CheckPoint防火墙及IPS基本操作手册(中银国际)V3.doc

《CheckPoint防火墙及IPS基本操作手册(中银国际)V3.doc》由会员分享，可在线阅读，更多相关《CheckPoint防火墙及IPS基本操作手册(中银国际)V3.doc（38页珍藏版）》请在咨信网上搜索。

上海赛高数码科技有限公司 Check Point防火墙基础 操作手册（IPS） 中银国际 北明软件股份有限公司 二零一四年四月目 录 第1章 SmartDashboard的使用及基本管理技术 3 1.1 编辑防火墙对象 3 1.2 添加主机和网络对象 8 1.2.1 添加主机对象： 8 1.2.2 添加网络对象： 9 1.3 制定访问策略和配置地址翻译（NAT） 10 1.3.1 配置访问策略 10 1.3.2 地址翻译（NAT） 11 1.4 防地址欺骗功能介绍 15 1.5 策略的下发 17 第2章 入侵防护（IPS）策略的配置 19 2.1 IPS概览 19 2.2 IPS配置 20 2.2.1 定义IPS的防火墙 20 2.2.2 定义IPS Profile 22 2.2.3 配置Protections 27 2.2.4 配置Geo Protection 29 2.2.5 IPS特征库更新 30 2.2.6 Follow Up选项 33 2.2.7 Additional Setting选项 33 2.3 禁用IPS 34 第3章 SmartView Tracker的使用 35 第38页 第1章 SmartDashboard的使用及基本管理技术 SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用它来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。 1.1 编辑防火墙对象 首先打开控制台软件，出现登录界面： 点击SmartDashboard后出现登录界面，如图： 这里输入用户名、密码以及管理服务器的IP地址。点击OK登录到配置界面。 Demo Mode选项是查看防火墙的演示界面，点击Demo Mode登录可以查看Check point 公司定义的各项配置演示；Read Only 选项是以只读方式登录防火墙，没有改配置的权限；Use Certificate（证书）选项是替代管理员用户名和密码验证的一种选择，这个证书有管理服务器生成，用户自己保存在本地，需要用它验证时点击，添加这个证书，然后选择管理服务器地址，然后点击OK登录。 注意：防火墙一次只可以容许一个用户以管理员身份登录，可以修改防火墙配置，其他以管理员身份登录防火墙的用户，要么强制断开当前已登录的账户，要么以只读身份登录。 登录SmartConsole配置界面： 上图为SmartDashboard的主界面，左边是定义各种对象的区域，有防火墙对象、主机对象、网络对象、以及组对象。右边为功能概览。 在Check Point选项下选择要编辑的防火墙对象双击打开，出现弹出界面以便我们配置其具体属性。具体见图示： 编辑防火墙的相关属性，见图所示，所标记的地方是需要检查的。然后点击Topology 点击Get interface with Topology得到防火墙接口信息。配置完成，点击OK 。完成防火墙配置。然后下面的配置节点对象以及网络对象都是相同意思，做好相应配置。下面有相应截图： 注意：在防火墙上如果新添加路由的话，一定要到防火墙属性里把Interface 重新“get” 一下，就是要执行一下上面的步骤。因为防地址欺骗功能在起作用（关于防地址欺骗功能介绍请参见后面章节），否则新加的路由涉及的网段就上不了网。 1.2 添加主机和网络对象 1.2.1 添加主机对象： 添加主机然后弹出配置窗口配置name和IP就可以，其他不用配置（做NAT除外）如下所示： 1.2.2 添加网络对象： 在Network属性上点击右键，然后选择Network弹出上面窗口，配置网段、子网掩码，完成配置。 1.3 制定访问策略和配置地址翻译（NAT） 1.3.1 配置访问策略 在第一次添加规则的时候，我们点击图中的按钮，然后在规则库中会出现一条默认规则。然后我们引用定义好的对象，制订规则。见下图：在图中我们要添加相应对象，直接在对应栏中点击右键，然后在弹出的对话框中选择相应对象。 我们参照一条完整的规则： 图中定义了内网到任何地方的http服务都接受，就是内网用户可以访问网页。其他规则类似，就是添加：谁、到哪里、访问什么服务、是否接受、是否记录日志以及安装在哪台防火墙上。上面就是定义规则的方式，规则定义是非常灵活的，我们只需要把相应对象定义出来，然后再定义访问的服务，然后是否接受就完成策略的定义了。 1.3.2 地址翻译（NAT） 地址转换功能是Check Point 防火墙的一个主要功能模块，通过他我们可以很方便的把网络或者主机映射到公网，我们可以做静态地址映射（Static NAT），可以作动态地址映射（Hide NAT）。具体的操作见我们配置网络和主机属性章节，在他们属性页面中有NAT一项，我们只需要编辑这一项既可实现NAT该对象到公网，当然我们需要具有相应公网的地址分配给这个对象。任何作了NAT的对象，我们在NAT的Address Translation策略中我们都可以看到其对应的规则，这是它自动生成的。无须我们自己定义。 （1）对主机作Hide NAT 因为我们部分主机可以访问到公网，所以要把这些主机作 Hide NAT ，先把所有的主机建立出来，然后对配置他们的 NAT 属性，选择其中一台做操作，其他配置都相同。选择 ssy这台主机：（见下页） 然后选择 NAT 属性，选择 Add Automatic Address…，Translation method 选择 Hide，Install on Gateway 选择下拉列表框选择我们的防火墙网关对象。完成点击确定。 完成 Hide NAT 的配置后我们需要验证 NAT 是否配置成功，在 Check Point 界面上选择 NAT ，查看Address Tanslation策略里面多了一条 ssy的配置 （2）对服务器作静态NAT 如果我们内网中有WEB服务器或者是邮件服务器等需要对外提供服务的主机，所以我们要把他们映射到公网，前提是要具备可用的公网IP分配给对应的服务器。 这里我们做个演示：首先把服务器对象定义出来，在Nodes上点击右键，然后选择Host，然后配置服务器的属性，再选择左边窗口中的NAT属性。 点击NAT，编辑NAT属性，选择Add Automatic Address Translation rules，然后在Translation methed 中选择选择Static，然后在下面的小框中输入自己分配给服务器的公网地址。最后在Install on上选择当前防火墙然后点击确定，静态NAT就配置完成。 上图中是对服务器对象作静态NAT，给它一个公网地址，在NAT的Address Tanslation 中下图中自动生成两条NAT策略。见下图： 1.4 防地址欺骗功能介绍 Anti-Spoofing 是防止地址欺骗的功能，其意思是不容许从外网口收到的冒充源地址为内网地址的数据包访问内网其他主机，或者不是某个网段但冒充是这个网段地址企图访问某些主机的数据包，都将被阻止，其功能就是在防火墙外网和内网口上实现，具体配置过程如下，首先双击防火墙对象，打开属性配置界面，然后选择Topology，见图： 出现防火墙接口信息，如果我们系统的接口和路由配置好后，我们单击Get，然后选择Interface或是interface with topology 就可以得到接口配置信息。这里我们需要在网络接口上配置Anti-Spoofing ，所以首先双击其中任一接口开始配置。首先双击外网接口，在下面弹出的对话框中选择Topology 因为是外网口，按照默认的配置启用了Anti-Spoofing。在图中Anti-Spoofing选项中查看“perform Anti-Spoofing based on interface”点击确定。外网口Anti-Spoofing功能启用了。然后在内网口我们也配置Anti-Spoofing功能。回到防火墙属性的Topology界面点击内网接口，双击它打开配置属性页面，选择Topology 在上图中我们看到定义了此接口为“Internal（leads to the local）”然后在下面的IP Addresses behind this 有三个选项，第一个Not Defined （不定义），第二个是定义此接口后面的网段后面的IP，如果我们防火墙后面只有一个网段我们通常选择这项，如果我们防火墙内网有几个网段，则需要选择第三项Specific，要把所有的内网网段定义成一个组，选择这个组，就可以完成配置，下面的Anti-Spoofing选择“perform Anti-Spoofing based on interface”就启用Anti-Spoofing了。 1.5 策略的下发 我们定义了网络对象，做了地址翻译（NAT），并且制订了相应的策略，那么我们要把这些策略从管理服务器上下发到防火墙模块上，让他们执行这些策略，做访问控制保护我们的网络。所以，前面所作的那些策略真正的执行者是防火墙模块。点击进入Policy界面： 安装方式如图示： 见图最上面标记出，按钮即是做策略下发，然后弹出对话框，确认我们选中了要安装策略的防火墙，然后点击OK，则策略会下发到该防火墙上。然后策略生效，该防火墙开始执行管理服务器下发的策略。 第2章 入侵防护（IPS）策略的配置 Check Point防火墙基础IPS软件刀片是一个入侵防御系统，通过分析流量内容来检查它是否对你的网络存在风险。IPS全面保护网络、服务器和操作系统安全，使其免受网络攻击、程序漏洞、以及恶意代码和间谍软件、蠕虫爆发等带来的网络威胁。 2.1 IPS概览 登录SmartDashboard，点击IPS选项卡，出现如下图IPS策略配置界面，左侧是IPS策略导航面板，右边是配置界面 项目 描述 Overview 查看IPS状态、活动和安全更新等 Enforcing Gateways 执行IPS防护的安全网关列表 Profiles 定义IPS配置文件 Protections 各种防护配置 Geo Protection 按照源或目的国家执行防护 Network Exceptions 定义不执行IPS的资源 Download Updates 手动或自动更新IPS安全数据库 Follow Up 跟踪作了标记的防护 Additional Settings HTTP检测 2.2 IPS配置 2.2.1 定义IPS的防火墙 打开IPS->Enforcing Gateways，可以查看目前运行IPS的安全网关，双击Gateway进行编辑。 在Firewall选项卡，打开Network Objects->Check Point，双击要启用IPS的防火墙对象，选中IPS选项，即在该防火墙上启用了IPS。 在IPS页面，“Assign IPS Profile” 为该网关分配一个IPS配置文件。 “Protect internal hosts only”只保护内网主机。“Perform IPS inspection on all traffic”对所有流量执行IPS检测，此选项将占用更多防火墙资源。选择 “Bypass IPS inspection when gateway is under heavy load”和“Track”、“log”，防火墙在高负荷下不再执行IPS检测并记录log，可在“Advanced”处定义当CPU在什么范围时为高负荷。 2.2.2 定义IPS Profile 打开IPS->Profiles页面，可以查看当前已定义的IPS配置（Default和Recommended为系统自定义配置） 点击New->Create new profile可以手动创建一个IPS Profile 说明： § 两种IPS Mode：“Prevent”检测到异常，阻止连接；“Detect”只检测不阻止 § “Activate protections according to IPS Policy”根据IPS Policy激活相关防护； “Activate protections manually”手动激活相关防护，选择此项后“IPS Policy”页面所有选项为灰色。打开“IPS Policy”见下图： Client Protections’ 保护客户端 Server Protections 保护服务器 Do not activate protections with severity’ 不激活危害性为指定级别或以下的防护 Do not activate protections with confidence-level 不激活信任级别为指定或以下的防护 Do not activate protections with performance impact 不激活对性能影响为指定或以下的防护 Do not activate Protocol Anomalies’ 不激活协议异常的防护 Do not activate protections in the following categories 不激活知指定类别的防护 在“Updates Policy”页面指定最新更新的防护自动设定为“Detect”还是“Prevent” 打开“Network Exceptions”页面定义不执行IPS检测的资源（新建的Profile需要先完成创建过程才能添加排除），点击New按钮（例如：定义HR部门主机访问Management时不执行CPMI端口的防护）。 项目 描述 Single protections 选择某种防护属性 All supported protections 针对所有支持的防护 Source 选择源 Destination 选择目的 Service 选择服务 Apply this exception on all R70 gateways 应用此设置在所有R70或以上安全网关上 Apply this exception on 只在指定防火墙上应用此设置 注：Network Exceptions也可在主界面的选项进行设置 打开Troubleshooting页，点击Detect-Only按钮，则该IPS Profile只执行检测而不阻止。此功能主要用于排查故障。 2.2.3 配置Protections 打开Protections页面，可以查看所有系统内置Protections，可以按By Type和By Protocol进行分类。 双击想要配置的“Protection”，可以看到该“Protections”的类型、危害级别和对性能的影响等信息，以及它在各IPS Profile的“Action”。如下图“Protections”在“Default Protection Profile”下未激活，在“Recommended Protections Profile”下是阻止动作。 项目 描述 Edit 修改该Protections在相应IPS Profile的配置 Change Action 修改该Protections在相应IPS Profile的Action Prevent on all Profiles：在所有Profile的Action设置为Prevent Detect on all Profiles：在所有Profile的Action设置为Detect Deactivate on all Profiles：在所有Profile禁用该Protection Follow Up Mark for Follow UP：作标记，用于跟踪 Unmark for Follow UP：如果已作标记，此选项才可用，用于取消标记 Edit Follow Up Comment：编辑标记备注 View Logs 跳转到SmartView Tracker，查看IPS日志 若要修改该Protection在某个Profile的配置，双击相应Profile 项目 描述 Action according to IPS Policy 根据IPS Policy定义Action Override IPS Policy with 手动指定Action，此设置重置IPS Policy定义的Action Track 记录日志 Capture Packets 抓包，用于故障排查 2.2.4 配置Geo Protection 打开“Geo Protections”页面，可以配置允许或拒绝去往或来自某个国家的流量。首先配置“Profile”和“Action”，即是否为指定“IPS Profile”激活“Geo Protection”。 Policy for Specific Countries：只有激活后才可以针对指定国家添加Policy，点击Add按钮 项目 描述 Country 选择国家 Direction 选择方向 Action 执行的动作，Allow or Block Track 跟踪选项，Log或Alert Policy for other countries：除了以上指定国家，为其他国家设置策略。 2.2.5 IPS特征库更新 打开Download Updates页面，显示最新更新日期及版本。 （1）在线更新 点击Update Now，现在更新IPS数据库。输入Check Point Support Account进行更新，更新及安装过程需要一段时间。 （2）按计划自动更新 点击Scheduled Update配置IPS按计划更新 项目 描述 Edit schedule 制定更新计划 User Center credentials 更新所用帐户认证 On update failure perform 更新失败后尝试次数 On Successful update perform install policy 更新成功后安装策略 （3）离线更新 点击Offline Update，选择更新包，可以执行离线更新 复选项： “Apply Revision Control”：更新前保存配置并创建数据库备份； “Check for new update…”：登录Smart Dashboard时即检查IPS更新。 2.2.6 Follow Up选项 打开“IPS”、“Follow Up”选项，可以查看已标记的“Protections” “Mark newly downloaded protections for follow up”最新下载的“Protections”自动作标记。点击“Mark”按钮可以手动指定“Protection”作标记；右击所选“Protection”可取消标记。 2.2.7 Additional Setting选项 HTTP inspection：“Enable HTTP inspection on nonstandard ports for the IPS Blade”启用非标准端口的http检测 2.3 禁用IPS 打开SmartDashboard，登录SmartCenter，双击打开防火墙对象，取消IPS选项，确定退出，安装策略即可。 第3章 SmartView Tracker的使用 Check Point的日志功能是我们排除故障的有效工具，当网络出现问题时，我们可以通过查看防火墙日志是否是防火墙作了阻断。如果发现是防火墙的原因，则应当检查相应策略，排除故障。下面就先介绍日志的界面及其基本功能。具体见图示： 选择SmartView Tracker ，登录到日志界面 图中我们看到有相应注释，左边All Records是显示防火墙的所有日志，Firewall 是显示防火墙的日志，IPS是显示的IPS的日志，如果我们点击上图中向下的小箭头，即显示最新出现的日志。正中是日志显示区域。 在日志界面中我们如果点击Active就会显示当前活动连接的日志，如果我们发现其中某个连接有攻击行为，我们可以立即阻断其攻击，具体是单击导航条中Tools，选择block。即可以采取阻断。 日志界面中的Management是记录我们对防火墙所作的操作的界面。 IPS日志信息的查询 点击IPS Blade选项，选择“All”查看所有IPS log，也可根据选项分类查看 双击打开任一 log查看详细信息