Checkpoint操作手册.docxVIP

Checkpoint操作手册文档Smart Dashboard登录smart center如果是刚下发规则、首次登陆可能会提示你等几分钟，这时你只要多登陆几次就可以了。（这里补充一句，checkpoint的任何更改都要在下发规则后才会生效）功能介绍登陆成功后就是下图这个界面。我们主要用到的就是check point、nodes、network这三个。Check point就是我们的防火墙、nodes是节点---即一台具体的主机：如ftp或web服务器。Network是定义的网段，有自己内外网段、也可以定义对端的内外网段（如site-to-site vpn 对端的内外网段）Checkpoint属性双击checkpoint对象打开它的属性界面。基本上针对checkpoint对象的配置都在这个界面完成：如软件刀片模块的启用、网络拓扑、vpn、日志等。更新网络拓扑一般我们在web界面修改完端口ip后都要在这里更新网络拓扑，然后再下发规则。（修改端口ip的话一般是先修改管理端口以外的端口ip，然后再从修改好了的端口web进去改之前的那个管理端口ip：例如先从wan口web进去改lan口ip、下发规则后再从lan口web去改wan口的ip）还可定义端口是外口还是内口Nodes对象右击Nodes新建一个节点：例如新建内部一台ftp服务器节点，名称ftp、ip地址为ftp服务器的ip地址，如果你想把这台服务器发布出去的话，只要在下面的nat选上add automatic address translation rules即可。网段Network如果你的内部局域网有多个网段，点network右击新建网段、如下图定义好各个内网网段即可。开启NAT功能定义好内网段后还不能上网，我们需要开启nat功能并下发规则。如下图：（如果还不能上网，可能是你没有在web界面定义默认理由）安装策略配置完任何firewall防火墙规则，都需要安装策略，否则规则不会生效。在web界面的更改同样也要下发。SmartView TrackerSmartview tracker 登录功能界面介绍Networkendpoint：记录网络安全日志，可根据功能分类查看、日志包括源、目的、服务、时间、动作、描述。Management：记录操作checkpoint日志SmartView monitor登录smartview monitor界面介绍可根据端口、服务、网段、源，来查看具体的流量。Traffic---Top servicesTraffic---Top InterfacesTraffic---Top souresCheckpoint网关gateway模式网络拓扑图配置步骤：登录SmartDashboard新建网段对象将定义为内网网段inside将定义为公网网段outside开启NAT功能双击inside，到NAT，将add automatic address translation打上钩，确定建立防火墙规则防火墙firewall建立规则，允许源地址到目标地址任何服务安装规则运行install policies客户端配置PPPOE拨号在checkpoint的console口命令行中，增加下面语法[Expert@cp]# mknod /dev/ppp c 108 0（重启设备后，这条命令会丢失，需要在启动脚本里增加）[Expert@cp]# vi $CPDIR/tmp/.CPprofile.csh（在脚本里增加此命令）在最后增加一行内容是mknod /dev/ppp c 108 0保存，重启设备web界面新建pppoe拨号External接口接到moder，internal接到交换机External接口需要自动获取ip地址（adsl线路是动态，获取到的公网ip地址是动态。）如果adsl是固定ip，External接口需要手动填写固定ip地址新建pppoe拨号拨号成功注：checkpoint拨号时候要注意，用华为moder时候，会出现不兼容现象。与中国电信商务领航moder结合使用正常checkpoint桥接bridge模式登录checkpoint的web管理界面将两个接口加入桥接bridge接口配置桥接时，必须把参与桥接的端口ip去掉才能加入桥。新建bridge，如下图：新建桥把Extermal和Internal添加到桥ISP双链路接入配置网络拓扑：Isp-1线路 21 Isp-2线路 登陆Checkpoint web界面配置接口ip地址Isp-1 分配到External 接口 21 Isp-2 分配到Lan1接口 Internal接口 是内网网关增加两条isp的默认路由isp-1 线路的网关isp-2 线路的网关登陆smartd