checkpoint防火墙培训

geneqq
1 ℃
2016-11-08

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

1VPN-1/FireWall-1ManagementI2第一部分:CheckPointNG安装•安装VPN-1/FireWall-1Gateway到NokiaIPSO3.7上Pg553•GUIClient1.Windows98/Me2.WindowsNT4.0Workstation(SP6a),WindowsNT4.0Server(SP6a)3.Windows2000Professional(SP1,SP2,SP3,SP4),Windows2000Server(SP1,SP2,SP3,SP4),Windows2000AdvancedServer(SP1,SP2,SP3,SP4)4.WindowsXPHome/Professional•ManagementServer/VPN/FireWallModule1.WindowsNT4.0Server(SP6a),2.Windows2000Server(SP1,SP2,SP3,SP4),Windows2000AdvancedServer(SP1,SP2,SP3,SP4)3.NokiaIPSO(3.5,3.6,3.7)4.Solaris7SPARC(32bit),Solaris8SPARC(32-bitand64-bit)5.RedHatLinux7.0(kernels2.2.16,2.2.17,2.2.19),RedHatLinux7.2(kernel2.4.9-13)RedHatLinux7.3(kernel2.4.18-5)CheckPointNG支持的平台:4Nokia平台上安装过程简述•通过Voyager安装•通过命令行方式安装–newpkg；newimage-i•使用cpconfig进行安装后的配置，主要包括：-设置一次性密码用于与管理服务器通信-添加许可证-……•重启计算机5NokiaIPSO上安装过程简述（续）•安装管理服务器到Win2000Server：-安装两个模块：SVNFoundationManagementServer•配置-添加许可证-添加系统管理员帐户-……•安装GUI界面—ManagementClient•重启计算机6登录到策略编辑器GUI界面7CheckPoint管理服务器Fingerprint8登录后界面：9策略编辑器10对象树11对象详细信息12可视化策略编辑器13第一部分:•复习•问题解答14第一部分:•问题#1:–安装过程中，哪些参数需要设置或可以修改?Licenses,administrators(nameandpassword),GUIclients(client/servermodel),remotemodules(client/servermodel),groups,defaultfilter15第一部分:•问题#2:–安装VPN-1/FireWall-1NGManagementServer和ManagementClient有什么不同?ThecomponentsetupisdependentonwhichtypeofconfigurationbestsuitsyournetworkThePolicyEditoronlymanagesVPN-1/FireWall-1NGandmaybesetuponaseparatemachine(managementmodule)16第一部分:•问题#3:–卸载VPN-1/FireWall-1NG时采用什么顺序?Inthereverseorderoftheinstallation,withSVNFoundationbeingthelastmoduletoberemoved17第一部分:•问题#4:–什么是StatefulInspection?18第一部分:•问题#5:–为什么StatefulInspection比packetfiltering和applicationlayergateways在保护网络安全方面更可靠?Goodsecurity,fullapplication-layerawareness,highperformance,scalable,extensible,andtransparent19第一部分:•问题#6:–VPN-1/FireWall-1NG中什么模块执行accept,drop,或rejectpackets?TheNGEnforcementModule20第一部分:•问题#7:–VPN-1/FireWall-1NG中包含哪些模块?ThePolicyEditorTheManagementServerEnforcementPoint21第二部分:CheckPointNG基本管理技术Pg13922•安全策略定义–什么是安全策略?–注意事项•安全规则定义Pg14323规则库举例Pg14424•创建规则库–隐含（全局）–用户定义–规则库的顺序–基本规则Stealth规则Cleanup规则–通过安全策略提高性能规则库尽可能简单常用的规则放在上面停止不必要的服务253124567SecurityPolicy“First”RuleSecurityPolicy“BeforeLast”RuleSecurityPolicy“Last”RuleImplicitDropIPSpoofing/IPOptions/StateTablemail-svrsmtpacceptShortfwtcpAnyAnyacceptShortfw3AnyAnyAnydropLongfwLastRuleInRuleBaseMatchOrder1local-net2AnyRuleBase规则库执行顺序:26定义防火墙对象27建立SIC—安全的内部通信28•SecureInternalCommunication(SIC)–使通信更加安全–SIC证书（X.509）/基于SSL加密通信–ManagementServers和Modules之间的通信–ManagementServers和PolicyEditorClients之间的通信29•Interface和IP欺骗配置30Interface和IP欺骗配置31创建规则库–缺省规则–基本规则–完整的规则Pg15332–添加一条规则Pg15333–缺省规则–CleanupRule–StealthRule34•Implicit和Explicit规则–Implicit规则–ImplicitDrop规则35全局策略菜单36全局策略-VPN-1/FireWall-1NGImplied规则37–AcceptICMP-BeforeLast–AcceptICMP-First38–Rules-隐藏规则–被隐藏的规则不会被显示39–显示隐藏规则–取消所有隐藏规则40–选择禁止规则–被禁止的规则41–卸载安全策略菜单42•定义对象Pg15643–添加一新工作站Pg15844–添加一新网段对象45•定义安全规则Pg164–CleanupRule–StealthRule46–PartnerNetworksRulePg166–NetworkOutRule47–WebServerRulePg167–NetBIOSRule48安装策略Pg17049SecureUpdate•SecureUpdate–SecureUpdate安装–中央安装管理–使用SecureUpdate进行远程安装–SecureUpdate软件包库–中央许可证管理50–SecureUpdate体系结构和分布式配置51–SecureUpdate界面52第二部分:•复习•问题解答53第二部分:•问题#1:–创建安全策略的步骤是什么?Nameyourpolicy,addruleswithobjects,installthepolicy54第二部分:•问题#2:–implicit和explicit规则有什么不同?Implicit(orpseudo)rulesarecreatedbyVPN-1/FireWall-1NG,andarederivedfromthesecurityproperties.55第二部分:•问题#3:–安全策略和规则匹配什么样的顺序?PoliciesandrulesarematchedinorderontheRuleBase,oneruleatatime.56第二部分:•问题#4:–“bouncing”thefirewall是什么意思?Stoppingandrestartingthefirewall57第三部分:SmartViewTracker和SystemStatus58•SmartViewTracker–KernelSide–ServerSide–LogViewerLogon–Data(Column)Fields–ColumnMenu–LogViewerToolbarButtons–LogTypes–LogViewerMode59•SmartViewTracker(continued)–NavigatingandSearching–ToFindRecordbyColumn–ToFindRecordinAllColumns–ToChangeLocation–DisplayingSelectedEntries–SelectionOptions–LogFileManagement60–记录日志61SmartViewTracker登录窗口62–SmartViewTracker界面–SmartViewTracker栏目菜单63–每个记录的属性菜单64–查看该记录详细信息65–查找相应字段栏目66•切断正在使用的连接–使用BlockIntruder–使用BlockRequest67–BlockIntruderWindow68–BlockRequest窗口69–对管理员操作的审计70•SmartViewStatus（系统状态查看器）–登录SystemStatus–SystemStatus界面–模块查看–模块状态–产品详细信息窗口–提示信息71–登录SmartViewStatus72–SmartViewStatus界面73第三部分:•复习•问题解答74第三部分:•问题#1:–LogViewer中三种显示模式?LogAlertActive75第三部分:•问题#2:–哪三种blockingscopeoptions?BlockonlythisconnectionBlockaccessfromthissourceIPBlockaccesstothisdestination76第三部分:•问题#3:–如果知道某连接ID，采用什么样方式中断该连接?Blockrequest