示：Ethernet Apapter E159x1網(wǎng)卡名為 E159x1第二十八步：指定在網(wǎng)關(guān)上是否需要FireWall-1進行IP 轉(zhuǎn)發(fā)。如果不允許FireWall-1控制IP轉(zhuǎn)發(fā)，那么當沒有加載平安策略時例如系統(tǒng)重新啟動，系統(tǒng)將不能被防火墻保護。配置IP轉(zhuǎn)發(fā)如圖4-17所示。圖4-17第二十九步：單擊“next進行下一步的安裝。第三十步：指定SMTP平安效勞

49、器的參數(shù)如圖4-18所示。圖4-18第三十一步：單擊“next進行下一步的安裝。第三十二步：按“Key Hit Session如圖4-19所示窗口的提示生成隨機密鑰。圖4-19每個字符之間延遲幾秒鐘，不要連續(xù)兩次鍵入同樣的字符，并且盡可能變換字符間的延遲。第三十三步：為本機生成key如圖2-20。圖2-20這是個RSA的key，該主機用來生成通訊用的數(shù)字簽名和認證。這樣，該主機就具有證書授權(quán)的能力。第三十四步：單擊“finish結(jié)束配置過程。第三十五步：現(xiàn)在您已經(jīng)完成了防火墻的安裝。如果現(xiàn)在沒有配置這些選項，以后可以運行FireWall-1的配置程序。FireWall-1卸載要卸載FireWa

50、ll-1，雙擊FireWall-1程序組中的Uninstaller即可。停止FireWall-1運行有三種方法可以停止FireWall-1的運行。卸載平安策略這種方法僅留下狀態(tài)檢測模塊，但是平安策略是空的。此時防火墻仍然有效，但是它所導(dǎo)致的結(jié)果是接受所有的數(shù)據(jù)包，并沒有日志發(fā)生。停止狀態(tài)檢測一、“Control Panel程序組中選擇“services；二、選擇“FireWall-1 daemon；三、選擇“stop。雖然通過這種方法可以停止FireWall-1的運行，數(shù)據(jù)包還會通過FireWall-1，但是不做任何處理。屏蔽FireWall-1一、在“Control Panel程序組中選擇“

51、Devices；二、選擇“FireWall-1；三、單擊“Startup；四、選擇“Disable五、重新啟動計算機。重新啟動后計算機后，防火墻將停止運行。重新配置FireWall-1運行FireWall-1的管理管理配置程序可以重新配置FirWall-1。典型配置案例工程簡介及工程要求：拓撲圖工程具體要求如下：內(nèi)網(wǎng)(1、2、3、4)是受到保護的，不能受到INTERNET 的訪問；內(nèi)網(wǎng)和WWW效勞器、MAIL效勞器可以訪問INTERNET ；內(nèi)網(wǎng)和WWW、MAIL可以相互訪問；WWW、MAIL效勞器是對外效勞的地址，任何人員均可以進行訪問只限相應(yīng)的效勞。FireWall-1安裝過程及考前須知：

52、注意在產(chǎn)品安裝之前一定要檢查網(wǎng)絡(luò)的通暢性，包括內(nèi)網(wǎng)及外網(wǎng)，否那么影響CHECK POINT的后期檢查工作。進入安裝CHECK POINT 光盤，進入windows目錄，選擇setup進行產(chǎn)品的安裝這個選項可以同時安裝放火墻模塊、GUI管理界面，Management管理模塊；根據(jù)系統(tǒng)提示選擇安裝路徑等等；在模塊安裝選擇是選擇第二項，即防火墻模塊單網(wǎng)關(guān)產(chǎn)品；根據(jù)系統(tǒng)提示選擇安裝路徑；安裝完防火墻模塊時系統(tǒng)提示注冊license的提示，根據(jù)從網(wǎng)上注冊的LICENSES許可協(xié)議進行注冊，請注意license一定要保存好；添加系統(tǒng)管理員以對系統(tǒng)進行維護，請注意，系統(tǒng)管理員的密碼一定不要少于4位且一定要保管好；圖形控制界面GUI，管理模塊配置Masters Configuration，遠程防火墻模塊不必進行安裝，因為本產(chǎn)品是單網(wǎng)關(guān)產(chǎn)品；在下一步中要指定外網(wǎng)卡的名稱，注意不是IP，如果不知道外網(wǎng)卡的名稱可以用ipconfig，進行查看；在IP Forwarding 中選擇Control IP Forwarding(允許IP轉(zhuǎn)發(fā))；在SMTP