【文章內(nèi)容簡(jiǎn)介】 Backup Address:IP????(虛擬 IP 地址 ) Monitor Interface:eth2c0(這里選擇的是要監(jiān)控的端口，即 DMZ) Priority Delta:16 點(diǎn)擊 APPLY，完成設(shè)定第一個(gè)監(jiān)控端口 Monitor Interface:eth3c0(這里選擇要監(jiān)控的端口，即內(nèi)網(wǎng) ) Priority Delta:16 點(diǎn)擊 APPLY，點(diǎn)擊 SAVE完成設(shè) 定第二個(gè)監(jiān)控端口 DMZ： eth2c0 IP?????? Priority:240 Hello interval:2 Backup Address:??????? (虛擬 IP 地址 ) Monitor Interface:eth1c0(這里選擇的是要監(jiān)控的網(wǎng)口，即外網(wǎng)口 ) Priority Delta:16 點(diǎn)擊 APPLY，完成設(shè)定第一個(gè)監(jiān)控端口 Monitor Interface:eth3c0(這里選擇要監(jiān)控的端口，即內(nèi)網(wǎng) ) Priority Delta:16 點(diǎn)擊 APPLY，點(diǎn)擊 SAVE完成設(shè)定第二個(gè)監(jiān)控端 口 內(nèi)網(wǎng)： eth3c0 IP???? Priority:240 Hello interval:2 Backup Address:IP ?????(虛擬 IP 地址 ) Monitor Interface:eth1c0(這里選擇的是要監(jiān)控的網(wǎng)口，即外網(wǎng)口 ) Priority Delta:16 點(diǎn)擊 APPLY，完成設(shè)定第一個(gè)監(jiān)控端口 Monitor Interface:eth2c0(這里選擇的是要監(jiān)控的端口，即 DMZ) Priority Delta:16 點(diǎn)擊 APPLY，點(diǎn)擊 SAVE完成設(shè)定第二個(gè)監(jiān)控端口 虛擬的 MAC 地址缺省情況下使用 VRRP 模式，設(shè)備會(huì)以 VRRP Router ID 為基礎(chǔ)為虛擬 IP分配一個(gè)虛擬的 MAC 地址 3． 測(cè)試與狀態(tài)檢測(cè) 在 Voyager的 Monitor頁(yè)面下的 Routing Protocols 下的 VRRP里，可以檢測(cè)當(dāng)前設(shè)備的 VRRP狀態(tài)，如下圖所示： IP380A IP380B 初始化 checkpoint Nokia IP380 出廠的時(shí)候就已經(jīng)安裝好 checkpoint，所以在 Nokia 平臺(tái)下新的機(jī)器并不需要重新安裝 checkpoint，只需把 checkpoint 初始化即可。如 果客戶有最新的 checkpoint 安裝包 for Nokia 平臺(tái)，可以重新安裝最新的 checkpoint 安裝包 在 nokia 平臺(tái)上 checkpoint 的安裝與卸載 新出廠的 nokia 機(jī)器可以不需要重新卸載 checkpoint 和安裝 checkpoint，初始化 checkpoint即可，這一章節(jié)可以跳過(guò)，直接訪問(wèn) 進(jìn)行初始化。 a． 卸載 如果客戶以前測(cè)試過(guò) checkpoint，或者客戶想重新安裝 checkpoint，可以先在 nokia web 界面上先卸載 checkpoint。 1． 進(jìn)入 configuration interface，點(diǎn)擊 manage installed packages 進(jìn)入管理 package 界面。 2． 設(shè)置 Check Point VPN1 NG with Application Intelligence 為 off 設(shè)置 Check Point CPinfo NG with Application Intelligence 為 off 點(diǎn)擊 apply 停止以上軟件包 3． 設(shè)置 Check Point SVN Foundation NG with Application Intelligence 點(diǎn)擊 apply 停止 SVN 軟件包 注意 SVN 軟件包必須在其他所有軟件包都在 off 的狀況下才能正常 stop，所以要先 off 所有軟件包，點(diǎn)擊 apply 之后，才能在 off SVN 軟件包，最后再 apply。如圖 4． 在 manage installed packages 點(diǎn)擊 delete packages 5． 所有 checkpoint 開頭的組件設(shè)置成 delete，然后點(diǎn)擊 apply，如下圖 6． 等待一陣后回到 manage installed package 后，可以看到所有 package 均被 delete，如下圖 7． 在 console 上使用命令 ls /var/opt 沒有任何的文件或文件夾留下， ls /opt 沒有任何 CP開頭的文件夾，說(shuō)明已經(jīng)卸載成功了。 b． 安裝 如果客戶有最新的 checkpoint 安裝包，而客戶又是新安裝的 Nokia 機(jī)器，建議使用 Manage Installed Packages 來(lái)對(duì) checkpoint 進(jìn)行安裝。 我們預(yù)先把起一臺(tái) ftp 服務(wù)器，并把 checkpoint 的安裝包放到 ftp 服務(wù)器上。 1． 使用瀏覽器登陸到 nokia configuration interface 界面，點(diǎn)擊 manage installed packages 進(jìn)入。 2． 點(diǎn)擊 ftp and install packages 進(jìn)入安裝界面，如下圖所示 3． 輸入 ftp 地址，路徑，用戶名和密碼，然后按 apply 鍵 這里 ftp 地址為 :??????? ftp 路徑為 :/ 用戶名 :ftp 密碼 :ftp 4． 在 list 列表上選擇要安裝的 checkpoint 包，然后點(diǎn)擊 apply 5． Checkpoint 包會(huì)通過(guò) ftp 的方式下載到 Nokia 上，看到提示 download successful后選擇要安裝的包，然后點(diǎn) apply 安裝 6． 點(diǎn)擊 Click here to install/upgrade /opt/packages/ 進(jìn)行安裝，選擇install ＝ yes 如下圖 ,點(diǎn)擊 apply 7． 在 console 打入命令 tail /var/log/messages,如果 console 出現(xiàn)下圖情況，則表明已經(jīng)安裝成功。 8． 回到 manage installed packages 可以看到所有 package 都已經(jīng) install， checkpoint fw1 和 SVN Foundation 的狀態(tài)是 on 的 ,如下圖所示 9． 初始化 checkpoint 要使 checkpoint 能正常工作，必須對(duì) checkpoint 進(jìn)行初始化。由于兩臺(tái) Nokia 是跑 HA模式，所以 smartcenter 必須要裝在外部，不能和 enforcement module 安裝在一起，步驟如下： 1． 使用超級(jí)終端推出 console，重新登陸 console，運(yùn)行命 令 cpconfig，如下圖 2． Accept license 之后，就可以選擇 checkpoint 的產(chǎn)品，如果是買了 checkpoint enterprise版的請(qǐng)選擇 1，如果是買了 checkpoint express 的請(qǐng)選擇 2 由于 XXXXXX 購(gòu)買的是 checkpoint enterprise，所以選擇 1 3． 在選擇 checkpoint 產(chǎn)品之后，會(huì)來(lái)到安裝方式選擇，這里有兩個(gè)選項(xiàng) Stand Alone ：?jiǎn)为?dú)安裝，即 smartcenter 和 enforcement module 都安裝在同一個(gè)設(shè)備中 Distributed :分布式安裝，即只選擇 smartcenter 或者 enforcement module 其中一個(gè)安裝。 由于 XXX 使用高可用性配置模式，所以這里選擇 2 分布式安裝 4． 當(dāng)選擇分布式安裝后，系統(tǒng)會(huì)提示安裝哪個(gè) checkpoint 組件，如下圖所示 我們只選擇 1， vpn－ 1 pro gateway 進(jìn)行安裝 5． 選擇 checkpoint 組件后，系統(tǒng)提示是否打開狀態(tài)同步功能，填入 y 回車?yán)^續(xù) 6． 完成同步狀態(tài)功能的選擇后，系統(tǒng)會(huì)提示是否添加 license，一般 checkpoint 沒有 license的情況下都有 15 天的試用期，所以這里不用輸入 license 也可以使用，填入 n，然后回車 7． 鍵入一個(gè)隨機(jī)隊(duì)列，用于生成用于加密的種子 8． 系統(tǒng)會(huì)要求鍵入 SIC password，這個(gè) password 用于 enforcement module 和 management server 的安全連接，在以后設(shè)置 smartcenter 的時(shí)候，添加 checkpoint gateway 輸入的 sic 需要和這個(gè)密碼相同才能建立 SIC 連接。設(shè)置界面如下圖 ,這里填入 sic password為 123456 9． 最后系統(tǒng)提 示重新啟動(dòng)機(jī)器，按 y 重啟機(jī)器， checkpoint 在 nokia 上初始化完成。 第三章 管理服務(wù)器的安裝與配置 管理服務(wù)器 smartcenter 在 HA 的環(huán)境中是儲(chǔ)存了所有的 checkpoint 的配置和策略。所以管理服務(wù)器在一個(gè) checkpoint 的配置環(huán)境中是屬于核心配置，雖然管理服務(wù)器不參與客戶數(shù)據(jù)的流動(dòng)，因?yàn)椴呗灾荒軓墓芾矸?wù)器安裝到 enforcement，不能從 enforcement 返回到管理服務(wù)器，所以一旦管理服務(wù)器損壞，客戶將丟失所有防火墻的配置權(quán)，策略必須重新定義。 smartcenter 的安裝 安裝前的準(zhǔn)備 cpu 奔騰 3 500 以上， 256 內(nèi)存以上，硬盤 5g 以上 win2020 server ＋ sp4 需要 winzip 或者 winrar 軟件安裝 checkpoint NG AI R55 安裝包 for windowns 安裝步驟 1． 解壓縮安裝包，點(diǎn)擊 進(jìn)入安裝界面 2． 點(diǎn)擊 next 后，會(huì)進(jìn)行產(chǎn)品選擇 這里有 2 個(gè)選擇 check point enterprise/pro check point express 在 XXX 這個(gè)案件中，我們選擇 check print enterprise/pro 點(diǎn)擊 next 3． 然后會(huì)進(jìn)行安裝選項(xiàng)選擇，這里選擇 new installation 點(diǎn)擊 next 4． 然后到組件選擇界面。這里主要選擇安裝那一類型的 checkpoint 產(chǎn)品，注意， smartcenter和 secureremote/secureclient 是不能同時(shí)安裝在統(tǒng)一臺(tái)機(jī)器上 由于在 XXX 的兩臺(tái) nokia 只是做高可用，所以這里只是需要安裝管理服務(wù)器和 gui即可，如下圖所示 點(diǎn)擊 next 繼續(xù) 5． 選擇安裝 smartcenter后，系統(tǒng)會(huì)詢問(wèn)是安裝成 primary smartcenter還是 secondary smartcenter。 Checkpoint 是支持 smartcenter 的高可用性，可以使用兩個(gè) smartcenter 進(jìn)行備份。另外一個(gè)選項(xiàng)是安裝成單獨(dú)的 log server，只是作為單獨(dú)的 log 記錄，不進(jìn)行策略管理。 在 XXX 這個(gè)案件中，我們選擇 primary smartcenter，如下圖所示。 點(diǎn)擊 next 開始安裝 6． SVN Fandation 默認(rèn)安裝在 c:\programe files\checkpoint\cpshared 目錄下，也不能進(jìn)行修