【正文】 C:\Program Files\checkpoint\cpshared\ng C:\winnt\fw1\ng 5． 導入上面?zhèn)浞莺玫淖员礞I值 6． 在 windows 服務列表啟動 4 個和 checkpoint 有關的服務（開始菜單－ 控制面板－ 管理工具－ 服務） 7． 8． 用 checkpoint gui客戶端管理軟件登錄 management 并查看配置是否正確。 9. 點擊 APPLY, 然后點擊 SAVE. 10. 點擊 reboot，重新啟動機器 .. checkpoint management 上的備份與恢復 備份 : 1. 在管理服務器打開 windows 服務列表。 以下文件包含 nokia IP 系列的全部系統(tǒng)配置 /config /var/cron /var/etc /var/etc/ipsec. /var/admin /var/monitor /var/log 在 nokia 的 web 界面上有工具能對這些文件進行備份一下是備份合恢復的步驟 步驟： 手工創(chuàng)建一個備份文件： 1. 在 nokia web 主頁界面上點擊 CONFIG 2. 在 System Configuration 中點擊 Configuration Backup and Restore 3. 在 MANUAL BACKUP 區(qū) , 在 BACKUP FILE NAME 里面輸入要備份文件的名稱?；赝瞬襟E如下 1． 關閉兩臺 nokia 的電源，重新啟動 screen 電源 2． 恢復 screen 的線 路，把原來 screen 的網線插會 screen 上 3． 按照 測試方式測試 XXX 原有服務是否正常 第六章 日常維護 防火墻的備份與恢復 nokia 防火墻的備份與恢復方法 備份文件的描述。在內網設置一臺機器，其地址為 并根據下列表進行 DMZ區(qū)域的訪問 server Service Client software Webserver 5． 檢查 DMZ區(qū)域對外服務提 供的連通性和對內服務的連通性 使用 notebook 進行撥號上網，并得到一個公有地址，按照以下列表訪問 XXX 對外提供的服務。 2． 檢查 firewall對 DMZ的連通性 ping DMZ的地址 進行測試，如果能 ping 通表示 firewall對 DMZ的連通性正常。 1．機器上架 2．拔開原來 screen 網絡接線 拔開 screen 的網線，但是網線仍然保留，并記錄各根網線對應的 screen 的端口。 4． XXX 需要手工添加的 nat 列表如下表 Original packet Translation packet source destnation service source destination service 5．安裝策略 第五章 切換與測試 切換 在所有 nokia 防火墻的設置均完成以后， 可以進行切換，切換的目標是使用 nokia 防火墻替換原來的 screen 防火墻。 1． 選擇菜單 ruleadd rule 然后選擇規(guī)則的位置 2． 把相應的對象按照拖到策略的各個字段中，能進行拖動工作的有 source destination vpn service 3． Action 中選擇需要做的動作，這里主要的使用都是 drop和 accept， accept 是在前面的對象都匹配的情況下允 許數據通過， drop 是不允許數據通過 4． 如果需要記錄 log，可以在 trace 中選擇 log 5． XXX 的案件中，根據上面描述的策略列表進行策略設定 添加 NAT 策略 nat 的方式除了可以在對象的 nat 屬性上做設置之外，還可以直接編輯 nat 策略列表，其實在對象上自動做 nat 后，就會自動在 nat 列表上添加策略。并選擇轉換的方式，轉換方式有 2 種 hide behind gateway 根據目標網絡自動選擇接口地址進行 NAT 轉換 hide behind IP address NAT 成某一個固定地址 4． 如果此節(jié)點需要做靜態(tài) NAT，請在 NAT 方式上選擇 static，并填寫 NAT 的地址 5．點擊 ok 完成定義 6． XXX 這個案件上，我們需要定義的主機對象及其屬性如下表 Node name Ip address Nat mode NAT address 定義網絡對象 1． 右鍵點擊對象樹 work new work 2． 編輯 work 對象，填入相應的網絡名稱，網絡號，子網掩碼 3． 如果網絡也需要做 NAT 可以點擊 Nat 選項，定義 NaT 參數， nat 參數說明可以參照Node NAT 的參數說明 4． 點擊確定完成網絡對象的定義 5． XXX 這個案件上 ，我們需要定義的網絡對象及其屬性如下表 work name Ip address Nat mode NAT address 定義組 很多時候需要用到組對象，把幾個不同的對象組合起來使用。 screen 的策略 XXX 網絡管理員提供的 screen 的策略如下 (表略 ) 經過整理后轉換成 checkpoint 的策 略 source destination service action NAT NAT mode NAT address NAT service 設定策略 定義主機對象 1． 郵件點擊對象樹 Node new node host 2． 編輯 node 對象屬性 填入 node 名稱和 ip 地址 3． 如果此 node 需要做動態(tài) nat，點擊 NAT，出現(xiàn) Nat 屬性框，在 Add Automatic Address Translation 上打勾。 1．新建一個 multicast host 如下圖 2．定義必要的防火墻策略，包括防火墻到 的信息和各防火墻成員之間的互 訪（如NTP 同步等），配置如下圖所示： 3．安裝策略完成 Nokia vrrp 的配置 高可用性的檢查 可以在兩臺執(zhí)行點上同時執(zhí)行下面的命令： fw tab –t connections –s 得到如下圖所示的結果： 由上圖可見，防火墻將列出當前的連接狀態(tài)，當兩個執(zhí)行點的＃ VALS 值，也就是當前連接數相同時，說明兩個執(zhí)行點的狀態(tài)表已經同步了。在 XXX 這個案例中同步網段為 ，如下圖所示。 2．編輯 cluter 的基本屬性，設置 IP 地址與 cluster 對象名稱 3．點擊 Cluster Members，點擊 add 添加 cluster 對象，并把兩個防火墻對象加到 cluster 中。 基于 nokia vrrp 或者 cluster 的設置 對于 Nokia的 vrrp和 cluster，除了在要在 nokia底層上設定必要的參數之外，也要在 checkpoint上設定做一定的設置。點擊 Gateway 對象下的 Communication 按鈕，填入 sic 密碼（這里的sic 密碼要和初始化 enforcement module 的一樣），點擊 Initialize，建立 sic 通信 確認 sic 成功建立 定義防火墻對象拓撲結構 1． 點擊左邊菜單 topology，出現(xiàn) topology 屬性對話框，點擊 get－》 interface with topology 2．分別點擊入每個網卡屬性，并按照原來的設計定義好外網和內網 (表 1),并設置好相應的地址欺騙的參數。在 GUI 左邊對象樹右鍵點擊 work object new checkpoint gateway … 選擇 classic mode，點擊 ok，如下圖 填入防火墻的名字， ip 地址，并在 version 和 type 上選擇好相應的產品，在產品列表中把firewall打上勾，如下圖所示。 XXX 的管理服務器 IP 為 用戶名為 密碼為 第一次登陸時會提示對照指紋，按 approve 接受即可。 配置 checkpoint 對象和參數 建立 sic 初始化管理服務器后，我們可以使用 checkpoint 的 smart console GUI 登陸管理服務器進行配置。 6． Ca 初始化后，會生成指紋。在生成加密種子以后，系統(tǒng)會提示初始化 ca。只要打入字符，知道下一步按鈕可以點擊為止。 4． 輸入隨機的字符，生成加密種子。 在 XXX 這個案件中，我們建議填入具體的管理 GUI 地址，但是現(xiàn)在由于安裝便利的原因，先暫時設 定 GUI client 為任何地址 *.*.*.*，在完成實施以后，可以改為具體的 IP 地址。如下圖 點擊下一步繼續(xù) 3． 設定允許管理員管理的 GUI client 地址列表。在這一步，用戶必須添加一個管理 smartcenter 的管理員帳號。系統(tǒng)會彈出一個對話框確認沒有 license。這時會繼續(xù)初始化 checkpoint smartcenter 1． 添加 smartcenter license。 點擊 next 開始安裝 6． SVN Fandation 默認安裝在 c:\programe files\checkpoint\cpshared 目錄下，也不能進行修改， Fw1 默認安裝在 c:\winnt\fw1 下面，這個路徑可以修改，由于 checkpoint 的 log 也是記錄在這個路徑下，所以最好把這個路徑安裝在空間比較多的地方。另外一個選項是安裝成單獨的 lo