分类: 网络与安全
2006-04-29 10:14:33
双CheckPoint防火墙实施方案
姜道友(
第一章 客户环境概述................................................................................................... 4
1.1概述.................................................................................................................... 4
1.2网络拓扑与地址分配表........................................................................................ 4
1.3安装前准备事宜................................................................................................... 6
第二章 Nokia IP380安装与配置....................................................................................... 7
2.1概述.................................................................................................................... 7
2.2初始化nokia380................................................................................................... 7
2.3设置nokia基本信息............................................................................................. 8
2.3.1 Nokia 端口IP地址设定........................................................................... 8
2.3.2设置网关路由........................................................................................... 8
2.3.3设置Nokia平台时间................................................................................. 9
2.3.4设定Nokia高可用VRRP参数..................................................................... 9
2.4初始化checkpoint............................................................................................... 14
2.4.1在nokia平台上checkpoint的安装与卸载.............................................. 14
2.4.2初始化checkpoint.................................................................................. 16
第三章 管理服务器的安装与配置................................................................................... 17
3.1checkpoint smartcenter的安装.............................................................................. 18
3.1.1安装前的准备......................................................................................... 18
3.1.2安装步骤................................................................................................ 18
3.2配置checkpoint对象和参数................................................................................ 20
3.2.1 建立sic................................................................................................... 20
3.2.2 定义防火墙对象拓扑结构........................................................................ 21
3.2.3使用同样的步骤按照表1的参数建立IP380B checkpoint gateway对象。.... 21
3.3基于nokia vrrp或者cluster的设置...................................................................... 22
3.3.1基于Nokia VRRP的设置.......................................................................... 22
3.3.2为nokia vrrp定义策略.............................................................................. 22
3.3.3高可用性的检查....................................................................................... 23
3.4nokia cluster 的设置............................................................................................ 23
3.5暂时没有............................................................................................................ 23
第四章 策略设定............................................................................................................ 24
4.1概述................................................................................................................... 24
4.2 netscreen的策略................................................................................................. 24
4.3经过整理后转换成checkpoint的策略.................................................................. 24
4.4 设定策略........................................................................................................... 24
4.4.1 定义主机对象.......................................................................................... 24
4.4.2 定义网络对象.......................................................................................... 25
4.4.3定义组..................................................................................................... 26
4.4.4 定义服务................................................................................................. 26
4.4.5 添加标准策略.......................................................................................... 27
4.4.6 添加NAT策略......................................................................................... 27
第五章 切换与测试........................................................................................................ 29
5.1切换................................................................................................................... 29
5.2测试................................................................................................................... 29
5.3回退................................................................................................................... 30
第六章 日常维护............................................................................................................ 31
6.1防火墙的备份与恢复.......................................................................................... 31
6.1.1 nokia 防火墙的备份与恢复方法................................................................ 31
6.1.2 checkpoint management 上的备份与恢复................................................... 33
XXXXXX公司因应企业内部的网络需求,对总部网络进行扩容改动,中心防火墙从原来的netscreen换成两台Nokia IP380,两台nokia互为热备。维持原有的服务不变。
由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换
|
北京集团 网管中心 |
XXXXXX改造前网络拓扑如下
改动后,XXX将按照以下图进行实施
给个设备及端口的地址分配入下表所示
IP地址分配表(表1)
|
管理服务器参数 | |||||||
|
IP地址 |
| ||||||
|
防火墙各端口参数 | |||||||
|
端口 |
用途 |
Nokia |
Nokia380B |
虚拟地址 |
| ||
|
Eth1 |
外网口 |
|
|
|
| ||
|
Eth2 |
DMZ |
172.16.100.5/30 |
172.16.100.6/30 |
172.16.100.1/30 |
| ||
|
Eth3 |
内网 |
10.101.1.101/24 |
10.101.1.102/24 |
10.101.1.1/24 |
| ||
|
Eth4 ? |
同步口 |
192.168.11.1/24 |
192.168.11.2/24 |
|
| ||
|
gateway |
| ||||||
|
静态路由 |
|
|
| ||||
1.管理服务器硬件平台
CPU 奔腾3 500以上
内存 128以上
硬盘
操作系统,windows 2000 server +SP4补丁
2.网络连线
3.Checkpoint及nokia管理软件
Checkpoint NG AI R55 安装包for windows
hotfix09或以上
4.Nokia IP380设备两台
内置IPSO3.8 build 39
内置checkpoint NG AI R55安装包
首先我们可以对两台Nokia IP380进行安装与配置,由于Nokia防火墙将会替代Netscreen,所以Nokia防火墙可以进行离线配置。配置步骤如下。
1. 使用nokia console线,连接nokia console口和管理pc的串行端口,并打开电源家电。
2. 打开windows 超级终端按照下图设置
3. Nokia IP380正常开机后填入防火墙的名字:IP
4. 输入默认管理员用户admin的密码并确认密码,这里密码填password,密码以后可以通过web界面进行修改。如下图所示
5. 设定使用基于web的浏览器进行管理还是基于文本的浏览器进行管理,这里选择1
6. 设定初始网络参数,这里需要设定一块网卡的IP地址,以方便进行基于web的管理,如下图所示,分别填入网卡号和IP地址,暂时不设定default route,并配置端口成
7. 确认以上信息正确,由于网络上并没有VLAN设置,所以并不需要进行Vlan配置。如下图
主要设定nokia底层基本参数,包括IP地址,路由,时间,VRRP设定
1.使用网线连接管理机和nokia端口,打开IE浏览器,输入刚才定义的nokiaIP地址 ,使用用户名admin,密码password登陆。如下图所示。
2.登陆后点击config按钮,进入配置界面,如下图所示。
3.点击interface按钮后,进入interface配置界面。点击逻辑端口Eth
在Active选项上选On,NewIPaddress框添上IP地址,NewMaskLength框填上子网掩码的长度,如下图所示。
4. Apply键。
5. 配置网卡物理参数。点击UP按钮,回到Interface configuration界面,点击物理端口号Eth3出现以下界面。
修改link speed的参数为
6.Apply键和Save键,保存配置。
7.重复以上步骤,按照IP列表分配表(表1)中参数配置各个端口地址。如下图
(图略)
完成IP地址的设定以后,需要做的是设定默认网关和静态路由
1. 进入配置界面,点击Routing Configuration -> Static Route,进入下图所示
在default 项选择On,next hop type选normal,然后点击apply
2. 在原来的参数下面会出现新一项参数Gateway Type,这里选择address,点击APPLY如下图所示:
3. 填上nokia的网关,然后点击apply后点击save,完成默认网关的设置。如下图所示
这里网关地址填:?????
4. 在new static route 填上要网段地址,在mask length填上网段掩码,next hop type选上normal,gateway type选上address,并点击apply,如下图所示
5. Apply后会出现gateway address 参数框,填入下一跳地址,点击apply,完成静态路由的添加。如下图
6.重复步骤4、5添加更多的静态路由,完成后按save保存
这里需要设置的静态路由有???????
1. 进入配置界面后,点击system configuration下的local time setup
2. 在secect city中选择China/HongKong,在manual set day and time 分别填上日期和时间,如下图,完成后点击apply,再点击save。
a. 设定时间同步
管理服务器与执行点之间必须做到时间同步,才可以成功建立安全连接(SIC),同时,再做VRRP时两个执行点之间的时间也必须做到同步,他们的状态表才能正常及时地交换。所以,必须为设备设置NTP时间服务。
我们以IP
1. 在IP
在NTP Reference Clock 下的NTP Master选yes,Stratum填上3(这项填写范围为1-15),点击APPLY,再点击SAVE,这样IP
2. 在IP380B配置页面上点击Router Services下的NTP,进入NTP配置界面,在NTP Global Settings 上选yes,点击APPLY,如下图:
在NTP servers 下add new server address 上添加IP
点击save保存配置,时间同步配置完毕。
注意,第一次时间同步时间比较长。
b. 配置VRRP参数
同一设备的某一端口监控另一端口,当发现被监控端口出现问题时(例如,端口断开),按照预先设定的规则,监控端口更改自身的优先级。属于同一VRRP组的成员共享一个虚拟IP地址,这个地址将作为终端设备的网关或者路由设备的下一跳地址使用。
一般来说,是高优先级的设备在本机故障的情况下降低自身的优先级,使得原来低优先级的设备接管工作,实现服务的高可用性。
本方案采用IP
配置步骤如下:
1. 选择VRRP monitored Circuit模式
在IP
VRRP协议主要可以防止网络中断造成的服务中断,提供接口方面的高可用性,因此需要选择VRRP Monitored Circuit模式,点击APPLY然后在Create Virtual Router中填写一个自定义的编号,这个编号用于识别同一网络内的高可用设备成员所属的高可用分组,因此两个防火墙属于同一网段的接口必须使用同一Virtual Router ID。在本例中,分别使用81,82,83作为三个网段的virtual值,由于同步口并不用参与数据传输,所以同步端口并不用配置vrrp属性。
IP
IP380B
2. 配置虚拟IP地址,MAC地址,监控接口,优先级,认证。
IP
外网:eth
Priority:254
Hello interval:2
Backup Address:IP????(虚拟IP地址)
Monitor Interface:eth
Priority Delta:16
点击APPLY,完成设定第一个监控端口
Monitor Interface:eth
Priority Delta:16
点击APPLY,点击SAVE完成设定第二个监控端口
DMZ:eth
Priority:254
Hello interval:2
Backup Address:??????? (虚拟IP地址)
Monitor Interface:eth
Priority Delta:16
点击APPLY,完成设定第一个监控端口
Monitor Interface:eth
Priority Delta:16
点击APPLY,点击SAVE完成设定第二个监控端口
内网:eth
Priority:254
Hello interval:2
Backup Address:IP ?????(虚拟IP地址)
Monitor Interface:eth
Priority Delta:16
点击APPLY,完成设定第一个监控端口
Monitor Interface:eth
Priority Delta:16
点击APPLY,点击SAVE完成设定第二个监控端口
IP380B作为主用机使用,因此优先级较低,填写以下参数:
外网:eth
Priority:240
Hello interval:2
Backup Address:IP????(虚拟IP地址)
Monitor Interface:eth
Priority Delta:16
点击APPLY,完成设定第一个监控端口
Monitor Interface:eth
Priority Delta:16
点击APPLY,点击SAVE完成设定第二个监控端口
DMZ:eth
Priority:240
Hello interval:2
Backup Address:??????? (虚拟IP地址)
Monitor Interface:eth
Priority Delta:16
点击APPLY,完成设定第一个监控端口
Monitor Interface:eth
Priority Delta:16
点击APPLY,点击SAVE完成设定第二个监控端口
内网:eth
Priority:240
Hello interval:2
Backup Address:IP ?????(虚拟IP地址)
Monitor Interface:eth
Priority Delta:16
点击APPLY,完成设定第一个监控端口
Monitor Interface:eth
Priority Delta:16
点击APPLY,点击SAVE完成设定第二个监控端口
虚拟的MAC地址缺省情况下使用VRRP模式,设备会以VRRP Router ID为基础为虚拟IP分配一个虚拟的MAC地址
3. 测试与状态检测
在Voyager的Monitor页面下的Routing Protocols下的VRRP里,可以检测当前设备的VRRP状态,如下图所示:
IP
IP380B
Nokia IP380出厂的时候就已经安装好checkpoint,所以在Nokia平台下新的机器并不需要重新安装checkpoint,只需把checkpoint初始化即可。如果客户有最新的checkpoint安装包for Nokia 平台,可以重新安装最新的checkpoint安装包
新出厂的nokia机器可以不需要重新卸载checkpoint和安装checkpoint,初始化checkpoint即可,这一章节可以跳过,直接访问
a. 卸载
如果客户以前测试过checkpoint,或者客户想重新安装checkpoint,可以先在nokia web界面上先卸载checkpoint。
1. 进入configuration interface,点击manage installed packages进入管理package界面。
2. 设置Check Point VPN-1 NG with Application Intelligence 为off
设置Check Point CPinfo NG with Application Intelligence 为off
点击apply停止以上软件包
3. 设置Check Point SVN Foundation NG with Application Intelligence
点击apply 停止SVN软件包
注意SVN软件包必须在其他所有软件包都在off的状况下才能正常stop,所以要先off所有软件包,点击apply之后,才能在off SVN软件包,最后再apply。如图
4. 在manage installed packages点击delete packages
5. 所有checkpoint开头的组件设置成delete,然后点击apply,如下图
6. 等待一阵后回到manage installed package后,可以看到所有package均被delete,如下图
7. 在console上使用命令ls /var/opt 没有任何的文件或文件夹留下,ls /opt 没有任何CP开头的文件夹,说明已经卸载成功了。
b. 安装
如果客户有最新的checkpoint安装包,而客户又是新安装的Nokia机器,建议使用 Manage Installed Packages来对checkpoint进行安装。
我们预先把起一台ftp服务器,并把checkpoint 的安装包放到ftp服务器上。
1. 使用浏览器登陆到nokia configuration interface界面,点击manage installed packages进入。
2. 点击ftp and install packages进入安装界面,如下图所示
3. 输入ftp地址,路径,用户名和密码,然后按apply键
这里ftp地址为:???????
ftp路径为:/
用户名:ftp
密码:ftp
4. 在list列表上选择要安装的checkpoint包,然后点击apply
5. Checkpoint包会通过ftp的方式下载到Nokia上,看到提示download successful后选择要安装的包,然后点apply安装
6. 点击Click here to install/upgrade /opt/packages/IPSO3.8_wrapper_R55.tgz进行安装,选择install = yes 如下图 ,点击apply
7. 在console打入命令 tail /var/log/messages,如果console出现下图情况,则表明已经安装成功。
8. 回到manage installed packages 可以看到所有package都已经install,checkpoint fw1和 SVN Foundation的状态是on的,如下图所示
9.
要使checkpoint能正常工作,必须对checkpoint进行初始化。由于两台Nokia是跑HA模式,所以smartcenter必须要装在外部,不能和enforcement module安装在一起,步骤如下:
1. 使用超级终端推出console,重新登陆console,运行命令cpconfig,如下图
2. Accept license之后,就可以选择checkpoint的产品,如果是买了checkpoint enterprise版的请选择1,如果是买了checkpoint express的请选择2
由于XXXXXX购买的是checkpoint enterprise,所以选择1
3. 在选择checkpoint产品之后,会来到安装方式选择,这里有两个选项
Stand Alone :单独安装,即smartcenter和enforcement module都安装在同一个设备中
Distributed :分布式安装,即只选择smartcenter 或者enforcement module其中一个安装。
由于XXX使用高可用性配置模式,所以这里选择2分布式安装
4. 当选择分布式安装后,系统会提示安装哪个checkpoint组件,如下图所示
我们只选择1,vpn-1 pro gateway进行安装
5. 选择checkpoint组件后,系统提示是否打开状态同步功能,填入y回车继续
6. 完成同步状态功能的选择后,系统会提示是否添加license,一般checkpoint没有license的情况下都有15天的试用期,所以这里不用输入license也可以使用,填入n,然后回车
7. 键入一个随机队列,用于生成用于加密的种子
8. 系统会要求键入SIC password,这个password用于enforcement module和management server的安全连接,在以后设置smartcenter的时候,添加checkpoint gateway 输入的sic需要和这个密码相同才能建立SIC连接。设置界面如下图,这里填入sic password为123456
9. 最后系统提示重新启动机器,按y重启机器,checkpoint 在nokia上初始化完成。
管理服务器smartcenter在HA的环境中是储存了所有的checkpoint的配置和策略。所以管理服务器在一个checkpoint的配置环境中是属于核心配置,虽然管理服务器不参与客户数据的流动,因为策略只能从管理服务器安装到enforcement,不能从enforcement返回到管理服务器,所以一旦管理服务器损坏,客户将丢失所有防火墙的配置权,策略必须重新定义。
cpu 奔腾3 500 以上,256内存以上,硬盘
win2000 server + sp4
需要winzip或者winrar软件安装
checkpoint NG AI R55 安装包for windowns
1. 解压缩安装包,点击setup.exe 进入安装界面
2. 点击next后,会进行产品选择
这里有2个选择
check point enterprise/pro
check point express
在XXX这个案件中,我们选择check print enterprise/pro
点击next
3. 然后会进行安装选项选择,这里选择new installation
点击next
4. 然后到组件选择界面。这里主要选择安装那一类型的checkpoint产品,注意,smartcenter和secureremote/secureclient是不能同时安装在统一台机器上
由于在XXX的两台nokia只是做高可用,所以这里只是需要安装管理服务器和gui即可,如下图所示
点击next继续
5. 选择安装smartcenter后,系统会询问是安装成 primary smartcenter还是secondary smartcenter。Checkpoint是支持smartcenter的高可用性,可以使用两个smartcenter进行备份。另外一个选项是安装成单独的log server,只是作为单独的log记录,不进行策略管理。
在XXX这个案件中,我们选择primary smartcenter,如下图所示。
点击next开始安装
6. SVN Fandation默认安装在c:\programe files\checkpoint\cpshared目录下,也不能进行修改,Fw1默认安装在c:\winnt\fw1下面,这个路径可以修改,由于checkpoint的log也是记录在这个路径下,所以最好把这个路径安装在空间比较多的地方。
在XXX这个案件,我们建议划分d盘为安装checkpoint的目录如下图所示
我们把fw1的安装目录设成d:\fw1\R55,点击next继续安装
7. 安装fw1完成以后,开始安装smart console 即gui 点击next继续
8. 拷贝文件完成后,checkpoint 管理服务器安装完成,但是安装进程并没有完成,而是进入下一阶段,初始化管理服务器
完成安装后,安装程序进行仍然未结束。这时会继续初始化checkpoint smartcenter
1. 添加smartcenter license。由于checkpoint初始安装有15天的试用license,所以这里可以不需要添加任何license而继续,如果用户此时已经有license,可以点击add来进行添加,如下图
在XXX这个案件,我们并不需要在这个时候添加license,我们点击下一步继续。系统会弹出一个对话框确认没有license。
2. 添加管理员帐号。在这一步,用户必须添加一个管理smartcenter的管理员帐号。点击添加,输入管理员名字和密码,并设定管理员的权限。如下图
点击下一步继续
3. 设定允许管理员管理的GUI client 地址列表。
基于安全的因素管理服务器必须有访问控制列表,只有在列表上的ip才能通过GUI登陆管理服务器进行管理。
在XXX这个案件中,我们建议填入具体的管理GUI地址,但是现在由于安装便利的原因,先暂时设定GUI client为任何地址*.*.*.*,在完成实施以后,可以改为具体的IP地址。
点击下一步继续。
4. 输入随机的字符,生成加密种子。
这里输入随机的一串字符,为ca生成加密种子。只要打入字符,知道下一步按钮可以点击为止。如下图
5. 初始化ca。在生成加密种子以后,系统会提示初始化ca。默认ca的名字是机器的名字,这里不需要修改,点击下一步即可。
6. Ca初始化后,会生成指纹。这里只要点击完成按钮完成初始化,并重新启动机器。
初始化管理服务器后,我们可以使用checkpoint的smart console GUI登陆管理服务器进行配置。
1. 打开checkpoint smart console ,输入管理服务器的IP地址,用户名和密码。
XXX的管理服务器IP为
用户名为
密码为
第一次登陆时会提示对照指纹,按approve接受即可。
2. 建立一个checkpoint gateway对象。在GUI左边对象树右键点击network object -> new ->checkpoint -> gateway …
选择classic mode,点击ok,如下图
填入防火墙的名字,ip地址,并在version和type上选择好相应的产品,在产品列表中把firewall打上勾,如下图所示。
在XXX这个案例中,防火墙对象的名字为IP
IP为????????
Version 为 NG with Application Intelligence
Type 为 Check Point Enterprise/Pro
3. 建立SIC通道。点击Gateway对象下的Communication按钮,填入sic密码(这里的sic密码要和初始化enforcement module的一样),点击Initialize,建立sic通信
确认sic成功建立
1. 点击左边菜单topology,出现topology属性对话框,点击get-》interface with topology
2.分别点击入每个网卡属性,并按照原来的设计定义好外网和内网(表1),并设置好相应的地址欺骗的参数。
如上图所示
对于Nokia的vrrp和cluster,除了在要在nokia底层上设定必要的参数之外,也要在checkpoint上设定做一定的设置。
1.建立checkpoint cluster对象
右键点击checkpoint -> new check point ->Gateway Cluster建立一个cluster Gateway对象,如下图。
2.编辑cluter的基本属性,设置IP地址与cluster对象名称
3.点击Cluster Members,点击add添加cluster对象,并把两个防火墙对象加到cluster 中。如下图
4.点击3rd Party Configuration,Specify Cluster operation中选High Avaibility,3rd Party中选Nokia VRRP,如下图
5.点击Synchronization,确认Use State Synchronization打上勾,点击add添加同步网段。在XXX这个案例中同步网段为192.168.11.0/24 ,如下图所示。
6.点击topology选项,点击get按钮,得到cluster的topology
由于VRRP成员会向多播地址224.0.0.18发出一些用于VRRP协议的信息,所以在防火墙设置里要允许这些流量通过。
1.新建一个multicast host如下图
2.定义必要的防火墙策略,包括防火墙到224.0.0.18的信息和各防火墙成员之间的互访(如NTP同步等),配置如下图所示:
3.安装策略完成Nokia vrrp的配置
可以在两台执行点上同时执行下面的命令:
fw tab –t connections –s
得到如下图所示的结果:
由上图可见,防火墙将列出当前的连接状态,当两个执行点的#VALS值,也就是当前连接数相同时,说明两个执行点的状态表已经同步了。
防火墙的策略是防火墙的核心部分,任何一个防火墙都必须有其自己的策略对数据进行控制,checkpoint上的策略主要有标准策略,NAT策略两种
对于XXX这个案件,由于线上已经有netscreen在运作,nokia380上的策略要和netscreen的基本相同,我们需要的是把netscreen的策略转换成nokia的策略。
XXX网络管理员提供的netscreen的策略如下(表略)
|
|
|
|
|
|
|
|
|
|
|
|
|
source |
destination |
service |
action |
NAT | ||
|
NAT mode |
NAT address |
NAT service | ||||
|
|
|
|
|
| ||
1. 邮件点击对象树Node ->new node -> host
2. 编辑node 对象属性
填入node名称和ip地址
3. 如果此node需要做动态nat,点击NAT,出现Nat属性框,在Add Automatic Address Translation上打勾。
如果此node做动态NAT映射,请选择hide。并选择转换的方式,转换方式有2种
×hide behind gateway 根据目标网络自动选择接口地址进行NAT转换
×hide behind IP address NAT成某一个固定地址
4. 如果此节点需要做静态NAT,请在NAT方式上选择static,并填写NAT的地址
5.点击ok完成定义
6.XXX这个案件上,我们需要定义的主机对象及其属性如下表
|
Node name |
Ip address |
Nat mode |
NAT address |
|
|
|
|
|
|
|
|
|
|
1. 右键点击对象树 network -> new network
2. 编辑network对象,填入相应的网络名称,网络号,子网掩码
3. 如果网络也需要做NAT可以点击Nat选项,定义NaT参数,nat参数说明可以参照Node NAT的参数说明
4. 点击确定完成网络对象的定义
5. XXX这个案件上,我们需要定义的网络对象及其属性如下表
|
network name |
Ip address |
Nat mode |
NAT address |
|
|
|
|
|
|
|
|
|
|
很多时候需要用到组对象,把几个不同的对象组合起来使用。下面描述一下如何定义组
1. 右键点击属性树 group -> new simple group
2. 填写组明,编辑组成员
选择需要加入这个组的对象,点击add加入
3. XXX这个案件上,我们需要定义的组对象及其属性如下表
|
Group name |
Include object |
|
|
|
|
|
|
如果有特殊的应用和服务,可以通过新建服务来进行对象添加
1. 点击service选项卡
2. 根据需要的协议右键点击,如右键tcp
3. 输入服务名称,填入端口号,或者其他参数
4. 点击确定完成添加
5. XXX这个案件,我们需要自定义的服务如下
|
Service name |
Service |
Port |
other |
|
|
|
|
|
|
|
|
|
|
在定义了所有的对象之后,我们就可以把这些对象应用到具体的策略上去,添加策略的方法如下。
1. 选择菜单rule->add rule 然后选择规则的位置
2. 把相应的对象按照拖到策略的各个字段中,能进行拖动工作的有source destination vpn service
3. Action 中选择需要做的动作,这里主要的使用都是drop和accept,accept是在前面的对象都匹配的情况下允许数据通过,drop是不允许数据通过
4. 如果需要记录log,可以在trace中选择log
5. XXX的案件中,根据上面描述的策略列表进行策略设定
nat的方式除了可以在对象的nat属性上做设置之外,还可以直接编辑nat策略列表,其实在对象上自动做nat后,就会自动在nat列表上添加策略。所以,从本质上讲,所有的nat设置都是源于nat策略列表,nat策略列表的添加方式与标准策略添加相似
1.点击address translation列表框
2.选择菜单rule->add rule来进行添加策略
3.把需要做nat的对象拖到策略不同的字段中。
4.XXX需要手工添加的nat列表如下表
|
Original packet |
|
Translation packet | ||||
|
source |
destnation |
service |
|
source |
destination |
service |
|
|
|
|
|
|
|
|
5.安装策略
在所有nokia防火墙的设置均完成以后,可以进行切换,切换的目标是使用nokia防火墙替换原来的netscreen防火墙。切换步骤如下。
1.机器上架
2.拔开原来netscreen网络接线
拔开netscreen的网线,但是网线仍然保留,并记录各根网线对应的netscreen的端口。
3.Nokia防火墙进行网络接线,按照以下列表进行接线
|
Nokia IP |
Nokia IP380B | ||||||
|
Eth1 |
Eht2 |
Eth3 |
Eth4 |
Eth1 |
Eth2 |
Eth3 |
Eth4 |
|
F5 |
DMZ区域交换机 |
内网区域交换机 |
NokiaIP 380B eth4 |
F5 |
DMZ区域交换机 |
内网区域交换机 |
NokiaIP |
4.开机
在防火墙上设置策略允许icmp的数据通过
1. 检查firewall对外网的连通性
ping 外部地址61.144.19.137 进行测试,如果能ping通表示firewall对外网的连通性正常。
2. 检查firewall对DMZ的连通性
ping DMZ的地址XX.XX.XX.XX进行测试,如果能ping通表示firewall对DMZ的连通性正常。
3. 检查firewall对内网的连通性
ping 内部网络的某一台机器,如果能ping通表示firewall对内网的连通性正常
4. 检查内网用户的应用连通性
检查内部用户使用DMZ区域服务的连通性。在内网设置一台机器,其地址为XX.XX.XX.XX并根据下列表进行DMZ区域的访问
|
server |
Service |
Client software |
|
Webserver |
http |
IE5.5 |
|
|
|
|
5. 检查DMZ区域对外服务提供的连通性和对内服务的连通性
使用notebook进行拨号上网,并得到一个公有地址,按照以下列表访问XXX对外提供的服务。
|
server |
Service |
Client software |
|
Webserver |
http |
IE5.5 |
|
|
|
|
如果在切换的时间内,并不能完成以上测试,或者在切换过程中出现不能马上解决的问题,必须进行,回退动作。回退步骤如下
1. 关闭两台nokia的电源,重新启动netscreen电源
2. 恢复netscreen的线路,把原来netscreen的网线插会netscreen上
3. 按照5.2测试方式测试XXX原有服务是否正常
备份文件的描述。由于Nokia防火墙的核心是类unix操作系统,所以其核心的配置是一系列的文件。
以下文件包含nokia IP系列的全部系统配置
/config
/var/cron
/var/etc
/var/etc/ipsec.
/var/admin
/var/monitor
/var/log
在nokia的web界面上有工具能对这些文件进行备份一下是备份合恢复的步骤
步骤:
手工创建一个备份文件:
1. 在nokia web主页界面上点击 CONFIG
2. 在System Configuration中点击Configuration Backup and Restore
3. 在MANUAL BACKUP 区, 在 BACKUP FILE NAME 里面输入要备份文件的名称。
4. BACKUP HOME DIRECTORIES 区域,点yes备份用户目录, BACKUP /opt/CPfw1-50-03 区域点击yes,Backup /opt/Cpshared-50-03 区域点击yes
5.点击apply
6.点击save
传输一个备份文件到远程服务器
1. 在nokia web主页面点击CONFIG
2. 在System Configuration下点击 Configuration Backup and Restore.
3. 在REMOTE TRANSFER ARCHIVE FILE 区域, 在FTP SITE输入ftp的地址
4. 在 REMOTE TRANSFER ARCHIVE FILE区域, 在FTP DIR输入框输入远程ftp的路径.
5. 在 REMOTE TRANSFER ARCHIVE FILE区域, 在FTP USER 输入框输入ftp用户名
6.在REMOTE TRANSFER ARCHIVE FILE区域, 在FTP PASSWORD 输入框输入ftp用户名的密码.
7. 在BACKUP HOME DIRECTORIES 区域,点yes备份用户目录, BACKUP /opt/CPfw1-50-03 区域点击yes,Backup /opt/Cpshared-50-03 区域点击yes
8. 点击MANUAL BACKUP FILE下拉菜单,选择你要上传的备份文件.
11. 点击 APPLY.
12. 点击 SAVE.
恢复步骤
从远程服务器上恢复
1.在nokia web主页面点击 CONFIG.
2. 在System Configuration点击 Backup and Restore Configuration
3. 在RESTORE FROM REMOTE FIELD区域, 在FTP SITE 框中输入保存backup文件的ftp服务器的地址.
4. 在RESTORE FROM REMOTE FIELD区域, 在FTP DIR框输入存储backup文件的ftp路径
5. 在RESTORE FROM REMOTE FIELD区域, 在FTP USER 框输入用户名
6. 在RESTORE FROM REMOTE FIELD区域, 在FTP PASSWORD 框输入密码
7. 点击APPLY.
8.然后会出现一系列的文件,选择你要恢复的backup文件。
9. 点击APPLY, 然后点击SAVE.
10. 点击reboot,重新启动机器..
备份:
1. 在管理服务器打开windows 服务列表。(开始菜单->控制面板->管理工具->服务)
2. 停止4个和checkpoint有关的服务
3. 分别备份以下两个目录
C:\Program Files\checkpoint\cpshared\ng
D:\fw1\ng
4. 备份以下注册表键值
HKEY_LOCAL_MACHINE\SOFTWARE\CheckPoint\SIC
5. 在windows服务列表启动4个和checkpoint有关的服务(开始菜单->控制面板->管理工具->服务)
注意
1.一开始新mgmt的windows 名字一定要和旧的一样,ip可以不同
2.停所有cp服务 包括cpstop和其他两个服务列表的服务
恢复
1. 安装checkpoint FW1/VPN1 NG AI 软件,并配置成management,安装可以参考checkpoint安装使用手册
2. 用checkpoint gui管理客户端软件登录刚刚安装好的checkpoint management 并确认gui管理客户端软件能正常登录到management server
3. 在windows服务列表停止4个和checkpoint有关的服务(开始菜单->控制面板->管理工具->服务)
4. 分别把上面备份的两个目录拷贝回相应的地方。
C:\Program Files\checkpoint\cpshared\ng
C:\winnt\fw1\ng
5. 导入上面备份好的注册表键值
6. 在windows服务列表启动4个和checkpoint有关的服务(开始菜单->控制面板->管理工具->服务)
7.
8. 用checkpoint gui客户端管理软件登录management 并查看配置是否正确。
此方法在checkpoint ng AI上也能成功通过
