Check Point 培训 day2

Check Point公司发展的过程：

1、纯软件阶段

2、NOKIA硬件

3、Check Point硬件，Check Point操作系统+软件

4、云和移动终端的安全产品（重点方向）

全套安全解决方案，包括云安全、移动安全、SDDC安全

底层配置在GAIA配置，SmartDashboard只能配置安全策略

Gaia是Check Point统一的，先进的安全操作系统，为Check Point所有的硬件设备，第三方服务器，虚拟网关。源之于IPSO和SecurePlatform。

• 合并IPSO和SecurePlatform最好的特性

• 集成了众多的特性，提高了操作的效率

• 一个安全的平台适合于最严格的环境

• 提供基于角色的管理

• 为所有的命令和属性提供网页用户界面

• 兼容IPSO和SPLAT命令行命令

网关不要指防火墙，可能会来回路径不一致，导致状态检测不通过而丢包。

在安装的时候可以设置是否集成在一台设备上，也可以设置是否集群管理。

SMS

配置IP地址：

set interface eth0 ipv4-address 202.100.1.101 subnet-mask 255.255.255.0

set interface eth0 state on  打开接口

测试：

ping 202.100.1.10

查看状态：

show interface eth0

查看整体配置：

show configuration

保存配置：

save config

expert 进入linux模式

set expert-password 设置export模式的密码

配置完IP地址后，进入网页配置。

图形化界面设置的时候，命令行界面被锁定不能配置。需要敲lock database override解锁，此时，图形化界面被锁定。

恢复出厂设置（其实是恢复快照）：

set fcd revert Gaia_R77.20

默认用户是admin，口令也是admin，通过set user admin newpass Cisco123修改口令。

带外网口（默认192.168.1.1/24）：

show interface mgmt 

set interface eth3 state on

set interface eth5 state on

add bonding group 1

set interface bond1 state on

set interface bond1 ipv4-address 202.100.1.4 subnet-mask 255.255.255.0

add bonding group 1 interface eth3

add bonding group 1 interface eth5

save config

fw stat  查看防火墙的状态

fw unloadlocal 关闭本地防火墙，会关掉路由功能，OSPF能起来，但没有路由转发

启用dhcp中继，必须要开启路由功能才能使用。

cat /proc/sys/net/ipv4/ip_forward  (专家模式)显示为1，表示默认开启路由功能

echo 1 > /proc/sys/net/ipv4/ip_forward (专家模式)临时启用IP路由状态

如果需要永久启用IP路由状态，在/etc/sysctl.conf中更改

桥类似于三层交换机上的VLAN

默认是basic模式，只有切换到advanced模式才能配置ospf

其他Gaia配置：

1、修改GUI Client（只有SMS才能配置）

只有范围内的主机和网络可以通过SmartDashboard进行管理（只有在安装了SMS的设备上才有此选项）

防火墙不能被SmartConsole网管。

2、Host Access

Gaia网页界面访问控制，也可以使用命令：set allowed-client host ipv4-address X.X.X.X

3、修改Gaia管理员账号

set user admin ....

4、重装SIC

只有在仅仅安装了security gateway的设备上才有此选项

5、策略路由

创建一个table（类似路由表），用policy rule匹配流量送到table（路由表）里查路由。

6、备份与快照

备份可以在运行相同CP版本和补丁的相同硬件或不同的硬件上恢复，而快照只适用原设备。

推荐在执行升级之前总是执行一次备份。

与快照不一样，备份不包括驱动。

备份文件包括原始硬件的MAC地址。

第一次安装完毕，或者在执行主要升级的时候进行快照。