Checkpoint防火墙(一)
一、介绍
当各种企、事业网络与Internet相联之后,其安全性就成为一个至关重要的问题。防火墙随之应运而生,它是一个加强机构网络与Internet之间安全访问的控制系统。
Checkpoint防火墙作为防火墙产品中的集大成者,在金融领域被企业广泛使用。它相较于传统防火墙的最大不同点在于拥有可视化界面,可以通过web界面来操作防火墙;另一方面,在CP(以下都将checkpoint简称CP)防火墙上集成了WAF,IPS,AV,等安全应用,极大方便了对企业的安全运维管理。与友商的产品对比的话,很多产品都是以区域来划分不同安全等级作防护,而对于CP防火墙,它主要是以对象为单位,通过策略来控制网络对象来作防护,在这里,它的对象可以是一台终端,可以是一个网段,也可以是一个区域,这样的话,对于网络策略更加细化,更加方便梳理策略。
二、安装
CP防火墙有专门的设备,也可以在普通服务器上部署。在这里我们主要以在普通服务器上部署为基础来讲,首先拿到CP的镜像包,他的安装方式有点类似于linux系统的安装,一步步点下去就可以了。CP防火墙有一套自己的系统,叫做Gaia,基于linux二次开发的。然后在CP防火墙软件就部署在GIGA上面,现在主流的版本是R77,R80。
安装步骤:略(以后再写)
三、使用、操作
1、下面是SA与SE需要完成的操作:
SA
1.1 熟悉gaia的web界面,尝试添加角色和用户
1.2 安装并使用smartconsole
2.1 创建安全策略,添加目标主机或网络
2.2 https检测,下发证书,以及旁路检测
2.3 配置动态NAT和静态NAT
2.4 在smartconsole添加不同权限的用户来登录console
2.5 安装并管理远程防火墙网关
2.6 管理系统备份(在web界面上设置定期备份,可以通过console来设置以哪种方式来备份),命令行本地备份
3.1 按不同类别来创建策略表(基于五元组的控制,基于应用和URL过滤控制,根据数据内容来控制,根据移动接入控制)
3.2 配置基于应用和URL过滤策略
3.3 建立共享策略和内联策略(先匹配上普通规则后,再根据动作匹配内联策略)
4.1 启用合规检测模块
4.2 导入license,绑定license,通过license来激活某些模块
5.1 查看日志
5.2 维护日志 ,避免日志文件过大,设置日志文件大小
6.1 配置点到点的VPN
7.1 进一步配置认证用户访问
8.1 配置集群
9.1 验证网络合规
9.2 使用cpview 命令查看防火墙的基本信息
SE
1.1 R77升级到R80(先迁移数据,然后安装新版本的SMS,在用脚本将数据导入到新的SMS,重新下发策略)
1.2 给系统打补丁
1.3 配置集群网关
1.4 使用一些常用的命令操作CLI命令行
1.5 查看防火墙的规则链
1.6 手动设置NAT(需设置ARP修改mac)
2.1 通过命令行来操作smartconsole
3.1 部署备份的SMS服务器
3.2 配置VRRP
4.1 配置secureXL
4.2 配置coreXL
5.1 评估威胁,开启事件监控
6.1 配置移动接入(如SSL vpn)
7.1 理解IPS原理
7.2 部署IPS地区保护
7.3 查看威胁预防设置和保护的原理
7.4部署威胁模拟和威胁提取分析
2、常用后台命令
一、cpview 查看网关状态,cpu情况,blade情况,以及历史状态【cpview -t 21.7.2020 10:00:00】,按【C】可导出当前状态为一个文件,按【R】可设置刷新频率。
二、命令行添加用户
add user sam uid 200 homedir /home/sam
set user sam newpass 123456
add rba user sam roles adminrole
三、本地备份和恢复
add backup local
show backup status
恢复:
cd /var/log/CPbackup/backups && set backup restore local ./backup_**.tgz
四、抓包
fwaccel off
fw monitor -o **.pcap
或者
tcpdump -i eth0 icmp -w **.pcap
五、查看链表
fw ctl chain
六、设置接口IP
Set interface eth1-02 ipv4-address 192.168.1.1 subnet-mask 255.255.255.0
七、删除/添加静态路由
set static-route 10.1.1.0/24 nexthop gateway address 192.168.1.1 off
set static-route 10.1.1.0/24 nexthop gateway address 192.168.1.1 on
八、设置聚合端口
add bonding group 10
set bonding group 10 mode 8023AD
set bonding group 10 lacp-rate slow
set bonding group 10 xmit-hash-policy layer2
九、关闭接口
Set interface eth2 state off
十、删除接口IP配置
delete interface eth1-01 ipv4-address
十一、将指定接口添加到聚合口
add bonding group 10 interface eth1-01
十二、在聚合口设置子接口和vlan
add interface bond10 vlan 2
set interface bond10.2 ipv4-address 10.86.128.251 mask-length 24
十三、拉取策略表
Api start
$MDS_FWDIR/scripts/web_api_show_package.sh -k Standard
十四、新建主机对象
mgmt login user admin
mgmt add host name 'T001' ip-address '10.10.10.1'
十五、新建网段对象
mgmt add network name N001 subnet 10.10.10.0 mask-length 24
十六、新建组对象
mgmt add group name 'G001'
十七、将网络对象添加到组
mgmt show group uid "名字"
mgmt set group uid a95184f1-9d20-4014-b6a3-32e8b6ed3ae0 members.add T001
十八、所有以上有关mgmt的操作最后都需执行下面命令
mgmt publish
3、访问策略操作
4、下面是cp中常见的高频词汇:
assignment 布置,赋值
cable 线
appliances 设备,器具
theory 理论
layout 布置
concepts 概念
implement 实施
SMS:SubscriberManagementSystem 用户管理系统
specified 指定
portal 入口
Blade 刀片
criteria 标准
initiated 已启动
permission 权限
preceed with caution 小心行事
prompt 提示
prevent 预防
disabling 禁用
sufficient privilege 足够的权限
tour 访问
compare 编译
revision 修订
examine 审查
validation 确认
property 属性
wizard 向导
anti-spoofing 反欺骗
retrieves检索
anti-bot 反外挂
bypass 旁路
navigate 导航
concurrent 并发
expire 过期
illustrate 举例说明
注:如需要SA,SE书籍的可以邮箱联系我要。
