CheckPoint日常维护手册.doc
《CheckPoint日常维护手册.doc》由会员分享,可在线阅读,更多相关《CheckPoint日常维护手册.doc(141页珍藏版)》请在咨信网上搜索。
Check Point 日常维护手册 第一章:安装CheckPoint产品要求 4 SmartCenter安装步骤 5 第二章:SmartDashboard进行基本配置 19 第二章 FireWall-1访问控制 20 一、访问控制的需求 20 二、针对安全访问控制的FireWall-1解决方案 20 三、访问控制需要考虑到的问题 26 四、配置访问控制 27 第三章 智能防护(SmartDefense) 30 一、在线防护的需求 30 二、SmartDefense的解决方案 31 三、设置SmartDefense需要考虑的问题 34 四、配置SmartDefense 35 五、SmartDefense StormCenter模块 35 第四章 网络地址转换 (NAT) 44 一、隐藏内部网络地址的必要性 44 二、CheckPoint 地址转换(NAT)解决方案 44 三、NAT的规划 52 四、配置NAT 52 第五章 内容安全 57 一、内容安全的需求 57 二、针对内容安全的FireWall-1解决方案 57 三、设置Web安全需要考虑的问题 76 四、配置内容安全 80 第六章 认证 88 一、为什么需要认证 88 二、 FireWall-1认证解决方案 88 三、如何选择认证方式 95 四、如何配置认证 95 第七章Voice Over IP (VoIP)的安全 101 一、VoIP的安全需求 101 二、CheckPoint 关于VoIP的安全解决方案 101 三、基于SIP的VoIP的安全保护问题 108 四、配置基于SIP的VoIP 109 五、SIP的排错 111 六、配置基于H.323的VoIP 112 第八章 FireWall-1的高级设置 115 一、网络地址转换的高级设置 115 二、内容安全的高级配置 119 第九章 VPN-1/FireWall-1安装之前的安全防护 121 一、在VPN-1/FireWall-1启用之前达到安全 121 二、引导安全 121 三、初始化策略 122 四、缺省过滤规则和初始化策略配置 124 第十二章:Nokia防火墙安装手册 130 第十三章:策略备份 141 CheckPoint日常维护手册 第一章:安装CheckPoint产品要求 SmartCenter安装步骤 接受许可 安装初始页面,forward进入下一个页面 普通型企业 Checkpoint使用于中心办公和分支机构的公司 安装演示模式 全新安装 基于以前导出的配置进行安装 根据购买的产品以及需求进行选择,如果此服务器不是防火墙,则不要选择vpn-1 power 防火墙模块 服务器 时间管理器 GUI管理端 内往安全 VPN客户端 基于web接入服务器,可以观看策略运行,状态以及管理员的行为 统一用户授权 主备服务器,以及日志服务器的选择,默认选择主服务器即可 是否安装SSLvpn组建如动态更新,日志,报告等插件 确认进行安装 安装开始 安装目录 正在安装smartcenter 服务器安装完毕 安装gui图形界面 选择安装组建 GUI客户端 日至跟踪 事件分析器 状态更新,如许可,checkpoint安装包 Secureclient打包工具 状态检测 图形报表 链路状态检测,如,地址,策略运行是否 正在进行安装 是否将图标放在桌面 添加license,可以从文件导入,可以手动添加也可以通过管理服务器添加 不添加许可,点击确认(通过服务器添加) 输入用户名密码 添加管理员信息 添加管理地址,通过gui连接服务器 进行初始化ca认证 安装完成,重新启动服务器 重新启动之前确认光盘不要在光驱中 第二章:SmartDashboard进行基本配置 输入设置的管理员用户名密码 确认ICA正常,正常登陆管理客户端 第二章 FireWall-1访问控制 本章内容 一、 访问控制的需求 二、 针对安全访问控制的FireWall-1解决方案 三、 访问控制需要考虑的问题 四、 配置访问控制 一、访问控制的需求 作为一名网络管理员,你需要一种方式来安全地控制对网络或者主机等网络资源和协议的访问,以决定具体哪些资源可以被访问,如何被访问,采用认证还是采用访问控制。我们采用用户认证来决定究竟“谁”能访问这些资源,具体细节详见第五章“认证”。 二、针对安全访问控制的FireWall-1解决方案 本节内容 1、网络边界的访问控制 2、安全策略库 3、访问控制规则示例 4、访问规则的组成元素 5、隐含规则 6、防止IP地址欺骗 7、新增服务 1、网络边界的访问控制 FireWall-1网关(防火墙)通常放在网络边界作为执行点,防火墙负责对所有进出的数据进行监测,并且通过访问控制来管理进出的数据。任何没有被指定的数据是不能通过防火墙的。 图1-1 FireWall-1 强制执行点监测所有通过防火墙的数据 FireWall-1管理员的责任是制定和实行公司的网络安全策略,在一个有多台防火墙的网络环境里,我们制定的策略必须具备一致性。为了保证策略的一致性,在Smartcenter server center管理控制台制定一个企业级的安全策略,用smartdashboard 管理客户端来安装策略,并将策略分发到防火墙网关上。将不同的安全策略应用在相应防火墙的执行点上。 FireWall-1能够详细地了解通过防火墙的各种服务和应用程序,并据此提供安全的访问控制。状态监测技术能够监测所有应用层的信息,并可以为超过150种预定义的应用程序、服务和协议提供全面的安全访问控制,还能够根据客户的需求自定义的服务。 状态监测能够从所有的应用层中提取状态信息(这些状态信息可以帮助我们制定安全策略),并且将这些信息保留在动态状态表中,用来和后续的连续连接作比较。更详细的状态监测技术文档参见 。 2、安全策略库 我们通过在安全规则库中制定一整套安全规则来实现安全策略,一个好的安全策略才能真正实现防火墙的安全功能。 一个基本的安全策略概念——没有明确指出允许通过防火墙的就是被禁止通过的。 规则库里指明哪些通信允许通过防火墙,哪些通信禁止通过防火墙。在规则中通过标明源、目的、服务种类、时间范围、日志记录以及日志级别等来记录。检查分析日志是安全管理的一个重要方面,并且要小心保护好日志。 在匹配访问规则时,我们依据第一匹配原则。当防火墙收到一个属于某个连接的数据包后,先匹配规则库中的第一条,然后匹配第二条,依次类推。当发现有和这个数据包符合的访问规则时,停止查询并直接执行这条访问控制规则。如果所有的访问规则都不匹配,那么就将这个数据包拒绝掉。切记,对数据包的操作是执行第一条找到的匹配规则,而不是最好的匹配规则。 3、访问控制规则示例 这是一条典型的访问控制规则,它表明任何来自Alaska_LAN组的主机,可以向任何目标建立HTTP连接,而且所有的连接都将被记录到日志中。 图1-2 访问控制规则示例 4、规则库的组成元素 一条规则是由各个元素组成的,但并不是规则中所有的元素字段都会被指定。 表1-1 规则表组成元素 Source and Destination (源和目标) 这个概念是指谁向谁发起的连接。如果应用程序工作在客户端/服务器这种模式下,即C/S结构中,源是客户端,一旦连接建立,那么允许双向通信。 你也可以使用negtaed(否定)选项。也就是说,可以选择除了这个指定网络之外的所有其它地址。 VPN 配置是否将规则加载在任意连接上,可以选择加密或者明文,或者仅用在VPN连接中。限制这条规则中的VPN,可以点击鼠标右键,选择Replace…。 Service(服务) 我们在service区域中定义应用服务,也可以自定义新的服务。 Action(操作) 一个数据包能够被接收(accept)、拒绝(reject)、丢弃(drop)。其它的操作和认证(参见第五章“认证”)相关。如果一个连接被拒绝,那么防火墙将向连接的发起端发送一个RST数据包,并且关闭连接。如果包被丢弃,那么连接的发起端将不会收到任何回应,最终连接将超时。 Track(记录) 选择各种方式的日志记录。 具体参见” Check Point Management Guide”。 Install-on(规则加载点) 指明将规则加载在某台防火墙上,通常不必将一些特殊规则加在所有防火墙上。例如,某条规则允许指定网络服务跨越某个指定防火墙。如果其它防火墙不允许这些服务访问防火墙后的网络资源,那么这条规则就不能加载在这些防火墙上。 具体参见” Check Point Management Guide”。 Time(时间) 指定规则发生作用的时间范围。 5、隐含规则 安全策略是由许多安全规则组成的,除了由管理员设置的安全规则以外,防火墙还能生成隐含策略。隐含策略是由全局属性(global property)的设置自动产生的,隐含规则设置了允许某些特定的连接和服务进出防火墙。以下是两个缺省被激活的重要隐含规则: l FireWall-1中与控制(指各防火墙模块之间)相关连接 l 由FireWall-1网关发起的源访问连接 隐含规则其它方面的连接设定 通过全局属性的设置,防火墙产生了一组隐含规则,它们在规则表中的位置(相对于规则表中的规则)可以是first(第一条规则之前)、 last(最后一条规则之后)、 before last(最后一条规则之前)。隐含规则也能进行日志记录,这些隐含规则依据以下的顺序执行。 1) 定义为first的隐含规则。如果我们设置为first,那么隐含规则就不会被安全规则表中的规则所修改或者覆盖。因为没有规则能加在隐含规则之前。 2) 规则1到规则n-1(假设我们的规则共有n条)。 3) 定义为before last的规则。如果设置为before last,那么隐含规则就设置在最后一条规则之前执行,即从n-1开始,一直到最后一条规则之前。 4) 最后一条规则(即规则n)。 5) 定义为last的隐含规则。那么隐含规则将在安全规则表中最后一条规则后执行,通常最后一条规则是拒绝任何连接,那么隐含规则就没有执行的机会。 6) 隐含的丢弃规则(不记录日志)。 6、防止IP地址欺骗 网络入侵者本身没有权力访问某些资源,于是通过修改数据包的IP地址,使得数据包显示为来自一个拥有高等级的网段,从而非法获得更高的访问权限。防治网络地址欺骗的关键就是查清数据包的源地址,以及是从哪个接口进入防火墙的。 防地址欺骗(anti-spoofing)校验数据包来自防火墙的哪个接口,目标地址在防火墙的哪个接口。确认一个数据包的源地址是来自内网,也确实是来自防火墙内网的接口,如果这个数据包被路由,它的目标地址也从正确的网络接口转发。 一个数据包,虽然源地址是内网的IP地址,但却是从防火墙外网口进入的,这样的数据包将会被防火墙丢弃,因为数据包没有从正确的网络接口进入防火墙。 图1-3解释了防地址欺骗具体是怎样工作的。 Alaska_GW FireWall-1将做如下检测确认: l 所有从IF1进入的数据包都是来自Internet。 l 所有从IF2进入的数据包都是来自Alaska_lan、Alaska_RND_LAN或者Florida_lan。 ALASKA_RND_GW FireWall-1将做如下检测确认: l 所有从IF3进入防火墙的数据包都来自Alaska_Lan、Florida_lan或者Internet。 l 所有从IF4进入防火墙的数据包都来自Alaska_RND_LAN。 在配置防火墙接口的时候你需要指明,哪些端口连接INTERNET,哪些接口连接内部网络。图1-3显示了具体的配置情况。 图1-3防地址欺骗配置示意图 什么是合法地址 合法地址就是允许进入FireWall-1接口的地址。合法地址是由网络拓扑结构决定的。防火墙管理员配置了反地址欺骗(anti-spoof)后必须告诉防火墙,哪些网络地址接在哪些接口的后面。我们可以通过使用“get interface with topology”选项,这将根据网络拓扑结构自动定义网络接口,并产生网络对象(network object),防火墙通过阅读路由表来获得这些信息。 7、新增服务 本节内容: SSLv3服务 SSHv2 服务 FTP_BASIC协议类型 Domain_UDP 服务 Blocking Visitor 模式 SSLv3 服务 我们可以检验客户是否使用SSLv3或者更高的版本,这些版本弥补了许多早期SSL版本的安全漏洞。 ssl_v3服务强制执行SSL v3的检测。如果在规则中加入了ssl_v3服务,那么采用SSLv2进行的连接请求会被拒绝掉。许多浏览器都使用SSLv2。如果希望连接通过FireWall-1,那么使用HTTPS服务。 SSHv2服务 我们可以检验客户是否使用SSH的第2版本(SSHv2)或者更高的版本,这些版本的SSH弥补了以前版本的安全漏洞。 ssh_version_2服务强制执行SSHv2的检测。如果在规则中使用了SSHv2服务,使用SSHv1的连接将被丢弃掉。 FTP_BASIC 服务类型 FTP_BASIC是一个新的协议类型,这个协议是一套精简的FTP协议,它由标准FTP协议类型来进行FTP安全检查。使用FTP_BASIC减少了FTP连接问题,FTP的应用和RFC存在着不匹配。下面的检查不是由FTP_BASIC来执行的,而是由FTP协议类型来执行。 l 每一个数据包由一个换行符来终结,因此,端口命令不会因为被不同的数据包分割开,这样可以避免FTP反弹攻击。 l 数据连接不允许采用知名端口来作为数据包的源或目的端口,这样可以避免FTP数据连接被用来访问其它的服务。 l 不允许在数据连接中双向通信,因为这功能会被不合理的使用。 Domain_UDP服务 Domain_UDP服务为DNS提供访问服务控制。 l 通过使用Domain_UDP服务可以提高DNS的性能。DNS连接包括查询包(Query)和回应包(Reply)。FireWall-1在UDP超时之前通常还保持虚拟DNS连接。如果防火墙一接收到回应包就直接删除这个连接,这样就会提高DNS的处理速度。具体配置步骤是,使用数据库工具(Database Tool)将delete_on_reply (false)参数设置为true。 l DNS日志中含有全面的信息。 l DNS支持EDNS查询校验。这允许使用BIND,允许ENS包头内的数据为全零,不允许控制数据包长度的包头为全零。 Blocking Visitor模式 TCPT介绍 Visitor模式和TCP隧道协议(TCPT)是由Checkpoint推出的,它允许安全客户端(SecureClient)在任何防火墙的内部(即使防火墙设置了严格的从内到外的访问规则限制)依然能够建立连接。例如,一条策略只允许防火墙内部向外部发动建立HTTP和HTTPS连接,禁止一些建立安全连接所需要的协议(如IKE)。在这样的情况下也可以建立安全客户端连接。 为什么要禁止Visitor模式和对外TCPT VPN-1/FireWall-1管理员可以通过设置严格的对外(outgoing)访问限制来禁止Visitor模式,即允许普通的HTTPS连接访问一个外部端口,并禁止TCPT访问这个端口。 通过网关对象的设置可以允许Visitor 模式和向内(incoming)的TCPT连接通过防火墙网关。详见设置参见VPN-1手册。 VPN-1/FireWall-1如何识别TCPT VPN-1/FireWall-1通过内容检查来发现TCPT包,按照安全需求可将TCPT包拒绝(reject)掉。这意味着不仅仅只检查端口。 TCPT的缺省端口是TCP 443端口,这个端口和SSL一样。当然,这个端口也是可以修改的(具体内容参见“如何使用修改端口开/阻断向外TCPT”)。 阻断外向TCPT SSL的缺省TCP端口是443。如果没有哪条规则允许TCPT使用这个端口,也不用加载一条明确的拒绝TCPT的规则,这个数据包也将被隐含地阻断(Blocked)。 有许多服务,不仅仅要检测端口号,还要检查内容。如果你阻止TCPT向外输出包,同时某个规则允许的服务与TCPT使用同样的端口并且执行内容检查,那么无论TCPT还是这个服务都将被拒绝掉,唯一的例外是SSLv3服务。一个允许SSLv3的规则可以只允许SSLv3的连接,然后拒绝TCPT。 依次点击“TCP Service Properties”→“Advanced”,在弹出窗口可以定义有指定协议类型并且执行内容检测的服务(Service)。具体配置参见“如何阻断Visitor模式(阻断向外TCPT)”。 三、访问控制需要考虑到的问题 本节内容 防欺骗措施 简洁性 基本规则 规则的顺序 拓扑结构的思考-DMZ X11服务 隐含规则的制定 1、防欺骗措施 如果你不设置防地址欺骗,那你精心设计的访问控制规则可能就要功亏一篑了。一个居心叵测的坏家伙很可能通过修改一下数据包的源地址就可以获得访问权限。确认在FireWall-1的每个接口卡上都设置了防地址欺骗保护,无论是内部接口还是外部接口。具体配置参见“配置防地址欺骗”。 2、简洁性 访问规则设置的简洁性是关键,配置上一个小小的错误就可以造成巨大的安全漏洞。为什么黑客可以悄悄地欺骗?为什么碎片包可以通过你的防火墙?很可能就是因为你偶然放行了不受限制的信息协议!要保持规则尽量简洁,规则越多越容易出错。规则越少,越容易读,越容易维护。切记! 3、基本规则 要注意,只允许你认为该通过的数据通过防火墙。要考虑两方面的连接,一个是从内部(保护区)向外部(非保护区)建立的连接,另一个是从外部(非保护区)向内部(保护区)建立的连接。 建议在配置安全访问策略的时候采用下面的基本访问控制规则。 l 密秘规则(stealth rule)防止任何对FireWall-1的直接访问。 l 清除规则(cleanup rule)丢弃所有不被明确允许通过的数据包。 隐含规则中也有这样的规则。但是清除规则(cleanup rule)允许你记录任何访问企图。要牢牢记住一条基本原则——“没有明确允许的,就是被禁止的”。 4、规则顺序 规则顺序是非常关键的,同样的规则不同的排列顺序将从根本上改变防火墙的工作。最好是把相对精确的规则放置在规则库的前端,把相对常规的规则放在规则库的后端,这样就可以避免在匹配精确规则前先匹配常规规则,并且避免你的错误配置。 5、关于拓扑方面的考虑——DMZ 如果有向Internet提供服务的服务器,最好建立一个非军事区(DMZ)。服务器在DMZ区对任何网络的计算机都是可达的,所有外部可以访问的服务器都放置在DMZ区。DMZ区的设置是为了将所有可被外部非信任区(例如来自Internet)访问的服务器单独分配一个区域。入侵者仅仅允许访问这些对外提供访问的服务器,要尽量保证DMZ区服务器的安全。除了一些应用程序(例如用户认证)以外,不要允许DMZ区服务器向内部网络主动发起连接。 6、X11服务 X11(X window system Version 11)图形界面是UNIX系统的图形化系统,要允许X11通过,必须专门为X11服务设定一条规则。我们将服务设置为Any,源和目的地址设置为any,X11服务依然无法通过,这是因为X11服务的特殊性,GUI应用程序事实上是服务器而不是客户端。 7、编辑隐含规则 隐含规则是在全局属性(global property)的firewall-1 implied rules页面里编辑的。通常情况下不必修改这些配置,大多数的选项都不选,从而可以在访问规则里更细致地设置规则。例如,你希望ICMP PING能通过防火墙。以下是推荐选项: 表1-2 FireWall-1隐含规则的建议配置 四、配置访问控制 本节内容 定义访问控制规则 定义基本策略 配置防地址欺骗 如何配置阻止VISITOR 模式 1、定义访问控制规则 图1-2是一个访问控制规则的示例,使用以下步骤定义规则: (1)定义所有的网络对象和主机对象(详见CheckPoint管理服务器手册)。 (2)在菜单上依次选择Rules→Add rule,可选项有Bottom、Top、Below和Above。(3)在Source和Destination栏里单击鼠标右键,选择Add。接着选择一个网络对象后单击OK。 (4)在Service栏里单击鼠标右键选择Add。选择一个服务或者一个服务组,单击OK。(5)在Action栏里单击鼠标右键选择Accept、Drop或者Reject。 (6)在Track栏里单击鼠标右键选择Add,并选择一种记录方式。 2、定义一个基本策略 图1-4展示了网络需要怎样的访问控制策略。 图1-4 一个网络安全访问策略的示例 访问控制策略需求: 1) 允许内部用户访问WEB; 2) 允许所有用户访问DMZ区的服务器; 3) 保护内部网络不受外部攻击。 这个策略也需要两条基本规则:秘密规则(stealth rule)和清除规则(cleanup rule)。产生这个策略并在SmartDashboard上添加这个策略,选择Rules→Add Rules。具体细节见图1-6所示的安全访问控制规则库。 图1-6 一个点型的安全访问控制规则库 3、配置防地址欺骗 首先要确认在每个FireWall-1防火墙的每一个接口上(包括内部接口)都配置了防地址欺骗。以下是基本的一个配置实例――如何在一个外网接口和内网接口上配置防地址欺骗。 为外部网口定义一个有效地址 (1) 在SmartDashboard中选择Manage→Network Objects。 (2) 选择Check Point Gateway并右键点击edit。 (3) 在Properties列表中点击Topology。 (4) 点击Get→Interfaces在防火墙上观察网络接口信息。 (5) 选择连接Internet的网络接口,点击Edit。 (6) 在Interface Properties窗口点击Topology,选择External(leads out to the Internet,向外连接到Internet)。 (7) 选中Perform Anti-Spoofing based on interface topology(在该接口上执行防地址欺骗)选项,在Spoof Tracking(防地址欺骗记录)中选择Log,配置完毕后点击OK。 为内部接口定义有效地址 (8) 在名称栏中选择内部接口,点击Edit。 (9) 在Interface properties窗口点击Topology,再点击Internal(leads to the local network,向内连接到本地网络)。 (10) 在Ip Address behind this interface(接口后面的IP地址)下: l 如果这个接口后只有一个网络,选择Network defined by the interface IP and netmask(由接口IP和网络掩码定义的网络)。 l 如果这个接口后面有一个以上的网络,那么定义一个包括这个接口后面所有网络对象的组网络对象。使用Specific来选择。 (11) 选择Perform Anti-spoofing based on interface topology(在该接口上执行防地址欺骗)。在spoof tracking (地址欺骗记录)选择Log,点击OK。 (12) 在所有内部接口上重复步骤(8)到(11)。 (13) 安装安全策略。 4、配置阻断Visitor 模式 关于阻止TCPT的详细信息参见“阻止Visitor 模式”。 如何配置阻止Visitor模式(阻止内向外TCPT) 在管理服务器(Manager server)使用数据库工具配置阻止向外TCPT。这些在每一个防火墙Module上配置。将Disable_outgoing_tcpt (false)参数修改为true。 如何通过改变端口来阻止向外TCPT 通过改变端口号来禁止TCPT。在管理服务器(Manager server)使用数据库工具(Databasetool)配置全局属性以阻止向外TCPT。 Tcp_outgoing_port (443) 将这个端口号改成其它的数值。 第三章 智能防护(SmartDefense) 本章内容 一、 在线防护的需求 二、 对于在线防护的SmartDefense解决方案 三、 设置SmartDefense需要考虑的问题 四、 配置SmartDefense 五、 SmartDefense StormCenter模式 一、在线防护的需求 现在在网络安全方面存在着许多安全风险,并且呈现不断上升的趋势,这些不断增长的风险包含更多的复杂性和变化性。安全管理员需要一种途径来检测和阻止这些攻击,并且能够经常了解新的攻击行为,以便阻止这些攻击。 图2-1 网络攻击 FireWall-1 Access Control(访问控制)可以对通过防火墙中的可疑连接进行阻断,但是很多的攻击是使用被误开放的通道和服务。例如,如果将ICMP pings的服务开启,大量的此类连接就形成了拒绝服务攻击(DOS),从而阻止了其他有效的访问链接。另外一个例子是SYN的攻击,它将阻止一台基于TCP/IP的服务器对其他的用户提供服务。这个攻击是通过在一次握手的连接中不向服务器的SYN-ACK(同步-应答)响应发送最后的应答,这将导致服务器保持此状态直到最后超时。 内容安全,一般提供病毒检测等功能,但这些是不够的。它还能够检测单个数据报的内容,但是必须是基于某个特定的服务,而且不能检测包含有恶意行为的模式。 二、SmartDefense的解决方案 本节主要内容 1、 SmartDefense的简介 2、 SmartDefense订阅(subscription)服务 3、 SmartDefense功能分类 4、 SmartDefense的工作方式 5、 SmartDefense的树型结构 1、 SmartDefense简介 Check Point SmartDefense为识别和防御不同类型的攻击提供了统一的架构。在安全规则表中没有明确定义保护措施的情况下,SmartDefense也能为网络提供在线防护的能力。它分析通过网络的连接,跟踪潜在的威胁事件并且可选择地进行报警。应用智能安全技术(intelligent security technology)可以保护客户免受全部已知的和大部分未知的网络攻击。 保持最新的防御措施不需要最新的技术知识。只需要简单地点击就可以从SmartDefense的web站点上获取所有最新的防御知识库。 SmartDefense提供了一个有以下功能的控制台: l 选择需要进行防御的攻击行为,以及获取攻击行为的详细信息。 l 简单配置针对不同攻击的参数,包括记录的选项。 l 在受到攻击时接收实时的信息,更新SmartDefense的最新功能。 注意:SmartDefense只能被部署在安装有Check Point NG FP2和更高版本的网关产品上。前期的版本不能进行任何的智能防护的定义。包含有最新防护库的最新版本只能应用在Check Point网关产品的最新版本中。 2、 SmartDefense订阅服务 智能防护功能已经免费包含在FireWall-1的产品中。但是,用户需要订购智能防护的订阅服务,以便随时获得及时更新的防护知识库,以下是checkpoint智能防护站点: 1) HTTP和CIFS蠕虫信息; 2) 检测脚本(INSPECT file)更新; 3) 动态攻击防护。 已经订阅的客户能够通过简单的点击自动进行SmartDefense升级。没有有效的订阅许可的客户不能进行在线的防护知识库更新,但可以手工定义HTTP和CIFS的蠕虫防护信息。 3、 SmartDefense的功能分类 CheckPoint SmartDefense用户免受攻击和其他不合理的或可疑的访问连接。它提供以下的分类功能: l 防御攻击行为(Defense against attacks) l 隐含防御措施(Implicit Defense) l 可疑行为分析(Abnormal Behavior Analysis) 一些SmartDefense的特征(featrue 应该是指特征库内的攻击特征类型的脚本码)提供了不止一个种类的功能。比如,初始序列号码防御(ISN Defender)不仅可以防御一个特定的攻击行为,而且还可以内置防御。 1) 防御攻击行为(Defense against attacks) Check Point SmartDefense保护客户免受已知或未知的攻击。攻击行为被截停在网关处,保护作为攻击目标的目标服务器。 SmartDefense配置简单,并且对于管理员来说,在进行攻击防御的同时不需要去了解攻击行为的技术细节。 SmartDefense特征库能够防御以下类型的攻击行为: l 拒绝服务攻击 l TCP/IP协议攻击 l Web和应用的漏洞 l 网络探测 l HTTP蠕虫 示例:ISN防护 一个TCP连接开始于三次握手的过程。客户端发送一个SYN数据报,服务器回复SYN/ACK,最后客户端发送一个ACK来建立连接。对于每次的SYN/ACK,服务器同时产生一个序列码(SN)来区分不同的连接。 序列码(SN)一般由某些种类的密钥来产生,对于一些操作系统来说,我们可以从上一个的SN猜测出下一个SN。一个通过猜测获得有效SN的外部客户端可以通过这个SN来发送一个SYN/ACK的数据报,以便建立连接。这个连接可能来自于一个实际不存在的IP地址,也有可能携带有害的数据内容。 SmartDefense的ISN防护通过使用本身产生的SN(使用强加密的密钥)替代服务器生成的SN来防御这类的攻击。 2)隐含防护(Implicit Defense) 隐含防护措施可以保护包括互联网的内部网络实体的信息,这些信息将被重新定义。 例如,当一台内部的服务器建立一个TCP连接,它将发送连续的序列号(SN)。对于某些操作系统来说,这些SN可以判断操作系统类型。SmartDefense使用“指纹欺骗”来保证外部客户端不能判断内部服务器使用的操作系统类型,这主要通过指纹的替代来实现。 3)可疑行为分析 SmartDefense提供报表和分析网络访问行为模式。它通过分析由FireWall-1执行点模块发到管理模块的日志来检测这些行为模式。如果检测到一个可疑的行为,管理员可以通过日志或其他方式的报警来跟踪当前访问,具体的方式由配置的设定决定。 例如,有一个连续的事件被侦测到,从而许多类的连续事件都将被配置定义。对于每一类的连续事件来说,如果此类访问的行为在一个给定的时间段里的重复次数超过了定义的次数,那它将被认为是可疑的活动。 4、SmartDefense的树形结构 SmartDefense控制台被划分为一个树状结构,用来分类SmartDefense的防护功能。下面概述了树型结构的主要分类。 注意:SmartDefense的更新功能被添加到树型结构的一个分类当中,与攻击防护分类相同。 1)Anti-Spoofing Configuration Status(防欺骗配置情况) 这个页面说明如何在网关中配置防欺骗的设置。它主要存在于Checkpoint网关的防欺骗未激活的情况中,例如,在接口卡的“IP address behind this interface”属性设为“Not Dfined”。在重新配置某个网关时你可以改变这个设定。 2) Network Security (网络安全) Denial of Service 拒绝服务(DoS)攻击的目的是通过向目标服务器发送大量的伪造数据,导致目标服务器不能响应合法的请求。这类攻击利用操作系统的漏洞以达到远程攻击机器的目的。 IP and ICMP 这个页面允许激活有关第三层尝试的详细序列(IP 和ICMP协议)。 例如,当企图使用分片越过防火墙或发起拒绝服务攻击时,分片的超时记录会在发现这些数据包的同时进行日志的记录。 TCP VPN-1/FireWall-1进行基于IP和基于协议的鉴别,也能够通过分析数据报来确认是否包含允许选定的内容。 为了检测TCP的数据报是否合法,将执行以下的测试: l 协议类型检测 l 协议头分析 l 协议标记分析和验证 SYN攻击防护可以保护服务器免受来自TCP连接的SYN包可能导致的拒绝服务攻击。 序列验证是一种在TCP连接中匹配TCP数据报的序列号的机制。在一个TCP会话中,匹配连接的数据报如果包含有不正确的序列,数据报将被丢弃或被剥离。 Fingerprint Scrambling 在某些情况下可以根据操作系统或连接的指纹特征来判断机器的操作系统类型或模拟一个已存在的连接。SmartDefense通过误报指纹信息来使这个情况变得不可能。 Successive Events Successive Events detection(连续事件侦测,从前的恶意活动检测)提供了用来检测可疑和恶意的访问行为的机制,并且及时通知安全管理员。 连续事件侦测运行在SmartDefense服务器上,并且分析来自VPN/FireWall执行模块的日志,以日志中的数据匹配攻击特征。 安全管理员能够修改攻击侦测的参数,开关对某些特定攻击的侦测,甚至将Successive Event特征库全部关闭。 那些不发送到SmartCenter服务器的日志(例如本地日志和发送到日志服务器的日志)将不会被分析。 Dynamic Ports 一部分应用(例如重负载的FTP以及SIP协议)在建立连接的时会动态打开端口。如果这些端口与在SmartDashboard中预先定义的端口相同,那么这些端口将被关闭。使用这个页面的选项可以定义将一个连接打开的动态端口关闭(drop),无论这个端口是否与预定义的端口相同。也可以选择只要是被动态打开的低端口(小于1024)都将被关闭。 3)Application Intelligence(应用智能) Web HTTP是一个用来连接互联网上服务器的信息传输协议。它的主要功能是与Web服务器建立连接,并且向客户端的浏览器传送HTML页面。 在这个页面中允许你配置关于HTTP协议的不同防护措施。例如,general HTTP Worm Catcher可以消除大部分使用HTTP服务器和客户端安全漏洞的企图,使用正确的表达来匹配HTTP头。 这也使得可以不在规则表中进行配置就可以对全部HTTP访问激活security server(CheckPoint的一项安全服务)防护。 Mail SMTP securi- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CheckPoint 日常 维护 手册
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文