Check Point SMB
操作手册

目录
准备 3
初始化 4
配置IP 4
初始化 5
Check Point 1100 Web配置 13
初始化到独立式 13
配置IP,路由 13
开启功能 16
配置策略 16
查看日志 17
Check Point 1100 SC配置 19
初始化到分布式 19
连接到Smart Center 21
开启功能模块 25
配置下发策略 26
应用控制介绍 27
IPS介绍 27
S to S的×××和 远程××× 28
建立S to S的***。 28
配置案例 29
600与R75。40×××配置问题的解决方法 37
建立远程××× 38

准备
首先我们可以看下设备的外观,大小与小型交换机相符。外观分为正面板和背面板。
正面板主要用于显示设备的电源指示灯,状态指示等,网络连接状态灯。
背面板主要用于电源插口,外网/内网插口,Console口,reboot按键和恢复原厂按钮。

初始化
配置IP
接通电源后首次开启设备,用一条网线接入设备的LAN1-LAN8口任意一个端口,把IP配置成DHCP。

配置成DHCP后可以到网卡信息界面查看是否已经获取到IP,如果能获取到则证明设备已经启动好了。

初始化
接下来我们就通过Web界面对设备进行初始化。首次登陆的地址为:https://192.168.1.1:4434,打开页面会自动跳转到初始化界面。
点击Next进入下一步。在该页面设定管理员的帐号密码,选择所在的国家。

点击Next进入下一步,设定时间,有两种方式,背部别为手动和自动,手动设定则为手动设定到指定时间。自动则是通过NTP服务器获取时间。

点击Next进入下一步,设定设备的名称和域名,无域名则不需要输入。

点击Next进入下一步,设定设备的使用模式,1100是支持被Smart Center管理的,

目前支持管理1100的设备有Smart Center R77和R75.47。其他版本暂无法完美支持。
(选择分布式管理,我们使用R75.47对1100进行管理测试)

点击Next进入下一步,设定外网的连接模式,可以选择稍后配置完后再进行设定。

点击Next进入下一步,设置内网的管理IP和是否设定DHCP,包括DHCP的网段设定。

点击Next进入下一步,选择是否设定wifi的密钥和名称,这里选择稍后设定。

点击Next进入下一步,选择允许通过那些方式访问设备,可以选择内网,外网,无线和×××四种方式。除了设定访问方式还可以指定IP访问。

点击Next进入下一步,激活设备有两种方式,一种为在线激活方法,一种为离线激活方式,也可以直接点击Next而不激活,将有30天的试用期。

如果直接点击Next他会提醒您未激活,直接点OK即可。

点击OK之后要进行配置SIC,由于之前我们选择的是分布式,所以我们需要设定一个SIC密钥用于跟Smart Center进行连接,方便Smart Center进行管理。

点击Next进入下一步,连接SmartCenter,我们可以选择稍后加入管理。勾选下面的选项点击Next。

点击Next后会出现设备的基本信息,确认无误后点击Finsh完成初始化。
Check Point 1100 Web配置
初始化到独立式
独立式适用于部署一台设备的办事处或者企业。对于一些预算较低的公司可以选择独立模式以保证预算。当然,并不是您选择了独立式后就不可再进行修改。您可以在初始化是选择初始化为独立模式,后期需要添加新CP时再把模式更改为分布式,前提是您需要单独在购买一台Smart Center或者安装一台Smart Center进行管理。
注:Check Point 2200系列以上则无法在初始化选择独立式后再次修改。
注:HA情况强烈建议使用分布式,不使用独立式。

配置IP,路由
配置设备的IP和DHCP服务器。
首先点击你需要修改的网络组进行修改。默认每个网络组等于一个交换机。在该设备中可以同时建立多个网络组。最多可以同时建立8个网络组,针对CP的8个接口做8个网络组。默认CP初始化完毕后会把8个lan接口划分到一个网络组当中,如果需要新建网络组。则需要先从默认网络组中把你们需要单独做网络组的接口分离出来。接口除了做网络组也可以接口自身做成一个有IP的接口。在网络组里面的所有接口的网关都是指向网络组的ip,而自身做成接口的则按照自身分配的IP座位网关。
例1,做成网络组:
首先双击您需要分离出来的网口,在Assigned处选择Unassigned。把需要的接口分离出来后,点击New Switch

在此处选择你需要加入到该网络组的接口前面勾选。
设定网络组的IP地址。

是否开启DHCP服务器。如果开启则设定DHCP分配的地址段和保留的地址。

配置完成后点击Apply完成。
例2,自身做成Switch:
双击你需要做成Switch的接口,然后在Assigned to 选择 Separate Network。
设定网口的IP地址:

是否开启该网口的DHCP服务器,配置DHCP网段和预留的IP。

路由配置
需要配置静态路由选择Device找到页面下的Routing选项卡。
点击New添加路由。

在打开的新增页面中设定目的地址,源地址,
服务和下一跳,点击Apply完成新增。

开启功能
在独立模式下面开启功能模块只需要登陆设备后在设备的Home界面下的Security Dashboard,选择您需要开启的功能。在设备购买时都会导入license。导入后没有购买的模块将无法被开启。

配置策略
配置CP的策略。首先需要确认是否是否开启了开功能模块。可以在上一个教程中查看开启方法或者在Acces Policy下选择Blade Contorl开启该模块。在该页面同时也集成了应用控制和URL控制模块的开启和关闭。

在Firewall Policy可以选择Standard标准模式(拦截所有从外网进来的数据)或者选择Strict拦截模式(拦截所有出去和进来的数据),选择OFF为关闭。
模块开启完成后,接下来就可以配置Policy了。选择Policy界面点击New进行添加策略。

查看日志
在独立式中查看经过防火墙的日志,点击Logs & Monitoring查看Logs。
点击Security Logs查看防火墙的访问日志。

点击System Logs查看系统日志

可以在Status中查看到设备的连接信息,包括:
连接到设备的活动PC

×××通道状态

活动连接

3Dreport

可以在Scurity Report生成设备下的日志。
点击Reports Dashboard查看基于每小时,每天,每周,每月的报告。

点击Hourly Report\Daily Report\weekly Report\monthly Report,选择Generate Report针生成对设备每小时\天\周\月的运行报告。

Check Point 1100 SC配置
初始化到分布式
点击Next进入下一步,设定设备的使用模式,1100是支持被Smart Center管理的,
目前支持管理1100的设备有Smart Center R77和R75.47。其他版本暂无法完美支持。
(选择分布式管理,我们使用R75.47对1100进行管理测试)

点击OK之后要进行配置SIC,由于之前我们选择的是分布式,所以我们需要设定一个SIC密钥或者使用自动认证用于跟Smart Center进行连接,方便Smart Center进行管理。(这里我们选择第二个,自动认证)

连接到Smart Center
当Check Point 1100被选为独立模式后。登陆该设备的1100可以发现界面中少了许多选项。且无法在web下开启防火墙的功能。开启功能必须要通过Smart Center进行开启。

查看1100与Smart Center的连接状态可以在Seurity Dashboard中查看是否有被管理。或者查看跟Smart Center连接是否正常。

图中我们可以看得出目前该设备与Smart Center的连接状态为断开。现在我们开始对他们进行对接。首先打开Smart Center。在Firewall界面中添加防火墙。

选择Security Gateway/Management…添加设备。选择向导模式进行添加设备。

点击Wizard Mode进行向导模式添加设备。设备名称写入Gateway-1100,设备的软件版本为1100 Appliances。输入设备的IP地址:192.168.1.12

    点击下一步,配置设备与Smart Center的连接信息。选择连接方式。不需要通过SIC进行连接。选择连接Connect进行连接。连接后状态会更换成: 

点击下一步进入设备功能的开启。默认只开启了FireWall功能,其他功能均未开启。可以按照您购买的功能模块开启相应的功能。

        开启所需的功能后点击下一步配置是否内网所有IP都自动进行NAT。

配置完成后最后确认下配置信息

开启功能模块
被Smart Center所管理的设备需要开启功能有两种方式。
第一种是在添加设备时开启所需要的功能。

第二种是在Smart Center中打开新增的设备。下方可以进行功能的开启与关闭。勾选则为开启,不勾选则为关闭

配置下发策略
上边标记处是添加防火墙规则的按钮。左边是定义各种对象的区域,有防火墙对象,主机对象,网络对象,以及组对象。右边Security选项显示的是规则库,显示当前定义的各条规则。下面是已经定义的所有对象以及他们相应得属性。

在第一次添加规则的时候,我们点击图中的按钮,然后在规则库中会出现一条默认规则。
然后我们引用定义好的对象,制订规则。见下图:在图中我们要添加相应对象,直接在对应栏中点击右键,然后在弹出的对话框中选择相应对象。

    添加完策略后。需要下发策略后,该策略才会被应用到设备上面。需要点击下发策

略按钮 才可以被下发到设备上面。
(应用控制,URL控制,IPS,结合AD域和×××请参考SmartCenter配置手册。)
应用控制介绍
Check Point的应用控制可以针对一个类型的网站或者应用进行限制。方便用户在不知道网站或着应用名称的情况下通过类型确认该应用或网站类型。如淘宝网,天猫,京东,易迅这些购物网站需要禁止只能一个一个添加。而checkpoint则是通过特征码把一个所有关于购物的网站进行限制。应用和URL控制都是在Fire Wall进行修改。1100把Firewall和策略做到了一个地方。方便用户修改。

IPS介绍
IPS中文为***防御,可以针对外网来的***进行防御。在Web中选择Threat Prevention中打开IPS监控。默认开启后不需要做设置就可以拦截80%的***。

S to S的×××和 远程×××
S to S ***是点到点的×××。针对客户有两台checkpoint防火墙做的×××。他们的加密方式有两种,分别是通过密钥和通过证书形式完成加密。
建立S to S的***。
首先需要开启Site to Site ×××的模块功能,在×××界面下的Site To Site 中的lade Control中进行开启。

开启完成后到××× Site添加站点。打开××× Sites 点击New 添加×××对端设备。

在界面中我们需要配置对端设备的名称,IP,密钥或证书和对方访问本端的×××网段

设定完成后在另外一段的设备中添加一台对端的设备。写入名称,IP,密钥或着证书和对端参加×××的网段。设定完成之后可以在××× Tunnle中查看×××建立的状态。
配置案例
在配置中需要把设备的默认版本升级到R75.20.40或以上的版本。否则在导入证书时会无法导入。
环境:
对端是一台Check Point R75.40用的固定IP,IP为:10.10.10.1,内网的网段为:192.168.1.0。
本端是SMB 620设备版本是R75.20.50,使用ADSL拨号。内网的网段是192.168.168.0
配置步骤:
首先需要通过Smart Center生成一个证书。用于双方进行认证。在SC下面右键点击Check Point窗口选择UTM-1 Edge Gateway。

在弹出的窗口中输入设备的名称。点击Edit Registration Key,自动生成一个密钥,由于620不支持被管理,在这里我们点击自动生成密钥,点击OK。勾选最下方的External Managed Gateway,选择Topology。

在该页面的××× Domain中选择manually defined 在复选框中选择自身的内网网段。点击IPSec ×××。

在该界面中生成证书。首先点击Repostory Of Certficates Available to the Gateway下面的Add,在弹出的界面当中输入设备的名称。

点击Generate生成证书,把生成的数据找个文本记录起来,中间用(,)分隔。

记录完毕后点击OK。证书生成完成后点击Matching Crteria。

在上端选择Internal_ca,勾选DN选项,在后面填入前面获取到的数据。

点击OK保存后再次OK关闭本窗口后再次打开跳到该界面点击Export P 12。设定一个证书的密码。

输入两次,点击OK选择导出路径,生成证书p12文件。
生成证书后接下来我们需要配置设备自身的×××。选择R75.40的设备选择Topology,在该页面的××× Domain中选择manually defined 在复选框中选择自身的内网网段。点击IPSec ×××。
接下来开始配置两端对联的×××站点,点击页面当中的选择小锁头,在站点中双击Site to Site的×××,在打开的界面当中进行配置。

在该页面中选择 Participating Gateways,弹出的窗口中点击Add添加需要参加×××的网关,完成后单击Advanced Settings。

选择Advanced ××× Properties,勾选页面当中的Disable NAT inside the ××× community。点击OK完成配置。

配置完站点后我们需要添加条策略使×××通过。

添加完策略后记得下发策略。
配置完成后我们

开启Site to Site ×××的模块功能,在×××界面下的Site To Site 中的lade Control中进行开启。

开启完成后到××× Site添加站点。打开××× Sites 点击New 添加×××对端设备。

在界面中我们需要配置对端设备的名称,IP,密钥或证书和对方访问本端的×××网段

设定完成后在另外一段的设备中添加一台对端的设备。写入名称,IP,密钥或着证书和对端参加×××的网段。设定完成之后可以在××× Tunnle中查看×××建立的状态。

600与R75。40×××配置问题的解决方法
First Step: Verify the other peer's Certificate name (CRL Distribution address).

  1. To verify the local Certificate's CRL Distribution address, go to: "×××" - > "Certificates"- > "Internal Certificate".
  2. Under "Internal ××× Certificate" there is the CRL Distribution URL. This is the Local URL address and should be provided to the remote ××× peer.
    Second Step: Adding a network object that represents the CRL Distribution URL of the Remote ××× peer.
    This step provides the local gateway with the capability of resolving the remote peer's trusted certificate locally.
    On each gateway, there is a need to create a "Network Object" that includes the external IP address of the remote ××× peer, and define the CRL Distribution URL Name as the "Network Object's" Name.
    For example: In a scenario where the remote gateway's CRL Distribution is: "http://Samba:182654.ICA1.crl" and the external IP address is: 173.13.64.63
  3. On the local gateway, you have to add a "Network object" that includes the remote ××× peer's CRL info:
    Type: Single IP
    IP address: 173.13.64.63
    Object name: Samba
  4. Mark the option ""Allow DNS server to resolve this Object name".
  5. Click "Apply".
    Third Step: Uncheck the following checkboxes:
    • "Retrieve CRL From HTTP Server(s)"
    • "Cache CRL on the Security Gateway"
  6. Go to ×××: Under "Certificates", go to "Trusted Certificates".
  7. Double-click on the certificate in order to open its Edit window.
  8. Uncheck the following:
    o "Retrieve CRL From HTTP Server(s)"
    o "Cache CRL on the Security Gateway"

  9. Click "Apply".
    点击http://zevercn.com/ 学习了解

建立远程×××
首先需要开启Remote ×××的模块功能,在×××界面下找到Remote ×××中的Blade Control。在开启的下方可以选择接入的方式。默认开启的方式为Check Point客户端,还可以开启的方式有SSL ×××和Windows ×××工具。如果需要用到这些功能勾选启用即可。

开启了功能和登陆方式后接下来配置remote ×××的用户。打开Remote Access Users页面,点击Add添加Remote Access用户。

在添加页面中可以看到,只要设定用户名,密码,勾选只用于Remote Access即可。

设定完用户后可以点击Advanced设定用户登陆后获取的IP地址和获取到的DNS服务器。