1、Check Point FireWall-1技 術 資 料目錄Check Point FireWall-1技術白皮書 TOC o 2-3 t 標題 1,1 1.FireWall-1簡介 PAGEREF _Toc477748419 h 21.1.狀態檢測機制 PAGEREF _Toc477748420 h 21.2.FireWall-1產品組成 PAGEREF _Toc477748421 h 31.2.1.Check Point FireWall-1產品包括以下模塊： PAGEREF _Toc477748422 h 31.2.2.FireWall-1提供單網關和企業級兩種產品組合。 PAGERE

2、F _Toc477748423 h 31.3.OPSEC PAGEREF _Toc477748424 h 41.4.企業級防火墻平安管理 PAGEREF _Toc477748425 h 41.5.分布的客戶機/效勞器結構 PAGEREF _Toc477748426 h 41.6.認證Authentication PAGEREF _Toc477748427 h 51.7.地址翻譯NAT PAGEREF _Toc477748428 h 51.8.內容平安 PAGEREF _Toc477748429 h 51.9.連接控制 PAGEREF _Toc477748430 h 61.10.路由器平安管理

3、PAGEREF _Toc477748431 h 62.FireWall-1的規劃 PAGEREF _Toc477748432 h 72.1.FireWall-1體系結構 PAGEREF _Toc477748433 h 72.1.1.管理模塊 PAGEREF _Toc477748434 h 72.1.2.防火墻模塊 PAGEREF _Toc477748435 h 82.2.典型配置分析 PAGEREF _Toc477748436 h 9網關方式配置 PAGEREF _Toc477748437 h 9防火墻的網關和別離的管理工作站 PAGEREF _Toc477748438 h 92.2.3.防火

4、墻網關和兩個內部網絡 PAGEREF _Toc477748439 h 102.2.4.由一個管理工作站和控制的兩個防火墻網關 PAGEREF _Toc477748440 h 112.2.5 失效恢復網關配置 PAGEREF _Toc477748441 h 113.與Cisco PIX的比擬 PAGEREF _Toc477748442 h 12Check Point FireWall-1安裝配置手冊4.FireWall-1安裝 PAGEREF _Toc477748443 h 154.1.安裝前的準備 PAGEREF _Toc477748444 h 154.1.1.網絡環境準備 PAGEREF _

5、Toc477748445 h 154.1.2.配置需求 PAGEREF _Toc477748446 h 164.2.一步一步的安裝 PAGEREF _Toc477748447 h 175.FireWall-1卸載 PAGEREF _Toc477748448 h 286.停止FireWall-1運行 PAGEREF _Toc477748449 h 286.1.卸載平安策略 PAGEREF _Toc477748450 h 286.2.停止狀態檢測 PAGEREF _Toc477748451 h 286.3.屏蔽FireWall-1 PAGEREF _Toc477748452 h 287.重新配置F

6、ireWall-1 PAGEREF _Toc477748453 h 288.典型配置案例 PAGEREF _Toc477748454 h 298.1.工程簡介及工程要求： PAGEREF _Toc477748455 h 298.1.1.拓撲圖 PAGEREF _Toc477748456 h 298.1.2.工程具體要求如下： PAGEREF _Toc477748457 h 298.2.FireWall-1安裝過程及考前須知： PAGEREF _Toc477748458 h 308.3.FireWall-1的規那么制定細節及含義 PAGEREF _Toc477748459 h 308.4.定義網

7、絡規那么的考前須知： PAGEREF _Toc477748460 h 318.5.安裝完FireWall-1防火墻后的測試工作 PAGEREF _Toc477748461 h 329.小結 PAGEREF _Toc477748462 h 32Check Point FireWall-1技術白皮書FireWall-1簡介狀態檢測機制FireWall-1提出了一個全新的“狀態檢測的防火墻技術，它可以在網絡層實現所有必要的防火墻功能。利用狀態檢測技術，FireWall-1的檢測模塊訪問和分析所有從通訊層得到的數據。為了控制無連接的協議例如：基于RPC和UDP的應用，FireWall-1提供了虛擬會話

8、信息，這些會話信息的“狀態和“上下文數據動態地存儲和更新。從通訊和應用狀態積累起來的數據，網絡配置和平安規那么常常用來產生適當的動作，接受、拒絕或者加密通訊的數據包。任何沒有被平安規那么明確允許的數據包默認被丟棄，并且產生實時的報警，為系統管理者提供完全的網絡狀態。FireWall-1采用Check Point公司的狀態檢測Stateful Inspection專利技術，以不同的效勞區分應用類型，為網絡提供高平安、高性能和高擴展性保證。FireWall-1狀態檢測模塊分析所有的包通訊層，汲取相關的通信和應用程序的狀態信息。狀態檢測模塊能夠理解并學習各種協議和應用，以支持各種最新的應用。狀態檢測

9、模塊截獲、分析并處理所有試圖通過防火墻的數據包，保證網絡的高度平安和數據完整。網絡和各種應用的通信狀態動態存儲、更新到動態狀態表中，結合預定義好的規那么，實現平安策略。狀態檢測模塊可以識別不同應用的效勞類型，還可以通過以前的通信及其它應用程序分析出狀態信息。狀態檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包是否滿足平安策略。狀態檢測模塊把相關的狀態和狀態之間的關聯信息存儲到動態連接表中并隨時更新，通過這些數據，FireWall-1可以檢測到后繼的通信。狀態檢測技術對應用程序透明，不需要針對每個效勞設置單獨的代理，使其具有更高的平安性、高性能、更好的伸縮性和擴展性，可以很容易把用戶的新

10、應用添加到保護的效勞中去。FireWall-1提供的INSPECT語言，結合FireWall-1的平安規那么、應用識別知識、狀態關聯信息以及通信數據構成了一個強大的平安系統。INSPECT是一個面向對象的腳本語言，為狀態檢測模塊提供平安規那么。通過策略編輯器制定的規那么存為一個用INSPECT寫成的腳本文件，經過編譯生成代碼并被加載到安裝有狀態檢測模塊的系統上。腳本文件是ASCII文件，可以編輯，以滿足用戶特定的平安要求。FireWall-1產品組成Check Point FireWall-1產品包括以下模塊：根本模塊：狀態檢測模塊Inspection Module：提供訪問控制、客戶機認證、

11、會話認證、地址翻譯和審計功能；防火墻模塊FireWall Module：包含一個狀態檢測模塊，另外提供用戶認證、內容平安和多防火墻同步功能；管理模塊Management Module：對一個或多個平安策略執行點安裝了FireWall-1的某個模塊，如狀態檢測模塊、防火墻模塊或路由器平安管理模塊等的系統提供集中的、圖形化的平安管理功能；可選模塊連接控制Connect Control：為提供相同效勞的多個應用效勞器提供負載平衡功能；路由器平安管理模塊Router Security Management：提供通過防火墻管理工作站配置、維護3Com，Cisco，Bay等路由器的平安規那么；其它模塊，如

12、加密模塊等。圖形用戶界面GUI：是管理模塊功能的表達，包括策略編輯器：維護管理對象、建立平安規那么、把平安規那么施加到平安策略執行點上去；日志查看器：查看經過防火墻的連接，識別并阻斷攻擊；系統狀態查看器：查看所有被保護對象的狀態。FireWall-1提供單網關和企業級兩種產品組合。單網關產品：只有防火墻模塊包含狀態檢測模塊、管理模塊和圖形用戶界面各一個，且防火墻模塊和管理模塊必須安裝在同一臺機器上。企業級產品：可以有假設干根本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨立的狀態檢測模塊。企業級產品的不同模塊可以安裝在不同的機器上。OPSECCheck Point是開放

13、平安企業互聯聯盟(OPSEC)的組織和倡導者之一。OPSEC允許用戶通過一個開放的、可擴展的框架集成、管理所有的網絡平安產品。OPSEC通過把FireWall-1嵌入到已有的網絡平臺如Unix、NT效勞器、路由器、交換機以及防火墻產品，或把其它平安產品無縫集成到FireWall-1中，為用戶提供一個開放的、可擴展的平安框架。目前已有包括IBM、HP、Sun、Cisco、BAY等超過135個公司參加到OPSEC聯盟。企業級防火墻平安管理FireWall-1允許企業定義并執行統一的防火墻中央管理平安策略。企業的防火墻平安策略都存放在防火墻管理模塊的一個規那么庫里。規那么庫里存放的是一些有序的規那么

14、，每條規那么分別指定了源地址、目的地址、效勞類型 、FTP、TELNET等、針對該連接的平安措施放行、拒絕、丟棄或者是需要通過認證等、需要采取的行動日志記錄、報警等、以及平安策略執行點是在防火墻網關還是在路由器或者其它保護對象上上實施該規那么。FireWall-1管理員通過一個防火墻管理工作站管理該規那么庫，建立、維護平安策略，加載平安規那么到裝載了防火墻或狀態檢測模塊的系統上。這些系統和管理工作站之間的通信必須先經過認證，然后通過加密信道傳輸。FireWall-1直觀的圖形用戶界面為集中管理、執行企業平安策略提供了強有力的工具。平安策略編輯器：維護被保護對象，維護規那么庫，添加、編輯、刪除規

15、那么，加載規那么到安裝了狀態檢測模塊的系統上。日志管理器：提供可視化的對所有通過防火墻網關的連接的跟蹤、監視和統計信息，提供實時報警和入侵檢測及阻斷功能。系統狀態查看器：提供實時的系統狀態、審計和報警功能。分布的客戶機/效勞器結構FireWall-1通過分布式的客戶機/效勞器結構管理平安策略，保證高性能、高伸縮性和集中控制。FireWall-1由根本模塊防火墻模塊、狀態檢測模塊和管理模塊和一些可選模塊組成。這些模塊可以通過不同數量、平臺的組合配置成靈活的客戶機/效勞器結構。管理模塊包括了圖形用戶界面和管理員定義的相關管理對象規那么庫，網絡對象，效勞、用戶等。防火墻模塊、狀態檢測模塊以及其它可選

16、模塊用來執行平安策略，安裝了這些模塊的系統稱為受保護對象Firewalled System，又稱為平安策略執行點Security Enforcement Point。FireWall-1的客戶機/效勞器結構是完全集成的，只有一個統一的平安策略和一個規那么庫，通過一個單一的防火墻管理工作站，管理多個裝載了防火墻模塊、狀態檢測模塊或可選模塊的系統。認證Authentication遠程用戶和撥號用戶可以經過FireWall-1的認證后，訪問內部資源。FireWall-1可以在不修改本地效勞器或客戶應用程序的情況下，對試圖訪問內部效勞器的用戶進行身份認證。FireWall-1的認證效勞集成在其平安策略

17、中，通過圖形用戶界面集中管理，通過日志管理器監視、跟蹤認證會話。FireWall-1提供三種認證方法：用戶認證User Authentication：針對特定效勞提供的基于用戶的透明的身份認證，效勞限于FTP、TELNET、 、 S、RLOGIN。客戶機認證Client Authentication：基于客戶機IP的認證，對訪問的協議不做直接的限制。客戶機認證不是透明的，需要用戶先登錄到防火墻認證IP和用戶身份之后，才允許訪問應用效勞器。客戶機不需要添加任何附加的軟件或做修改。當用戶通過用戶認證或會話認證后，同時也就已經通過客戶機認證。會話認證Session Authentication：提供

18、基于效勞會話的的透明認證，與IP無關。采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的效勞時必須單獨認證。FireWall-1提供多種認證機制供用戶選擇：S/Key，FireWall-1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。地址翻譯NATFireWall-1支持三種不同的地址翻譯模式：靜態源地址翻譯：當內部的一個數據包通過防火墻出去時，把其源地址一般是一個內部保存地址轉換成一個合法地址。靜態源地址翻譯與靜態目的地址翻譯通常是配合使用的。靜態目的地址翻譯：當外部的一個數據包通過防火墻進入內部網時，把其目的地址合法地址轉換成一

19、個內部使用的地址一般是內部保存地址。動態地址翻譯也稱為隱藏模式：把一個內部網的地址段轉換成一個合法地址，以解決企業的合法IP地址太少的問題，同時隱藏內部網絡結構，提高網絡平安性能。內容平安FireWall-1的內容平安效勞保護網絡免遭各種威脅，包括病毒、Jave和ActiveX代碼攻擊等。內容平安效勞可以通過定義特定的資源對象，制定與其它平安策略類似的規那么來完成。內容平安與FireWall-1的其它平安特性集成在一起，通過圖形用戶界面集中管理。OPSEC提供給用開發接口API以集成第三方內容過濾系統。FireWall-1的內容平安效勞包括：利用第三方的防病毒效勞器，通過防火墻規那么配置，掃描

20、通過防火墻的文件，去除計算機病毒；根據平安策略，在訪問WEB資源時，從 頁面剝離Java Applet，ActiveX等小程序及Java，Script等代碼；用戶定義過濾條件，過濾URL；控制FTP的操作，過濾FTP傳輸的文件內容；SMTP的內容平安隱藏內部地址、剝離特定類型的附件等；可以設置在發現異常時進行記錄或報警；通過控制臺集中管理、配置、維護。連接控制FireWall-1的連接控制模塊提供了負載平衡功能，在提供相同效勞的多個應用效勞器之間實現負載分擔，應用效勞器不要求都放在防火墻后面。用戶可選用不同的負載均衡算法：Server Load該方法由效勞器提供負載均衡算法，需要在應用效勞器端

21、安裝負載測量引擎；Round TripFireWall-1利用ping命令測定防火墻到各個應用效勞器之間的循回時間，選用循回時間最小者響應用戶請求；Round RobinFireWall-1根據其記錄表中的情況，簡單地指定下一個應用效勞器響應；RandomFireWall-1隨機選取應用效勞器響應；DomainFireWall-1按照域名就近原那么，指定最近的應用效勞器響應。路由器平安管理可以通過FireWall-1的管理工作站對企業范圍內的路由器提供集中的平安管理：通過圖形用戶界面生成路由器的過濾和配置；引入、維護路由器的訪問控制列表；記錄路由器事件需要路由器支持日志功能；在路由器上執行通過

22、圖形用戶界面制定的平安策略。FireWall-1可以集中管理以下路由器：Cisco routers, IOS version 9 - 11Cisco PIX Firewall，FireWall-1的規劃FireWall-1體系結構FireWall-1有兩個主要模塊組成，管理模塊和防火墻模塊。管理模塊管理模塊包括圖形用戶界面GUI和管理效勞器。圖形用戶界面是管理效勞器的前端，它管理FireWall-1的數據庫：配置規那么、網絡對象、效勞、用戶等。管理模塊可以配置成為Client/Server結構。客戶端可以運行在Windows 95、Windows NT或者X/Motif圖形用戶界面的系統上，控

23、制著運行在支持平臺的管理效勞器。客戶端通過GUI和用戶進行交互，但是所有數據數據庫和配置文件有管理效勞器來維護。防火墻模塊防火墻模塊包括狀態檢測模塊、FireWall-1平安效勞器，并具有高可用性的特性。以下圖描述了防火墻模塊和狀態檢測模塊之間的關系。狀態檢測模塊通過駐留程序的方式實現了平安訪問控制、客戶端和會話認證、網絡地址翻譯、日志報警和加密功能。并且負責同管理進行模塊通訊。防火墻模塊實現了用戶認證、內容平安等功能。運行平臺如下表所示：組件平臺FireWall-1 GUI客戶端Client/Server配置Windows 95, Windows NT (3.51 and 4.0),X/Mo

24、tif (on Solaris 2.5 and higher, HP-UX10.x, IBM AIX 4.2.1 and 4.3.0)FireWall-1管理效勞器Client/Server配置Windows NT (3.51 and 4.0, Intel only), SolarisFireWall-1管理模塊OpenLook GUI)Solaris 2.5 and higherFireWall-1防火墻模塊Windows NT (Intel only), Solaris 2.5 andhigher, HP-UX 10.x, IBM AIX 4.2.1 and 4.3.0,Nokia IP

25、RoutingFireWall-1狀態檢測模塊Windows NT (Intel only), Solaris 2.5 andhigher, HP-UX 10.x, IBM AIX 4.2.1 and 4.3.0,Bay Networks, TimeStep PermitGate, Xylan(limited functionality)SecuRemoteWindows 95, Windows NT (3.51 and 4.0,Intel only)典型配置分析網關方式配置這種配置需要以下產品的一個：單網關產品企業中心如果需要加密，應該選擇相應的VPN-1產品。另外，如果路由器需要由防火墻來

26、管理，還應該選擇Open Security Extension/1產品。防火墻的網關和別離的管理工作站這種配置需要以下產品：網關方式的企業中心即使只需要一個產品，產品的不同模塊必需安裝在兩個主機的每一個上防火墻模塊安裝在防火墻網關上，管理模塊安裝在管理工作站上。如果安裝了企業中心，管理工作站應該安裝在內部網絡的一個主機上。這樣管理工作站可以管理其它網關和主機上任何數量的防火墻模塊或者狀態檢測模塊。每一個其它的防火墻模塊和狀態檢測模塊是一個獨立的產品。如果需要加密，應該選擇相應的VPN-1產品。另外，如果路由器需要由防火墻來管理，還應該選擇Open Security Extension/1產品。

27、防火墻網關和兩個內部網絡這種配置需要以下產品的一個：單網關產品企業中心如果安裝了企業中心，管理工作站應該安裝在內部網絡的一個主機上。這樣管理工作站可以管理其它網關和主機上任何數量的防火墻模塊或者狀態檢測模塊。每一個其它的防火墻模塊和狀態檢測模塊是一個獨立的產品。如果需要加密，應該選擇相應的VPN-1產品。另外，如果路由器需要由防火墻來管理，還應該選擇Open Security Extension/1產品。由一個管理工作站和控制的兩個防火墻網關這種配置需要以下產品：FireWall-1企業中心為第一個網關和管理工作站提供防火墻模塊為第二個網關提供如果需要加密，應該選擇相應的VPN-1產品。另外，

28、如果任何一個路由器需要由防火墻來管理，還需要Open Security Extension的一個產品。另外可以用網絡平安中心代替FireWall-1企業中心。管理工作站和第一個網關的防火墻模塊是網絡平安中心的一局部。失效恢復網關配置這種配置需要以下產品：FireWall-1企業中心如果需要加密，應該選擇相應的VPN-1產品。另外，如果任何一個路由器需要由防火墻來管理，還需要Open Security Extension的一個產品。另外，可以用網絡平安中心代替FireWall-1企業中心。與Cisco PIX的比擬比擬工程Check Point FireWall-1Cisco PIX防火墻產品產

29、品類型Cisco PIX Firewall 520介質軟件防火墻硬件防火墻操作系統CPU品牌/類型/頻率Sun/UltraSPARC-II/300 MHzIntel/Pentium/ 233 MHz硬件平臺Sun Ultra II520技術核心技術完全的狀態檢測技術ASA自適應平安算法狀態信息從七個層次得到的信息關于數據包的來源和目的的信息訪問控制網絡層過濾FTP, , SMTP , SMTP認證方法RADIUS, TACACS, TACACS+, SecurID, Defender, OS password, S/KeyRADIUS, TACACS+, Secure, AXENT, CRYP

30、TOCard, NDS, NT domain,Unix domain協議認證All protocolsFTP, , telnetURL過濾支持支持第三方URL過濾支持WebSense, SurfWatchFinjan, Trend, WorldTalk內容過濾支持支持第三方病毒掃描產品支持Trend Micro, Symantec, eSafe, Data Fellows,IntegralisMIMEsweeper, Trend端口轉換支持支持網絡地址轉換支持支持管理遠程GUI支持支持遠程GUI可管理防火墻的數量無限制10個遠程GUI和被管理的防火墻的會話加密加密加密，w/optional e

31、ncryption card遠程GUI平臺支持Solaris, Windows NT, 95, AIX, HP-UXWindows NT事件經由SNMP Trap提示支持支持事件經由e-mail提示支持支持事件經由自定義的腳本提示支持不支持日志/報告計費支持支持日志信息排序支持不支持日志信息過濾支持支持日志文件格式文本格式系統日志格式日志文件輸出格式ASCII文本VPNIPSec加密算法支持DES, Triple DESDES, Triple DESIPSec認證算法支持MD5, SHA-1, CBC-DES-MACMD5, SHA-1IKE支持支持支持其它加密算法支持RC4-40, FWZ-

32、1, DES-40, CAST, CAST-40不支持其它認證算法支持不支持MD5CA效勞器產品支持EntrustNetscape (Entrust and VeriSign)性能100M帶寬情況下延遲時間單位：秒不啟動NAT啟動NAT吞吐率Mbps不啟動NAT6075啟動NAT4575可擴展性系統擴展只需要增加相應的模塊即可系統擴展需要更換設備可升級性軟件可升級方便、維護簡單硬件升級比擬復雜互操作性同路由器可管理3Com、Cisco、Bay路由器的平安規那么僅可同Cisco路由器進行互操作價格公開報價人民幣報價7.4萬約15萬Check Point FireWall-1安裝配置手冊FireW

33、all-1安裝安裝前的準備網絡環境準備為了能使防火順利的安裝配置,在網關上安裝前必須確定一些問題比方：當前的路由配置，DNS設置等。路由請按下面的步驟來確認當前的路由配置情況：從要內部網絡可信任網絡的一個主機經由網關向外部網絡不信任網絡的路由器發送一個ICMP包使用ping命令；從要內部網絡可信任網絡的一個主機經由網關向向Internet網絡發送一個TELNET命令，確認能到達Internet主機；從Internet主機向內部網絡的主機發送TELNET命令。如果任何一個測試沒有成功，請查明原因再進行下一步。IP轉發對于NT，翻開“Advanced TCP/IP Configuration中的“

34、IP Enable Routing選項。DNS確認您的DNS能正常工作，最簡單的方法是讓您的內部一臺機器用瀏覽器瀏覽Internet上的某個著名的站點。如果不能正常連接，這說明DNS效勞是無效的，請在解決這個問題后繼續下一步的操作。IP地址確認網關上所有網卡的IP地址的定義情況，當您配置防火墻的平安策略是您需要這些信息,如果您安裝的是單網關產品你還需要知道外網卡(與Internet相連接的網卡)的名稱。NT上用ipconfig /all查看IP地址的有關信息。注意：在NT上用“-來隔離MAC地址的字段。網關確認網關的外網卡對應的網關IP地址，可在lmhosts里查找。這可以使在網關上定義一個網

35、絡對象時，在“Workstation Properties中單擊“Get Address時得到它的IP地址。如果沒有正確配置，ISAKMP/OAKLEY加密功能將不能正常工作。FirWall-1的部件配置確定需要安裝哪些FireWall-1的模塊，并確定在每一個計算機上要安裝的FireWall-1組件。連通性確認所有要安裝防火墻模塊的主機包括GUI 客戶端都是連通的，可以通過主機之間互相發出的ping命令來確認所有的主機是連通的。如果在安裝防火墻時不做這些工作，那么在安裝了防火墻后一旦出現連通性方面的問題你將不能確定問題的根源在那里。你可以節省很多時間去調試FireWall-1，就僅僅為了發現

36、連通性的問題。注意：如果你以前已經安裝了防火墻請停止它們包括圖形控制界面。配置需求FireWall-1GUI Client最小安裝的硬件配置需求操作系統Windows95 或 WindowsNT硬盤空間20兆內 存16兆網 卡該操作系統支持的所有網卡FireWall-1 Management server最小安裝的硬件配置需求硬件平臺Sun SPACE-based systemIntel x86 or PentiumHP PA-RISC 700/800RS6000 PowerPC操作系統WindowsNT(Intel only)Solair 2.5 或更高版本硬盤空間20兆內 存管理模塊最少需

37、要32兆，建議使用40M網 卡該操作系統支持的所有網卡FireWall-1防火墻模塊最小安裝的硬件配置需求硬件平臺Sun SPACE-based systemIntel x86 or PentiumHP PA-RISC 700/800RS6000 PowerPC操作系統WindowsNT(Intel only)Solair 2.5 或更高版本硬盤空間20兆內 存16兆網 卡該操作系統支持的所有網卡一步一步的安裝在Windows NT下從CD-ROM安裝FireWall-1軟件模塊，請按以下步驟進行：第一步：在Windows下翻開“文件菜單，選擇“運行。第二步：輸入Windows路徑下運行“se

38、tup程序。第三步：在“Select Components窗口中選擇要安裝的FireWall-1組件如圖4-1。圖4-1第四步：如果以前您已經在您的計算機中安裝了 FireWall-1 安裝程序將提示是否升級或覆蓋現有的系統如圖4-2。在整個安裝過程中，臨時文件和目錄將會保存在有環境變量所指定的路徑下。圖4-2注意：如果你的計算機中已經有FireWall-1在運行中，它將會自動終止。在安裝完成后必需重新啟動FireWall-1，配置平安規那么。如果選擇升級安裝，那么以前所定義的對象和平安策略將被保存，如果選擇覆蓋安裝，以前所定義的對象和平安策略將被刪除。第五步：在“Choose Destina

39、tion Location窗口中選擇要安裝的路徑如圖4-3。圖4-3可以通過“Browse按鈕選擇和默認路徑不同的路徑。注意：如果FireWall-1的安裝路徑和“Choose Destination Location所指定的默認路徑不同，就必需設置環境變量“FWDIR，使其指向安裝FireWall-1的路徑。如果不進行設置，將影響“fwinfo調試工具的功能。圖4-4第六步：選擇“next按鈕繼續安裝。第七步：在“Select Product Type窗口中，選擇要安裝的FireWall-1組件如圖4-4。按照下表選擇要安裝的產品。要安裝的FireWall-1產品選擇項FireWall-1

40、Enterprise CenterVPN-1 & FireWall-1 Enterprise productFireWall-1 Network security centerFireWall-1 Internet GatewayVPN-1 & FireWall-1 single Gateway productFireWall-1 Internet Gateway/nFireWall-1 Enterprise security consoleVPN-1 & FireWall-1 Enterprise Management productFireWall-1 FireWall ModuleVPN

41、-1 &FireWall-1 FireWall moduleFireWall-1 FireWall Module/nFireWall-1 Inspection ModuleFireWall-1 inspection moduleFireWall-1 Inspection Module/n要安裝的VPN-1產品選擇項VPN-1 Enterprise Encryption CenterVPN-1 & FireWall-1 Enterprise productVPN-1 Enterprise Security centerVPN-1 Global Security CenterVPN-1 Gatew

42、ay/nVPN-1 & FireWall-1 single Gateway productVPN-1 Enterprise security consoleVPN-1 & FireWall-1 Enterprise Management productVPN-1 ModuleVPN-1&FireWall-1 FireWall module單擊“next進行下一步的安裝。第八步：如果要安裝FireWall-1 Enterprise Center，將出現選擇安裝模塊的對話框如圖4-5。圖4-5假設安裝防火墻模塊，選擇“FireWall Module；假設安裝管理效勞器，選擇“Management

43、Server。第九步：如果選擇“FireWall-1 FireWall Module產品，將提示選擇指定的產品如圖4-6。圖4-6第十步：如果選擇“FireWall-1 Inspection Module產品，將提示選擇指定的產品如圖4-7。圖4-7第十一步：增加license如圖4-8所示。圖4-8第十二步：添加新的license請點擊add將彈出如圖4-9的對話框。圖4-9輸入licenses數據，單擊“OK。注意：如果你只須要運行Window GUI Client，不需要輸入license。增加license對話框中各項說明：工程說明Host你申請licenses 所使用的主機IPFea

44、ture您申請licenses的特性說明，有空格分開。例如：pfm routers control encryptionKey License。例如：7ffe25da-bff63481-36a8b7b3第十三步：點擊next繼續下一步的安裝。第十四步：指定管理員對話框如圖4-10。圖4-10指定可以經由GUI客戶端管理防火墻的管理員，管理員可以通過GUI客戶端和所安裝的管理效勞器進行通訊。注意：至少必需定義一個管理員，否那么將不能和管理效勞器進行通訊。第十五步：單擊“add增加一個管理員，彈出“Edit Administrator對話框，如圖4-11所示。圖4-11第十六步：輸入“Admini

45、strator Name和“Password最多可以輸入8個字符，口令須要輸入兩次。第十七步：從下拉菜單中選擇選擇管理員的權限“Permission。第十八步：單擊“next進行下一步的安裝。第十九步：指定GUI Client，這樣管理員可以通過遠程計算機使用GUI Client管理所安裝的管理效勞器。注意：如果沒有定義GUI Client，僅可以通過和管理效勞器安裝在同一個主機的GUI客戶端來管理管理效勞器如圖4-12所示。輸入GUI客戶端的名字，單擊“add按鈕，把GUI客戶端增加到列表中去。要刪除列表中的GUI客戶端，選中后單擊“remove按鈕。圖4-12圖4-13第二十步：如果僅僅在

46、一個主機上安裝了防火墻模塊，必須指定它的“Master，這樣所有的日志和報警將被發送到“Master，也可以通過“Master，防火墻模塊可以維護它的平安規那么如圖4-13。第二十一步：輸入主機名，單擊“add按鈕增加主機到“Master列表中如圖4-14。可以輸入任何數量的“Master，防火墻模塊將使用列表中能建立連接的第一個主機，所以列表中主機名字的順序是很重要的。要移動列表中的“Master，選中它后上移按“Up，下移“Down。當增加一個“Master時，需要指定“Master管理模塊和防火墻模塊之間進行通訊的認證口令。這個口令和在“Master上發出的“fw putkey命令的口令

47、完全一樣。圖4-14第二十二步：輸入兩次口令，按“OK確定。圖4-15第二十三步：在圖4-13中按“next，進行下一步的安裝。如果在本地安裝了一個管理模塊，必須指定遠程的防火墻模塊如圖4-15所示，防火墻模塊上，該“Master被定義為管理模塊。第二十四步：輸入主機名，單擊“Add按鈕，將增加該主機到遠程防火墻模塊列表中。第二十五步：當增加一個遠程的防火墻模塊時，必須指定在管理模塊和遠程防火墻模塊之間的通訊的認證口令。這個口令和從遠程被保護主機上發出的“fw putkey命令所使用的口令一樣。第二十六步：單擊“Next進行下一步的安裝。對于單網關產品僅FireWall Module/n和In

48、spection Module/n產品需要配置外部網卡如圖4-16所示。圖4-16第二十七步：指定外網卡名稱如圖4-16所示，而不是它的IP。在命令行方式下用ipconfig觀察網卡的名稱，網卡的名稱會在第一行中描述。例如：在第一行會顯示：Ethernet Apapter E159x1網卡名為 E159x1第二十八步：指定在網關上是否需要FireWall-1進行IP 轉發。如果不允許FireWall-1控制IP轉發，那么當沒有加載平安策略時例如系統重新啟動，系統將不能被防火墻保護。配置IP轉發如圖4-17所示。圖4-17第二十九步：單擊“next進行下一步的安裝。第三十步：指定SMTP平安效勞

49、器的參數如圖4-18所示。圖4-18第三十一步：單擊“next進行下一步的安裝。第三十二步：按“Key Hit Session如圖4-19所示窗口的提示生成隨機密鑰。圖4-19每個字符之間延遲幾秒鐘，不要連續兩次鍵入同樣的字符，并且盡可能變換字符間的延遲。第三十三步：為本機生成key如圖2-20。圖2-20這是個RSA的key，該主機用來生成通訊用的數字簽名和認證。這樣，該主機就具有證書授權的能力。第三十四步：單擊“finish結束配置過程。第三十五步：現在您已經完成了防火墻的安裝。如果現在沒有配置這些選項，以后可以運行FireWall-1的配置程序。FireWall-1卸載要卸載FireWa

50、ll-1，雙擊FireWall-1程序組中的Uninstaller即可。停止FireWall-1運行有三種方法可以停止FireWall-1的運行。卸載平安策略這種方法僅留下狀態檢測模塊，但是平安策略是空的。此時防火墻仍然有效，但是它所導致的結果是接受所有的數據包，并沒有日志發生。停止狀態檢測一、“Control Panel程序組中選擇“services；二、選擇“FireWall-1 daemon；三、選擇“stop。雖然通過這種方法可以停止FireWall-1的運行，數據包還會通過FireWall-1，但是不做任何處理。屏蔽FireWall-1一、在“Control Panel程序組中選擇“

51、Devices；二、選擇“FireWall-1；三、單擊“Startup；四、選擇“Disable五、重新啟動計算機。重新啟動后計算機后，防火墻將停止運行。重新配置FireWall-1運行FireWall-1的管理管理配置程序可以重新配置FirWall-1。典型配置案例工程簡介及工程要求：拓撲圖工程具體要求如下：內網(1、2、3、4)是受到保護的，不能受到INTERNET 的訪問；內網和WWW效勞器、MAIL效勞器可以訪問INTERNET ；內網和WWW、MAIL可以相互訪問；WWW、MAIL效勞器是對外效勞的地址，任何人員均可以進行訪問只限相應的效勞。FireWall-1安裝過程及考前須知：

52、注意在產品安裝之前一定要檢查網絡的通暢性，包括內網及外網，否那么影響CHECK POINT的后期檢查工作。進入安裝CHECK POINT 光盤，進入windows目錄，選擇setup進行產品的安裝這個選項可以同時安裝放火墻模塊、GUI管理界面，Management管理模塊；根據系統提示選擇安裝路徑等等；在模塊安裝選擇是選擇第二項，即防火墻模塊單網關產品；根據系統提示選擇安裝路徑；安裝完防火墻模塊時系統提示注冊license的提示，根據從網上注冊的LICENSES許可協議進行注冊，請注意license一定要保存好；添加系統管理員以對系統進行維護，請注意，系統管理員的密碼一定不要少于4位且一定要保管好；圖形控制界面GUI，管理模塊配置Masters Configuration，遠程防火墻模塊不必進行安裝，因為本產品是單網關產品；在下一步中要指定外網卡的名稱，注意不是IP，如果不知道外網卡的名稱可以用ipconfig，進行查看；在IP Forwarding 中選擇Control IP Forwarding(允許IP轉發)；在SMTP