資源描述:
《CheckPoint防火墻操作手冊》由會員上傳分享�,免費在線閱讀�����,更多相關內(nèi)容在行業(yè)資料-天天文庫�。
1��、CheckPoint防火操作手冊1配置主機對象定義防火墻策略時��,如需對IP地址進行安全策略控制則需首先配置這個對象,下面介紹主機對象配置步驟�,在“NetworkObjects”圖標處����,選擇“Nodes”屬性上點擊右鍵����,選擇“Node”,點擊“Host”選項��,定義主機對象的名稱�,IPAddress屬性,同時可按照該主機的重要性定義顏色��,配置完成后點擊OK,主機對象創(chuàng)建完成�。項目描述GeneralProperties主機一般屬性定義(必配)Topology主機對象接口定義(選配)NAT主機對象NAT配置(選配)Advance主機高級屬性配置(選配)2配置
2�、網(wǎng)段對象定義防火墻策略時,如需對網(wǎng)段進行安全策略控制則需首先配置這個網(wǎng)絡對象���,配置步驟如下,在防火墻“Network”屬性上點擊右鍵���,選擇“Network”�����,選項�����,定義網(wǎng)段名稱�,比如DMZ,Internal��,建議根據(jù)網(wǎng)段所處位置定義����,配置網(wǎng)段地址和子網(wǎng)掩碼���,如有必要可以添加注釋(Comment)����,配置完成后點擊確認��。項目描述General網(wǎng)段一般屬性定義(必配)NAT網(wǎng)段對象NAT配置(選配)3配置網(wǎng)絡組對象如果需要針對單個IP地址���、IP地址范圍或者整個網(wǎng)段進行安全策略控制,可以將這些對象添加到網(wǎng)絡組�,如下在防火墻“Group”屬性上點擊右鍵,選擇“
3、SimpleGroup”選項�,項目描述SimpleGroup一般組對象定義GroupWithExclusion排除組中特例對象定義如下圖從左面的“NotinGroup”對象中選擇需要添加到“InGroup”對象中����,配置完成后點擊OK即可4配置地址范圍對象除了配置IP地址�,網(wǎng)段,也可以指定地址范圍(IPrange)����,地址范圍對象配置步驟是����,如下在防火墻“Network”屬性上點擊右鍵,選擇去掉“Donotshowemptyfolders”選項��,讓IPRange配置屬性顯示出來。配置“AddressRage”�����,選擇“AddressRanges”,如下圖輸
4、入地址名稱�、起始IP地址與結(jié)束IP地址���,完成后點擊OK即可���。5配置服務對象5.1配置TCP服務對象CheckPoint防火墻內(nèi)置了預定義的近千種服務���,包括TCP����、UDP、RPC�、ICMP等各種類型服務,通常在定義防火墻安全策略時����,大多數(shù)服務已經(jīng)識別并內(nèi)置��,因此無需額外添加�����,但也有很多企業(yè)自有開發(fā)程序使用特殊端口需要自行定義,下面介紹如何自定義服務���,如下圖所示,點擊第二個模塊標簽����,即Services����,已經(jīng)預定義多種類型服務�����,用戶根據(jù)需要自定義新的服務類型,下面舉例定義TCP類型服務���,右鍵點擊“TCP”,選擇“NewTCP如下圖�����,可以點以單個TCP服務端
5�����、口服務對象,如果是一段端口���,可以定義端口范圍以上舉例新建TCP協(xié)議的端口服務��,如需定義UDP協(xié)議或其他協(xié)議類型按照同樣流程操作即可��。5.2配置UDP服務對象如下圖所示�,點擊第二個模塊標簽,即Services�,已經(jīng)預定義多種類型服務����,用戶根據(jù)需要自定義新的服務類型�����,下面舉例定義UDP類型服務�����,右鍵點擊“UDP”�,選擇“NewUDP”�,如下圖���,可以點以單個UDP服務端口服務對象�,如果是一段端口�,可以定義端口范圍�����。如果有其他特殊協(xié)議類型需要定義�����,如RPC����、ICMP等,配置方式與TCP和UDP服務端口定義類似���。5.3防火墻策略配置防火墻配置界面如圖所示:在S
6���、martDashboard上面,如需從導航條中選擇添加策略�����,則點擊“Rules”����,項目Bottom在rulebase最下面添加策略Top在rulebase最上面添加策略Below在當前高亮顯示策略之下添加策略Above在當前高亮顯示策略之上添加策略在SmartDashboard上面,也有添加規(guī)則的快捷按鈕����,將鼠標停留在快捷按鈕上會有提示�。在下面標簽中��,“Firewall”是定義防火墻策略區(qū)域也稱“Rulebase”或“規(guī)則庫”��,另外還有其他標簽分別是配置不同模塊功能的區(qū)域,如下圖所示:項目描述Firewall定義安全策略NAT定義NAT策略IPS配置
7����、IPS軟件刀片ApplicationControl配置應用控制軟件刀片Anti-Spam&Mail配置垃圾郵件過濾軟件刀片MobileAccess配置移動客戶端VPN訪問軟件刀片DLP配置數(shù)據(jù)防泄密軟件刀片Anti-Virus&URLFiltering配置防病毒和網(wǎng)址過濾軟件刀片IPSecVPN配置IPSecVPN軟件刀片QOS配置流量控制刀片Desktop配置移動客戶端桌面安全策略點擊圖中快捷按鈕,在規(guī)則庫中添加一條策略�����,然后點擊下圖中“”輸入需要添加的地址或者網(wǎng)段���,分別包含“Source”��,“Destination”��,“VPN”��,“Service
8�、”,“Action”等屬性����。項目描述AddRule在當前策略之上添加一條策略Delete刪選選中的策略Cop
