checkpoint用户手册

Check Point UTM-1

用户手册

第一章使用向导 (3)

一、从配置UTM开始 (3)

1、登陆UTM (3)

2、配置网卡 (3)

3、配置路由 (4)

4、配置主机名 (5)

5、调整时间 (5)

二、步骤1－配置之前......一些有用的术语 (6)

三、步骤2－安装和配置 (7)

四、步骤3－第一次登录到SmartCenter服务器 (8)

五、步骤4－在安全策略定义之前 (10)

六、步骤5－为安全策略定义规则 (15)

七、步骤6－来源和目的 (16)

第二章策略管理 (16)

一、有效的策略管理工具需要 (17)

二、CheckPoint管理策略的解决方案 (17)

1、策略管理概况 (17)

2、策略集 (18)

3、规则分节标题 (20)

4、查询和排列规则以及对象 (20)

三、策略管理需要注意的问题 (21)

四、策略管理配置 (21)

第三章SmartView Tracker (24)

一、跟踪的需求 (25)

二、CheckPoint对跟踪的解决方案 (25)

1、跟踪概况 (25)

2、SmartView Tracker (26)

3、过滤 (27)

4、查询 (28)

5、通过日志切换维护日志文件 (28)

6．通过循环日志来管理日志空间 (28)

7、日志导出功能 (29)

8、本地日志 (29)

9、使用日志服务器记录日志 (29)

10、高级跟踪操作 (29)

三、跟踪需要考虑的问题 (30)

四、跟踪配置 (31)

1、基本跟踪配置 (31)

2、SmartView的查看选项 (31)

3、配置过滤器 (32)

4、配置查询 (32)

5、维护 (33)

6、本地日志 (34)

7、使用日志服务器 (34)

8、自定义命令 (35)

9、阻断入侵 (36)

10、配置报警命令 (36)

第一章使用向导

一、从配置UTM开始

1、登陆UTM

2、配置网卡

3、配置路由

4、配置主机名

5、调整时间

二、步骤1－配置之前……一些有用的术语

这里介绍一些有助于理解本章内容的相关信息。

Security Policy（安全策略）是由系统管理员创建的，用来管理进和出的网络通信连接。

Enforcement module（执行点模块）是可以执行网络安全策略的FireWall的系统引擎。

SmartCenter Server（SmartCenter服务器）是系统管理员用来管理安全策略的服务器。所有的数据库和策略信息都存储在SmartCenter服务器上，并且在需要的时候下载到执行点模块中。

SmartConsole Client（控制台）是一系列的GUI应用程序，能够管理安全策略的不同方面。例如，SmartView Tracker就是一个管理日志的SmartConsole。

SmartDashboard是系统管理员用来创建和管理安全策略的SmartConsole。

独立的部署方式——示例

独立的部署方式是一种简单的部署方式，所有安全策略的管理端和执行端的相关组件（分别指SmartCenter服务器和执行点模块）都安装在同一台计算机上。

图3-1 独立的部署方式

组件包括：

●Enforcement Module一般都安装在通向互联网的网关上；在网络中的位置是保护

本地局域网。

●SmartCenter Server。

●SmartDashboard。

在独立部署方式中执行点模块和SmartCenter服务器都必须安装在同一台计算机中。SmartDashboard以及其他的SmartConsole客户端可以安装在任何一台没有操作系统限制的

计算机上。可以参考最新版本的Release Note获得更多信息。

三、步骤2－安装和配置

安装之前的介绍

安装SmartCenter和执行点模块的机器需要安装有TCP/IP协议。这意味着这些机器必须有：

至少两块网卡。一块是“外部网”或者是连接互联网的，另外一块是“内部网”或者是面向局域网的。

每块网卡都有自己的IP地址。

SmartCenter服务器必须能够查询DNS服务器来解析机器的IP地址。

四、步骤3－第一次登录到SmartCenter服务器

登录过程

图3-8 登陆窗口

管理员通过SmartDashboard连接到SmartCenter服务器，这个过程对其他所有的SmartConsole客户端是一样的。在这个过程中，管理员和SmartCenter服务器都需要被认证，然后在他们之间建立一个安全的通讯通道。在成功完成认证以后，选定的SmartConsole 将进行连接。

在第一次登录之后，管理员可以创建一个用于登录过程的证书。使用证书的登录认证比使用用户名和口令的登录认证具有更好的安全性。这个证书将在以后的阶段中创建，具体可以参考SmartCenter的用户手册。

认证管理员以及SmartCenter服务器

在SmartCenter 服务器安装时，在配置工具的Administrator页面中定义使用User Name 和Password进行登录。

在提供认证信息以后，指定目标SmartCenter服务器的IP地址或主机名，然后点击OK。手工使用在配置过程中配置工具的指纹信息与SmartCenter的指纹信息进行核对，以验证SmartCenter服务器。这个步骤只在第一次登录的时候出现，当SmartCenter服务器验证成

功以后，指纹信息会保存在SmartConsole机器的注册表中。

演示模式

在登录SmartCenter时，系统管理员可以在Login窗口选择Demo模式。这是一个没有连接到SmartCenter服务器的模式。在创建真实的安全系统之前，可以用这个模式来熟悉不同的对象和功能特性。它包含有许多预先配置好的网络对象的示例。

第一次使用SmartDashboard

图3-9 SmartDashboard界面

选择Start > Programs > Check Point SmartConsole(R65) > SmartDashboard来连接SmartDashboard，然后进行正确的登录。

一旦系统管理员登录成功，将显示SmartDashboard。SmartDashboard的GUI包括以下的组件：

●Security Rule——这里系统管理可以创建和管理安全策略。

●Object Tree——根据分类列出系统中的所有对象（网络对象、服务、资源等）。第

一次登录时缺省包含SmartCenter服务器对象。

●Object List——显示所有在对象树中选定的对象的详细信息。

●SmartMap——使用图形化的形式显示系统中相关的对象。这个视图有一些缺省的对

象，例如，SmartCenter服务器对象，还有关联互联网的对象。

大部分管理操作（例如添加、编辑或删除）在菜单栏和工具栏等位置执行，或者右键点击选定的对象执行。

五、步骤4－在安全策略定义之前

为了完成安全策略，系统管理首先需要检查网络内部所有的特定需求，以及所有的安全和网络访问的需要。本章将定义一个简单的安全策略，运行所有从LAN发起的连接，并且只有Email连接能够进入LAN。

在定义安全策略之前，关联系统中不同组件的各种特定对象（例如网关、网络和服务器）必须先定义好。然后，这些对象应用在规则中组成安全策略。

定义对象

对象是规则的组成部分。对象关联到实际的计算机和网络组件，以及逻辑的组件（例如动态对象）。

为了设定本章中定义的简单安全策略，需要定义以下的对象：

一个关联LAN的Network对象。

一个关联Mail服务器的Host对象。

缺省的SmartCenter服务器对象。

缺省的SmartCenter服务器必须做修改，以便正确地关联SmartCenter服务器和执行点模块，因为是独立部署。

注意：手册中独立部署的示例对象可以在Demo模式查看。

1）创建关联LAN的网络对象

处理过程如下：

在对象树（Object Tree）中，创建一个新的网络。

图3-10 在对象树中创建一个新的网络对象

网络对象包含有两个选项卡：

在General选项卡中，为网络对象提供名称，名称必须能够明确说明对象的关联。在本章的规则指定中，这个网络对象命名为Alaska_RND_LAN。然后填写相应的IP地址和掩码。Alaska_RND_LAN这个对象的详细信息如下：

?IP Address——10.111.254.0

?Net Mask——255.255.255.0

图3-11 网络属性窗口

在NAT选项卡中配置网络地址转换的设定。对于示例部署中的简单策略定义，不需要进行网络地址转换。

2）创建一个关联网络Mail服务器的Node对象

必须创建一个关联网络内部Mail服务器的对象。这个对象会使用在简单的规则表中。处理过程如下：

在对象树中，参见图3-12创建一个新的Host Node。

图3-12 在对象树中创建一个新的Host Node

●在Host Node窗口包含有不同的选项卡。确保在General页面中定义Mail服

务器的名称和IP地址。在规则表中这个Mail服务器名为Alaska_DMZ_mail。

3）修改缺省的SmartCenter对象

在对象树的网络对象分页中会显示缺省的SmartCenter服务器对象。这个对象必须进行配置，以便执行点模块能够正确地工作。操作过程如下：

选择SmartCenter服务器对象。双击这个对象来显示属性页面。

●在General Properties页面，确认在CheckPoint Products列表框选中了

FireWall（如图3-13）。

图3-13 CheckPoint Gateway窗口

在Topology页面中（如图3-14）：

点击Get > Interfaces with Topology可以自动地检索网关上的所有网卡。另外，也可以点击Add手工添加一块网卡。

你可以在任何一个网卡的Topology页面中编辑网卡。选中后双击即弹出Interface Properties窗口。

图3-14 CheckPoint Gateway窗口，Topology页面

六、步骤5－为安全策略定义规则

对象是建立规则的一部分，规则是创建安全策略的一部分。安全策略中的规则是一系列的指令，决定哪些通信可以进入LAN或从LAN外出。在这个示例部署中，将执行下列的规则：允许所有由LAN发起到外部的通信连接的规则。

允许email从外部发送到内部的LAN当中的规则。

下面的规则在规则表中缺省的显示，并作为最后的规则使用，所以，它不需要做明确的

定义：

这条规则将丢弃除了上述允许规则的通信连接之外的所有数据包。

表3-1 允许所有内部LAN对外发起访问的规则

表3-2 允许进入内部网络的SMTP连接（email）

保存和安装你的策略

一旦定义好规则以后：

选择File > Save保存策略。

你可以使用缺省提供的选项，也可以自定义。

选择Policy > Install安装策略。在安装窗口选择你需要安装策略的网关。

最后，你成功地创建了你的第一个安全策略。

七、步骤6－来源和目的

你已经学习了开始需要的基础知识。下一步是获得更多关于CheckPoint的高级知识。

在CheckPoint的产品CD上有关于这个信息的CheckPoint文档（以PDF格式存储）。当你在使用CheckPoint的SmartConsole客户端时，你也可以使用在线的帮助。为了获得关于CheckPoint产品的更多技术信息，可以访问https://www.sodocs.net/doc/534287953.html,/kb/。

第二章策略管理

本章内容

一、有效的策略管理工具需要

二、CheckPoint管理策略的解决方案

三、策略管理中需要注意的问题

四、策略管理的配置

一、有效的策略管理工具需要

随着网络结构的不断增长，更多的网络资源、计算机以及服务器、路由器被部署在网络当中。这造成了安全策略需要处理更多的网络对象以及逻辑结构（关联相关的实体），并且使用更多数量的规则，对系统管理员来说，使得策略变得更复杂以及更富有挑战性。

因为安全策略的复杂性，很多管理员的操作倾向于“如果没有被攻击，就不处理”的方式：

●他们倾向于在看似安全的位置放置新的策略（例如在规则表的最后），而不是放在

最合适的位置上。

●规则陈旧而且对象很少去做清理。

这些不好的趋势使得安全策略变得混乱以及不协调，并且数据库不清晰，这使得安全策略的有效功能下降，并且使得系统管理员难于管理。

对于系统管理员来说，一个简单有效无弱点的解决方案更加有助于管理，所以需要重视易于使用的策略管理工具。

●由于网络的复杂性，能够针对不同的节点和分支建立自己合适的结构。

●能够快速定位对象。

●能够分析规则表。

二、CheckPoint管理策略的解决方案

本节内容

1、策略管理概况

2、策略集

3、规则分节标题

4、查询和存储规则以及对象

1、策略管理概况

SmartCenter服务器提供了大量的工具进行不同的策略管理任务，其中包括定义部分和维护部分。

●Policy Packages允许简单地对不同类型的策略（一般指在同一个安装目标上的

策略）进行分组。

●Predefined Installation Targets允许将每个策略集管理到适合的模块上。这个功

能可以在每次安装（卸载）策略时自由地选定需要的模块，并且可以在任何时

候方便地修改列表。另外可以减少安装策略时的风险。

●Section Title允许可视化地中断在项目中的规则表，因此可以立即改善定位感

兴趣的规则和对象的能力。

●Queries可以对使用的规则和对象提供多方面的搜索功能。

●Sorting可以通过排列在对象树和对象列表中的对象的简单快速定位对象。这

个功能可以通过命名和颜色的定义来大大提高效能。

2、策略集

策略集允许通过对每个类型的节点创建特定策略集来满足内部网络中不同节点的特定需求。图2－1中示例了包含有4个节点的网络。

图2－1包含有不同节点的示例网络

每个不同节点使用不同的CheckPoint产品：

●Servers Farm安装有FireWall－1。

●Sales Alaska和Sales California节点安装有FireWall－1和VPN－1。

●Executive Management安装有FireWall－1、VPN－1和FloodGate－1。

即使各个节点使用了相同的产品但是有不同的安全需求，针对他们的策略也需要不同的规则。

为了有效地管理不同类型的节点，你需要三种不同的策略集。每个策略集必须包含有管理有相关产品的不同策略。

因此，一个策略集由下面一个或多个类型的策略组成，每个策略管理不同的CheckPoint 产品：

●安全和地址转换策略，控制FireWall－1模块。这些策略也决定VPN配置模式。

●QoS策略，控制FloodGate－1模块。

●桌面安全策略，控制SecuRemote/SecureClient机器。

与上面策略不同的是，VPN规则表管理器不会应用到单个的节点，但是会应用到关联的节点之间。因此，这个规则表针对所有的节点。

Web Access Rule（Web访问规则）是独立的策略集，因为它相对于网络来说是应用全部（例如阻断一个指定的节点）。在SmartDashboard的全局属性（Global Properties）中设置可以将这个规则表显示出来（在Global Properties窗口的SmartDashboard Customization页面中）。

文件操作

文件操作（New、Open、Save等）是在策略集的水准上进行操作（相对于单个策略而言）。

●New允许定义一个新的策略集，或者向已存在的策略集添加一个单一的策略。

●Open允许打开已经存在的策略集。包含有策略集的策略类型决定在规则表中显示哪些

分页内容。

●Save As允许存储一个完整的策略集，或者将规则表中指定的策略进行储存（例如

Security and Address Translation，QoS或者Desktop Security）。

注意：在修改策略集之前备份它，可以使用数据库修订控制功能。不需要使用文件

操作来进行备份和测试的目的，从而不会因为无关的策略集混乱系统。另外，如果只有一个对象数据库但是有不同集合的话，在对象数据库中保存集合不一定会协调这个变化。

安装目标

为了正确安装（卸载）策略集并排除错误，每个策略集需要管理到相关的安装目标上。这个管理可以在每次安装时排除重复选择目标模块，并且确认策略集在安装到目标时没有错误。

可以对整个策略集定义安装目标，因而可以排除在每个策略当中具体地定义每条规则的安装目标。在每次进行Install（安装）和Uninstall（卸载）时可以自动地显示选择的目标（参见图2－2）。

图2－2 在Install Policy窗口的安装目标示例

在所有的安装目标当中你可以从缺省状态中通过选中或不选中来设置策略集的安装（在Global Properties窗口的SmartDashboard customization页面中），然后根据需要来对每个安装进行设置。

3、规则分节标题

规则的分节可以依照各自的主题进行可视化的分组。例如，中等规模的网络可能对内部所有节点有一个单一的策略，然后对每个节点的规则使用分节的标题进行定义（更大更复杂的网络可能需要使用策略集）。使用分节进行规则的排列不必将大部分一般匹配的规则放置在规则的起始部分。

4、查询和排列规则以及对象

查询规则

查询规则可以加深对策略的理解以及验证新规则放置在合适的地方。你可以在Security、Desktop Security以及Web Access等规则表中查询。

一个查询可以包含一个或多个子查询。每个子句可以指向已经选择的对象或者规则中的指定列。你可以针对单个的对象、组或者全部进行查询。为了增强查询能力，可以使用适当的逻辑条件（“Negate”，“And”和“Or”）。

一旦应用查询以后，则在规则表中只显示查询后匹配的规则。匹配的规则被隐藏，但仍是整个策略集的一部分并且能够被安装。可以通过调试额外的查询来精简查询结果。

例如，在规则表中当一个服务器从主机A移到主机B时查询就很有用了。这个变化要求更新所有主机的访问权限。为了找到需要修改的规则，可以在所有的规则中查询Destination列中包含有主机A或主机B的规则。

缺省情况下查询不仅搜索规则中所包含的主机，也搜索规则中那些可能包含这些主机的网络对象或者组对象，包括在规则中的Destination是Any的。

查询网络对象

网络对象查询可以搜索到符合查询标准的对象。可以使用这个工具进行控制和排除对象关联错误。

查询系统中所有的对象（缺省选择下）或者指定类型的对象（例如FireWall－1 installed，FloodGate－1 installed，GateWay Clusters等），以使用不同的过滤（例如Search by Name，Search by IP等）来精简这个列表以及使用通配符来搜索。

除了这些基本的搜索之外，还可以完成更高级的查询：

●IP地址与接口卡不匹配的对象。

●被几个对象使用的相同IP地址。

●没有使用的对象。

注意：在LDAP服务器上定义的对象实体一般在查询中当作“not used”。

你可以将查询结果进行分组。例如，希望创建一个包含系统中所有邮件服务器的分组，

CheckPoint 防火墙 双机 HA 实施 方案

本文由ｎｏ１ｍｏｏｎｂｏｙ贡献 ｄｏｃ１。 双　ＣｈｅｃｋＰｏｉｎｔ　防火墙实施方案 目　录 第一章　客户环境概述……　４　１．１　概述　……　４　１．２　网络拓扑与地址分配表　……　４　１．３　安装前准备事宜　……　６　第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置　……　７　２．１　概述　……　７　２．２　初始化　ｎｏｋｉａ３８０　……　７　２．３　设置　ｎｏｋｉａ　基本信息　……　８　２．３．１　Ｎｏｋｉａ　端口　ＩＰ　地址设定　……　８　２．３．２　设置网关路由　……　８　２．３．３　设置　Ｎｏｋｉａ　平台时间　……　９　２．３．４　设定　Ｎｏｋｉａ　高可用　ＶＲＲＰ　参数　……　９　２．４　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１４　２．４．１　在　ｎｏｋｉａ　平台上　ｃｈｅｃｋｐｏｉｎｔ　的安装与卸载　……　１４　２．４．２　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１６　第三章　管理服务器的安装与配置……　１７　３．１ｃｈｅｃｋｐｏｉｎｔ　ｓｍａｒｔｃｅｎｔｅｒ　的安装……　１８　３．１．１　安装前的准备　……　１８　３．１．２　安装步骤　……　１８　３．２　配置　ｃｈｅｃｋｐｏｉｎｔ　对象和参数　……　２０　３．２．１　建立　ｓｉｃ　……　２０　３．２．２　定义防火墙对象拓扑结构　……　２１　３．２．３　使用同样的步骤按照表　１　的参数建立　ＩＰ３８０Ｂ　ｃｈｅｃｋｐｏｉｎｔ　ｇａｔｅｗａｙ　对象。　……　２１　３．３　基于　ｎｏｋｉａ　ｖｒｒｐ　或者　ｃｌｕｓｔｅｒ　的设置……　２２　３．３．１　基于　Ｎｏｋｉａ　ＶＲＲＰ　的设置　……　２２　３．３．２　为　ｎｏｋｉａ　ｖｒｒｐ　定义策略　……　２２　３．３．３　高可用性的检查　……　２３　３．４ｎｏｋｉａ　ｃｌｕｓｔｅｒ　的设置　……　２３　３．５　暂时没有　……　２３　第四章　策略设定……　２４　４．１　概述　……　２４　４．２　ｎｅｔｓｃｒｅｅｎ　的策略　……　２４　４．３　经过整理后转换成　ｃｈｅｃｋｐｏｉｎｔ　的策略　……　２４　４．４　设定策略　……　２４　４．４．１　定义主机对象　……　２４　４．４．２　定义网络对象　……　２５　４．４．３　定义组　……　２６　４．４．４　定义服务　……　２６ ４．４．５　添加标准策略　……　２７　４．４．６　添加　ＮＡＴ　策略……　２７　第五章　切换与测试……　２９　５．１　切换　……　２９　５．２　测试　……　２９　５．３　回退　……　３０　第六章　日常维护……　３１　６．１　防火墙的备份与恢复　……　３１　６．１．１　ｎｏｋｉａ　防火墙的备份与恢复方法　……　３１　６．１．２　ｃｈｅｃｋｐｏｉｎｔ　ｍａｎａｇｅｍｅｎｔ　上的备份与恢复　……　３３ 第一章 客户环境概述 １．１　概述 ＸＸＸＸＸＸ　公司因应企业内部的网络需求，对总部网络进行扩容改动，中心　防火墙从原来的　ｎｅｔｓｃｒｅｅｎ　换成两台　Ｎｏｋｉａ　ＩＰ３８０，两台　ｎｏｋｉａ　互为热备。维持原　有的服务不变。　由于这次网络改动比较大，所以先离线进行安装和测试，最后再进行切换 １．２　网络拓扑与地址分配表 ＸＸＸＸＸＸ　改造前网络拓扑如下 改动后，ＸＸＸ　将按照以下图进行实施　改动后， 给个设备及端口的地址分配入下表所示　ＩＰ　地址分配表（表　１） 管理服务器参数　ＩＰ　地址　防火墙各端口参数　端口　Ｅｔｈ１　用途　外网　口　Ｅｔｈ２　Ｅｔｈ３　Ｅｔｈ４　？　ＤＭＺ　内网　同步　口　ｇａｔｅｗａｙ　静态路　由　１７２．１６．１００．５／３０　１７２．１６．１００．６／３０　１７２．１６．１００．１／３０　１０．１０１．１．１０１／２４　１０．１０１．１．１０２／２４　１０．１０１．１．１／２４　１９２．１６８．１１．１／２４　１９２．１６８．１１．２／２４　Ｎｏｋｉａ３８０Ａ　Ｎｏｋｉａ３８０Ｂ　虚拟地址 １．３　安装前准备事宜 １．管理服务器硬件平台　ＣＰＵ　奔腾　３　５００　以上　内存　１２８　以上　硬盘　６０Ｍ　以上　操作系统，ｗｉｎｄｏｗｓ　２０００　ｓｅｒｖｅｒ　＋ＳＰ４　补丁 ２．网络连线　３．Ｃｈｅｃｋｐｏｉｎｔ　及　ｎｏｋｉａ　管理软件　Ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包　ｆｏｒ　ｗｉｎｄｏｗｓ　ｈｏｔｆｉｘ０９　或以上 ４．Ｎｏｋｉａ　ＩＰ３８０　设备两台　内置　ＩＰＳＯ３．８　ｂｕｉｌｄ　３９　内置　ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包 第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置 ２．１　概述 首先我们可以对两台　Ｎｏｋｉａ　ＩＰ３８０　进行安装与配置，由于　Ｎｏｋｉａ　防火墙将会　替代　Ｎｅｔｓｃｒｅｅｎ，所以　Ｎｏｋｉａ　防火墙可以进行离线配置。配置步骤如下。 ２．２　初始化　ｎｏｋｉａ３８０ １．　使用　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　线，连接　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　口和管理　ｐｃ　的串行端口，

Check Point教程

Check point 防火墙基本操作手册 CheckPoint(中国) TEL:(86)10 8419 3348 FAX:(86)10 8419 3399 ?2010 Check Point Software Technologies Ltd. All rights reserved. Classification:

目录 目录 (2) 防火墙架构 (3) 防火墙的Web管理 (3) 配置IP： (4) 配置DNS和Host: (5) 配置路由: (5) 通过防火墙的管理客户端管理 (5) 添加防火墙 (7) 添加策略步骤 (10) IP节点添加 (10) 添加网段 (11) IPS的配置 (13) 更新IPS库 (14) 新建IPS动作库 (14) 应用控制 (16) 更新数据库 (16) 添加应用控制策略 (17) App Wike (18) 自定义添加应用 (18) QOS配置 (20) Qos策略的添加 (20) 日志工具的使用 (20) 筛选日志 (21) 临时拦截可以连接 (22) ?2010 Check Point Software Technologies Ltd. All rights reserved. Classification:

?2010 Check Point Software Technologies Ltd. All rights reserved. Classification: 防火墙架构 Check point 防火墙的管理是通过一个三层架构来实现的。首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。具体实现过程见图示： 防火墙的Web 管理 首先打开Web 管理界面，出现登录界面：

CheckPoint 防火墙基本操作及应急措施

防火墙基本操作及应急措施陈世雄安全工程师 CCSE

议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施

Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中，100%企业使用我们的产品 –在防火墙和虚拟专用网络（VPN）市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 （Infonetics提供数据） ?VPN/防火墙软件市场占有率超过 54% （IDC提供数据） ?安全硬件设备市场份额中有 36% 为 Check Point 产品（由 Infonetics 提供） ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系

状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004

我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案

CheckPoint防火墙安装手册

防火墙安装操作手册By Shixiong Chen

一、准备安装介质和服务器 安装CheckPoint防火墙基于开放的服务器平台需要准备两点: 如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。 第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。 第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。 二、SecurePlatform系统安装过程 硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面: 敲回车键盘开始安装。出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。SecurePlatform Pro是带有高级路由和支持Radius的系统版本。 选择键盘支持的语言，默认选择US，按TAB键，继续安装。 配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。 选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。然后出现登陆界面，如下所示。 第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。 三、CheckPoint防火墙软件安装过程

运行sysconfig 命令，启动安装防火墙包。选择n,继续安装。 打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。 配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。注意配置时间和日期的格式。完成后选择n， 然后会出现提示是否从tftp服务器下载安装软件，选择n.然后出现如下界面，选择N,继续安装。 选择Y,接受安装许可协议。

Checkpoint防火墙测试用例

Checkpoint R65 Test Plan Revision 0.1 2009-10-14 Author: Peng Gong

Revision History

1‘FW MONITOR’ USAGE (7) 2TEST SUITES (7) 2.1R65I NSTALL &U NINSTALL (7) 2.1.1Create a v3 vap-group with vap-count/max-load-count set >1, Confirm R65 and related HFA could be installed on all vap within vap-group successfully (7) 2.1.2Create a v4 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (9) 2.1.3Create a v5 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (10) 2.1.4Create a v5_64 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (11) 2.1.5Try to install R65 on a v3 vap-group and abort the install process, confirm nothing is left afterwards12 2.1.6Reduce max-load-count down to 1, confirm only one Vap is allowed to run R65 accordingly (13) 2.1.7Increase vap-count and max-load-count to maximum vap count and executing "application-update", confirm all the Vap are running R65 properly (14) 2.1.8Reduce vap-count to 3, Confirm the surplus Vap is stopped from running R65 and related partitions are removed from CPM (15) 2.1.9Enable/Disable IPv6 in vap-group and w/o ipv6-forwarding, confirm R65 wouldn't be affected. (16) 2.1.10Confirm the installed R65 could be stopped through CLI (17) 2.1.11Confirm the installed R65 could be started through CLI (18) 2.1.12Confirm the installed R65 could be restarted through CLI (18) 2.1.13Confirm the installed R65 could be reconfigured through CLI (19) 2.1.14Confirm checkpoint could be upgraded to R70 by CLI: application-upgrade (19) 2.1.15Confirm R65 could run properly while reload vap-group totally (20) 2.1.16Confirm R65 could run properly while reload all chassis totally (20) 2.1.17Create 2 vap groups, install R65 on both. Confirm R65 are running on both vap-groups without any mutual impact. (21) 2.1.18Confirm configure operation couldn't be allowed if some Vap don't run R65 properly. (23) 2.1.19Confirm uninstall/Configure operation couldn't be allowed if some Vap don't run properly. (24) 2.1.20Confirm start/stop/restart operation could works prope rly if R65 doesn’t run properly on some Vaps.25 2.1.21Confirm configure operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (26) 2.1.22Confirm uninstall operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (27) 2.1.23Confirm start/stop/restart operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (28) 2.1.24Confirm R65 could be uninstalled from vap-group (29) 2.1.25Confirm R65 installation package could be remove from XOS by CLI: application-remove (30) 2.2C HECKPOINT F EATURES (31) 2.2.1Create GW and Set SIC, get topology from Smart Dashboard (31) 2.2.2Configure Policy and push policy (31) 2.2.3Confirm R65 could be started/stoped/restarted by cp-command (32) 2.2.4Confirm different kinds of rule actions could work - allow/drop/reject (33) 2.2.5Verify different kinds of tracking actions could work properly - log/alert/account (33) 2.2.6Verify static NAT and hide NAT work properly (34) 2.2.7Verify default license is installed automatically (34) 2.2.8Verify some usual fw commands output - fw ver -k/ fw ctl pstat/ fw tab/ fw stat/ cphaprob stat /fw fetch /fw unloadlocal / fwaccel stat (34) 2.2.9Verify SXL status if enable/disable it (36) 2.2.10Verify the log information in SmartViewer are displayed correctly. (37) 2.2.11Verify the GW and its member information in SmartViewer are displayed correctly (37) 2.2.12Define a VPN Community between two GW; Confirm traffic can pass (37) 2.2.13Create a VPN client tunnel, make sure client can login and traffic is encrypted as it should (38) 2.2.14Enabling/Disabling SXL during connections (39) 2.2.15Fail over the active member during connections (39) 2.3I NTERFACE T EST-T RAFFIC MIXED WITH IPV6 AND IPV4 (39) 2.3.1Verify traffic pass through the interface without SXL - non vlan<--->vlan (tcp+udp+icmp) (39)

CheckPoint防火墙配置

C h e c k P o i n t防火墙配置 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号：１.０.０ ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施 中国移动通信有限公司网络部

目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 (2) 1.3外部引用说明 (4) 1.4术语和定义 (4) 1.5符号和缩略语 (4) 2CHECKPOINT防火墙设备配置要求 (5)

前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考 1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。 内容采纳意见备注 1.不同等级管理员分配不同账号，避 完全采纳 免账号混用。 完全采纳 2.应删除或锁定与设备运行、维护等 工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度至少8 位，并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持 5.应配置设备，使用户不能重复使用 部分采纳IPSO操作系统支持最近5次（含5次）内已使用的口 令。 6.应配置当用户连续认证失败次数超 部分采纳IPSO操作系统支持过6次（不含6次），锁定该用户使 用的账号。 完全采纳 7.在设备权限配置能力内，根据用户 的管理等级，配置其所需的最小管

checkpoint防火墙技术

CheckPoint FireWall-1防火墙技术 2007-11-14 18:22:23 随着Internet的迅速发展，如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改，已成为企业非常关注的问题。 作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位，其FireWall-1防火墙在市场占有率上已超过44%，世界上许多著名的大公司，如IBM、HP、CISCO、3COM、BAY等，都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。 CheckPoint FireWall-1 V3.0防火墙的主要特点。 从网络安全的需求上来看，可以将FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐，?包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制，包括负载均衡高可靠性等；下面分别进行介绍。 1．访问控制 这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术，无法实施对应用级协议处理，也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术，为实现访问控制需要占用大量的CPU资源，对Internet上不断出现的新应用(如多媒体应用)，无法快速支持. CheckPoint FireWall-1的状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持。目前支持160种以上的预定义应用和协议，包括所有Internet服务，如安全Web浏览器、传统Internet应用（mail、ftp、telnet）、UDP、RPC等，此外，支持重要的商业应用，如OracleSQL*Net、SybaseSQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等，以及Internet广播服务，如BackWeb、PointCast。 另外，FireWall-1还可以提供基于时间为对象的安全策略定制方法。 FireWall-1开放系统具有良好的扩展性，可以方便的定制用户的服务，提供复杂的访问控制。 2．授权认证（Authentication） 由于一般企业网络资源不仅提供给本地用户使用，同时更要面向各种远程用户、移动用户、电信用户的访问，为了保护自身网络和信息的安全，有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证，FireWall-1能保证一个用户发起的通信连接在允许之前，就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法： 用户认证（Authentication） 用户认证（UA）是基于每个用户的访问权限的认证，与用户的IP地址无关，FireWall-1提供的认证服务器包括：FTP、TELNET、HTTP、RLOGIN。 UA对移动用户特别有意义，用户的认证是在防火墙系统的网关上实施的。

Checkpoint SIC

Secure Internal Communications (SIC) 26-Jun-2001 NG-FCS Version Abstract Check Point Software has enhanced the Internal Communications method for the components within a Next Generation (NG) Check Point System. This method is based on Digital Certificates, and will be further described below. This is a new and improved method for all of the internal communications, so if you are familiar with "fw putkeys", you will not have to go back there… Document Title: Secure Internal Communications Creation Date: 08-Feb-2001 Modified Date: 26-Jun-2001 Document Revision: 2 (meaning this is the 3rd revision) Product Class: FireWall-1 / VPN-1 Product and Version: NG Author: Joe DiPietro DISCLAIMER The Origin of this information may be internal or external to Check Point Software Technologies. Check Point Software Technologies makes all reasonable efforts to verify this information. However, the information provided in this document is for your information only. Check Point Software Technologies makes no explicit or implied claims to the validity of this information. Any trademarks referenced in this document are the property of their respective owners. Consult your product manuals for complete trademark information.

CheckPoint 防火墙 双机 HA 实施 方案

本文由no1moonboy贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 双 CheckPoint 防火墙实施方案 目录 第一章客户环境概述…… 4 1.1 概述…… 4 1.2 网络拓扑与地址分配表…… 4 1.3 安装前准备事宜…… 6 第二章 Nokia IP380 安装与配置…… 7 2.1 概述…… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息…… 8 2.3.1 Nokia 端口 IP 地址设定…… 8 2.3.2 设置网关路由…… 8 2.3.3 设置 Nokia 平台时间…… 9 2.3.4 设定Nokia 高可用 VRRP 参数…… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上checkpoint 的安装与卸载…… 14 2.4.2 初始化 checkpoint …… 16 第三章管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备…… 18 3.1.2 安装步骤…… 18 3.2 配置 checkpoint 对象和参数…… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构…… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。…… 21 3.3 基于 nokia vrrp 或者cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置…… 22 3.3.2 为 nokia vrrp 定义策略…… 22 3.3.3 高可用性的检查…… 23 3.4nokia cluster 的设置…… 23 3.5 暂时没有…… 23 第四章策略设定…… 24 4.1 概述…… 24 4.2 netscreen 的策略…… 24 4.3 经过整理后转换成 checkpoint 的策略...... 24 4.4 设定策略...... 24 4.4.1 定义主机对象...... 24 4.4.2 定义网络对象...... 25 4.4.3 定义组...... 26 4.4.4 定义服务 (26) 4.4.5 添加标准策略…… 27 4.4.6 添加 NAT 策略…… 27 第五章切换与测试…… 29 5.1 切换...... 29 5.2 测试...... 29 5.3 回退...... 30 第六章日常维护...... 31 6.1 防火墙的备份与恢复...... 31 6.1.1 nokia 防火墙的备份与恢复方法...... 31 6.1.2 checkpoint management 上的备份与恢复 (33) 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求，对总部网络进行扩容改动，中心防火墙从原来的 netscreen 换成两台 Nokia IP380，两台 nokia 互为热备。维持原有的服务不变。由于这次网络改动比较大，所以先离线进行安装和测试，最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后，XXX 将按照以下图进行实施改动后， 给个设备及端口的地址分配入下表所示 IP 地址分配表（表 1） 管理服务器参数 IP 地址防火墙各端口参数端口 Eth1 用途外网口 Eth2 Eth3 Eth4 ? DMZ 内网同步口gateway 静态路由172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1．管理服务器硬件平台 CPU 奔腾 3 500 以上内存 128 以上硬盘 60M 以上操作系统，windows 2000 server ＋SP4 补丁 2．网络连线 3．Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4．Nokia IP380 设备两台内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装

checkpoint用户手册

Check Point UTM-1 用户手册

第一章使用向导 (3) 一、从配置UTM开始 (3) 1、登陆UTM (3) 2、配置网卡 (3) 3、配置路由 (4) 4、配置主机名 (5) 5、调整时间 (5) 二、步骤1－配置之前......一些有用的术语 (6) 三、步骤2－安装和配置 (7) 四、步骤3－第一次登录到SmartCenter服务器 (8) 五、步骤4－在安全策略定义之前 (10) 六、步骤5－为安全策略定义规则 (15) 七、步骤6－来源和目的 (16) 第二章策略管理 (16) 一、有效的策略管理工具需要 (17) 二、CheckPoint管理策略的解决方案 (17) 1、策略管理概况 (17) 2、策略集 (18) 3、规则分节标题 (20) 4、查询和排列规则以及对象 (20) 三、策略管理需要注意的问题 (21) 四、策略管理配置 (21) 第三章SmartView Tracker (24) 一、跟踪的需求 (25) 二、CheckPoint对跟踪的解决方案 (25) 1、跟踪概况 (25) 2、SmartView Tracker (26) 3、过滤 (27) 4、查询 (28) 5、通过日志切换维护日志文件 (28) 6．通过循环日志来管理日志空间 (28) 7、日志导出功能 (29) 8、本地日志 (29) 9、使用日志服务器记录日志 (29) 10、高级跟踪操作 (29) 三、跟踪需要考虑的问题 (30) 四、跟踪配置 (31) 1、基本跟踪配置 (31) 2、SmartView的查看选项 (31) 3、配置过滤器 (32) 4、配置查询 (32) 5、维护 (33) 6、本地日志 (34) 7、使用日志服务器 (34)

通信公司CheckPoint VPN安全配置手册

密级： 文档编号： 项目代号： A移动CheckPoint VPN 安全配置手册 A移动通信有限公司

拟制: 审核: 批准: 会签: 标准化:

版本控制 分发控制

目录 1CHECKPOINT VPN概述 (2) 1.1简介 (2) 1.2分类及其工作原理 (2) 1.3功能与定位 (3) 1.4特点与局限性 (4) 2CHECKPOINT VPN适用环境及部署原则 (4) 2.1适用环境 (4) 2.2安全部署原则 (4) 3CHECKPOINT VPN的安全管理与配置 (4) 3.1服务器端设置 (4) 3.2客户端设置 (18) 3.3登陆过程 (23) 3.4日志查询 (24)

1Checkpoint VPN概述 1.1 简介 VPN（Virtual Private Network）虚拟专用网，是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接，可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道，所以VPN中使用的加密传输协议被称为隧道协议。 用户使用VPN使需要在PC机上安装一个客户端软件，该客户端和企业的VPN Server互相配合，能保证用户端到企业内部的数据是被加密，无法监听。 VPN的设计目标是保护流经Internet的通信的保密性和完整性，在数据在互联网上传输之前进行加密，在到达最终用户之前进行解密。但尽管如此，VPN并不完备，许多用户在使用VPN时，密码经常被窃，使整个VPN系统失去安全。这种密码盗窃是VPN中经常遭受的、最具危害性的攻击。 一般来说，大多数对用户身份的确认是通过用户名和固定的密码实现的，然而，固定密码容易被窃或被黑客随处可得的“Cracker”工具破译，某些软件可以自动完成猜测密码的工作，更糟糕的是，某些特定的单词，如“password”或“123456”等，经常被用做密码。 对密码保护的最好办法就是不要密码――不采用固定密码，采用动态密码，俗称一时一密，每个密码只能用一次，每次的有效时间只有很短的时间。对VPN采用动态密码，很好解决了数据的传输安全和密码安全，是一个完美结合。

CheckPoint防火墙配置

C h e c k P o i n t防火墙配 置 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

C h e c k P o i n t 防火墙配置 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号：１.０.０ 中国移动通信有限公司网络部

目录 前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT 防火墙设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。 内容采纳意见备注

1.不同等级管理员分配不同账 号，避免账号混用。 完全采纳 2.应删除或锁定与设备运行、 维护等工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度 至少8位，并包括数字、小 写字母、大写字母和特殊符 号4类中至少2类。 完全采纳 4.账户口令的生存期不长于90 天。部分采纳IPSO操作系统 支持 5.应配置设备，使用户不能重 复使用最近5次（含5次） 内已使用的口令。部分采纳IPSO操作系统 支持 6.应配置当用户连续认证失败 次数超过6次（不含6 次），锁定该用户使用的账 号。部分采纳IPSO操作系统 支持 7.在设备权限配置能力内，根 据用户的管理等级，配置其 所需的最小管理权限。 完全采纳 8.设备应配置日志功能，对用 户登录进行记录，记录内容 包括用户登录使用的账号， 登录是否成功，登录时间， 以及远程登录时，用户使用 的IP地址。 完全采纳 9.设备应配置日志功能，记录 用户对设备的重要操作。 完全采纳 10.设备应配置日志功能， 记录对与设备相关的安全事 件。 完全采纳 11.设备配置远程日志功 能，将需要重点关注的日志 内容传输到日志服务器。 完全采纳 12.防火墙应根据业务需要，配 置基于源IP地址、通信协 议TCP或UDP、目的IP地 址、源端口、目的端口的流 量过滤，过滤所有和业务不 相关的流量。 完全采纳13.对于使用IP协议进行远完全采纳

系统管理员日常维护操作手册讲解学习

系统管理员日常维护操作手册一、信息部工作日志

一、服务器日常开关机器规定 （一）、开机步骤 1、先开启ups电源，待UPS电源运转正常，加电稳定； 2、开启服务器电源，系统将自动启动UNIX操作系统，密切注意操作系统启 动过程中的系统提示信息，如果有异常的提示必须作好数据库操作启动的日志记录。 3、待服务器操作系统正常启动后，再以sybase用户身份登陆到sybase，启 动sybase数据库，在sybase数据库启动过程中如果有异常的提示，同样要记录启动过程中的日志。 4、服务器的任何异常提示，个人不得以任何形式任意进行服务器的非授权 处理； 5、如果要进行数据库大小的扩充操作则必须以数据库扩充标准及步骤进 行，并记录数据库扩充的系统提示信息，如果有异常情况则必须告诉公司系统集成部。 6、一般服务器至少20天左右要进行一次系统的关机动作。对于专用服务器 则不需要进行此操作。 （二）、系统运行过程中的数据库维护操作 7、一般数据库至少30天要进行一次数据库的dbcc检查。 8、数据库系统每一个月结帐后必须做月末的整理索引操作。 9、每天必须做好数据库的日常备份工作，同时必须进行数据库至少存放在 服务器的2个地方，或者备份到磁带机上,同时保存好备份数据。（三）、服务器的关机操作步骤

10、先备份数据库数据到备份设备上； 11、关sybase数据库； 12、关UNIX操作系统； 13、关服务器电源； 14、关UPS电源； 二、服务器操作系统启动关闭及备份操作步骤 （一）、服务器数据库系统的启动和日常维护： 1．开机<按电源开关后，等待了现SCO界面，接着按下Ctrl+Alt+F1>进入 unix系统 Login：Sybase< 回车 > Password：asdf<密码，如有错继续回车，正确时出现> $ <表示启动成功，pwd查看正确路径应为 /u/sybase> $ Run <启动成功> $ isql -Usa < > Password：<无密码，回车> Sybase> Sybase>sp_who pos &查看前台pos机的进程，如有lock须杀掉 2>go <执行> 3>rest <回到最初1>的状态，如有错误继续回车> 1>sp_help shop <看shop的大小，日志多少及清理日志> 2>go<执行，回车> name db_size owner dbid created status -------------- ------------- ------------------- ------ -------------- -------------------------------------------------------------------- device_fragments size usage free kbytes --------------------- ------------- -------------------- ----------- shopdev1 2000.0 MB data only 1880704 shopdev2 2000.0 MB data only 2048000 shoplog1 500.0 MB log only 477936 shoplog2 500.0 MB log only 512000 (return status = 0) 1>dump tran shop with no_log<清除日志> 2>go<执行> 1>kill n<杀掉进程，n表示进程后的代号> 2>go <执行>