Checkpoint防火墙安全配置手册V0.1

中国移动Checkpoint防火墙安全配置手册

密 级： 文档编号： 项目代号：

Checkpoint防火墙安全配置手册

Version *.*

中国移动通信有限公司 二零零四年十一月

第 1页 共 36 页

中国移动Checkpoint防火墙安全配置手册

拟 制: 审 核: 批 准: 会 签: 标准化:

第 2页 共 36 页

Firewall

版本控制

版本号

日期 参与人员 更新说明 分发控制

编号 1 2 3 4 5

读者 文档权限 创建、修改、读取 批准 标准化审核 读取 读取 与文档的主要关系 负责编制、修改、审核 负责本文档的批准程序 作为本项目的标准化负责人，负责对本文档进行标准化审核

中国移动Checkpoint防火墙安全配置手册

目录

1 2

综述 .............................................................................................................................................. 5 Checkpoint的几种典型配置 ....................................................................................................... 6 2.1 checkpoint 初始化配置过程： ........................................................................................... 6 2.2 Checkpoint Firewall-1 GUI安装 ....................................................................................... 13 2.3 Checkpoint NG的对象定义和策略配置........................................................................... 18 3 Checkpoint防火墙自身加固 ..................................................................................................... 34

第 4页 共 36 页

中国移动Checkpoint防火墙安全配置手册

1 综述

本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

第 5页 共 36 页

中国移动Checkpoint防火墙安全配置手册

2 Checkpoint的几种典型配置

2.1 checkpoint 初始化配置过程：

在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint的配置。如下图所示，SSH连接到防火墙，在命令行中输入以下命令：

IP350[admin]# cpconfig

Welcome to Check Point Configuration Program

================================================= Please read the following license agreement. Hit 'ENTER' to continue...

（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息） Do you accept all the terms of this license agreement (y/n) ? y （输入y同意该版权声明）

Which Module would you like to install ? -------------------------------------------

(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module (2) VPN-1 & FireWall-1 Enforcement Module

(3) VPN-1 & FireWall-1 Enterprise Primary Management

Checkpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块： GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策

略和对象，安装于一台PC机上；

Management：存储为防火墙定义的各种安全策略和对象；

Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其

第 6页 共 36 页

中国移动Checkpoint防火墙安全配置手册

上的安全策略由管理模块下载；

以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选

择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。在此处我们选择（1）

Enter your selection (1-3/a-abort) [1]: 1 IP forwarding disabled

Hardening OS Security: IP forwarding will be disabled during boot. Generating default filter Default Filter installed

Hardening OS Security: Default Filter will be applied during boot. This program will guide you through several steps where you will define your Check Point products configuration. At any later time, you can reconfigure these parameters by running cpconfig

Configuring Licenses... ======================= Host Expiration Features

Note: The recommended way of managing licenses is using SecureUpdate. This window can be used to manage local licenses only on this machine. Do you want to add licenses (y/n) [y] ? n

（询问用户是否需要安装Checkpoint License，可以在此时输入，也可在安装完毕时用命令行方式输入，因为使用命令行方式输入较为方便，建议用户在安装完毕后使用copy -> paste的方式输入License。在此处我们选择n）

Configuring Administrators...

第 7页 共 36 页

中国移动Checkpoint防火墙安全配置手册

============================= No Check Point Administrators are currently defined for this Management Station. Administrator name: fwadmin

(配置Checkpoint Firewall-1/VPN-1的管理员用户名，注意系统自身与Checkpoint的管理员不相同)

Password: Verify Password:

（设置管理员的密码，Checkpoint管理员密码没有长度的限制）

Permissions for all Management Clients (Read/[W]rite All, [R]ead Only All, [C]us tomized) W

（设置该管理员的用户权限，有三种权限，写权限W，读权限R，自定义权限C，在此处选择W，给予管理员最大的权限）

Administrator fwadmin was added successfully and has Read/Write permission to all management clients

Add another one (y/n) [n] ? （提示是否还加入其它用户）

Configuring GUI clients... ========================== GUI clients are trusted hosts from which

Administrators are allowed to log on to this Management Station using Windows/X-Motif GUI.

Do you want to [C]reate a new list, [A]dd or [D]elete one?: C

（Checkpoint GUI软件需要安装在一台PC机上，但该GUI的IP地址需要定义，在此处我们选择C，创建一个GUI IP地址表）

第 8页 共 36 页

中国移动Checkpoint防火墙安全配置手册

Please enter the list hosts that will be GUI clients.

Enter hostname or IP address, one per line, terminating with CTRL-D or your EOF character.

10.0.0.15

Is this correct (y/n) [y] ?

（输入完地址后需要按CTRL-D结束定义GUI）

Configuring Groups... =====================

Check Point access and execution permissions -------------------------------------------

Usually, a Check Point module is given group permission for access and execution.

You may now name such a group or instruct the installation procedure to give no group permissions to the Check Point module. In the latter case, only the Super-User will

be able to access and execute the Check Point module.

Please specify group name [ for no group permissions]:

No group permissions will be granted. Is this ok (y/n) [y] ?

Setting Group Permissions... Done.

（为Checkpoint生成一个管理组，在此处不需要生成专门管理组，直接敲回车，不生成组）

Configuring Random Pool... ==========================

第 9页 共 36 页

中国移动Checkpoint防火墙安全配置手册

You are now asked to perform a short random keystroke session. The random data collected in this session will be used in various cryptographic operations.

Please enter random text containing at least six different characters. You will see the '*' symbol after keystrokes that are too fast or too similar to preceding keystrokes. These keystrokes will be ignored.

Please keep typing until you hear the beep and the bar is full.

[....................]

Thank you.

（随意敲入字符，以便Checkpoint用它作为随机的加密参数。随意敲任意，直到出现Thank you）

Configuring Certificate Authority...

==================================== The system uses an internal Certificate Authority

to provide Secured Internal Communication (SIC) Certificates for the components in your System.

Note that your components won't be able to communicate with each other until the Certificate Authority is initialized and they have their SIC Certificate.

Press 'Enter' to initialize the Certificate Authority... (输入回车开始生成证书)

第 10页 共 36 页

中国移动Checkpoint防火墙安全配置手册

Internal Certificate Authority created successfully Certificate was created successfully

Certificate Authority initialization ended successfully （证书生成完成）

The FQDN (Fully Qualified Domain Name) of this Management Server is required for proper operation of the Internal Certificate Authority. （默认的证书名称为FQDN）

Would you like to define it now (y/n) [y] ?

The management FQDN is IP350. Do you want to change it? (y/n) [n] ?

Press 'Enter' to send it to the Certificate Authority... （按回车键开始发送证书）

NOTE: If the FQDN is incorrect, the Internal CA cannot function properly, and CRL retrieval will be impossible.

Are you sure IP350 is the FQDN of this machine (y/n) [n] ? y FQDN initialized successfully

The FQDN was successfully sent to the CA

Configuring Certificate's Fingerprint...

========================================

The following text is the fingerprint of this Management machine:

SODA KNEE MEAT LIEN ADD LAP WISH JIBE JIM AMEN EACH SAID

Do you want to save it to a file? (y/n) [y] ? n

（询问是否将Management Server上的指纹存储到文件中） generating GUI-clients INSPECT code initial_management:

第 11页 共 36 页

中国移动Checkpoint防火墙安全配置手册

Compiled OK.

Hardening OS Security: Initial policy will be applied until the first policy is installed

（在配置完成Checkpoint后，Checkpoint会将操作系统做一个加固，除Checkpoint GUI外，其它的任何服务都不能连接到防火墙）

In order to complete the installation of module you must reboot the machine. Do you want to reboot? (y/n) [y] ? n

（Checkpoint将询问是否重新启动，为便于使用命令行增加Checkpoint License，在此处点击n）

IP350[admin]# cplic putlic eval 01Jan2003 dHEkKf7rt-BN9eeqjJx-9vxuF5EfN-X5TxP4Mqp CPMP-EVAL-1-3DES-NG CK-CP

Host Expiration Features

eval 1Jan2003 CPMP-EVAL-1-3DES-NG CK-CP

(使用命令行增加Checkpoint License，该命令行可直接从Checkpoint 的正式License中Copy到命令行模式下) IP350[admin]#sync IP350[admin]#reboot

cleaning up... syncing disks... done Rebooting...

a) 重新启动后，整个CheckPoint VPN-1/FW-1 NG 安装完成。

第 12页 共 36 页

中国移动Checkpoint防火墙安全配置手册

2.2 Checkpoint Firewall-1 GUI安装

1、插入Checkpoint NG 光盘，将自动运行，出现下列界面，点击Next。如果没有自动出现下列界面，双击光盘所在盘符下的Setup.exe文件，光盘将会自动运行。

2、出现License 协议，点击Next按钮继续。

第 13页 共 36 页

中国移动Checkpoint防火墙安全配置手册

3、出现产品安装菜单，内含两大项——SERVER/GATEWAY COMPONENTS和MOBILE/DESKTOP COMPONENTS，前者是安装于SERVER端上的组件，后者是针对移动用户VPN应用和客户会话验证的组件。在此选择SERVER/GATEWAY COMPONENTS，点击Next按钮。

第 14页 共 36 页

中国移动Checkpoint防火墙安全配置手册

4、出现Server端组件选择窗口，由于VPN-1&Firewall-1、Policy Server组件已经安装于防火墙上，只需要安装Manager Clients组件，即GUI。只选择Manager Clients，点击Next继续。

5、出现准备安装提示，点击Next继续。

第 15页 共 36 页

中国移动Checkpoint防火墙安全配置手册

6、出现安装路径选择窗口，默认路径为C:\\Program Files\\Checkpoint\\Managernt Clients。

第 16页 共 36 页

中国移动Checkpoint防火墙安全配置手册

7、出现Checkpoint NG GUI组件选择窗口。其中各组件功能说明如下：

? Policy Editor是用来编辑Firewall的安全策略。

? Log Viewer用来察看Firewall的Log，包括历史纪录、当前连接纪录和管理员操

作纪录。

? SecureClient Packaging Tool用于VPN用户，将VPN客户端所需的软件包和策略

封成一个数据包，发送给移动VPN用户。

? Traffic Monitor是用于实时监测Firewall上数据流量情况，可以按照协议、对象等

生成实时的曲线图表。该模块需额外购买。

? Secure Update是用于管理防火墙的各组件和License，并能增加、删除、升级各组

件和License。

? Reporting Tool用来分析防火墙生成的Log，生成各种类型报表和图表。该模块需

额外购买。

? User Monitor是用来对用户进行集中管理的工具，该模块需要额外购买。

根据交行的实际情况，在此我们只需要选择上Policy Editor、Log Viewer、Secure Update。点击Next继续。

第 17页 共 36 页

中国移动Checkpoint防火墙安全配置手册

8、完成安装，点击确定按钮。此时完成Checkpoint GUI的安装。

2.3 Checkpoint NG的对象定义和策略配置

1、首先使用GUI连接到Checkpoint Managerment，点击开始 — 程序 — Checkpoint Management Client — Policy Editor NG 后，出现下列窗口，在User Name和Password栏中填入在防火墙中使用cpconfig命令配置的用户名和口令。Managerment中填入Managerment的IP地址，即为防火墙的IP地址。

注意：在防火墙初始配置完成后，Checkpoint会对操作系统做一个加固，除了Checkpoint GUI能够连接防火墙外，其它所有端口都被Checkpoint NG关闭。

第 18页 共 36 页

中国移动Checkpoint防火墙安全配置手册

2、如果GUI正确的连接到防火墙的Management上时，会出现下列的窗口，其中的Fingerprint是GUI与Checkpoint Managerment之间的指纹验证（密钥），用来GUI是连接到了正确的Management上。点击Approve按钮。

3、点击Approve按钮后，将出现下列界面，这即是Checkpoint NG的Policy Editor的主界面。除了防火墙对象自动成生以外，其它对象还未定义。策略还是处于空白状态。

第 19页 共 36 页

中国移动Checkpoint防火墙安全配置手册

4、首先定义防火墙对象，双击Network Objects — Checkpoint — IP350(防火墙名字)对象，出现下面的窗口，在General Properties中将FloodGate-1 勾掉（Disable）。FloodGate-1是用于带宽管理的软件，在此处不需要。如果用户没有VPN应用，可以将VPN-1 pro和VPN-1 net都勾掉（Disable）。见下图

第 20页 共 36 页

中国移动Checkpoint防火墙安全配置手册

5、在左边点击Topology，定义防火墙的拓扑结构和Anti-Spoofing（地址欺骗），首先点击Get Topology按钮，使Checkpoint Firewall-1自动获取到防火墙上所有已定义出的网卡。

第 21页 共 36 页

中国移动Checkpoint防火墙安全配置手册

6、获取的网卡地址将显示在下列的窗口中，点击Accept确认。

第 22页 共 36 页

中国移动Checkpoint防火墙安全配置手册

7、双击每块网卡，并点出弹出窗口中的Topology标签项，定义网卡的Anti-Spoofing，对于防火墙连接内部的网卡，选择Internal (Leads to the local)，IP Addresses behind this中选择 Network defined by the interface IP and Net Mask。Anti-Spoofing中将Perform Anti-Spoofing base on interface勾上（Enable）。这样定义以后，所有来自非内部网卡所有网段的数据包都将被防火墙内部网卡丢弃掉。

注意：如果防火墙内部有多个网段，建议用户使用以下方法定义Anti-Spoofing：

1、 在防火墙Network Objects — Network中定义各个网段；

2、 在防火墙Network Objects — Group中定义一个组，将各个网段加入这个组中； 3、 双击防火墙的的内部网卡，定义Topology时，IP Addresses behind this中选择

Specified，在下拉条中选择刚才定义的Group。

8、在防火墙对象的Tepology中双击外部网卡，在Topology标签项中定义外部网卡，选择External (leads out to the)，在下面的Anti-Spoofing中，建议用户勾掉（Disable）Perform

第 23页 共 36 页

中国移动Checkpoint防火墙安全配置手册

Anti-Spoofing based on interface选项，即不对外部网卡做Anti-Spoofing。如下图：

9、防火墙对象定义完毕后，开始定义主机、网络对象等。在左边Network Objects中，在Node上右键单击，在弹出菜单中选择New — Host。

10、在弹出的窗口上填入主机名和真实IP地址。

第 24页 共 36 页

中国移动Checkpoint防火墙安全配置手册

11、如果该主机需要做NAT，则点击左边的NAT，Checkpoint NG支持两种形式的NAT，一种为Hide模式，即Many-to-one，按端口进行映射，将内部IP映射到防火墙的外部网口上，多用于内部上网，不需要外部访问的环境。一种为Static模式，即one-to-one，按IP Address进行映射，多用于内部主要需要对外提供访问的环境。

第 25页 共 36 页

中国移动Checkpoint防火墙安全配置手册

12、在Network Objects中Network上单击鼠标右键，在弹出菜单中选择New Network中定义一个网段对象。

1、

在弹出的窗口上填入网段名、网段地址和掩码。

第 26页 共 36 页

中国移动Checkpoint防火墙安全配置手册

14、根据需要定义网段的NAT。

第 27页 共 36 页

中国移动Checkpoint防火墙安全配置手册

15、同定义主机和网段对象相同的方法定义Group对象。

第 28页 共 36 页

中国移动Checkpoint防火墙安全配置手册

16、填入Group名字，选择所要加入该组的对象。

17、定义完各个对象后，现在开始添加策略，点击菜单Rules — Add Rule — Botton增加一条新的策略，该策略将会在右上方的策略配置窗中口显示出来。

第 29页 共 36 页

中国移动Checkpoint防火墙安全配置手册

18、定义各策略时可直接将对象从左边窗口中拖入策略行中。

例如 SOURCE和DESTINATION可从左边Network Objects标签项中拖入。 Service可从左边Services标签项中拖入。

19、Services也可在Service中用鼠标右键单击，选择Add加入。

第 30页 共 36 页

中国移动Checkpoint防火墙安全配置手册

20、根据业务需求详细制定各条策略。定义完毕后点击菜单File — Save，或点出Save按钮，存储策略。

注意：存储策略并没有使策略在防火墙上起作用，需要Install策略使用当前的策略起作用。

21、点击Policy — Install…… 菜单开始加载刚才定义的安全策略。

第 31页 共 36 页

中国移动Checkpoint防火墙安全配置手册

22、出现策略加载对象选择窗口，将需要加载该策略的防火墙后面的Security框勾选上（Enable），点击OK开始加载策略。

23、出现下列窗口时，表明策略已经加载完毕，该安全策略已经在防火墙上起作用了。

第 32页 共 36 页

中国移动Checkpoint防火墙安全配置手册

24、察看防火墙的Log时，可以点击Windows — Log Viewer菜单，出现Log Viewer窗口，在其中可察看详细的Log。

第 33页 共 36 页

中国移动Checkpoint防火墙安全配置手册

3 Checkpoint防火墙自身加固

CheckPoint为软件防火墙，需要安装在相应的操作系统上，因此自身加固需要对操作系统和防火墙软件两部分来进行。CheckPoint Firewall/VPN-1软件自身为一个安全的防火墙系统，只需安装相应的hotfix即可修补防火墙的安全漏洞。

对于操作系统而言，CheckPoint自带的SecurePlatform操作系统为进行了安全加固后的Linux操作系统，在没有启动防火墙服务时只有一个SSH服务是开放的，在启动了防火墙服务后，则默认只有管理服务器能连接上，其余访问均被丢弃，因此对于SecurePlatform不需要做加固工作。

对于另一个常见的CheckPoint支持的操作系统Solaris，需要做以下的安全修补工作：（针对Solaris 8）

（1） 安装Solaris 8 Core flavor （2） 安装Solaris 8光盘中下列包

- SUNWlibC

- SUNWlibCx - SUNWter - SUNWadmc - SUNWadmfw - SUNWscpr - SUNWscpu - SUNWscpux - SUNWsra - SUNWsrh - SUNWmdb - SUNWmdbx - SUNWtoo

（3） 从Sun Solve站点安装以下补丁集

http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access

- 109326-07 - 110723-04 - 108434-01 - 108435-01 - 108528-14

（4） 删除以下多余的包

第 34页 共 36 页

中国移动Checkpoint防火墙安全配置手册

- SUNWadmr - SUNWatfsr - SUNWatfsu - SUNWauda - SUNWaudd - SUNWauddx - SUNWcg6 - SUNWcg6x - SUNWdfb - SUNWdtcor - SUNWfcip - SUNWfcipx - SUNWfcp - SUNWfcpx - SUNWfctl - SUNWfctlx - SUNWftpr - SUNWftpu - SUNWi15cs - SUNWi1cs - SUNWkey - SUNWluxdx - SUNWluxop - SUNWluxox - SUNWm64 - SUNWm64x - SUNWmdi - SUNWmdix - SUNWnamow - SUNWnisr - SUNWnisu - SUNWpcelx - SUNWpcmci - SUNWpcmcu - SUNWpcmcx - SUNWpcmem - SUNWpcser - SUNWpl5u - SUNWpsdpr - SUNWrmodu - SUNWses - SUNWsesx - SUNWsndmr - SUNWsndmu

第 35页 共 36 页

中国移动Checkpoint防火墙安全配置手册

- SUNWsolnm - SUNWssad - SUNWssadx - SUNWtleux - SUNWudf - SUNWudfr - SUNWudfrx - SUNWusb - SUNWusbx - SUNWwsr2 - SUNWxwdv

- SUNWxwdvx - SUNWxwmod - SUNWxwmox

第 36页 共 36 页

本文来源：https://www.bwwdw.com/article/jtoo.html