CHECKPOINT安装配置中文手册.pdf

安装配置CHECKPOINT 防火墙 大纲 一、首先明确两个概念 二、VPN/FW Moudule 或者 Managerment Server 在 WINDOWS 上安装的最小需求 三、GUI Client 在 WINDOWS 上安装的最小需求 四、安装之前的准备工作 五、安装软件总过程 六、配置防火墙总过程 七、具体安装过程 八、安装Licenses 九、启动GUI ，定义网络对象 十、定义安全策略（Rule Base ） 十一、 定义NAT 十二、 创建一个管理员帐号 Administrator 十三、 创建一个GUI Cilent 十四、 Key Hit Session 十五、 Certificate Authority 十六、 Fingerprint （指纹） 十七、 高可用性HA （High Availability） 第1 页，共19 页 一、 首先明确两个概念： 1、VPN/FW Moudule ； 部署在网关上，其安全策略在 Managerment Server 上创建并编译后下载到Moudule 上 执行。它可以安装在多种硬件平台上。它包括两部分：一、检测模块：根据安全策略对所有 通过它的通讯进行检测。二、安全服务器：提供认证和应用层的内容安全。 2 、Managerment Server ： 在Policy Editor GUI 上定义的安全策略，最后保存在Managerment Server 上。它的主要 工作是维护CHECK POINT 数据库，包括：定义的网络对象，定义的用户，LOG 文件 等。 二、 VPN/FW Moudule 或者 Managerment Server 在 WINDOWS 上安装的最小需 求： 1、操作系统：NT 、WIN2000 2 、CPU ：PII300 以上 3、硬盘剩余空间：40M 4 、内存：128M 三、 GUI Client 在 WINDOWS 上安装的最小需求： 1、操作系统：WIN9X 、WIN ME 、WIN NT4+SP6 、WIN2000professional 2 、硬盘剩余空间：40M 3、内存：128M 四、 安装之前的准备工作 1、在安装 VPN-1/FW-1 的计算机去掉不需要的服务，例如：NETBEUI 、FTP 、HTTP server 2 、保证内网、外网、DMZ 区都能互通（ping ） 3、关闭WINDOWS 上的 IP Forwding ，该功能由VPN-1/FW-1 来控制。 4 、验证DNS ：在内网浏览一个外部知名网站，能访问即可。 5、定义IP 地址：记下准备分配给计算机各网卡的IP 地址备用。（在计算机的DOS 状态下 键入 config /all，即可显示各网卡的IP 地址） 6、确 认网关计算机名与外网卡的 IP 地址相对应（ 可以查看计算机 \system32\drivers\etc\lmhost.asm ）目的是为了确保在把网关定义为一个网络对象时（见 二、1、）通过点击 get address 时，可以自动获得IP 地址，如果不能获取，IKE 加密过 程会不正常。 7、决定在那台计算机上下列安装软件（module 、management server 、GUI ），如果是安装单 网关产品，module 、management server 、GUI 可以安装在同一台计算机上，当然GUI 也 可以安装在另一台计算机上进行远程控制。 8、确认计算机的操作系统软件版本和平台与VPN/FW 组件相对应 9、如果安装前已经有VPN/FW 在本机上运行，那么，把他们退出运行（包括GUI ） 第2 页，共19 页 五、 安装软件总过程 1、在安装软件（module 、management server ）之前把计算机从网络上断开，安装完毕再接 入网络中 2 、在网关设备/计算机上安装VPN/FW module 3、在management server 上安装VPN-1/FW-1 4 、在管理工作站上安装GUI Client 5、以上过程安装完毕之后，把他们接入到网络中去，并验证他