双checkpoint防火墙实施方案

双checkpoint防火墙实施方案内容摘要：

Backup Address:IP????(虚拟 IP 地址 ) Monitor Interface:eth2c0(这里选择的是要监控的端口，即 DMZ) Priority Delta:16 点击 APPLY，完成设定第一个监控端口 Monitor Interface:eth3c0(这里选择要监控的端口，即内网 ) Priority Delta:16 点击 APPLY，点击 SAVE完成设 定第二个监控端口 DMZ： eth2c0 IP?????? Priority:240 Hello interval:2 Backup Address:??????? (虚拟 IP 地址 ) Monitor Interface:eth1c0(这里选择的是要监控的网口，即外网口 ) Priority Delta:16 点击 APPLY，完成设定第一个监控端口 Monitor Interface:eth3c0(这里选择要监控的端口，即内网 ) Priority Delta:16 点击 APPLY，点击 SAVE完成设定第二个监控端 口 内网： eth3c0 IP???? Priority:240 Hello interval:2 Backup Address:IP ?????(虚拟 IP 地址 ) Monitor Interface:eth1c0(这里选择的是要监控的网口，即外网口 ) Priority Delta:16 点击 APPLY，完成设定第一个监控端口 Monitor Interface:eth2c0(这里选择的是要监控的端口，即 DMZ) Priority Delta:16 点击 APPLY，点击 SAVE完成设定第二个监控端口 虚拟的 MAC 地址缺省情况下使用 VRRP 模式，设备会以 VRRP Router ID 为基础为虚拟 IP分配一个虚拟的 MAC 地址 3． 测试与状态检测 在 Voyager的 Monitor页面下的 Routing Protocols 下的 VRRP里，可以检测当前设备的 VRRP状态，如下图所示： IP380A IP380B 初始化 checkpoint Nokia IP380 出厂的时候就已经安装好 checkpoint，所以在 Nokia 平台下新的机器并不需要重新安装 checkpoint，只需把 checkpoint 初始化即可。 如 果客户有最新的 checkpoint 安装包 for Nokia 平台，可以重新安装最新的 checkpoint 安装包 在 nokia 平台上 checkpoint 的安装与卸载 新出厂的 nokia 机器可以不需要重新卸载 checkpoint 和安装 checkpoint，初始化 checkpoint即可，这一章节可以跳过，直接访问 进行初始化。 a． 卸载 如果客户以前测试过 checkpoint，或者客户想重新安装 checkpoint，可以先在 nokia web 界面上先卸载 checkpoint。 1． 进入 configuration interface，点击 manage installed packages 进入管理 package 界面。 2． 设置 Check Point VPN1 NG with Application Intelligence 为 off 设置 Check Point CPinfo NG with Application Intelligence 为 off 点击 apply 停止以上软件包 3． 设置 Check Point SVN Foundation NG with Application Intelligence 点击 apply 停止 SVN 软件包 注意 SVN 软件包必须在其他所有软件包都在 off 的状况下才能正常 stop，所以要先 off 所有软件包，点击 apply 之后，才能在 off SVN 软件包，最后再 apply。 如图 4． 在 manage installed packages 点击 delete packages 5． 所有 checkpoint 开头的组件设置成 delete，然后点击 apply，如下图 6． 等待一阵后回到 manage installed package 后，可以看到所有 package 均被 delete，如下图 7． 在 console 上使用命令 ls /var/opt 没有任何的文件或文件夹留下， ls /opt 没有任何 CP开头的文件夹，说明已经卸载成功了。 b． 安装 如果客户有最新的 checkpoint 安装包，而客户又是新安装的 Nokia 机器，建议使用 Manage Installed Packages 来对 checkpoint 进行安装。 我们预先把起一台 ftp 服务器，并把 checkpoint 的安装包放到 ftp 服务器上。 1． 使用浏览器登陆到 nokia configuration interface 界面，点击 manage installed packages 进入。 2． 点击 ftp and install packages 进入安装界面，如下图所示 3． 输入 ftp 地址，路径，用户名和密码，然后按 apply 键 这里 ftp 地址为 :??????? ftp 路径为 :/ 用户名 :ftp 密码 :ftp 4． 在 list 列表上选择要安装的 checkpoint 包，然后点击 apply 5． Checkpoint 包会通过 ftp 的方式下载到 Nokia 上，看到提示 download successful后选择要安装的包，然后点 apply 安装 6． 点击 Click here to install/upgrade /opt/packages/ 进行安装，选择install ＝ yes 如下图 ,点击 apply 7． 在 console 打入命令 tail /var/log/messages,如果 console 出现下图情况，则表明已经安装成功。 8． 回到 manage installed packages 可以看到所有 package 都已经 install， checkpoint fw1 和 SVN Foundation 的状态是 on 的 ,如下图所示 9． 初始化 checkpoint 要使 checkpoint 能正常工作，必须对 checkpoint 进行初始化。 由于两台 Nokia 是跑 HA模式，所以 smartcenter 必须要装在外部，不能和 enforcement module 安装在一起，步骤如下： 1． 使用超级终端推出 console，重新登陆 console，运行命 令 cpconfig，如下图 2． Accept license 之后，就可以选择 checkpoint 的产品，如果是买了 checkpoint enterprise版的请选择 1，如果是买了 checkpoint express 的请选择 2 由于 XXXXXX 购买的是 checkpoint enterprise，所以选择 1 3． 在选择 checkpoint 产品之后，会来到安装方式选择，这里有两个选项 Stand Alone ：单独安装，即 smartcenter 和 enforcement module 都安装在同一个设备中 Distributed :分布式安装，即只选择 smartcenter 或者 enforcement module 其中一个安装。 由于 XXX 使用高可用性配置模式，所以这里选择 2 分布式安装 4． 当选择分布式安装后，系统会提示安装哪个 checkpoint 组件，如下图所示 我们只选择 1， vpn－ 1 pro gateway 进行安装 5． 选择 checkpoint 组件后，系统提示是否打开状态同步功能，填入 y 回车继续 6． 完成同步状态功能的选择后，系统会提示是否添加 license，一般 checkpoint 没有 license的情况下都有 15 天的试用期，所以这里不用输入 license 也可以使用，填入 n，然后回车 7． 键入一个随机队列，用于生成用于加密的种子 8． 系统会要求键入 SIC password，这个 password 用于 enforcement module 和 management server 的安全连接，在以后设置 smartcenter 的时候，添加 checkpoint gateway 输入的 sic 需要和这个密码相同才能建立 SIC 连接。 设置界面如下图 ,这里填入 sic password为 123456 9． 最后系统提 示重新启动机器，按 y 重启机器， checkpoint 在 nokia 上初始化完成。 第三章 管理服务器的安装与配置 管理服务器 smartcenter 在 HA 的环境中是储存了所有的 checkpoint 的配置和策略。 所以管理服务器在一个 checkpoint 的配置环境中是属于核心配置，虽然管理服务器不参与客户数据的流动，因为策略只能从管理服务器安装到 enforcement，不能从 enforcement 返回到管理服务器，所以一旦管理服务器损坏，客户将丢失所有防火墙的配置权，策略必须重新定义。 smartcenter 的安装 安装前的准备 cpu 奔腾 3 500 以上， 256 内存以上，硬盘 5g 以上 win2020 server ＋ sp4 需要 winzip 或者 winrar 软件安装 checkpoint NG AI R55 安装包 for windowns 安装步骤 1． 解压缩安装包，点击 进入安装界面 2． 点击 next 后，会进行产品选择 这里有 2 个选择 check point enterprise/pro check point express 在 XXX 这个案件中，我们选择 check print enterprise/pro 点击 next 3． 然后会进行安装选项选择，这里选择 new installation 点击 next 4． 然后到组件选择界面。 这里主要选择安装那一类型的 checkpoint 产品，注意， smartcenter和 secureremote/secureclient 是不能同时安装在统一台机器上 由于在 XXX 的两台 nokia 只是做高可用，所以这里只是需要安装管理服务器和 gui即可，如下图所示 点击 next 继续 5． 选择安装 smartcenter后，系统会询问是安装成 primary smartcenter还是 secondary smartcenter。 Checkpoint 是支持 smartcenter 的高可用性，可以使用两个 smartcenter 进行备份。 另外一个选项是安装成单独的 log server，只是作为单独的 log 记录，不进行策略管理。 在 XXX 这个案件中，我们选择 primary smartcenter，如下图所示。 点击 next 开始安装 6． SVN Fandation 默认安装在 c:\programe files\checkpoint\cpshared 目录下，也不能进行修。