Check Point SMB
操作手冊

蓬萊網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián)公司,蓬萊網(wǎng)站設(shè)計(jì)制作，有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為蓬萊成百上千家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站建設(shè)要多少錢，請找那個售后服務(wù)好的蓬萊做網(wǎng)站的公司定做！

目錄
準(zhǔn)備 3
初始化 4
配置IP 4
初始化 5
Check Point 1100 Web配置 13
初始化到獨(dú)立式 13
配置IP，路由 13
開啟功能 16
配置策略 16
查看日志 17
Check Point 1100 SC配置 19
初始化到分布式 19
連接到Smart Center 21
開啟功能模塊 25
配置下發(fā)策略 26
應(yīng)用控制介紹 27
IPS介紹 27
S to S的×××和 遠(yuǎn)程××× 28
建立S to S的***。 28
配置案例 29
600與R75。40×××配置問題的解決方法 37
建立遠(yuǎn)程××× 38

準(zhǔn)備
首先我們可以看下設(shè)備的外觀，大小與小型交換機(jī)相符。外觀分為正面板和背面板。
正面板主要用于顯示設(shè)備的電源指示燈，狀態(tài)指示等，網(wǎng)絡(luò)連接狀態(tài)燈。
背面板主要用于電源插口，外網(wǎng)/內(nèi)網(wǎng)插口，Console口，reboot按鍵和恢復(fù)原廠按鈕。

初始化
配置IP
接通電源后首次開啟設(shè)備，用一條網(wǎng)線接入設(shè)備的LAN1-LAN8口任意一個端口，把IP配置成DHCP。

配置成DHCP后可以到網(wǎng)卡信息界面查看是否已經(jīng)獲取到IP，如果能獲取到則證明設(shè)備已經(jīng)啟動好了。

初始化
接下來我們就通過Web界面對設(shè)備進(jìn)行初始化。首次登陸的地址為：https://192.168.1.1:4434，打開頁面會自動跳轉(zhuǎn)到初始化界面。
點(diǎn)擊Next進(jìn)入下一步。在該頁面設(shè)定管理員的帳號密碼，選擇所在的國家。

點(diǎn)擊Next進(jìn)入下一步,設(shè)定時間，有兩種方式，背部別為手動和自動，手動設(shè)定則為手動設(shè)定到指定時間。自動則是通過NTP服務(wù)器獲取時間。

點(diǎn)擊Next進(jìn)入下一步，設(shè)定設(shè)備的名稱和域名，無域名則不需要輸入。

點(diǎn)擊Next進(jìn)入下一步，設(shè)定設(shè)備的使用模式，1100是支持被Smart Center管理的，

目前支持管理1100的設(shè)備有Smart Center R77和R75.47。其他版本暫無法完美支持。
（選擇分布式管理，我們使用R75.47對1100進(jìn)行管理測試）

點(diǎn)擊Next進(jìn)入下一步，設(shè)定外網(wǎng)的連接模式，可以選擇稍后配置完后再進(jìn)行設(shè)定。

點(diǎn)擊Next進(jìn)入下一步，設(shè)置內(nèi)網(wǎng)的管理IP和是否設(shè)定DHCP，包括DHCP的網(wǎng)段設(shè)定。

點(diǎn)擊Next進(jìn)入下一步，選擇是否設(shè)定wifi的密鑰和名稱，這里選擇稍后設(shè)定。

點(diǎn)擊Next進(jìn)入下一步，選擇允許通過那些方式訪問設(shè)備，可以選擇內(nèi)網(wǎng)，外網(wǎng)，無線和×××四種方式。除了設(shè)定訪問方式還可以指定IP訪問。

點(diǎn)擊Next進(jìn)入下一步，激活設(shè)備有兩種方式，一種為在線激活方法，一種為離線激活方式，也可以直接點(diǎn)擊Next而不激活，將有30天的試用期。

如果直接點(diǎn)擊Next他會提醒您未激活，直接點(diǎn)OK即可。

點(diǎn)擊OK之后要進(jìn)行配置SIC，由于之前我們選擇的是分布式，所以我們需要設(shè)定一個SIC密鑰用于跟Smart Center進(jìn)行連接，方便Smart Center進(jìn)行管理。

點(diǎn)擊Next進(jìn)入下一步，連接SmartCenter，我們可以選擇稍后加入管理。勾選下面的選項(xiàng)點(diǎn)擊Next。

點(diǎn)擊Next后會出現(xiàn)設(shè)備的基本信息，確認(rèn)無誤后點(diǎn)擊Finsh完成初始化。
Check Point 1100 Web配置
初始化到獨(dú)立式
獨(dú)立式適用于部署一臺設(shè)備的辦事處或者企業(yè)。對于一些預(yù)算較低的公司可以選擇獨(dú)立模式以保證預(yù)算。當(dāng)然，并不是您選擇了獨(dú)立式后就不可再進(jìn)行修改。您可以在初始化是選擇初始化為獨(dú)立模式，后期需要添加新CP時再把模式更改為分布式，前提是您需要單獨(dú)在購買一臺Smart Center或者安裝一臺Smart Center進(jìn)行管理。
注：Check Point 2200系列以上則無法在初始化選擇獨(dú)立式后再次修改。
注：HA情況強(qiáng)烈建議使用分布式，不使用獨(dú)立式。

配置IP，路由
配置設(shè)備的IP和DHCP服務(wù)器。
首先點(diǎn)擊你需要修改的網(wǎng)絡(luò)組進(jìn)行修改。默認(rèn)每個網(wǎng)絡(luò)組等于一個交換機(jī)。在該設(shè)備中可以同時建立多個網(wǎng)絡(luò)組。最多可以同時建立8個網(wǎng)絡(luò)組，針對CP的8個接口做8個網(wǎng)絡(luò)組。默認(rèn)CP初始化完畢后會把8個lan接口劃分到一個網(wǎng)絡(luò)組當(dāng)中，如果需要新建網(wǎng)絡(luò)組。則需要先從默認(rèn)網(wǎng)絡(luò)組中把你們需要單獨(dú)做網(wǎng)絡(luò)組的接口分離出來。接口除了做網(wǎng)絡(luò)組也可以接口自身做成一個有IP的接口。在網(wǎng)絡(luò)組里面的所有接口的網(wǎng)關(guān)都是指向網(wǎng)絡(luò)組的ip,而自身做成接口的則按照自身分配的IP座位網(wǎng)關(guān)。
例1,做成網(wǎng)絡(luò)組：
首先雙擊您需要分離出來的網(wǎng)口，在Assigned處選擇Unassigned。把需要的接口分離出來后，點(diǎn)擊New Switch

在此處選擇你需要加入到該網(wǎng)絡(luò)組的接口前面勾選。
設(shè)定網(wǎng)絡(luò)組的IP地址。

是否開啟DHCP服務(wù)器。如果開啟則設(shè)定DHCP分配的地址段和保留的地址。

配置完成后點(diǎn)擊Apply完成。
例2,自身做成Switch：
雙擊你需要做成Switch的接口，然后在Assigned to 選擇 Separate Network。
設(shè)定網(wǎng)口的IP地址：

是否開啟該網(wǎng)口的DHCP服務(wù)器，配置DHCP網(wǎng)段和預(yù)留的IP。

路由配置
需要配置靜態(tài)路由選擇Device找到頁面下的Routing選項(xiàng)卡。
點(diǎn)擊New添加路由。

在打開的新增頁面中設(shè)定目的地址，源地址，
服務(wù)和下一跳，點(diǎn)擊Apply完成新增。

開啟功能
在獨(dú)立模式下面開啟功能模塊只需要登陸設(shè)備后在設(shè)備的Home界面下的Security Dashboard，選擇您需要開啟的功能。在設(shè)備購買時都會導(dǎo)入license。導(dǎo)入后沒有購買的模塊將無法被開啟。

配置策略
配置CP的策略。首先需要確認(rèn)是否是否開啟了開功能模塊?？梢栽谏弦粋€教程中查看開啟方法或者在Acces Policy下選擇Blade Contorl開啟該模塊。在該頁面同時也集成了應(yīng)用控制和URL控制模塊的開啟和關(guān)閉。

在Firewall Policy可以選擇Standard標(biāo)準(zhǔn)模式（攔截所有從外網(wǎng)進(jìn)來的數(shù)據(jù)）或者選擇Strict攔截模式（攔截所有出去和進(jìn)來的數(shù)據(jù)），選擇OFF為關(guān)閉。
模塊開啟完成后，接下來就可以配置Policy了。選擇Policy界面點(diǎn)擊New進(jìn)行添加策略。

查看日志
在獨(dú)立式中查看經(jīng)過防火墻的日志，點(diǎn)擊Logs & Monitoring查看Logs。
點(diǎn)擊Security Logs查看防火墻的訪問日志。

點(diǎn)擊System Logs查看系統(tǒng)日志

可以在Status中查看到設(shè)備的連接信息,包括：
連接到設(shè)備的活動PC

×××通道狀態(tài)

活動連接

3Dreport

可以在Scurity Report生成設(shè)備下的日志。
點(diǎn)擊Reports Dashboard查看基于每小時，每天，每周，每月的報告。

點(diǎn)擊Hourly Report＼Daily Report＼weekly Report＼monthly Report，選擇Generate Report針生成對設(shè)備每小時＼天＼周＼月的運(yùn)行報告。

Check Point 1100 SC配置
初始化到分布式
點(diǎn)擊Next進(jìn)入下一步，設(shè)定設(shè)備的使用模式，1100是支持被Smart Center管理的，
目前支持管理1100的設(shè)備有Smart Center R77和R75.47。其他版本暫無法完美支持。
（選擇分布式管理，我們使用R75.47對1100進(jìn)行管理測試）

點(diǎn)擊OK之后要進(jìn)行配置SIC，由于之前我們選擇的是分布式，所以我們需要設(shè)定一個SIC密鑰或者使用自動認(rèn)證用于跟Smart Center進(jìn)行連接，方便Smart Center進(jìn)行管理。（這里我們選擇第二個，自動認(rèn)證）

連接到Smart Center
當(dāng)Check Point 1100被選為獨(dú)立模式后。登陸該設(shè)備的1100可以發(fā)現(xiàn)界面中少了許多選項(xiàng)。且無法在web下開啟防火墻的功能。開啟功能必須要通過Smart Center進(jìn)行開啟。

查看1100與Smart Center的連接狀態(tài)可以在Seurity Dashboard中查看是否有被管理?；蛘卟榭锤鶶mart Center連接是否正常。

圖中我們可以看得出目前該設(shè)備與Smart Center的連接狀態(tài)為斷開。現(xiàn)在我們開始對他們進(jìn)行對接。首先打開Smart Center。在Firewall界面中添加防火墻。

選擇Security Gateway/Management…添加設(shè)備。選擇向?qū)Ｊ竭M(jìn)行添加設(shè)備。

點(diǎn)擊Wizard Mode進(jìn)行向?qū)Ｊ教砑釉O(shè)備。設(shè)備名稱寫入Gateway-1100，設(shè)備的軟件版本為1100 Appliances。輸入設(shè)備的IP地址：192.168.1.12

    點(diǎn)擊下一步，配置設(shè)備與Smart Center的連接信息。選擇連接方式。不需要通過SIC進(jìn)行連接。選擇連接Connect進(jìn)行連接。連接后狀態(tài)會更換成： 

點(diǎn)擊下一步進(jìn)入設(shè)備功能的開啟。默認(rèn)只開啟了FireWall功能，其他功能均未開啟?？梢园凑漳徺I的功能模塊開啟相應(yīng)的功能。

        開啟所需的功能后點(diǎn)擊下一步配置是否內(nèi)網(wǎng)所有IP都自動進(jìn)行NAT。

配置完成后最后確認(rèn)下配置信息

開啟功能模塊
被Smart Center所管理的設(shè)備需要開啟功能有兩種方式。
第一種是在添加設(shè)備時開啟所需要的功能。

第二種是在Smart Center中打開新增的設(shè)備。下方可以進(jìn)行功能的開啟與關(guān)閉。勾選則為開啟，不勾選則為關(guān)閉

配置下發(fā)策略
上邊標(biāo)記處是添加防火墻規(guī)則的按鈕。左邊是定義各種對象的區(qū)域，有防火墻對象，主機(jī)對象，網(wǎng)絡(luò)對象，以及組對象。右邊Security選項(xiàng)顯示的是規(guī)則庫，顯示當(dāng)前定義的各條規(guī)則。下面是已經(jīng)定義的所有對象以及他們相應(yīng)得屬性。

在第一次添加規(guī)則的時候，我們點(diǎn)擊圖中的按鈕，然后在規(guī)則庫中會出現(xiàn)一條默認(rèn)規(guī)則。
然后我們引用定義好的對象，制訂規(guī)則。見下圖：在圖中我們要添加相應(yīng)對象，直接在對應(yīng)欄中點(diǎn)擊右鍵，然后在彈出的對話框中選擇相應(yīng)對象。

    添加完策略后。需要下發(fā)策略后，該策略才會被應(yīng)用到設(shè)備上面。需要點(diǎn)擊下發(fā)策

略按鈕 才可以被下發(fā)到設(shè)備上面。
（應(yīng)用控制，URL控制，IPS，結(jié)合AD域和×××請參考SmartCenter配置手冊。）
應(yīng)用控制介紹
Check Point的應(yīng)用控制可以針對一個類型的網(wǎng)站或者應(yīng)用進(jìn)行限制。方便用戶在不知道網(wǎng)站或著應(yīng)用名稱的情況下通過類型確認(rèn)該應(yīng)用或網(wǎng)站類型。如淘寶網(wǎng)，天貓，京東，易迅這些購物網(wǎng)站需要禁止只能一個一個添加。而checkpoint則是通過特征碼把一個所有關(guān)于購物的網(wǎng)站進(jìn)行限制。應(yīng)用和URL控制都是在Fire Wall進(jìn)行修改。1100把Firewall和策略做到了一個地方。方便用戶修改。

IPS介紹
IPS中文為***防御，可以針對外網(wǎng)來的***進(jìn)行防御。在Web中選擇Threat Prevention中打開IPS監(jiān)控。默認(rèn)開啟后不需要做設(shè)置就可以攔截80%的***。

S to S的×××和 遠(yuǎn)程×××
S to S ***是點(diǎn)到點(diǎn)的×××。針對客戶有兩臺checkpoint防火墻做的×××。他們的加密方式有兩種，分別是通過密鑰和通過證書形式完成加密。
建立S to S的***。
首先需要開啟Site to Site ×××的模塊功能，在×××界面下的Site To Site 中的lade Control中進(jìn)行開啟。

開啟完成后到××× Site添加站點(diǎn)。打開××× Sites 點(diǎn)擊New 添加×××對端設(shè)備。

在界面中我們需要配置對端設(shè)備的名稱，IP，密鑰或證書和對方訪問本端的×××網(wǎng)段

設(shè)定完成后在另外一段的設(shè)備中添加一臺對端的設(shè)備。寫入名稱，IP，密鑰或著證書和對端參加×××的網(wǎng)段。設(shè)定完成之后可以在××× Tunnle中查看×××建立的狀態(tài)。
配置案例
在配置中需要把設(shè)備的默認(rèn)版本升級到R75.20.40或以上的版本。否則在導(dǎo)入證書時會無法導(dǎo)入。
環(huán)境：
對端是一臺Check Point R75.40用的固定IP，IP為：10.10.10.1，內(nèi)網(wǎng)的網(wǎng)段為：192.168.1.0。
本端是SMB 620設(shè)備版本是R75.20.50，使用ADSL撥號。內(nèi)網(wǎng)的網(wǎng)段是192.168.168.0
配置步驟：
首先需要通過Smart Center生成一個證書。用于雙方進(jìn)行認(rèn)證。在SC下面右鍵點(diǎn)擊Check Point窗口選擇UTM-1 Edge Gateway。

在彈出的窗口中輸入設(shè)備的名稱。點(diǎn)擊Edit Registration Key，自動生成一個密鑰，由于620不支持被管理，在這里我們點(diǎn)擊自動生成密鑰，點(diǎn)擊OK。勾選最下方的External Managed Gateway，選擇Topology。

在該頁面的××× Domain中選擇manually defined 在復(fù)選框中選擇自身的內(nèi)網(wǎng)網(wǎng)段。點(diǎn)擊IPSec ×××。

在該界面中生成證書。首先點(diǎn)擊Repostory Of Certficates Available to the Gateway下面的Add，在彈出的界面當(dāng)中輸入設(shè)備的名稱。

點(diǎn)擊Generate生成證書，把生成的數(shù)據(jù)找個文本記錄起來，中間用（，）分隔。

記錄完畢后點(diǎn)擊OK。證書生成完成后點(diǎn)擊Matching Crteria。

在上端選擇Internal_ca，勾選DN選項(xiàng)，在后面填入前面獲取到的數(shù)據(jù)。

點(diǎn)擊OK保存后再次OK關(guān)閉本窗口后再次打開跳到該界面點(diǎn)擊Export P 12。設(shè)定一個證書的密碼。

輸入兩次，點(diǎn)擊OK選擇導(dǎo)出路徑，生成證書p12文件。
生成證書后接下來我們需要配置設(shè)備自身的×××。選擇R75.40的設(shè)備選擇Topology，在該頁面的××× Domain中選擇manually defined 在復(fù)選框中選擇自身的內(nèi)網(wǎng)網(wǎng)段。點(diǎn)擊IPSec ×××。
接下來開始配置兩端對聯(lián)的×××站點(diǎn)，點(diǎn)擊頁面當(dāng)中的選擇小鎖頭，在站點(diǎn)中雙擊Site to Site的×××，在打開的界面當(dāng)中進(jìn)行配置。

在該頁面中選擇 Participating Gateways，彈出的窗口中點(diǎn)擊Add添加需要參加×××的網(wǎng)關(guān)，完成后單擊Advanced Settings。

選擇Advanced ××× Properties，勾選頁面當(dāng)中的Disable NAT inside the ××× community。點(diǎn)擊OK完成配置。

配置完站點(diǎn)后我們需要添加條策略使×××通過。

添加完策略后記得下發(fā)策略。
配置完成后我們

開啟Site to Site ×××的模塊功能，在×××界面下的Site To Site 中的lade Control中進(jìn)行開啟。

開啟完成后到××× Site添加站點(diǎn)。打開××× Sites 點(diǎn)擊New 添加×××對端設(shè)備。

在界面中我們需要配置對端設(shè)備的名稱，IP，密鑰或證書和對方訪問本端的×××網(wǎng)段

設(shè)定完成后在另外一段的設(shè)備中添加一臺對端的設(shè)備。寫入名稱，IP，密鑰或著證書和對端參加×××的網(wǎng)段。設(shè)定完成之后可以在××× Tunnle中查看×××建立的狀態(tài)。

600與R75。40×××配置問題的解決方法
First Step: Verify the other peer's Certificate name (CRL Distribution address).

1. To verify the local Certificate's CRL Distribution address, go to: "×××" - > "Certificates"- > "Internal Certificate".
2. Under "Internal ××× Certificate" there is the CRL Distribution URL. This is the Local URL address and should be provided to the remote ××× peer.
   Second Step: Adding a network object that represents the CRL Distribution URL of the Remote ××× peer.
   This step provides the local gateway with the capability of resolving the remote peer's trusted certificate locally.
   On each gateway, there is a need to create a "Network Object" that includes the external IP address of the remote ××× peer, and define the CRL Distribution URL Name as the "Network Object's" Name.
   For example: In a scenario where the remote gateway's CRL Distribution is: "http://Samba:182654.ICA1.crl" and the external IP address is: 173.13.64.63
3. On the local gateway, you have to add a "Network object" that includes the remote ××× peer's CRL info:
   Type: Single IP
   IP address: 173.13.64.63
   Object name: Samba
4. Mark the option ""Allow DNS server to resolve this Object name".
5. Click "Apply".
   Third Step: Uncheck the following checkboxes:
   ? "Retrieve CRL From HTTP Server(s)"
   ? "Cache CRL on the Security Gateway"
6. Go to ×××: Under "Certificates", go to "Trusted Certificates".
7. Double-click on the certificate in order to open its Edit window.

8. Uncheck the following:
   o "Retrieve CRL From HTTP Server(s)"
   o "Cache CRL on the Security Gateway"

9. Click "Apply".
   點(diǎn)擊http://zevercn.com/ 學(xué)習(xí)了解

建立遠(yuǎn)程×××
首先需要開啟Remote ×××的模塊功能，在×××界面下找到Remote ×××中的Blade Control。在開啟的下方可以選擇接入的方式。默認(rèn)開啟的方式為Check Point客戶端，還可以開啟的方式有SSL ×××和Windows ×××工具。如果需要用到這些功能勾選啟用即可。

開啟了功能和登陸方式后接下來配置remote ×××的用戶。打開Remote Access Users頁面，點(diǎn)擊Add添加Remote Access用戶。

在添加頁面中可以看到，只要設(shè)定用戶名，密碼，勾選只用于Remote Access即可。

設(shè)定完用戶后可以點(diǎn)擊Advanced設(shè)定用戶登陸后獲取的IP地址和獲取到的DNS服務(wù)器。

當(dāng)前名稱：CheckPointSMB操作手冊
鏈接分享：http://jinyejixie.com/article4/ppidoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計(jì)公司、網(wǎng)站設(shè)計(jì)、微信公眾號、建站公司、品牌網(wǎng)站設(shè)計(jì)、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)