Check Point SMB 操作手冊

Check Point SMB
操作手冊

目錄
準備 3
初始化 4
配置IP 4
初始化 5
Check Point 1100 Web配置 13
初始化到獨立式 13
配置IP，路由 13
開啟功能 16
配置策略 16
查看日志 17
Check Point 1100 SC配置 19
初始化到分布式 19
連接到Smart Center 21
開啟功能模塊 25
配置下發(fā)策略 26
應用控制介紹 27
IPS介紹 27
S to S的×××和 遠程××× 28
建立S to S的***。 28
配置案例 29
600與R75。40×××配置問題的解決方法 37
建立遠程××× 38

準備
首先我們可以看下設備的外觀，大小與小型交換機相符。外觀分為正面板和背面板。
正面板主要用于顯示設備的電源指示燈，狀態(tài)指示等，網(wǎng)絡連接狀態(tài)燈。
背面板主要用于電源插口，外網(wǎng)/內網(wǎng)插口，Console口，reboot按鍵和恢復原廠按鈕。

初始化
配置IP
接通電源后首次開啟設備，用一條網(wǎng)線接入設備的LAN1-LAN8口任意一個端口，把IP配置成DHCP。

配置成DHCP后可以到網(wǎng)卡信息界面查看是否已經(jīng)獲取到IP，如果能獲取到則證明設備已經(jīng)啟動好了。

初始化
接下來我們就通過Web界面對設備進行初始化。首次登陸的地址為：https://192.168.1.1:4434，打開頁面會自動跳轉到初始化界面。
點擊Next進入下一步。在該頁面設定管理員的帳號密碼，選擇所在的國家。

點擊Next進入下一步,設定時間，有兩種方式，背部別為手動和自動，手動設定則為手動設定到指定時間。自動則是通過NTP服務器獲取時間。

點擊Next進入下一步，設定設備的名稱和域名，無域名則不需要輸入。

點擊Next進入下一步，設定設備的使用模式，1100是支持被Smart Center管理的，

目前支持管理1100的設備有Smart Center R77和R75.47。其他版本暫無法完美支持。
（選擇分布式管理，我們使用R75.47對1100進行管理測試）

點擊Next進入下一步，設定外網(wǎng)的連接模式，可以選擇稍后配置完后再進行設定。

點擊Next進入下一步，設置內網(wǎng)的管理IP和是否設定DHCP，包括DHCP的網(wǎng)段設定。

點擊Next進入下一步，選擇是否設定wifi的密鑰和名稱，這里選擇稍后設定。

點擊Next進入下一步，選擇允許通過那些方式訪問設備，可以選擇內網(wǎng)，外網(wǎng)，無線和×××四種方式。除了設定訪問方式還可以指定IP訪問。

點擊Next進入下一步，激活設備有兩種方式，一種為在線激活方法，一種為離線激活方式，也可以直接點擊Next而不激活，將有30天的試用期。

如果直接點擊Next他會提醒您未激活，直接點OK即可。

點擊OK之后要進行配置SIC，由于之前我們選擇的是分布式，所以我們需要設定一個SIC密鑰用于跟Smart Center進行連接，方便Smart Center進行管理。

點擊Next進入下一步，連接SmartCenter，我們可以選擇稍后加入管理。勾選下面的選項點擊Next。

點擊Next后會出現(xiàn)設備的基本信息，確認無誤后點擊Finsh完成初始化。
Check Point 1100 Web配置
初始化到獨立式
獨立式適用于部署一臺設備的辦事處或者企業(yè)。對于一些預算較低的公司可以選擇獨立模式以保證預算。當然，并不是您選擇了獨立式后就不可再進行修改。您可以在初始化是選擇初始化為獨立模式，后期需要添加新CP時再把模式更改為分布式，前提是您需要單獨在購買一臺Smart Center或者安裝一臺Smart Center進行管理。
注：Check Point 2200系列以上則無法在初始化選擇獨立式后再次修改。
注：HA情況強烈建議使用分布式，不使用獨立式。

配置IP，路由
配置設備的IP和DHCP服務器。
首先點擊你需要修改的網(wǎng)絡組進行修改。默認每個網(wǎng)絡組等于一個交換機。在該設備中可以同時建立多個網(wǎng)絡組。最多可以同時建立8個網(wǎng)絡組，針對CP的8個接口做8個網(wǎng)絡組。默認CP初始化完畢后會把8個lan接口劃分到一個網(wǎng)絡組當中，如果需要新建網(wǎng)絡組。則需要先從默認網(wǎng)絡組中把你們需要單獨做網(wǎng)絡組的接口分離出來。接口除了做網(wǎng)絡組也可以接口自身做成一個有IP的接口。在網(wǎng)絡組里面的所有接口的網(wǎng)關都是指向網(wǎng)絡組的ip,而自身做成接口的則按照自身分配的IP座位網(wǎng)關。
例1,做成網(wǎng)絡組：
首先雙擊您需要分離出來的網(wǎng)口，在Assigned處選擇Unassigned。把需要的接口分離出來后，點擊New Switch

在此處選擇你需要加入到該網(wǎng)絡組的接口前面勾選。
設定網(wǎng)絡組的IP地址。

是否開啟DHCP服務器。如果開啟則設定DHCP分配的地址段和保留的地址。

配置完成后點擊Apply完成。
例2,自身做成Switch：
雙擊你需要做成Switch的接口，然后在Assigned to 選擇 Separate Network。
設定網(wǎng)口的IP地址：

是否開啟該網(wǎng)口的DHCP服務器，配置DHCP網(wǎng)段和預留的IP。

路由配置
需要配置靜態(tài)路由選擇Device找到頁面下的Routing選項卡。
點擊New添加路由。

在打開的新增頁面中設定目的地址，源地址，
服務和下一跳，點擊Apply完成新增。

開啟功能
在獨立模式下面開啟功能模塊只需要登陸設備后在設備的Home界面下的Security Dashboard，選擇您需要開啟的功能。在設備購買時都會導入license。導入后沒有購買的模塊將無法被開啟。

配置策略
配置CP的策略。首先需要確認是否是否開啟了開功能模塊?？梢栽谏弦粋€教程中查看開啟方法或者在Acces Policy下選擇Blade Contorl開啟該模塊。在該頁面同時也集成了應用控制和URL控制模塊的開啟和關閉。

在Firewall Policy可以選擇Standard標準模式（攔截所有從外網(wǎng)進來的數(shù)據(jù)）或者選擇Strict攔截模式（攔截所有出去和進來的數(shù)據(jù)），選擇OFF為關閉。
模塊開啟完成后，接下來就可以配置Policy了。選擇Policy界面點擊New進行添加策略。

查看日志
在獨立式中查看經(jīng)過防火墻的日志，點擊Logs & Monitoring查看Logs。
點擊Security Logs查看防火墻的訪問日志。

點擊System Logs查看系統(tǒng)日志

可以在Status中查看到設備的連接信息,包括：
連接到設備的活動PC

×××通道狀態(tài)

活動連接

3Dreport

可以在Scurity Report生成設備下的日志。
點擊Reports Dashboard查看基于每小時，每天，每周，每月的報告。

點擊Hourly Report＼Daily Report＼weekly Report＼monthly Report，選擇Generate Report針生成對設備每小時＼天＼周＼月的運行報告。

Check Point 1100 SC配置
初始化到分布式
點擊Next進入下一步，設定設備的使用模式，1100是支持被Smart Center管理的，
目前支持管理1100的設備有Smart Center R77和R75.47。其他版本暫無法完美支持。
（選擇分布式管理，我們使用R75.47對1100進行管理測試）

點擊OK之后要進行配置SIC，由于之前我們選擇的是分布式，所以我們需要設定一個SIC密鑰或者使用自動認證用于跟Smart Center進行連接，方便Smart Center進行管理。（這里我們選擇第二個，自動認證）

連接到Smart Center
當Check Point 1100被選為獨立模式后。登陸該設備的1100可以發(fā)現(xiàn)界面中少了許多選項。且無法在web下開啟防火墻的功能。開啟功能必須要通過Smart Center進行開啟。

查看1100與Smart Center的連接狀態(tài)可以在Seurity Dashboard中查看是否有被管理?；蛘卟榭锤鶶mart Center連接是否正常。

圖中我們可以看得出目前該設備與Smart Center的連接狀態(tài)為斷開?，F(xiàn)在我們開始對他們進行對接。首先打開Smart Center。在Firewall界面中添加防火墻。

選擇Security Gateway/Management…添加設備。選擇向導模式進行添加設備。

點擊Wizard Mode進行向導模式添加設備。設備名稱寫入Gateway-1100，設備的軟件版本為1100 Appliances。輸入設備的IP地址：192.168.1.12

    點擊下一步，配置設備與Smart Center的連接信息。選擇連接方式。不需要通過SIC進行連接。選擇連接Connect進行連接。連接后狀態(tài)會更換成： 

點擊下一步進入設備功能的開啟。默認只開啟了FireWall功能，其他功能均未開啟?？梢园凑漳徺I的功能模塊開啟相應的功能。

        開啟所需的功能后點擊下一步配置是否內網(wǎng)所有IP都自動進行NAT。

配置完成后最后確認下配置信息

開啟功能模塊
被Smart Center所管理的設備需要開啟功能有兩種方式。
第一種是在添加設備時開啟所需要的功能。

第二種是在Smart Center中打開新增的設備。下方可以進行功能的開啟與關閉。勾選則為開啟，不勾選則為關閉

配置下發(fā)策略
上邊標記處是添加防火墻規(guī)則的按鈕。左邊是定義各種對象的區(qū)域，有防火墻對象，主機對象，網(wǎng)絡對象，以及組對象。右邊Security選項顯示的是規(guī)則庫，顯示當前定義的各條規(guī)則。下面是已經(jīng)定義的所有對象以及他們相應得屬性。

在第一次添加規(guī)則的時候，我們點擊圖中的按鈕，然后在規(guī)則庫中會出現(xiàn)一條默認規(guī)則。
然后我們引用定義好的對象，制訂規(guī)則。見下圖：在圖中我們要添加相應對象，直接在對應欄中點擊右鍵，然后在彈出的對話框中選擇相應對象。

    添加完策略后。需要下發(fā)策略后，該策略才會被應用到設備上面。需要點擊下發(fā)策

略按鈕 才可以被下發(fā)到設備上面。
（應用控制，URL控制，IPS，結合AD域和×××請參考SmartCenter配置手冊。）
應用控制介紹
Check Point的應用控制可以針對一個類型的網(wǎng)站或者應用進行限制。方便用戶在不知道網(wǎng)站或著應用名稱的情況下通過類型確認該應用或網(wǎng)站類型。如淘寶網(wǎng)，天貓，京東，易迅這些購物網(wǎng)站需要禁止只能一個一個添加。而checkpoint則是通過特征碼把一個所有關于購物的網(wǎng)站進行限制。應用和URL控制都是在Fire Wall進行修改。1100把Firewall和策略做到了一個地方。方便用戶修改。

IPS介紹
IPS中文為***防御，可以針對外網(wǎng)來的***進行防御。在Web中選擇Threat Prevention中打開IPS監(jiān)控。默認開啟后不需要做設置就可以攔截80%的***。

S to S的×××和 遠程×××
S to S ***是點到點的×××。針對客戶有兩臺checkpoint防火墻做的×××。他們的加密方式有兩種，分別是通過密鑰和通過證書形式完成加密。
建立S to S的***。
首先需要開啟Site to Site ×××的模塊功能，在×××界面下的Site To Site 中的lade Control中進行開啟。

開啟完成后到××× Site添加站點。打開××× Sites 點擊New 添加×××對端設備。

在界面中我們需要配置對端設備的名稱，IP，密鑰或證書和對方訪問本端的×××網(wǎng)段

設定完成后在另外一段的設備中添加一臺對端的設備。寫入名稱，IP，密鑰或著證書和對端參加×××的網(wǎng)段。設定完成之后可以在××× Tunnle中查看×××建立的狀態(tài)。
配置案例
在配置中需要把設備的默認版本升級到R75.20.40或以上的版本。否則在導入證書時會無法導入。
環(huán)境：
對端是一臺Check Point R75.40用的固定IP，IP為：10.10.10.1，內網(wǎng)的網(wǎng)段為：192.168.1.0。
本端是SMB 620設備版本是R75.20.50，使用ADSL撥號。內網(wǎng)的網(wǎng)段是192.168.168.0
配置步驟：
首先需要通過Smart Center生成一個證書。用于雙方進行認證。在SC下面右鍵點擊Check Point窗口選擇UTM-1 Edge Gateway。

在彈出的窗口中輸入設備的名稱。點擊Edit Registration Key，自動生成一個密鑰，由于620不支持被管理，在這里我們點擊自動生成密鑰，點擊OK。勾選最下方的External Managed Gateway，選擇Topology。

在該頁面的××× Domain中選擇manually defined 在復選框中選擇自身的內網(wǎng)網(wǎng)段。點擊IPSec ×××。

在該界面中生成證書。首先點擊Repostory Of Certficates Available to the Gateway下面的Add，在彈出的界面當中輸入設備的名稱。

點擊Generate生成證書，把生成的數(shù)據(jù)找個文本記錄起來，中間用（，）分隔。

記錄完畢后點擊OK。證書生成完成后點擊Matching Crteria。

在上端選擇Internal_ca，勾選DN選項，在后面填入前面獲取到的數(shù)據(jù)。

點擊OK保存后再次OK關閉本窗口后再次打開跳到該界面點擊Export P 12。設定一個證書的密碼。

輸入兩次，點擊OK選擇導出路徑，生成證書p12文件。
生成證書后接下來我們需要配置設備自身的×××。選擇R75.40的設備選擇Topology，在該頁面的××× Domain中選擇manually defined 在復選框中選擇自身的內網(wǎng)網(wǎng)段。點擊IPSec ×××。
接下來開始配置兩端對聯(lián)的×××站點，點擊頁面當中的選擇小鎖頭，在站點中雙擊Site to Site的×××，在打開的界面當中進行配置。

在該頁面中選擇 Participating Gateways，彈出的窗口中點擊Add添加需要參加×××的網(wǎng)關，完成后單擊Advanced Settings。

選擇Advanced ××× Properties，勾選頁面當中的Disable NAT inside the ××× community。點擊OK完成配置。

配置完站點后我們需要添加條策略使×××通過。

添加完策略后記得下發(fā)策略。
配置完成后我們

開啟Site to Site ×××的模塊功能，在×××界面下的Site To Site 中的lade Control中進行開啟。

開啟完成后到××× Site添加站點。打開××× Sites 點擊New 添加×××對端設備。

在界面中我們需要配置對端設備的名稱，IP，密鑰或證書和對方訪問本端的×××網(wǎng)段

設定完成后在另外一段的設備中添加一臺對端的設備。寫入名稱，IP，密鑰或著證書和對端參加×××的網(wǎng)段。設定完成之后可以在××× Tunnle中查看×××建立的狀態(tài)。

600與R75。40×××配置問題的解決方法
First Step: Verify the other peer's Certificate name (CRL Distribution address).

1. To verify the local Certificate's CRL Distribution address, go to: "×××" - > "Certificates"- > "Internal Certificate".
2. Under "Internal ××× Certificate" there is the CRL Distribution URL. This is the Local URL address and should be provided to the remote ××× peer.
   Second Step: Adding a network object that represents the CRL Distribution URL of the Remote ××× peer.
   This step provides the local gateway with the capability of resolving the remote peer's trusted certificate locally.
   On each gateway, there is a need to create a "Network Object" that includes the external IP address of the remote ××× peer, and define the CRL Distribution URL Name as the "Network Object's" Name.
   For example: In a scenario where the remote gateway's CRL Distribution is: "http://Samba:182654.ICA1.crl" and the external IP address is: 173.13.64.63
3. On the local gateway, you have to add a "Network object" that includes the remote ××× peer's CRL info:
   Type: Single IP
   IP address: 173.13.64.63
   Object name: Samba
4. Mark the option ""Allow DNS server to resolve this Object name".
5. Click "Apply".
   Third Step: Uncheck the following checkboxes:
   ? "Retrieve CRL From HTTP Server(s)"
   ? "Cache CRL on the Security Gateway"
6. Go to ×××: Under "Certificates", go to "Trusted Certificates".
7. Double-click on the certificate in order to open its Edit window.

8. Uncheck the following:
   o "Retrieve CRL From HTTP Server(s)"
   o "Cache CRL on the Security Gateway"

9. Click "Apply".
   點擊http://zevercn.com/ 學習了解

建立遠程×××
首先需要開啟Remote ×××的模塊功能，在×××界面下找到Remote ×××中的Blade Control。在開啟的下方可以選擇接入的方式。默認開啟的方式為Check Point客戶端，還可以開啟的方式有SSL ×××和Windows ×××工具。如果需要用到這些功能勾選啟用即可。

開啟了功能和登陸方式后接下來配置remote ×××的用戶。打開Remote Access Users頁面，點擊Add添加Remote Access用戶。

在添加頁面中可以看到，只要設定用戶名，密碼，勾選只用于Remote Access即可。

設定完用戶后可以點擊Advanced設定用戶登陸后獲取的IP地址和獲取到的DNS服務器。