精品文档---下载后可任意编辑安全配置手册Version 1.1XX 公司二零一五年一月目录1 综述 52Checkpoint 的几种典型配置 62.1checkpoint 初始化配置过程:62.2Checkpoint Firewall-1 GUI 安装 132.3Checkpoint NG 的对象定义和策略配置 183Checkpoint 防火墙自身加固 34精品文档---下载后可任意编辑1 综述本配置手册介绍了 Checkpoint 防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。同时也提供了 Checkpoint 防火墙自身的安全加固建议,防止针对防火墙的直接攻击。通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全法律规范》。精品文档---下载后可任意编辑2 Checkpoint 的几种典型配置2.1checkpoint 初始化配置过程:在安装完 Checkpoint 软件之后,需要在命令行使用 cpconfig 命令来完成 Checkpoint 的配置。如下图所示,SSH 连接到防火墙,在命令行中输入以下命令:IP350[admin]# cpconfigWelcome to Check Point Configuration Program=================================================Please read the following license agreement.Hit 'ENTER' to continue...(显示 Checkpoint License 版权信息,敲回车继续,敲 q 可直接跳过该 License 提示信息)Do you accept all the terms of this license agreement (y/n) ?y(输入 y 同意该版权声明)Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1 支持多种安装模式,Firewall-1/VPN-1 主要包括三个模块:GUI:用户看到的图形化界面,用于配置安全策略,上面并不存储任何防火墙安全策略和对象,安装于一台 PC 机上;Management:存储为防火墙定义的各种安全策略和对象;Enforcement Module:起过滤数据包作用的过滤模块,它只与 Managerment 通信,其上的安全策略由管理模块下载;以上三个选项中假如 Management 与 Enforcement Module 安装于同一台设备上,则选择(1),假如 Management 与 Enforcement Module 分别安装于不同的设备上,则选择(2)或(3)。在此处我们选择(1...