CheckPoint基本操作手册-中文

1. CheckPoint架构 (2)

2. 设置系统配置 (2)

2.1 设置IP地址 (2)

2.2 设置路由 (3)

2.3 配置备份 (4)

2.4 下载SmartConsole（GUI Client） (6)

2.5 命令行（Console/SSH）登陆专家模式 (6)

3. 配置防火墙策略 (6)

3.1 安装SmartConsole，登录策略配置管理 (7)

3.2 创建对象 (7)

3.2.1 创建主机对象 (7)

3.2.2 创建网络对象 (8)

3.2.3 创建组对象 (9)

3.3 创建策略 (10)

3.3.1 策略分组 (13)

3.4 创建地址转换（NAT） (14)

3.4.1 自动地址转换（Static） (15)

3.4.2 自动地址转换（Hide） (15)

3.4.3 手动地址转换 (16)

3.5 Install Policy (18)

4. 用户识别及控制 (18)

4.1 启用用户识别及控制 (18)

4.2 创建AD Query策略 (22)

4.3 创建Browser-Based Authentication策略 (24)

5. 创建应用及网址（URL）控制策略 (25)

5.1 启用应用或网址（URL）控制功能 (25)

5.2 创建应用及网址（URL）对象 (25)

5.3 创建应用及网址（URL）组对象 (27)

5.4 创建应用及网址（URL）控制策略 (29)

6. 创建防数据泄露（DLP）策略 (31)

6.1 启用防数据泄露（DLP）功能 (31)

6.2 创建防数据泄露（DLP）对象 (31)

6.2.1 创建防数据泄露（DLP）网络对象 (31)

6.2.2 创建防数据泄露（DLP）分析内容对象 (31)

6.2.3 创建防数据泄露（DLP）分析内容组对象 (31)

6.3 创建防数据泄露（DLP）控制策略 (31)

7. 生成报表（SmartReporter） (31)

7.1 启用报表功能 (32)

7.2 生成报表前参数调整 (32)

7.3 生成报表 (35)

8. 事件分析（SmartEvent） (36)

8.1 启用事件分析功能 (36)

8.2 查看事件分析 (37)

1. CheckPoint 架构

CheckPoint 分为三层架构，GUI 客户端（SmartConsole ）是一个可视化的管理配置客户端，用于连接到管理服务器（SmartCenter ），管理服务器（SmartCenter ）是一个集中管理平台，用于管理所有设备，将策略分发给执行点（Firewall ）去执行，并收集所有执行点（Firewall ）的日志用于集中管理查看，执行点（Firewall ）具体执行策略，进行网络访问控制

2. 设置系统配置

设备的基本配置需要在WEB 下进行，如IP 、路由、DNS 、主机名、备份及恢复、时间日期、管理员账户，默认web 管理页面的连接地址为https://192.168.1.1:4434，如果已更改过IP ，将192.168.1.1替换为更改后的IP 2.1 设置IP 地址

例：设置LAN2口的IP 为10.0.255.2 登录web 后选择Network Connections

直接点击

LAN2

管理服务器 SmartCenter

GUI Client

SmartConsole

执行点 Firewall

填入IP地址和掩码，点击Apply

2.2设置路由

例：设置默认路由为10.0.255.1

登录web后选择Network→Routing

点击New→Default Route，（如果设置普通路由，点击Route）

填入默认路由，点击Apply

2.3配置备份

此备份包括系统配置和CheckPoint策略等所有配置

例：将配置备份出来保存

选择Applicance→Backup and Restore

选择Backup→Start Backup

输入备份的文件名，点击Apply（由于日志可能会较大，增加备份文件的大小，可考虑去掉Include Check Point Products log files in the backup前面的勾）

选择Yes

等待备份文件打包

当弹出下载文件提示后，将文件保存至本地

2.4下载SmartConsole（GUI Client）

选择Product Configuration Download SmartConsole

选择Start Download

2.5命令行（Console/SSH）登陆专家模式

登陆命令行（Console/SSH）默认模式下仅支持部分操作及命令，如需要执行更高权限的命令或操作时需登陆专家模式

在命令行中输入expert回车，根据提示输入密码即可登陆，默认密码同web、console、SSH登陆密码相同

# expert

Enter expert password:

You are in expert mode now.

3.配置防火墙策略

CheckPoint防火墙的策略执行顺序为自上而下执行，当满足某一条策略时将会执行该策略设定的操作，并且不再匹配后面的策略

***如果策略中包含用户对象，即使匹配该策略，仍然会继续匹配后面的策略，只有当后面的策略没有匹配或者后面的策略中匹配的操作是drop时才会执行之前包含用户的策略

通常CheckPoint策略配置的顺序依次为防火墙的管理策略、VPN策略、服务器（DMZ）策略、内网上网策略、全部Drop策略

创建CheckPoint防火墙策略的步骤为创建对象、创建策略并在策略中引用对象、Install Policy

***CheckPoint中配置的更改必须Install Policy之后才会生效

3.1安装SmartConsole，登录策略配置管理

直接运行下载的SmartConsole安装包进行安装，安装完成后登陆SmartDashboard

例：打开策略管理

运行SmartDashboard

输入用户名、密码以及SmartCenter（管理服务器）的IP地址，点击OK登陆

3.2创建对象

CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引用对象、Install Policy

3.2.1创建主机对象

例：创建IP为192.168.10.1的对象

选择Nodes→Node→Host

在Name处输入对象名（字母开头），在IP Address处输入对象的IP地址，如192.168.10.1，点击OK

3.2.2创建网络对象

例：创建网段为192.168.10.0，掩码为255.255.255.0的对象

选择Networks Network…

输入网段对象名，网段，掩码（由于是中文版系统的关系，部分字样可能显示不全），点击OK

3.2.3创建组对象

如果有多个对象需要在策略中引用，方便起见可将这些对象添加到一个组中，直接在策略中引用该组即可

例：将网段192.168.10.0和192.168.11.0添加到一个组对象中

选择Groups→Groups→Simple Group…

输入组对象的名字，将网段对象192.168.10.0和192.168.11.0在左侧Not in Group窗口中双击移入到右侧的In Group窗口中，点击OK

3.3创建策略

创建策略前需根据需求先确定创建的位置

例：在第6条和第7条之间创建1条允许192.168.10.0网段访问任何地方任何端口的策略，并记录日志

选中第7条策略，单击右键，选择Add Rule Above

添加后会出现一条默认策略，需要做的就是在这条策略上引用对象

在Source对应的一栏中，右键点击Any，选择Network Object…

找到192.168.10.0这个网段的对象后选中，并点击OK

由于是访问任何地址的任何端口，所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept

在Track栏中点击右键选择Log，这样凡是被这条策略匹配的连接都会记录下日志，用于在SmartView Tracker中查看

完成后的策略如下图

3.3.1策略分组

当策略数目较多时，为了方便配置和查找，通常会对策略进行分组

例：将7、8、9三条日志分为一个组

选中第7条策略，点击右键，选择Add Section Title Above

输入名字后点击OK

如下图所示，7、8、9三条策略就分在一个组中了，点击前面的+-号可以打开或缩进

3.4创建地址转换（NAT）

在CheckPoint中地址转换分为自动和手动两种，其中自动又分为Static NAT和Hide NAT Static NAT

Static是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问

Hide NAT

Hide NAT是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，

Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式

3.4.1自动地址转换（Static）

***防火墙本身网口地址不能做自动Static地址转换

例：将内网的web服务器192.168.10.10发布至公网地址58.246.25.91

创建web服务器对象，在左边一栏中选择NAT

在Add Automatic Address Translation rules前打勾，Translation method选择为Static，Translate to IP Address输入58.246.25.91，点击OK

添加一条允许访问的策略，由于是web服务器，端口为开放为http和https

***自动Static NAT的主机对象包括本地IP和NAT后的IP，如下图所示的策略表示允许访问192.168.10.10和58.246.25.91的http、https

3.4.2自动地址转换（Hide）

例：内网段192.168.10.0需要上Internet访问任意资源

创建网络对象192.168.10.0，选择NAT

在Add Automatic Address Translation rules前打勾，Translation method选择为Hide，选择Hide behind Gateway，点击OK

创建一条允许网段192.168.10.0访问任意地址任意端口的策略

3.4.3手动地址转换

由于手动NAT涉及到proxy arp，在CheckPoint中如果使用到手动NAT，需要更改local.arp文件添加NAT后IP地址对应的MAC，关于proxy arp可参考https://www.sodocs.net/doc/cc6484410.html,/view/547486.htm

***如果手动NAT对应的外网地址已经在自动NAT中使用，那就无需更改local.arp 例：将公网地址58.246.25.91的80端口映射到内网地址192.168.10.10的443端口创建主机地址分别为58.246.25.91和192.168.10.10两个对象

创建允许访问58.246.25.91的80端口的策略

点击NAT标签栏

添加一条策略在最顶部

Original Packet中的Destination引用58.246.25.91的对象

Original Packet中的Service引用80端口的对象

Translated Packet中的Destination引用192.168.10.10的对象

Translated Packet中的Service引用443端口的对象

使用SSH登陆到Gateway的命令行，并进入专家模式，执行命令：

# touch $FWDIR/conf/local.arp

用ifconfig命令查看需要代理58.246.25.91网口的MAC地址

eth1 Link encap:Ethernet HWaddr 00:0C:29:C0:69:44

inet addr:58.246.25.90 Bcast:58.246.25.95 Mask:255.255.255.248

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:153016696 errors:0 dropped:0 overruns:0 frame:0

TX packets:198592912 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:1478919258 (1.3 GiB) TX bytes:1922549255 (1.7 GiB)

Base address:0x2040 Memory:d8880000-d88a0000

如上所示，需要代理的接口为eth1，接口IP为58.246.25.90，MAC地址为00:0C:29:C0:69:44

执行命令添加proxy arp

echo 58.246.25.92 00:0C:29:C0:69:44 >>$FWDIR/conf/local.arp

3.5Install Policy

任何配置的更改后，必须做Install Policy操作，才会使配置开始生效

点击Install Policy的图标

如果有多个Gateway，在需要配置生效的Gateway上打勾，然后点击OK

4.用户识别及控制

启用该功能可以在策略中直接使用用户对象进行访问控制，可以使CheckPoint识别出计算机所使用的用户，在不启用该功能时，CheckPoint的策略只能对主机IP或网段生效（VPN策略除外）

该功能对用户的识别方式分为三种：Protal、AD Users、Agent

4.1启用用户识别及控制

双击防火墙对象，在IA前打勾

打勾后会弹出配置向导

AD Query 识别AD用户，可直接对AD进行识别和访问控制

Browser-Based Authentication 当用户访问网络时，跳转至用户验证页面，验证成功后才能访问网络

Terminal Servers 结合终端服务器识别用户，如Citrix

通常情况使用AD Query或Browser-Based Authentication

在需要的模式前打勾，点击Next

如果使用AD Query模式，将会需要输入相关信息：域名、拥有管理权限的账户和密码，

域控的IP地址，输入后点击Connect

***设置此项前需先确定已为Gateway设置DNS服务器，并能解析该域名

如果Connect连接成功，点击Next

如果使用Browser-Based Authentication模式，将会提示设定跳转的用户验证的地址，一般默认即可，点击Edit用于设定哪些接口上配置跳转页面

CheckPoint 防火墙 双机 HA 实施 方案

本文由ｎｏ１ｍｏｏｎｂｏｙ贡献 ｄｏｃ１。 双　ＣｈｅｃｋＰｏｉｎｔ　防火墙实施方案 目　录 第一章　客户环境概述……　４　１．１　概述　……　４　１．２　网络拓扑与地址分配表　……　４　１．３　安装前准备事宜　……　６　第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置　……　７　２．１　概述　……　７　２．２　初始化　ｎｏｋｉａ３８０　……　７　２．３　设置　ｎｏｋｉａ　基本信息　……　８　２．３．１　Ｎｏｋｉａ　端口　ＩＰ　地址设定　……　８　２．３．２　设置网关路由　……　８　２．３．３　设置　Ｎｏｋｉａ　平台时间　……　９　２．３．４　设定　Ｎｏｋｉａ　高可用　ＶＲＲＰ　参数　……　９　２．４　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１４　２．４．１　在　ｎｏｋｉａ　平台上　ｃｈｅｃｋｐｏｉｎｔ　的安装与卸载　……　１４　２．４．２　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１６　第三章　管理服务器的安装与配置……　１７　３．１ｃｈｅｃｋｐｏｉｎｔ　ｓｍａｒｔｃｅｎｔｅｒ　的安装……　１８　３．１．１　安装前的准备　……　１８　３．１．２　安装步骤　……　１８　３．２　配置　ｃｈｅｃｋｐｏｉｎｔ　对象和参数　……　２０　３．２．１　建立　ｓｉｃ　……　２０　３．２．２　定义防火墙对象拓扑结构　……　２１　３．２．３　使用同样的步骤按照表　１　的参数建立　ＩＰ３８０Ｂ　ｃｈｅｃｋｐｏｉｎｔ　ｇａｔｅｗａｙ　对象。　……　２１　３．３　基于　ｎｏｋｉａ　ｖｒｒｐ　或者　ｃｌｕｓｔｅｒ　的设置……　２２　３．３．１　基于　Ｎｏｋｉａ　ＶＲＲＰ　的设置　……　２２　３．３．２　为　ｎｏｋｉａ　ｖｒｒｐ　定义策略　……　２２　３．３．３　高可用性的检查　……　２３　３．４ｎｏｋｉａ　ｃｌｕｓｔｅｒ　的设置　……　２３　３．５　暂时没有　……　２３　第四章　策略设定……　２４　４．１　概述　……　２４　４．２　ｎｅｔｓｃｒｅｅｎ　的策略　……　２４　４．３　经过整理后转换成　ｃｈｅｃｋｐｏｉｎｔ　的策略　……　２４　４．４　设定策略　……　２４　４．４．１　定义主机对象　……　２４　４．４．２　定义网络对象　……　２５　４．４．３　定义组　……　２６　４．４．４　定义服务　……　２６ ４．４．５　添加标准策略　……　２７　４．４．６　添加　ＮＡＴ　策略……　２７　第五章　切换与测试……　２９　５．１　切换　……　２９　５．２　测试　……　２９　５．３　回退　……　３０　第六章　日常维护……　３１　６．１　防火墙的备份与恢复　……　３１　６．１．１　ｎｏｋｉａ　防火墙的备份与恢复方法　……　３１　６．１．２　ｃｈｅｃｋｐｏｉｎｔ　ｍａｎａｇｅｍｅｎｔ　上的备份与恢复　……　３３ 第一章 客户环境概述 １．１　概述 ＸＸＸＸＸＸ　公司因应企业内部的网络需求，对总部网络进行扩容改动，中心　防火墙从原来的　ｎｅｔｓｃｒｅｅｎ　换成两台　Ｎｏｋｉａ　ＩＰ３８０，两台　ｎｏｋｉａ　互为热备。维持原　有的服务不变。　由于这次网络改动比较大，所以先离线进行安装和测试，最后再进行切换 １．２　网络拓扑与地址分配表 ＸＸＸＸＸＸ　改造前网络拓扑如下 改动后，ＸＸＸ　将按照以下图进行实施　改动后， 给个设备及端口的地址分配入下表所示　ＩＰ　地址分配表（表　１） 管理服务器参数　ＩＰ　地址　防火墙各端口参数　端口　Ｅｔｈ１　用途　外网　口　Ｅｔｈ２　Ｅｔｈ３　Ｅｔｈ４　？　ＤＭＺ　内网　同步　口　ｇａｔｅｗａｙ　静态路　由　１７２．１６．１００．５／３０　１７２．１６．１００．６／３０　１７２．１６．１００．１／３０　１０．１０１．１．１０１／２４　１０．１０１．１．１０２／２４　１０．１０１．１．１／２４　１９２．１６８．１１．１／２４　１９２．１６８．１１．２／２４　Ｎｏｋｉａ３８０Ａ　Ｎｏｋｉａ３８０Ｂ　虚拟地址 １．３　安装前准备事宜 １．管理服务器硬件平台　ＣＰＵ　奔腾　３　５００　以上　内存　１２８　以上　硬盘　６０Ｍ　以上　操作系统，ｗｉｎｄｏｗｓ　２０００　ｓｅｒｖｅｒ　＋ＳＰ４　补丁 ２．网络连线　３．Ｃｈｅｃｋｐｏｉｎｔ　及　ｎｏｋｉａ　管理软件　Ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包　ｆｏｒ　ｗｉｎｄｏｗｓ　ｈｏｔｆｉｘ０９　或以上 ４．Ｎｏｋｉａ　ＩＰ３８０　设备两台　内置　ＩＰＳＯ３．８　ｂｕｉｌｄ　３９　内置　ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包 第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置 ２．１　概述 首先我们可以对两台　Ｎｏｋｉａ　ＩＰ３８０　进行安装与配置，由于　Ｎｏｋｉａ　防火墙将会　替代　Ｎｅｔｓｃｒｅｅｎ，所以　Ｎｏｋｉａ　防火墙可以进行离线配置。配置步骤如下。 ２．２　初始化　ｎｏｋｉａ３８０ １．　使用　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　线，连接　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　口和管理　ｐｃ　的串行端口，

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

Check Point教程

Check point 防火墙基本操作手册 CheckPoint(中国) TEL:(86)10 8419 3348 FAX:(86)10 8419 3399 ?2010 Check Point Software Technologies Ltd. All rights reserved. Classification:

目录 目录 (2) 防火墙架构 (3) 防火墙的Web管理 (3) 配置IP： (4) 配置DNS和Host: (5) 配置路由: (5) 通过防火墙的管理客户端管理 (5) 添加防火墙 (7) 添加策略步骤 (10) IP节点添加 (10) 添加网段 (11) IPS的配置 (13) 更新IPS库 (14) 新建IPS动作库 (14) 应用控制 (16) 更新数据库 (16) 添加应用控制策略 (17) App Wike (18) 自定义添加应用 (18) QOS配置 (20) Qos策略的添加 (20) 日志工具的使用 (20) 筛选日志 (21) 临时拦截可以连接 (22) ?2010 Check Point Software Technologies Ltd. All rights reserved. Classification:

?2010 Check Point Software Technologies Ltd. All rights reserved. Classification: 防火墙架构 Check point 防火墙的管理是通过一个三层架构来实现的。首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。具体实现过程见图示： 防火墙的Web 管理 首先打开Web 管理界面，出现登录界面：

CheckPoint 防火墙基本操作及应急措施

防火墙基本操作及应急措施陈世雄安全工程师 CCSE

议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施

Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中，100%企业使用我们的产品 –在防火墙和虚拟专用网络（VPN）市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 （Infonetics提供数据） ?VPN/防火墙软件市场占有率超过 54% （IDC提供数据） ?安全硬件设备市场份额中有 36% 为 Check Point 产品（由 Infonetics 提供） ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系

状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004

我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案

DPtech FW1000系列防火墙系统维护手册

DPtech FW1000维护手册 杭州迪普科技有限公司 2012年01月

目录 DPtech FW1000维护手册 (1) 第1章常见维护事项 (1) 1.1系统基本维护 (1) 1.2日常故障维护 (1) 1.3数据备份管理 (1) 1.4补丁升级管理 (2) 第2章应急处理方案 (4) 2.1运输导致设备无法启动 (4) 2.2互联网访问异常 (4) 2.3集中管理平台无相关日志 (4) 2.4设备工作不正常 (5) 2.5IPSEC-VPN无法正常建立 (5) 2.6访问内网服务器异常 (5) 2.7新加入的设备，内网无法上网 (5) 2.8个别内网地址无法上网 (6) 2.9映射内网服务器访问不了 (6) 2.10用户访问网站慢 (6) 第3章功能项 (7) 3.1用户名/密码 (7) 3.2管理员 (7) 3.3WEB访问 (7) 3.4接口状态 (8) 3.5数据互通 (8) 3.6日志信息 (8) 第4章其他 (10) 4.1注册与申请 (10) 4.2升级与状态 (10) 第5章FAQ (13) 5.1入门篇 (13) 5.2进阶篇 (14)

第1章常见维护事项 1.1 系统基本维护 防火墙应该指派专人管理、维护，管理员的口令要严格保密，不得泄露 防火墙管理员应定期查看统一管理中心（UMC）和防火墙的系统资源(包括内存/CPU/外存)，确认运行状况是否正常 防火墙管理员应定期检查“严重错误”以上级别的系统日志，发现防火墙的异常运行情况 防火墙管理员应定期检查操作日志，确认是否有异常操作（修改、添加、删除策略，删除日志等）、异常登录（非管理员登陆记录、多次登陆密码错误），对此应立即上报并修改密码 防火墙管理员应定期检查和分析自动生成的报表，对报表中的可疑事件进行追踪(例如部分时间段异常攻击等),并出具安全运行报告 防火墙管理帐号用户名：admin，初始口令admin，首次使用需修改，并备份 统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护 统一管理中心服务器无法登录，请检查能否PING通统一管理中心服务器，其相关服务（UMC数据库服务、UMC Web服务、UMC后台服务）是否启动，管理端口80是否一致 统一管理中心服务器上网络流量快照或FW日志无法生成，先检查端口9502、9516、9514是否开放，防火墙的日志发送配置是否正确，再用抓包工具检查防火墙是否发送日志 防火墙无法登录，请检查防火墙的IP是否可以Ping通，同时检测端口80是否开放1.3 数据备份管理 统一管理中心服务器系统安装后要先进行完全备份 统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储

CheckPoint防火墙安装手册

防火墙安装操作手册By Shixiong Chen

一、准备安装介质和服务器 安装CheckPoint防火墙基于开放的服务器平台需要准备两点: 如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。 第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。 第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。 二、SecurePlatform系统安装过程 硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面: 敲回车键盘开始安装。出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。SecurePlatform Pro是带有高级路由和支持Radius的系统版本。 选择键盘支持的语言，默认选择US，按TAB键，继续安装。 配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。 选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。然后出现登陆界面，如下所示。 第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。 三、CheckPoint防火墙软件安装过程

运行sysconfig 命令，启动安装防火墙包。选择n,继续安装。 打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。 配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。注意配置时间和日期的格式。完成后选择n， 然后会出现提示是否从tftp服务器下载安装软件，选择n.然后出现如下界面，选择N,继续安装。 选择Y,接受安装许可协议。

Checkpoint防火墙测试用例

Checkpoint R65 Test Plan Revision 0.1 2009-10-14 Author: Peng Gong

Revision History

1‘FW MONITOR’ USAGE (7) 2TEST SUITES (7) 2.1R65I NSTALL &U NINSTALL (7) 2.1.1Create a v3 vap-group with vap-count/max-load-count set >1, Confirm R65 and related HFA could be installed on all vap within vap-group successfully (7) 2.1.2Create a v4 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (9) 2.1.3Create a v5 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (10) 2.1.4Create a v5_64 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (11) 2.1.5Try to install R65 on a v3 vap-group and abort the install process, confirm nothing is left afterwards12 2.1.6Reduce max-load-count down to 1, confirm only one Vap is allowed to run R65 accordingly (13) 2.1.7Increase vap-count and max-load-count to maximum vap count and executing "application-update", confirm all the Vap are running R65 properly (14) 2.1.8Reduce vap-count to 3, Confirm the surplus Vap is stopped from running R65 and related partitions are removed from CPM (15) 2.1.9Enable/Disable IPv6 in vap-group and w/o ipv6-forwarding, confirm R65 wouldn't be affected. (16) 2.1.10Confirm the installed R65 could be stopped through CLI (17) 2.1.11Confirm the installed R65 could be started through CLI (18) 2.1.12Confirm the installed R65 could be restarted through CLI (18) 2.1.13Confirm the installed R65 could be reconfigured through CLI (19) 2.1.14Confirm checkpoint could be upgraded to R70 by CLI: application-upgrade (19) 2.1.15Confirm R65 could run properly while reload vap-group totally (20) 2.1.16Confirm R65 could run properly while reload all chassis totally (20) 2.1.17Create 2 vap groups, install R65 on both. Confirm R65 are running on both vap-groups without any mutual impact. (21) 2.1.18Confirm configure operation couldn't be allowed if some Vap don't run R65 properly. (23) 2.1.19Confirm uninstall/Configure operation couldn't be allowed if some Vap don't run properly. (24) 2.1.20Confirm start/stop/restart operation could works prope rly if R65 doesn’t run properly on some Vaps.25 2.1.21Confirm configure operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (26) 2.1.22Confirm uninstall operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (27) 2.1.23Confirm start/stop/restart operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (28) 2.1.24Confirm R65 could be uninstalled from vap-group (29) 2.1.25Confirm R65 installation package could be remove from XOS by CLI: application-remove (30) 2.2C HECKPOINT F EATURES (31) 2.2.1Create GW and Set SIC, get topology from Smart Dashboard (31) 2.2.2Configure Policy and push policy (31) 2.2.3Confirm R65 could be started/stoped/restarted by cp-command (32) 2.2.4Confirm different kinds of rule actions could work - allow/drop/reject (33) 2.2.5Verify different kinds of tracking actions could work properly - log/alert/account (33) 2.2.6Verify static NAT and hide NAT work properly (34) 2.2.7Verify default license is installed automatically (34) 2.2.8Verify some usual fw commands output - fw ver -k/ fw ctl pstat/ fw tab/ fw stat/ cphaprob stat /fw fetch /fw unloadlocal / fwaccel stat (34) 2.2.9Verify SXL status if enable/disable it (36) 2.2.10Verify the log information in SmartViewer are displayed correctly. (37) 2.2.11Verify the GW and its member information in SmartViewer are displayed correctly (37) 2.2.12Define a VPN Community between two GW; Confirm traffic can pass (37) 2.2.13Create a VPN client tunnel, make sure client can login and traffic is encrypted as it should (38) 2.2.14Enabling/Disabling SXL during connections (39) 2.2.15Fail over the active member during connections (39) 2.3I NTERFACE T EST-T RAFFIC MIXED WITH IPV6 AND IPV4 (39) 2.3.1Verify traffic pass through the interface without SXL - non vlan<--->vlan (tcp+udp+icmp) (39)

防火墙模块操作手册

防火墙模块手册 北京爱赛立技术有限公司 ICG Networks Technologies Co., Ltd. All rights reserved 版权所有侵权必究

目录 1简介 (3) 1.1概述 (3) 1.2防火墙功能点 (3) 1.2.1连接监测描述 (3) 1.2.2包过滤策略描述 (3) 1.2.3基于策略的连接数限制 (3) 1.2.4协议状态检测 (4) 1.2.5基于MAC地址的帧过滤 (5) 1.2.6连接监测模块功能定义 (5) 1.2.7具体协议连接监测状态转换 (8) 1.2.8松散TCP状态检查 (8) 1.2.9包过滤策略功能定义 (9) 1.2.10地址对象 (10) 1.2.11业务类型对象 (10) 1.2.12时间范围对象 (10) 2配置防火墙 (10) 3配置举例 (17)

1 简介 1.1 概述 本模块主要描述ICG系统中防火墙模块的基本处理流程和机制。 本版本包括连接监测，包过滤策略功能模块和基于MAC地址的帧过滤。 1.2 防火墙功能点 系统实现了对以下协议的状态检测功能：FTP，H323和SIP。 1.2.1连接监测描述 基于状态的资源和连接控制基于这样的观点：如果连接长时间没有应答，一直处于半连接状态，会浪费连接资源。同样虽然连接已经建立，但长时间没有数据流穿过，也会浪费了连接资源。 连接监测功能通过追踪和统计连接建立的过程和数量，来管理系统和ICMP，TCP，UDP，Generic协议的连接状态，提高网络访问的性能。 1.2.2包过滤策略描述 包过滤策略能够保护内部网络资源，防止外来者接触。同时限制内部网络用户对外部网络的访问。 防火墙包过滤策略根据IP包中IP、TCP、UDP协议的头部信息，IP报文进入系统的入口设备以及IP报文离开系统的出口设备决定对IP包进行的操作，由此控制对网络内部或网络外部资源的访问，提高网络的安全性能。 由于包过滤策略只处理IP，TCP，UDP协议的头部信息，这样既控制了网络中的通过系统数据流量，又能维持一定的系统性能。 1.2.3基于策略的连接数限制 基于策略的连接数限制功能统计匹配每个策略的总连接数和每个主机的连接数，并能够对这些连接数量加以限制。

天融信版本防火墙常用功能配置手册v

天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月

目录

一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象） 7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换） 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

三、天融信防火墙一些基本概念 接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。 ?提示：对象名称不允许出现的特殊字符：空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口，管理地址为，缺省登录管理员帐号：用户名superman，口令talent。 防火墙出厂配置如下：

CheckPoint防火墙配置

C h e c k P o i n t防火墙配置 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号：１.０.０ ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施 中国移动通信有限公司网络部

目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 (2) 1.3外部引用说明 (4) 1.4术语和定义 (4) 1.5符号和缩略语 (4) 2CHECKPOINT防火墙设备配置要求 (5)

前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考 1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。 内容采纳意见备注 1.不同等级管理员分配不同账号，避 完全采纳 免账号混用。 完全采纳 2.应删除或锁定与设备运行、维护等 工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度至少8 位，并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持 5.应配置设备，使用户不能重复使用 部分采纳IPSO操作系统支持最近5次（含5次）内已使用的口 令。 6.应配置当用户连续认证失败次数超 部分采纳IPSO操作系统支持过6次（不含6次），锁定该用户使 用的账号。 完全采纳 7.在设备权限配置能力内，根据用户 的管理等级，配置其所需的最小管

checkpoint防火墙技术

CheckPoint FireWall-1防火墙技术 2007-11-14 18:22:23 随着Internet的迅速发展，如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改，已成为企业非常关注的问题。 作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位，其FireWall-1防火墙在市场占有率上已超过44%，世界上许多著名的大公司，如IBM、HP、CISCO、3COM、BAY等，都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。 CheckPoint FireWall-1 V3.0防火墙的主要特点。 从网络安全的需求上来看，可以将FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐，?包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制，包括负载均衡高可靠性等；下面分别进行介绍。 1．访问控制 这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术，无法实施对应用级协议处理，也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术，为实现访问控制需要占用大量的CPU资源，对Internet上不断出现的新应用(如多媒体应用)，无法快速支持. CheckPoint FireWall-1的状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持。目前支持160种以上的预定义应用和协议，包括所有Internet服务，如安全Web浏览器、传统Internet应用（mail、ftp、telnet）、UDP、RPC等，此外，支持重要的商业应用，如OracleSQL*Net、SybaseSQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等，以及Internet广播服务，如BackWeb、PointCast。 另外，FireWall-1还可以提供基于时间为对象的安全策略定制方法。 FireWall-1开放系统具有良好的扩展性，可以方便的定制用户的服务，提供复杂的访问控制。 2．授权认证（Authentication） 由于一般企业网络资源不仅提供给本地用户使用，同时更要面向各种远程用户、移动用户、电信用户的访问，为了保护自身网络和信息的安全，有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证，FireWall-1能保证一个用户发起的通信连接在允许之前，就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法： 用户认证（Authentication） 用户认证（UA）是基于每个用户的访问权限的认证，与用户的IP地址无关，FireWall-1提供的认证服务器包括：FTP、TELNET、HTTP、RLOGIN。 UA对移动用户特别有意义，用户的认证是在防火墙系统的网关上实施的。

Checkpoint SIC

Secure Internal Communications (SIC) 26-Jun-2001 NG-FCS Version Abstract Check Point Software has enhanced the Internal Communications method for the components within a Next Generation (NG) Check Point System. This method is based on Digital Certificates, and will be further described below. This is a new and improved method for all of the internal communications, so if you are familiar with "fw putkeys", you will not have to go back there… Document Title: Secure Internal Communications Creation Date: 08-Feb-2001 Modified Date: 26-Jun-2001 Document Revision: 2 (meaning this is the 3rd revision) Product Class: FireWall-1 / VPN-1 Product and Version: NG Author: Joe DiPietro DISCLAIMER The Origin of this information may be internal or external to Check Point Software Technologies. Check Point Software Technologies makes all reasonable efforts to verify this information. However, the information provided in this document is for your information only. Check Point Software Technologies makes no explicit or implied claims to the validity of this information. Any trademarks referenced in this document are the property of their respective owners. Consult your product manuals for complete trademark information.

防火墙操作手册-推荐下载

防火墙操作手册 ----USG6550(V100R001)

1.安装前的准备工作 在安装USG前，请充分了解需要注意的事项和遵循的要求，并准备好安装过程中所需要的工具。 安装注意事项 在安装USG时，不当的操作可能会引起人身伤害或导致USG损坏，请在安装USG前详细阅读本安全注意事项。 检查安装环境 安装USG前，请检查安装环境是否符合要求，以保证USG正常工作并延长使用寿命。 安装工具准备 安装USG过程中需要使用到如下工具，请提前准备好。 2.安装注意事项 1)所有安全注意事项 为保障人身和设备安全，在安装、操作和维护设备时，请遵循设备上标识及手册中说明的所有安全注意事项。 手册中的“注意”、“小心”、“警告”和“危险”事项，并不代表所应遵守的所有安全事项，只作为所有安全注意事项的补充。 2)当地法规和规范

操作设备时，应遵守当地法规和规范。手册中的安全注意事项仅作为当地安全规范的补充。 3)基本安装要求 负责安装维护华为设备的人员，必须先经严格培训，了解各种安全注意事项，掌握正确的操作方法之后，方可安装、操作和维护设备。 只允许有资格和培训过的人员安装、操作和维护设备。 只允许有资格的专业人员拆除安全设施和检修设备。 替换和变更设备或部件（包括软件）必须由华为认证或授权的人员完成。 操作人员应及时向负责人汇报可能导致安全问题的故障或错误。 4)人身安全 禁止在雷雨天气下操作设备和电缆。 为避免电击危险，禁止将安全特低电压（SELV）电路端子连接到通讯网络电压（TNV）电路端子上。 禁止裸眼直视光纤出口，以防止激光束灼伤眼睛。 操作设备前，应穿防静电工作服，佩戴防静电手套和手腕，并去除首饰和手表等易导电物体，以免被电击或灼伤。 如果发生火灾，应撤离建筑物或设备区域并按下火警警铃，或者拨打火警电话。任何情况下，严禁再次进入燃烧的建筑物。

CheckPoint 防火墙 双机 HA 实施 方案

本文由no1moonboy贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 双 CheckPoint 防火墙实施方案 目录 第一章客户环境概述…… 4 1.1 概述…… 4 1.2 网络拓扑与地址分配表…… 4 1.3 安装前准备事宜…… 6 第二章 Nokia IP380 安装与配置…… 7 2.1 概述…… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息…… 8 2.3.1 Nokia 端口 IP 地址设定…… 8 2.3.2 设置网关路由…… 8 2.3.3 设置 Nokia 平台时间…… 9 2.3.4 设定Nokia 高可用 VRRP 参数…… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上checkpoint 的安装与卸载…… 14 2.4.2 初始化 checkpoint …… 16 第三章管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备…… 18 3.1.2 安装步骤…… 18 3.2 配置 checkpoint 对象和参数…… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构…… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。…… 21 3.3 基于 nokia vrrp 或者cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置…… 22 3.3.2 为 nokia vrrp 定义策略…… 22 3.3.3 高可用性的检查…… 23 3.4nokia cluster 的设置…… 23 3.5 暂时没有…… 23 第四章策略设定…… 24 4.1 概述…… 24 4.2 netscreen 的策略…… 24 4.3 经过整理后转换成 checkpoint 的策略...... 24 4.4 设定策略...... 24 4.4.1 定义主机对象...... 24 4.4.2 定义网络对象...... 25 4.4.3 定义组...... 26 4.4.4 定义服务 (26) 4.4.5 添加标准策略…… 27 4.4.6 添加 NAT 策略…… 27 第五章切换与测试…… 29 5.1 切换...... 29 5.2 测试...... 29 5.3 回退...... 30 第六章日常维护...... 31 6.1 防火墙的备份与恢复...... 31 6.1.1 nokia 防火墙的备份与恢复方法...... 31 6.1.2 checkpoint management 上的备份与恢复 (33) 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求，对总部网络进行扩容改动，中心防火墙从原来的 netscreen 换成两台 Nokia IP380，两台 nokia 互为热备。维持原有的服务不变。由于这次网络改动比较大，所以先离线进行安装和测试，最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后，XXX 将按照以下图进行实施改动后， 给个设备及端口的地址分配入下表所示 IP 地址分配表（表 1） 管理服务器参数 IP 地址防火墙各端口参数端口 Eth1 用途外网口 Eth2 Eth3 Eth4 ? DMZ 内网同步口gateway 静态路由172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1．管理服务器硬件平台 CPU 奔腾 3 500 以上内存 128 以上硬盘 60M 以上操作系统，windows 2000 server ＋SP4 补丁 2．网络连线 3．Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4．Nokia IP380 设备两台内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装