本文由no1moonboy贡献
doc1。
双 CheckPoint 防火墙实施方案
目 录
第一章 客户环境概述…… 4 1.1 概述 …… 4 1.2 网络拓扑与地址分配表 …… 4 1.3 安装前准备事宜 …… 6 第二章 Nokia IP380 安装与配置 …… 7 2.1 概述 …… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息 …… 8 2.3.1 Nokia 端口 IP 地址设定 …… 8 2.3.2 设置网关路由 …… 8 2.3.3 设置 Nokia 平台时间 …… 9 2.3.4 设定 Nokia 高可用 VRRP 参数 …… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上 checkpoint 的安装与卸载 …… 14 2.4.2 初始化 checkpoint …… 16 第三章 管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备 …… 18 3.1.2 安装步骤 …… 18 3.2 配置 checkpoint 对象和参数 …… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构 …… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。 …… 21 3.3 基于 nokia vrrp 或者 cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置 …… 22 3.3.2 为 nokia vrrp 定义策略 …… 22 3.3.3 高可用性的检查 …… 23 3.4nokia cluster 的设置 …… 23 3.5 暂时没有 …… 23 第四章 策略设定…… 24 4.1 概述 …… 24 4.2 netscreen 的策略 …… 24 4.3 经过整理后转换成 checkpoint 的策略 …… 24 4.4 设定策略 …… 24 4.4.1 定义主机对象 …… 24 4.4.2 定义网络对象 …… 25 4.4.3 定义组 …… 26 4.4.4 定义服务 …… 26
4.4.5 添加标准策略 …… 27 4.4.6 添加 NAT 策略…… 27 第五章 切换与测试…… 29 5.1 切换 …… 29 5.2 测试 …… 29 5.3 回退 …… 30 第六章 日常维护…… 31 6.1 防火墙的备份与恢复 …… 31 6.1.1 nokia 防火墙的备份与恢复方法 …… 31 6.1.2 checkpoint management 上的备份与恢复 …… 33
第一章
客户环境概述
1.1 概述
XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心 防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原 有的服务不变。 由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表
XXXXXX 改造前网络拓扑如下
改动后,XXX 将按照以下图进行实施 改动后,
给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1)
管理服务器参数 IP 地址 防火墙各端口参数 端口 Eth1 用途 外网 口 Eth2 Eth3 Eth4 ? DMZ 内网 同步 口 gateway 静态路 由 172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址
1.3 安装前准备事宜
1.管理服务器硬件平台 CPU 奔腾 3 500 以上 内存 128 以上 硬盘 60M 以上 操作系统,windows 2000 server +SP4 补丁
2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上
4.Nokia IP380 设备两台 内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装包
第二章 Nokia IP380 安装与配置
2.1 概述
首先我们可以对两台 Nokia IP380 进行安装与配置,由于 Nokia 防火墙将会 替代 Netscreen,所以 Nokia 防火墙可以进行离线配置。配置步骤如下。
2.2 初始化 nokia380
1. 使用 nokia console 线,连接 nokia console 口和管理 pc 的串行端口,
并打 开电源家电。 2. 打开 windows 超级终端按照下图设置
3. Nokia IP380 正常开机后填入防火墙的名字:IP380A 。如下图
4. 输入默认管理员用户 admin 的密码并确认密码,这里密码填 password,密 码以后可以通过 web 界面进行修改。如下图所示
5. 设定使用基于 web 的浏览器进行管理还是基于文本的浏览器进行管理,这 里选择 1
6. 设定初始网络参数,这里需要设定一块网卡的 IP 地址,以方便进行基于 web 的管理,如下图所示,分别填入网卡号和 IP 地址,暂时不设定 default route,并配置端口成 100M 全双工。
7. 确认以上信息正确,由于网络上并没有 VLAN 设置,所以并不需要进行 Vlan 配置。如下图
2.3 设置 nokia 基本信息
主要设定 nokia 底层基本参数,包括 IP 地址,路由,时间,VRRP 设定
2.3.1 Nokia 端口 IP 地址设定
1.使用网线连接管理机和 nokia 端口,打开 IE 浏览器,输入刚才定义的 nokiaIP 地址 http://192.168.11.1 ,使用用户名 admin,密码 password 登陆。如下图所示。
2.登陆后点击 config 按钮,进入配置界面,如下图所示。
3.点击 interface 按钮后,进入 interface 配置界面。点击逻辑端口 Eth3c0 配置 Eth3 的 IP 的,如下图所示。
在 Active 选项上选 On,NewIPaddress 框添上 IP 地址,NewMaskLength 框填上子 网掩码的长度,如下图所示。
4. Apply 键。 5. 配置网卡物理参数。点击 UP 按钮,回到 Interface configuration 界面,点击
物理端口号 Eth3 出现以下界面。
修改 link speed 的参数为 100M,修改 Duplex 为 Full。 6.Apply 键和 Save 键,保存配置。 7.重复以上步骤,按照 IP 列表分配表(表 1)中参数配置各个端口地址。如下图 (图略)
2.3.2 设置网关路由
完成 IP 地址的设定以后,需要做的是设定默认网关和静态路由 1. 进入配置界面,点击 Routing Configuration -> Static Route,进入下图所示
在 default 项选择 On,next hop type 选 normal,然后点击 apply 2.在原来的参数下面会出现新一项参数 Gateway Type, 这里选择 address, 点击 APPLY 如下图所示:
3. 填上 nokia 的网关,然后点击 apply 后点击 save,完成默认网关的设置。如下图 所示 这里网关地址填:?????
4. 在 new static route 填上要网段地址,在 mask length 填上网段掩码,next hop type 选上 normal,gateway type 选上 address,并点击 apply,如下图所示
5. Apply 后会出现 gateway address 参数框,填入下一跳地址,点击 apply,完成 静态路由的添加。如下图
6.重复步骤 4、5 添加更多的静态路由,完成后按 save 保存 这里需要设置的静态路由有???????
2.3.3 设置 Nokia 平台时间
1. 进入配置界面后,点击 system configuration 下的 local time setup
2. 在 secect city 中选择 China/HongKong,在 manual set day and time 分别填 上日期和时间,如下图,完成后点击 apply,再点击 save。
2.3.4 设定 Nokia 高可用 VRRP 参数 a. 设定时间同步 管理服务器与执行点之间必须做到时间同步,才可以成功建立安全连 接(SIC),同时,再做 VRRP 时两个执行点之间的时间也必须做到同 步,他们的状态表才能正常及时地交换。所以,必须为设备设置 NTP 时间服务。 我们以 IP380A 作为时间的基准服务, IP380B 作为作为客户段, 进行参 数配置。 1. 在 IP380A 上点击 Router Services 下的 NTP
,进入 NTP 配置界面, 在 Enable NBT 上选 yes
在 NTP Reference Clock 下的 NTP Master 选 yes,Stratum 填上 3(这项 填写范围为 1-15),点击 APPLY,再点击 SAVE,这样 IP380A 便成 为时间服务器。 2. 在 IP380B 配置页面上点击 Router Services 下的 NTP,进入 NTP 配置界面, NTP Global Settings 上选 yes, 在 点击 APPLY, 如下图:
在 NTP servers 下 add new server address 上添加 IP380A 的地址 192.168.11.1。点击 APPLY,出现下图
点击 save 保存配置,时间同步配置完毕。 注意,第一次时间同步时间比较长。
b. 配置 VRRP 参数 同一设备的某一端口监控另一端口, 当发现被监控端口出现问题时 (例 如,端口断开),按照预先设定的规则,监控端口更改自身的优先级。 属于同一 VRRP 组的成员共享一个虚拟 IP 地址,这个地址将作为终端 设备的网关或者路由设备的下一跳地址使用。
一般来说,是高优先级的设备在本机故障的情况下降低自身的优先级, 使得原来低优先级的设备接管工作,实现服务的高可用性。 本方案采用 IP380A 作为主防火墙。 配置步骤如下: 1. 选择 VRRP monitored Circuit 模式 在 IP380A, IP380B 的配置页面上点击 Router Service 下的 VRRP, 进入 VRRP 配置界面,点击 Legacy VRRPConfiguration,在需要做 VRRP 的端口下选择 Monitored Circuit, 点击 apply 如下图, 填上 virtual router 的数值。注意,每个对应的子端口的 virtural router 值应该一样 (例如 IP380A 的 eth1c0 的 virtual router 和 IP380B 的 eth1c0 的 virtual router 值相同),这样才能保证这对端口在同一个 vrrp 组里面。 VRRP 协议主要可以防止网络中断造成的服务中断,提供接口方 面的高可用性,因此需要选择 VRRP Monitored Circuit 模式,点击 APPLY 然后在 Create Virtual Router 中填写一个自定义的编号,这个 编号用于识别同一网络内的高可用设备成员所属的高可用分组,因此 两个防火墙属于同一网段的接口必须使用同一 Virtual Router ID。在 本例中,分别使用 81,82,83 作为三个网段的 virtual 值,由于同步 口并不用参与数据传输,所以同步端口并不用配置 vrrp 属性。 IP380A
IP380B
2. 配置虚拟 IP 地址,MAC 地址,监控接口,优先级,认证。 IP380A 作为主用机使用,因此优先级较高,填写以下参数: 外网:eth1c0 IP?? Priority:254 Hello interval:2 Backup Address:IP????(虚拟 IP 地址) Monitor Interface:eth2c0(这里选择的是要监控的端口,即 DMZ) Priority Delta:16
点击 APPLY,完成设定第一个监控端口 Monitor Interface:eth3c0(这里选择要监控的端口,即内网) Priority Delta:16 点击 APPLY,点击 SAVE 完成设定第二个监控端口
DMZ:eth2c0 IP?????? Priority:254 Hello interval:2 Backup Address:??????? (虚拟 IP 地址) Monitor Interface:eth1c0(这里选择的是要监控的网口,即外网口) Priority Delta:16 点击 APPLY,完成设定第一个监控端口 Monitor Interface:eth3c0(这里选择要监控的端口,即内网) Priority Delta:16 点击 APPLY,点击 SAVE 完成设定第二个监控端口
内网:eth3c0 IP???? Priority:254 Hello interval:2 Backup Address:IP ?????(虚拟 IP 地址) Monitor Interface:eth1c0(这里选择的是要监控的网口,即外网口) Priority Delta:16 点击 APPLY,完成设定第一个监控端口 Monitor Interface:eth2c0(这里选择的是要监控的端口,即 DMZ) Priority Delta:16 点击 APPLY,点击 SAVE 完成设定第二个监控端口
IP380B 作为主用机使用,因此优先级较低,填写以下参数: 外网:eth1c0 IP?? Priority:240 Hello interval:2 Backup Address:IP????(虚拟 IP 地址) Monitor Interface:eth2c0(这里选择的是要监控的端口,即 DMZ) Priority Delta:16 点击 APPLY,完成设定第一个监控端口 Monitor Interface:eth3c0(这里选择要监控的端口,即内网) Priority Delta:16 点击 APPLY,点击 SAVE 完成设定第二个监控端口
DMZ:eth2c0 IP?????? Priority:240 Hello interval:2 Backup Address:???
???? (虚拟 IP 地址) Monitor Interface:eth1c0(这里选择的是要监控的网口,即外网口) Priority Delta:16 点击 APPLY,完成设定第一个监控端口 Monitor Interface:eth3c0(这里选择要监控的端口,即内网) Priority Delta:16 点击 APPLY,点击 SAVE 完成设定第二个监控端口
内网:eth3c0 IP???? Priority:240 Hello interval:2 Backup Address:IP ?????(虚拟 IP 地址) Monitor Interface:eth1c0(这里选择的是要监控的网口,即外网口) Priority Delta:16
点击 APPLY,完成设定第一个监控端口 Monitor Interface:eth2c0(这里选择的是要监控的端口,即 DMZ) Priority Delta:16 点击 APPLY,点击 SAVE 完成设定第二个监控端口
虚拟的 MAC 地址缺省情况下使用 VRRP 模式,设备会以 VRRP Router ID 为基础为虚拟 IP 分配一个虚拟的 MAC 地址 3. 测试与状态检测 在 Voyager 的 Monitor 页面下的 Routing Protocols 下的 VRRP 里, 可以检测当前设备的 VRRP 状态,如下图所示: IP380A
IP380B
2.4 初始化 checkpoint
Nokia IP380 出厂的时候就已经安装好 checkpoint, 所以在 Nokia 平台下新的 机器并不需要重新安装 checkpoint,只需把 checkpoint 初始化即可。如果客户有 最新的 checkpoint 安装包 for Nokia 平台,可以重新安装最新的 checkpoint 安装 包
2.4.1 在 nokia 平台上 checkpoint 的安装与卸载
新出厂的 nokia 机器可以不需要重新卸载 checkpoint 和安装 checkpoint,初始化 checkpoint 即可,这一章节可以跳过,直接访问 2.4.2 进行初始化。
a. 卸载
如果客户以前测试过 checkpoint,或者客户想重新安装 checkpoint,可以先在 nokia web 界面上先卸载 checkpoint。 1. 进入 configuration interface,点击 manage installed packages 进入管 理 package 界面。 2. 设置 Check Point VPN-1 NG with Application Intelligence 为 off 设置 Check Point CPinfo NG with Application Intelligence 为 off
点击 apply 停止以上软件包
3. 设置 Check Point SVN Foundation NG with Application Intelligence 点击 apply 停止 SVN 软件包 注意 SVN 软件包必须在其他所有软件包都在 off 的状况下才能正常 stop,所 以要先 off 所有软件包,点击 apply 之后,才能在 off SVN 软件包,最后再 apply。如图
4. 在 manage installed packages 点击 delete packages 5. 所有 checkpoint 开头的组件设置成 delete,然后点击 apply,如下图
6. 等待一阵后回到 manage installed package 后,可以看到所有 package 均被 delete,如下图
7. 在 console 上使用命令 ls /var/opt 没有任何的文件或文件夹留下,ls /opt 没有任何 CP 开头的文件夹,说明已经卸载成功了。
b. 安装 如果客户有最新的 checkpoint 安装包, 而客户又是新安装的 Nokia 机器, 建议使 用 Manage Installed Packages 来对 checkpoint 进行安装。 我们预先把起一台 ftp 服务器,并把 checkpoint 的安装包放到 ftp 服务器上。 1. 使用浏览器登陆到 nokia configuration interface 界面,点击 manage installed packages 进入。 2. 点击 ftp and install packages 进入安装界面,如下图所示
3. 输入 ftp 地址,路径,用户名和密码,然后按 apply 键 这里 ftp 地址为:??????? ftp 路径为:/ 用户名:ftp 密码:ftp
4. 在 list 列表上选择要安装的 checkpoint 包,然后点击 apply
5. Checkpoint 包会通过 ftp 的方式下载到 Nokia 上,看到提示 download successful 后选择要安装的包,然后点 apply 安装
6. 点击 Click here to install/upgrade /opt/packages/IPSO3.8_wrapper_
R55.tgz
进行安装,选择 install = yes 如下图 ,点击 apply
7. 在 console 打入命令 tail /var/log/messages,如果 console 出现下图情况, 则表明已经安装成功。
8. 回到 manage installed packages 可以看到所有 package 都已经 install, checkpoint fw1 和 SVN Foundation 的状态是 on 的,如下图所示
9.
2.4.2 初始化 checkpoint
要使 checkpoint 能正常工作,必须对 checkpoint 进行初始化。由于两台 Nokia 是 跑 HA 模式,所以 smartcenter 必须要装在外部,不能和 enforcement module 安装在一
起,步骤如下: 1. 使用超级终端推出 console,重新登陆 console,运行命令 cpconfig,如下图
2. Accept license 之后,就可以选择 checkpoint 的产品,如果是买了 checkpoint enterprise 版的请选择 1,如果是买了 checkpoint express 的请选择 2 由于 XXXXXX 购买的是 checkpoint enterprise,所以选择 1 3. 在选择 checkpoint 产品之后,会来到安装方式选择,这里有两个选项 Stand Alone :单独安装,即 smartcenter 和 enforcement module 都安装在同一 个设备中 Distributed :分布式安装,即只选择 smartcenter 或者 enforcement module 其 中一个安装。 由于 XXX 使用高可用性配置模式,所以这里选择 2 分布式安装
4. 当选择分布式安装后,系统会提示安装哪个 checkpoint 组件,如下图所示 我们只选择 1,vpn-1 pro gateway 进行安装 5. 选择 checkpoint 组件后,系统提示是否打开状态同步功能,填入 y 回车继续
6. 完成同步状态功能的选择后,系统会提示是否添加 license,一般 checkpoint 没 有 license 的情况下都有 15 天的试用期, 所以这里不用输入 license 也可以使用, 填入 n,然后回车
7. 键入一个随机队列,用于生成用于加密的种子
8. 系统会要求键入 SIC password,这个 password 用于 enforcement module 和
management server 的安全连接,在以后设置 smartcenter 的时候,添加 checkpoint gateway 输入的 sic 需要和这个密码相同才能建立 SIC 连接。设
置界面如下图,这里填入 sic password 为 123456
9. 最后系统提示重新启动机器,按 y 重启机器,checkpoint 在 nokia 上初始
化完成。
第三章 管理服务器的安装与配置
管理服务器 smartcenter 在 HA 的环境中是储存了所有的 checkpoint 的配置和策 略。所以管理服务器在一个 checkpoint 的配置环境中是属于核心配置,虽然管理 服务器不参与客户数据的流动,因为策略只能从管理服务器安装到 enforcement, 不能从 enforcement 返回到管理服务器,所以一旦管理服务器损坏,客户将丢失 所有防火墙的配置权,策略必须重新定义。
3.1checkpoint smartcenter 的安装
3.1.1 安装前的准备
cpu 奔腾 3 500 以上,256 内存以上,硬盘 5g 以上 win2000 server + sp4 需要 winzip 或者 winrar 软件安装 checkpoint NG AI R55 安装包 for windowns 3.1.2 安装步骤
1. 解压缩安装包,点击 setup.exe 进入安装界面
2. 点击 next 后,会进行产品选择 这里有 2 个选择 check point enterprise/pro
check point express 在 XXX 这个案件中,我们选择 check print enterpris
e/pro 点击 next 3. 然后会进行安装选项选择,这里选择 new installation
点击 next 4. 然后到组件选择界面。这里主要选择安装那一类型的 checkpoint 产品, 注意, smartcenter 和 secureremote/secureclient 是不能同时安装在统一台 机器上 由于在 XXX 的两台 nokia 只是做高可用,所以这里只是需要安装管理 服务器和 gui 即可,如下图所示
点击 next 继续 5. 选择安装 smartcenter 后,系统会询问是安装成 primary smartcenter
还是 secondary smartcenter。 Checkpoint 是支持 smartcenter 的高可用性, 可以使用两个 smartcenter 进行备份。 另外一个选项是安装成单独的 log server,只是作为单独的 log 记录,不进行策略管理。 在 XXX 这个案件中,我们选择 primary smartcenter,如下图所示。
点击 next 开始安装
6.SVN Fandation 默认安装在 c:\programe files\checkpoint\cpshared 目录下, 也不能进行修改,Fw1 默认安装在 c:\winnt\fw1 下面,这个路径可以修 改,由于 checkpoint 的 log 也是记录在这个路径下,所以最好把这个路 径安装在空间比较多的地方。 在 XXX 这个案件,我们建议划分 d 盘为安装 checkpoint 的目录如下图 所示
我们把 fw1 的安装目录设成 d:\fw1\R55,点击 next 继续安装
7. 安装 fw1 完成以后,开始安装 smart console 即 gui 点击 next 继续
8. 拷贝文件完成后,checkpoint 管理服务器安装完成,但是安装进程并 没有完成,而是进入下一阶段,初始化管理服务器
3.1.3 管理服务器的初始化
完成安装后,安装程序进行仍然未结束。这时会继续初始化 checkpoint smartcenter 1. 添加 smartcenter license。由于 checkpoint 初始安装有 15 天的试用 license, 所以这里可以不需要添加任何 license 而继续,如果用户此时已经有 license, 可以点击 add 来进行添加,如下图
在 XXX 这个案件,我们并不需要在这个时候添加 license,我们点击下一步继续。系统 会弹出一个对话框确认没有 license。 2. 添加管理员帐号。在这一步, 用户必须添加一个管理 smartcenter 的管理员帐号。 点击添加,输入管理员名字和密码,并设定管理员的权限。如下图
点击下一步继续 3. 设定允许管理员管理的 GUI client 地址列表。 基于安全的因素管理服务器必须有访问控制列表,只有在列表上的 ip 才能通过 GUI 登陆管理服务器进行管理。 在 XXX 这个案件中,我们建议填入具体的管理 GUI 地址,但是现在由于安装便利 的原因,先暂时设定 GUI client 为任何地址*.*.*.*,在完成实施以后,可以改 为具体的 IP 地址。
点击下一步继续。 4. 输入随机的字符,生成加密种子。 这里输入随机的一串字符,为 ca 生成加密种子。只要打入字符,知道下一步按钮 可以点击为止。如下图 5. 初始化 ca。在生成加密种子以后,系统会提示初始化 ca。默认 ca 的名字是机器
的名字,这里不需要修改,点击下一步即可。
6. Ca 初始化后, 会生成指纹。 这里只要点击完成按钮完成初始化, 并重新启动机器。
3.2 配置 checkpoint 对象和参数
3.2.1 建立 sic 初始化管理服务器后, 我们可以使用 checkpoint 的 smart console GUI 登陆管理服 务器进行配置。 1. 打开 checkpoint smart console ,输入管理服务器的 IP 地址,用户名和密 码。 XXX 的管理服务器 IP 为 用户名为 密码为
第一次登陆时会提示对照指纹,按 approve 接受即可。
2.建立一个 checkpoint gateway 对象。 GUI 左边对象树右键点击 network 在 object -> new ->checkpoint -> gateway … 选择 classic mode,点击 ok,如下图
填入防火墙的名字, 地址, ip 并在 version 和 type 上选择好相应的产品, 在产品列表中把 firewall 打上勾,如下图所示。
在 XXX 这个案例中,防火墙对象的名字为 IP380A , IP 为???????? Version 为 NG with Application Intelligence Type 为 Check Point Enterprise/Pro
3. 建立 SIC 通道。点击 Gateway 对象下的 Communication 按钮,填入 sic 密码(这里的 sic 密码要和初始化 enforcement module 的一样),点击 Initialize,建立 sic 通信
确认 sic 成功建立
3.2.2 定义防火墙对象拓扑结构 1.点击左边菜单 topology, 出现 topology 属性对话框, 点击 get-》 interface with topology
2. 分别点击入每个网卡属性, 并按照原来的设计定义好外网和内网(表 1),并设置好相应的地址欺骗的参数。
如上图所示 对象。 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。
3.3 基于 nokia vrrp 或者 cluster 的设置
对于 Nokia 的 vrrp 和 cluster, 除了在要在 nokia 底层上设定必要的参数之外,也要在 checkpoint 上设定做一定的设置。
3.3.1 基于 Nokia VRRP 的设置
1.建立 checkpoint cluster 对象
右键点击 checkpoint -> new check point ->Gateway Cluster 建立一个 cluster Gateway 对象,如下图。
2.编辑 cluter 的基本属性,设置 IP 地址与 cluster 对象名称
3.点击 Cluster Members,点击 add 添加 cluster 对象,并把两个防火墙对 象加到 cluster 中。如下图
4.点击 3rd Party Configuration,Specify Cluster operation 中选 High Avaibility,3rd Party 中选 Nokia VRRP,如下图
5.点击 Synchronization,确认 Use State Synchronization 打上勾,点击 add 添加同步网段。在 XXX 这个案例中同步网段为 192.168.11.0/24 ,如 下图所示。
6.点击 topology 选项,点击 get 按钮,得到 cluster 的 topology 3.3.2 为 nokia vrrp 定义策略 由于 VRRP 成员会向多播地址 224.0.0.18 发出一些用于 VRRP 协议的信息, 所以在防火墙设置里要允许这些流量通过。 1.新建一个 multicast host 如下图
2.定义必要的防火墙策略, 包括防火墙到
224.0.0.18 的信息和各防火墙成员之间
的互访(如 NTP 同步等),配置如下图所示:
3.安装策略完成 Nokia vrrp 的配置
3.3.3 高可用性的检查
可以在两台执行点上同时执行下面的命令: fw tab –t connections –s 得到如下图所示的结果:
由上图可见,防火墙将列出当前的连接状态,当两个执行点的#VALS 值,也就 是当前连接数相同时,说明两个执行点的状态表已经同步了。
3.4nokia cluster 的设置
3.5 暂时没有
第四章 策略设定
4.1 概述
防火墙的策略是防火墙的核心部分, 任何一个防火墙都必须有其自己的策略 对数据进行控制,checkpoint 上的策略主要有标准策略,NAT 策略两种 对于 XXX 这个案件,由于线上已经有 netscreen 在运作,nokia380 上的策略 要和 netscreen 的基本相同,我们需要的是把 netscreen 的策略转换成 nokia 的策 略。
4.2 netscreen 的策略
XXX 网络管理员提供的 netscreen 的策略如下(表略)
4.3 经过整理后转换成 checkpoint 的策略
source destination service action
NAT mode
NAT
NAT address NAT service
4.4 设定策略
4.4.1 定义主机对象 1. 邮件点击对象树 Node ->new node -> host
2. 编辑 node 对象属性 填入 node 名称和 ip 地址
3. 如果此 node 需要做动态 nat,点击 NAT,出现 Nat 属性框,在 Add Automatic Address Translation 上打勾。 如果此 node 做动态 NAT 映射,请选择 hide。并选择转换的方式,转 换方式有 2 种 ×hide behind gateway 换 ×hide behind IP address NAT 成某一个固定地址 根据目标网络自动选择接口地址进行 NAT 转 4. 如果此节点需要做静态 NAT,请在 NAT 方式上选择 static,并填写 NAT 的地址
5.点击 ok 完成定义 6.XXX 这个案件上,我们需要定义的主机对象及其属性如下表
Node name
Ip address
Nat mode
NAT address
定义网络对象 4.4.2 定义网络对象 1. 右键点击对象树 network -> new network
2. 编辑 network 对象,填入相应的网络名称,网络号,子网掩码
3. 如果网络也需要做 NAT 可以点击 Nat 选项,定义 NaT 参数,nat 参数 说明可以参照 Node NAT 的参数说明
4. 点击确定完成网络对象的定义 5. XXX 这个案件上,我们需要定义的网络对象及其属性如下表 network name Ip address Nat mode NAT address
4.4.3 定义组 很多时候需要用到组对象,把几个不同的对象组合起来使用。下面描述一下如何 定义组 1. 右键点击属性树 group -> new simple group
2. 填写组明,编辑组成员
选择需要加入这个组的对象,点击 add 加入 3. XXX 这个案件上,我们需要定义的组对象及其属性如下表 Group name Include object
4.4.4 定义服务 如果有特殊的应用和服务,可以通过新建服务来进行对象添加 1. 点击 service 选项卡
2. 根据需要的协议右键点击,如右键 tcp
3. 输入服务名称,填入端口号,或者其他参数
4. 点击确定完成添加 5. XXX 这个案件,我们需要自定义的服务如下 Service name Service Port other
4.4.5 添加标准策略 在定义了所有的对象之后,我们就可以把这些对象应用到具体的策略上去,添加 策略的方法如下。 1. 选择菜单 rule->add rule 然后选择规则的位置
2.把相应的对象按照拖到策略的各个字段中, 能进行拖动工作的有 source destination vpn service
3.Action 中选择需要做的动作, 这里主要的使用都是 drop 和 accept, accept 是在前面的对象都匹配的情况下允许数据通过,drop 是不允许数据通 过
4. 如果需要记录 log,可以在 trace 中选择 log
5. XXX 的案件中,根据上面描述的策略列表进行策略设定 4.4.6 添加 NAT 策略 nat 的方式除了可以在对象的 nat 属性上做设置之外,还可以直接编辑 nat 策 略列表,其实在对象上自动做 nat 后,就会自动在 nat 列表上添加策略。所以, 从本质上讲,所有的 nat 设置都是源于 nat 策略列表,nat 策略列表的添加方式与 标准策略添加相似 1.点击 address translation 列表框 2.选择菜单 rule->add ru
le 来进行添加策略 3.把需要做 nat 的对象拖到策略不同的字段中。 4.XXX 需要手工添加的 nat 列表如下表 Original packet source destnation service Translation packet source destination service
5.安装策略
第五章 切换与测试
5.1 切换
在所有 nokia 防火墙的设置均完成以后, 可以进行切换, 切换的目标是使用 nokia
防火墙替换原来的 netscreen 防火墙。切换步骤如下。 1.机器上架 2.拔开原来 netscreen 网络接线 拔开 netscreen 的网线, 但是网线仍然保留, 并记录各根网线对应的 netscreen 的端口。 3.Nokia 防火墙进行网络接线,按照以下列表进行接线 Nokia IP380A Eth1 F5 Eht2 DMZ 区 域交换机 Eth3 内网区 域交换 机 Eth4 Nokia IP380B Eth1 Eth2 Eth3 Eth4 NokiaIP 380A eth4
NokiaIP F5 380B eth4
DMZ 区 内网区 域交换 机 域交换 机
4.开机
5.2 测试
在防火墙上设置策略允许 icmp 的数据通过 1. 检查 firewall 对外网的连通性 ping 外部地址 61.144.19.137 进行测试, 如果能 ping 通表示 firewall 对 外网的连通性正常。 2. 检查 firewall 对 DMZ 的连通性 ping DMZ 的地址 XX.XX.XX.XX 进行测试, 如果能 ping 通表示 firewall 对 DMZ 的连通性正常。 3. 检查 firewall 对内网的连通性 ping 内部网络的某一台机器,如果能 ping 通表示 firewall 对内网的连 通性正常 4. 检查内网用户的应用连通性 检查内部用户使用 DMZ 区域服务的连通性。在内网设置一台机器,其 地址为 XX.XX.XX.XX 并根据下列表进行 DMZ 区域的访问
server
Service
Client software
Webserver
http
IE5.5
5. 检查 DMZ 区域对外服务提供的连通性和对内服务的连通性 使用 notebook 进行拨号上网,并得到一个公有地址,按照以下列表访 问 XXX 对外提供的服务。 server Service Client software Webserver http IE5.5
5.3 回退
如果在切换的时间内,并不能完成以上测试,或者在切换过程中出现不能马上解 决的问题,必须进行,回退动作。回退步骤如下 1. 关闭两台 nokia 的电源,重新启动 netscreen 电源 2. 恢复 netscreen 的线路,把原来 netscreen 的网线插会 netscreen 上 3. 按照 5.2 测试方式测试 XXX 原有服务是否正常
第六章 日常维护
6.1 防火墙的备份与恢复
6.1.1 nokia 防火墙的备份与恢复方法 备份文件的描述。由于 Nokia 防火墙的核心是类 unix 操作系统,所以其核 心的配置是一系列的文件。
以下文件包含 nokia IP 系列的全部系统配置
/config /var/cron /var/etc /var/etc/ipsec. /var/admin /var/monitor /var/log
在 nokia 的 web 界面上有工具能对这些文件进行备份一下是备份合恢复的步骤 步骤: : 手工创建一个备份文件: 1. 在 nokia web 主页界面上点击 CONFIG 2. 在 System Configuration 中点击 Configuration Backup and Restore
3. 在 MANUAL BACKUP 区, 在 BACKUP FILE NAME 里面输入要备份文件 的名称。 的名称。
4. BACKUP HOME DIRECTORIES 区域,点 yes 备份用户目录, BACKUP /opt/CPfw1-50-03 区域点击 yes,Backup /opt/Cpshared-50-03 区域点击 , yes 5.点击 apply 6.点击 save
传输一个备份文件到远程服务器 1. 在 nokia web 主页面点击 CONFIG 2. 在 System Configuration 下点击 Configuration Backup and Restore.
3. 在 REMOTE TRANSFER ARCHIVE FILE 区域, 在 FTP SITE 输入 ftp 的地 址 4. 在 REMOTE TRANSFER ARCHIVE FILE 区域, 在 FTP DIR 输入框输入远 程 ftp 的路径. 5. 在 REMOTE TRANSFER ARCHIVE FILE 区域, 在 FTP USER
用户名 输入框输入 ftp
6.在 REMOTE TRANSFER ARCHIVE FILE 区域, 在 FTP PASSWORD 输入 框输入 ftp 用户名的密码.
7. 在 BACKUP HOME DIRECTORIES 区域,点 yes 备份用户目录, BACKUP /opt/CPfw1-50-03 区域点击 yes,Backup /opt/Cpshared-50-03 区域点击 , yes 8. 点击 MANUAL BACKUP FILE 下拉菜单,选择你要上传的备份文件.
11. 点击 APPLY. 12. 点击 SAVE.
恢复步骤
从远程服务器上恢复 1.在 nokia web 主页面点击 CONFIG. 2. 在 System Configuration 点击 Backup and Restore Configuration
3. 在 RESTORE FROM REMOTE FIELD 区域 在 FTP SITE 框中输入保存 区域, backup 文件的 ftp 服务器的地址. 4. 在 RESTORE FROM REMOTE FIELD 区域 在 FTP DIR 框输入存储 backup 区域, 文件的 ftp 路径
5. 在 RESTORE FROM REMOTE FIELD 区域, 在 FTP USER 框输入用户名 6. 在 RESTORE FROM REMOTE FIELD 区域, 在 FTP PASSWORD 框输入密码
7. 点击 APPLY. 8.然后会出现一系列的文件,选择你要恢复的 backup 文件。 9. 点击 APPLY, 然后点击 SAVE. 10. 点击 reboot,重新启动机器..
6.1.2 checkpoint management 上的备份与恢复
备份: 1. 在管理服务器打开 windows 服务列表。 (开始菜单->控制面板->管理工具-> 服务) 2. 停止 4 个和 checkpoint 有关的服务
3.
分别备份以下两个目录
C:\Program Files\checkpoint\cpshared\ng D:\fw1\ng 4. 备份以下注册表键值
HKEY_LOCAL_MACHINE\SOFTWARE\CheckPoint\SIC 5. 在 windows 服务列表启动 4 个和 checkpoint 有关的服务(开始菜单->控制面板
->管理工具->服务)
注意 1.一开始新 mgmt 的 windows 名字一定要和旧的一样,ip 可以不同 2.停所有 cp 服务 包括 cpstop 和其他两个服务列表的服务
恢复 1. 安装 checkpoint FW1/VPN1 NG AI 软件,并配置成 management,安装可以参 考 checkpoint 安装使用手册 2. checkpoint gui 管理客户端软件登录刚刚安装好的 checkpoint management 并 用 确认 gui 管理客户端软件能正常登录到 management server (开始菜单->控制面 3.在 windows 服务列表停止 4 个和 checkpoint 有关的服务 板->管理工具->服务) 4. 分别把上面备份的两个目录拷贝回相应的地方。 C:\Program Files\checkpoint\cpshared\ng C:\winnt\fw1\ng 5. 导入上面备份好的注册表键值 6.在 windows 服务列表启动 4 个和 checkpoint 有关的服务 (开始菜单->控制面 板->管理工具->服务) 7. 8. 用 checkpoint gui 客户端管理软件登录 management 并查看配置是否正确。
此方法在 checkpoint ng AI 上也能成功通过
发表于: 2006-04-29 ,修改于: 2006-04-29 10:14,已浏览 1064 次,有评论 35 条 推荐 投诉
实施方案 1、项目概况 山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场,每个风场两台,共计14台天气预报防火墙设备采购、运输、安装、调试及一年质保工作,用于满足自动化应用系统安全需求。 2、服务范围、服务内容 2.1 供货范围 本工程的供货范围见表2-1所示。 表2-1 供货需求一览表 2.2工作范围 供货商的工作范围包括: a)提供合同内所有硬件设备和软件,并保证系统完全符合最终技术规范的 要求。 b)提供所需的系统技术资料和文件,并对其正确性负责。 c)提供所有合同设备的备品备件和安装、维护所需的专门工具和试验仪器 仪表(包括调整、测试和校核)。 d)负责进行工厂验收,将设备运输(含搬运至指定位置)、安装在现场(设 备机房)以及现场调试直至成功地投入运行。 e)负责提出设备对供电、接地、消防、运行环境及安装等要求。 f)负责完成与买方另外购买的其它设备接口连接调试工作。 g)负责现场勘察,与风场协调、确定设备安装位置,制定设备安装、调试 计划。
h)负责编制试验、验收的计划报告。 i)在两年保修期内提供必要的保修服务,卖方应保证及时免费维修或更换 任何并非有买方人员非正常操作而导致的缺陷或故障,并应提供限时到达现场的维修服务。 j)由我公司进行安装调试,并提供售后服务。 k)技术培训。 l)按合同要求为买方提供必要其它的服务。 3、服务依据、工作目标; 3.1 服务依据 《信息技术设备的安全》 GB4943-2001 《建筑物电子信息系统防雷技术规范》GB50343-2004 《环境电磁卫生标准》 GB5175-88 《电磁辐射防护规定》 GB8702-88 《电气装置安装工程施工及验收规范》 GB50254-96 《电气装置安装工程施工及验收规范》 GB50255-96 3.2 工作目标 本工程计划工期30日历天,质量执行国家现行验收标准及要求,达到合格标准,严格执行安全措施,达到安全零事故。 4、服务机构设置、岗位职责 4.1 服务机构设置 **设立两个服务小组,随时调遣工作。 机构包括服务主管、调度员、市场信息收集员、三包配件管理员、配件鉴定员等。 下图为我公司的服务机构架构图:
防火墙测试方案测试项目 测试一、NAT/PAT 拓扑图 FTP Client LoadRunner LoadRunner PC3 测试要求
(如防火墙inside 接口不够,则使用交换机连接内部三台pc 并将内部网络合并为192.168.0.0/16) 1. 将19 2.168.1.1(pc1)静态翻译(地址翻译)为58.135.192.55 2. 将192.168.2.0-192.168.4.254动态翻译(端口翻译)为58.135.192.56 检查方法及检查项目 ● PC1通过FTP 方式从教育网下载数据 ● PC2和PC3使用LoadRunner 分别模拟500台电脑浏览网页 ● 查看设备负载和网络延迟 测试二、Site-to-Site IPSec/VPN 拓扑图 5540 测试防火墙 PC1 PC2 测试要求 1. ISAKMP 配置 2. IPSec 配置 3. 只对10.0.1.1和10.0.2.2之间互访的流量进行IPSEC 的加密 检查方法及检查项目
● PC1和PC2能否相互PING 通,在ASA5540上检测数据是否为加密数据。 ● 修改PC2的ip 地址为10.0.2.22,使用pc1 PING pc2,在asa5540上检 查数据是否为明文。 测试三、Dynamic Remote-Access IPSec/VPN 拓扑图 .2. 0/2 416 8. 1.0/24PC1PC2 测试要求 1. ISAKMP 配置 2. IPSec 配置 3. 其他 4. 防火墙Outside 外任何主机都可以与防火墙建立IPSec/VPN 连接。 5. 只对PC1和PC2互访的数据加密。
双机热备的数据备份和灾难备份方案 一、方案背景 1. 用户目前数据环境及需求 根据提供的信息,目前用户的系统环境如下描述:操作系统:Windows 操作系统,关键数据:VSS 数据库现在用户要备份的服务器为2台数据库服务器做双机热备集群,整个系统对于备份的要求:备份系统稳定可靠,保证随时能够备份/还原关键数据;对服务器有灾备的考虑,操作系统崩溃时能通过灾难备份快速恢复操作系统。同时考虑远期建设目标平滑过渡,避免重复投资。 2. 用户目前状态和存在的问题 目前用户双机服务器拓扑图如下,这样的方式存在以下问题: a) 由于主机与备机及磁盘阵列中的数据都没有备份,一旦发生磁盘阵列数据丢失、主机与备机数据丢失事故时,将会造成重大损失。 b) 当服务器操作系统崩溃时,无法快速恢复。 二、设计方案 1. 设计原则 根据上述问题建议的备份方案应该遵循以下原则:备份系统应该支持Open File 热备份功能磁盘阵列连接在专用的备份服务器上、对双机集群中的2台机器都能进行数据备份、备份软件支持定时计划备份、备份软软件支持服务器灾难备份、备份软件提供网络集中备份功能,能集中备份网络上其余SQL Server、ORACLE或文件数据,提供良好的扩展性。 2. 方案的设计 依据上述设计原则,建议采用爱数备份软件专业备份软件安装在一台备份服务器上,通过网络对双机系统进行数据备份和操作系统灾难备份。Backup Exec 作为专业的备份软件,具有以下优点: c) 专业的企业网络集中备份解决方案,一台备份服务器可以备份网络上多台服务器数据(文件服务器、VSS服务器、数据库服务器、邮件服务器等) d) 备份软件支持Open file 热备份功能,能对正在使用的数据进行备份。 e) 能根据需要制定灵活多变的备份计划任务 f) 支持服务器操作系统崩溃灾难备份/恢复
本文由no1moonboy贡献 doc1。 双 CheckPoint 防火墙实施方案 目 录 第一章 客户环境概述…… 4 1.1 概述 …… 4 1.2 网络拓扑与地址分配表 …… 4 1.3 安装前准备事宜 …… 6 第二章 Nokia IP380 安装与配置 …… 7 2.1 概述 …… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息 …… 8 2.3.1 Nokia 端口 IP 地址设定 …… 8 2.3.2 设置网关路由 …… 8 2.3.3 设置 Nokia 平台时间 …… 9 2.3.4 设定 Nokia 高可用 VRRP 参数 …… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上 checkpoint 的安装与卸载 …… 14 2.4.2 初始化 checkpoint …… 16 第三章 管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备 …… 18 3.1.2 安装步骤 …… 18 3.2 配置 checkpoint 对象和参数 …… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构 …… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。 …… 21 3.3 基于 nokia vrrp 或者 cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置 …… 22 3.3.2 为 nokia vrrp 定义策略 …… 22 3.3.3 高可用性的检查 …… 23 3.4nokia cluster 的设置 …… 23 3.5 暂时没有 …… 23 第四章 策略设定…… 24 4.1 概述 …… 24 4.2 netscreen 的策略 …… 24 4.3 经过整理后转换成 checkpoint 的策略 …… 24 4.4 设定策略 …… 24 4.4.1 定义主机对象 …… 24 4.4.2 定义网络对象 …… 25 4.4.3 定义组 …… 26 4.4.4 定义服务 …… 26 4.4.5 添加标准策略 …… 27 4.4.6 添加 NAT 策略…… 27 第五章 切换与测试…… 29 5.1 切换 …… 29 5.2 测试 …… 29 5.3 回退 …… 30 第六章 日常维护…… 31 6.1 防火墙的备份与恢复 …… 31 6.1.1 nokia 防火墙的备份与恢复方法 …… 31 6.1.2 checkpoint management 上的备份与恢复 …… 33 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心 防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原 有的服务不变。 由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施 改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址 防火墙各端口参数 端口 Eth1 用途 外网 口 Eth2 Eth3 Eth4 ? DMZ 内网 同步 口 gateway 静态路 由 172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上 内存 128 以上 硬盘 60M 以上 操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台 内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装包 第二章 Nokia IP380 安装与配置 2.1 概述 首先我们可以对两台 Nokia IP380 进行安装与配置,由于 Nokia 防火墙将会 替代 Netscreen,所以 Nokia 防火墙可以进行离线配置。配置步骤如下。 2.2 初始化 nokia380 1. 使用 nokia console 线,连接 nokia console 口和管理 pc 的串行端口,
XXX项目实施方案模板
网御神州科技(北京)有限公司 2009年月 目录 1概述 (3) 2工程实施安排 (3) 3工程总体要求 (6) 4工程实施步骤 (7) 4.1 前期准备工作 (7) 4.2 安装实施前期 (8) 4.2.1 资料采集 (8) 4.2.2 分析调研 (9) 4.2.3 规则翻译 (10) 4.2.4 产品到货验收 (10) 4.2.5 加电检测 (11) 4.2.6 配置安全设备(网御神州) (11) 4.2.7 模拟环境测试 (15) 4.3 安装实施中期 (16) 4.3.1 设备上线 (16) 4.3.2 应用系统验证性测试 (17) 4.3.3 计划变更 (17) 4.4安装实施后期 (18) 4.4.1 设备试运行 (18) 4.4.2 现场培训 (19)
4.4.3 节点初验 (19) 4.4.4 文档整理 (20) 5风险控制 (20) 5.1 实施现场的风险控制 (20) 5.1.1 业务全部中断情况的处理 (21) 5.1.2 部分业务中断情况的处理 (22) 5.2 运行期间的风险控制 (23) 6附件 (24) “XXX”项目设备到货确认单 (24) 1概述 XXX安全设备项目是2006年信息安全建设的一个重要项目,内容为更换副省级以上(含)机构XXX安全设备。此文档是XXX安全设备项目各节点的实施方案。 2工程实施安排 此次工程实施以各节点技术力量为主,厂商技术人员在实施现场做技术支持。各节点工程实施时间安排约为8天,第一批安装单位的开始为1月22日,第二批安装单位的开始时间为1月29日,项目分为实施前期、实施中期、实施后期三个阶段,其中:周一至周五为实施前期,主要是进行相关前期的准备工作和模拟环境测试工作;周末为实施中期,主要是上线切换、应用验证等工作;后期安排一天时间,主要是进行现场值守技术保障、文档整理等工作。工程开始时
存储集群双机热备方案
目录 一、前言 (3) 1、公司简介 (3) 2、企业构想 (3) 3、背景资料 (4) 二、需求分析 (4) 三、方案设计 (5) 1.双机容错基本架构 (5) 2、软件容错原理 (6) 3、设计原则 (7) 4、拓扑结构图 (7) 四、方案介绍 (10) 方案一1对1数据库服务器应用 (10) 方案二CLUSTER数据库服务器应用 (11) 五、设备选型 (12) 方案1:双机热备+冷机备份 (12) 方案2:群集+负载均衡+冷机备份 (13) 六、售后服务 (15) 1、技术支持与服务 (15) 2、用户培训 (15)
一、前言 1.1、公司简介 《公司名称》成立于2000年,专业从事网络安全设备营销。随着业务的迅速发展,经历了从计算机营销到综合系统集成的飞跃发展。从成立至今已完成数百个网络工程,为政府、银行、公安、交通、电信、电力等行业提供了IT相关系统集成项目项目和硬件安全产品,并取得销售思科、华为、安达通、IBM、HP、Microsoft等产品上海地区市场名列前茅的骄人业绩。 《公司名称》致力于实现网络商务模式的转型。作为国内领先的联网和安全性解决方案供应商,《公司名称》对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全国各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。 《公司名称》推出的一系列互联网解决方案,提供所需的安全性和性能来支持国内大型、复杂、要求严格的关键网络,其中包括国内的20余家企事业和政府机关. 《公司名称》成立的唯一宗旨是--企业以诚信为本安全以创新为魂。今天,《公司名称》通过以下努力,帮助国内客户转变他们的网络经济模式,从而建立强大的竞争优势:(1)提出合理的解决方案,以抵御日益频繁复杂的攻击 (2)利用网络应用和服务来取得市场竞争优势。 (3)为客户和业务合作伙伴提供安全的定制方式来接入远程资源 1.2、企业构想 《公司名称》的构想是建立一个新型公共安全网络,将互联网广泛的连接性和专用网络有保障的性能和安全性完美地结合起来。《公司名称》正与业界顶尖的合作伙伴协作,通过先进的技术和高科产品来实施这个构想。使我们和国内各大企业可通过一个新型公共网络来获得有保障的安全性能来支持高级应用。 《公司名称》正在帮助客户改进关键网络的经济模式、安全性以及性能。凭借国际上要求最严格的网络所开发安全产品,《公司名称》正致力于使联网超越低价商品化连接性的境界。《公司名称》正推动国内各行业的网络转型,将今天的"尽力而为"网络改造成可靠、安全的高速网络,以满足今天和未来应用的需要。 1.3、背景资料 随着计算机系统的日益庞大,应用的增多,客户要求计算机网络系统具有高可靠,高
防火墙基本操作及应急措施陈世雄安全工程师 CCSE
议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施
Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中,100%企业使用我们的产品 –在防火墙和虚拟专用网络(VPN)市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 (Infonetics提供数据) ?VPN/防火墙软件市场占有率超过 54% (IDC提供数据) ?安全硬件设备市场份额中有 36% 为 Check Point 产品(由 Infonetics 提供) ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系
状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004
我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案
石盖塘镇构筑社会消防安全“防火墙”工程 实施方案 为认真贯彻《中华人民共和国消防法》,《郴州市人民政府 关于构筑社会消防安全“防火墙”工程的实施意见》(郴政发…2010?3号)文件要求和区政府会议精神,进一步加强我镇消防工作,着力构筑社会消防安全“防火墙”,结合我镇实际,制定以下工作方案: 一、工作目标 以落实政府部门消防工作“四项责任”、提高社会单位消防安全“四个能力”、夯实农村社区火灾防控“四个基础”、提高公安机关消防监督管理“四个水平”为着力点,力争通过三年努力,使消防安全工作社会化水平明显提升,消防安全环境明显改善,杜绝各类火灾事故的发生,全镇火灾形势持续稳定。 二、工作任务 (一)落实政府部门消防工作“四项责任” 1.落实组织领导责任。镇组织成立镇消防安全工作领导小组,并要求每季度组织召开一次例会,沟通信息,研究解决消防工作中的重大问题,部署阶段性消防工作。特别是针对每年度的政府挂牌重大火灾隐患单位整改工作,及时组织召开专题协调会,明确督办人员,制定整改计划,落实整改资金和措施,确保按时完成整改工作。组织开展以人员密集场所、“多合一”场所等为重点的消防安全整治“十大行动”,深入开展全镇建筑消防设施和电
气消防安全整治,有效消除社会面上的突出火灾隐患。 2.落实监督管理责任。加强全镇整治工作的督查指导。要严格依法审批,将单位(场所)的消防安全状况作为行政许可的重要审查内容,严把“审批关”。同时,各村要根据自身职责,督促指导本村落实消防安全“四个能力”标准化建设,镇安全分管领导小组负责消防安全重点单位,并负责协调、指导开展全镇构筑消防安全“防火墙”工程工作。 3.落实设施建设责任。严格落实消防相关法律制度,根据有关规定和实际需要,将消防设备建设纳入年度投资计划和财政项目,确保消防装备建设任务按时保质保量地完成。 4.落实检查考评责任。将消防工作纳入各村各部门综合目标管理体系,作为平安建设考评、领导干部政绩考核的重要内容,建立消防工作目标责任书管理体系,年终进行考核。加大对各村开展消防工作情况的督查力度,每半年不少于1次。推行消防工作村书记、主任问责制,对消防工作履职不到位或辖区发生亡人火灾事故的,追究相关负责人的责任。 (二)提高社会单位消防安全“四个能力” 1.提高社会单位检查消除火灾隐患的能力。督促单位确定消防安全责任人和消防安全管理人,并组织进行消防安全培训,督促单位定期组织开展防火检查巡查,及时消除单位内部火灾隐患。 2.提高社会单位组织扑救初起火灾的能力。各单位要结合自身实际,制定灭火和应急疏散预案并定期组织演练。督促单位加强消防控制室标准化管理,严格落实值班操作人员持证上岗制度,熟
IBM3650双机热备方案示例 IBM3650双机热备方案示例 IBM X3650服务器+DS3200 SAS 磁盘柜双机热备方案双机热备方案所需软硬件清单如下: 1、IBM X3650 服务器2台(具体配置根据需求选配) 2、IBM DS3200 磁盘柜一台(单控制器,单SAS 接口) 3、SAS HBA 卡2块(每台服务器各加一块) 4、双机模块(子卡)一块 5、SAS 连接线2条 6、双机热备软件(ROSE HA OR LIFEKEEPER )一套 DS3200/DS3400安装心得及技巧 这应该是网络上第一篇关于IBM System Storage DS3200和DS3400产品安装的非官方性文章,希望可以对大家的工作中带来帮助。 作为DS400产品的更新型号,DS3200和DS3400提供了更强的性能及灵活性,相信会成为今后一两年内的IBM低端存储产品的首选。 DS3200和DS3400均出自于LSI公司的Engenio系统(DS4000系列的大部分产品也是由Engenio为IBM协议设计及生产,去年Engenio被LSI收购)。所以设计思想和结构与DS400(Adapter 公司设计)会有较大的不同,管理方式也会与DS4000系列较为接近。
DS3000系列均需要在自身上安装不少于4个硬盘。建议先装上硬盘再上电开机。 DS3000系列提供与DS4000系列类似的带内和带外两种管理方法,带外管理的默认IP地址也与DS4000一样,控制器A为192.168.128.,控制器B为192.168.128.102。 本人比较喜欢采用带外管理,将本本网卡设至192.168.128网段后,可以ping通即可。 管理口长时间未起用时需要若干分钟的时候等待管理接口工作。 在本本上安装DS3000 Storage Manager(随机附带),注意该SM与DS4000上的Storage Manager为不同程序,不可替换使用。甚至不能在一台机器上共存。 打开Storage Manager后,首先需要发现设备,可以ping通控制器后,发现工作会非常容易。 双击发现的设备就可以进入该设备的管理界面,学名叫Subsystem Management。 Subsystem Management分为5个大项,Summary,Configure,Modify,Tools,Support。 常规的操作这里不再详述,如果你装过DS4000产品,应该对配置方法不会感到陌生。当然Storage Manager里只提供一些常规功能,在遇到问题的时候,比如需要重置手动清零时在该程序里无法完成的,所以与DS4000产品一样,提供了Script的方式,运行Script有两种方法。方法一:在DS3000 Storage
Checkpoint R65 Test Plan Revision 0.1 2009-10-14 Author: Peng Gong
Revision History
1‘FW MONITOR’ USAGE (7) 2TEST SUITES (7) 2.1R65I NSTALL &U NINSTALL (7) 2.1.1Create a v3 vap-group with vap-count/max-load-count set >1, Confirm R65 and related HFA could be installed on all vap within vap-group successfully (7) 2.1.2Create a v4 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (9) 2.1.3Create a v5 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (10) 2.1.4Create a v5_64 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (11) 2.1.5Try to install R65 on a v3 vap-group and abort the install process, confirm nothing is left afterwards12 2.1.6Reduce max-load-count down to 1, confirm only one Vap is allowed to run R65 accordingly (13) 2.1.7Increase vap-count and max-load-count to maximum vap count and executing "application-update", confirm all the Vap are running R65 properly (14) 2.1.8Reduce vap-count to 3, Confirm the surplus Vap is stopped from running R65 and related partitions are removed from CPM (15) 2.1.9Enable/Disable IPv6 in vap-group and w/o ipv6-forwarding, confirm R65 wouldn't be affected. (16) 2.1.10Confirm the installed R65 could be stopped through CLI (17) 2.1.11Confirm the installed R65 could be started through CLI (18) 2.1.12Confirm the installed R65 could be restarted through CLI (18) 2.1.13Confirm the installed R65 could be reconfigured through CLI (19) 2.1.14Confirm checkpoint could be upgraded to R70 by CLI: application-upgrade (19) 2.1.15Confirm R65 could run properly while reload vap-group totally (20) 2.1.16Confirm R65 could run properly while reload all chassis totally (20) 2.1.17Create 2 vap groups, install R65 on both. Confirm R65 are running on both vap-groups without any mutual impact. (21) 2.1.18Confirm configure operation couldn't be allowed if some Vap don't run R65 properly. (23) 2.1.19Confirm uninstall/Configure operation couldn't be allowed if some Vap don't run properly. (24) 2.1.20Confirm start/stop/restart operation could works prope rly if R65 doesn’t run properly on some Vaps.25 2.1.21Confirm configure operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (26) 2.1.22Confirm uninstall operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (27) 2.1.23Confirm start/stop/restart operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (28) 2.1.24Confirm R65 could be uninstalled from vap-group (29) 2.1.25Confirm R65 installation package could be remove from XOS by CLI: application-remove (30) 2.2C HECKPOINT F EATURES (31) 2.2.1Create GW and Set SIC, get topology from Smart Dashboard (31) 2.2.2Configure Policy and push policy (31) 2.2.3Confirm R65 could be started/stoped/restarted by cp-command (32) 2.2.4Confirm different kinds of rule actions could work - allow/drop/reject (33) 2.2.5Verify different kinds of tracking actions could work properly - log/alert/account (33) 2.2.6Verify static NAT and hide NAT work properly (34) 2.2.7Verify default license is installed automatically (34) 2.2.8Verify some usual fw commands output - fw ver -k/ fw ctl pstat/ fw tab/ fw stat/ cphaprob stat /fw fetch /fw unloadlocal / fwaccel stat (34) 2.2.9Verify SXL status if enable/disable it (36) 2.2.10Verify the log information in SmartViewer are displayed correctly. (37) 2.2.11Verify the GW and its member information in SmartViewer are displayed correctly (37) 2.2.12Define a VPN Community between two GW; Confirm traffic can pass (37) 2.2.13Create a VPN client tunnel, make sure client can login and traffic is encrypted as it should (38) 2.2.14Enabling/Disabling SXL during connections (39) 2.2.15Fail over the active member during connections (39) 2.3I NTERFACE T EST-T RAFFIC MIXED WITH IPV6 AND IPV4 (39) 2.3.1Verify traffic pass through the interface without SXL - non vlan<--->vlan (tcp+udp+icmp) (39)
第一章项目概论 一、项目概况 (一)项目名称 防火墙项目 (二)项目选址 xx高新区 所选场址应避开自然保护区、风景名胜区、生活饮用水源地和其他特别需要保护的环境敏感性目标。项目建设区域地理条件较好,基础设施等配套较为完善,并且具有足够的发展潜力。 (三)项目用地规模 项目总用地面积31509.08平方米(折合约47.24亩)。 (四)项目用地控制指标 该工程规划建筑系数72.06%,建筑容积率1.59,建设区域绿化覆盖率6.34%,固定资产投资强度182.69万元/亩。 (五)土建工程指标 项目净用地面积31509.08平方米,建筑物基底占地面积22705.44平方米,总建筑面积50099.44平方米,其中:规划建设主体工程31714.77平方米,项目规划绿化面积3175.35平方米。
(六)设备选型方案 项目计划购置设备共计74台(套),设备购置费2583.97万元。 (七)节能分析 1、项目年用电量1038962.45千瓦时,折合127.69吨标准煤。 2、项目年总用水量14788.76立方米,折合1.26吨标准煤。 3、“防火墙项目投资建设项目”,年用电量1038962.45千瓦时,年 总用水量14788.76立方米,项目年综合总耗能量(当量值)128.95吨标准煤/年。达产年综合节能量47.69吨标准煤/年,项目总节能率22.76%,能 源利用效果良好。 (八)环境保护 项目符合xx高新区发展规划,符合xx高新区产业结构调整规划和国 家的产业发展政策;对产生的各类污染物都采取了切实可行的治理措施, 严格控制在国家规定的排放标准内,项目建设不会对区域生态环境产生明 显的影响。 (九)项目总投资及资金构成 项目预计总投资11294.64万元,其中:固定资产投资8630.28万元, 占项目总投资的76.41%;流动资金2664.36万元,占项目总投资的23.59%。 (十)资金筹措 该项目现阶段投资均由企业自筹。 (十一)项目预期经济效益规划目标
双机热备安装步骤 ●安装WINNT4 ●安装IE4.01SP1 ●安装Microsoft cluster server ●安装WINNT4 Option Pack ●安装WINNT4SP4 ●安装Microsoft SQL Standard Server7 一、WINNT4.0安装步骤 此安装过程涉及SCSI本地硬盘、磁盘阵列、网卡、RAID管理软件的安装。 1、插入WINNT光盘; 2、按F6(为了从软盘安装SCSI本地硬盘驱动程序); 3、安装SCSI本地硬盘驱动; 4、per server for: 40 5、选择server type(注:做两机热备时,分别设置为一个“主域”,另一个“备用域”。另外,设置“备份域”时,“主域”必须打开); 6、安装网卡驱动(a:\nicdrv); 7、不选择DHCP; 8、安装WINNT的SP3(在第一张光盘); 9、安装磁盘阵列驱动(控制面板里“SCSI Adapters”,进入安装界面里选“a:\netraid”); 10、用“disk amanagement”为两机重新设置盘符(现将“磁盘阵列”设置为统一的“D:”); 11、在WINDOWS界面安装RAID管理软件(e:\cluster\netraid\nt40_cl\utility\disk1\setup)。
二、WINNT4 IE4.01SP1安装 三、Microsoft cluster server安装 其他信息:安装microsoft cluster server软件时,应先在运行“nhloader.exe”命令,打开cluster软件安装平台。(具体详见:“setting up an MSCS cluster P63~P65“) 四、WINNT4 Option Pack安装 五、WINNT4 SP4安装 六、Microsoft SQL Server7安装 七、Appendix
防火墙安装操作手册By Shixiong Chen
一、准备安装介质和服务器 安装CheckPoint防火墙基于开放的服务器平台需要准备两点: 如果选用的是Checkpoint的硬件,UTM-1则不需要考虑这些问题。 第一,准备好服务器,服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台,并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性,将网卡扩展至与真实火墙一致,服务器需要自带光驱。 第二,准备好CheckPoint防火墙安装介质,注意软件的版本号与真实环境火墙一致,同时准备好最新的防火墙补丁。 二、SecurePlatform系统安装过程 硬件服务器初始状态是裸机,将服务器加电后,设置BIOS从光盘启动,将CheckPoint软件介质放入光驱,然后出现如下界面: 敲回车键盘开始安装。出现如下界面,选择OK,跳过硬件检测。
选择安装的操作系统类型,根据自己防火墙操作系统的版本选择。SecurePlatform Pro是带有高级路由和支持Radius的系统版本。 选择键盘支持的语言,默认选择US,按TAB键,继续安装。 配置网络接口,初始我们配置外网接口即可,选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关,然后选择OK,继续。 选择OK.开始格式化磁盘。
格式化完成后开始拷贝文件,最后提示安装完成,按照提示点击OK.系统会自动重新启动。然后出现登陆界面,如下所示。 第一次登陆系统,默认账号和密码都是admin,登陆后需要出入新的密码和管理员账号。 三、CheckPoint防火墙软件安装过程
运行sysconfig 命令,启动安装防火墙包。选择n,继续安装。 打开网络配置页面,选择1,配置主机名,选择3配置DNS服务器,选择4配置网络,选择5配置路由,注意要与生产线设备的配置保持一致,特别是路由要填写完整,主机名、接口IP和子网掩码要填写正确。 配置完成后,选择n,下一步继续配置,如下图所示,选择1配置时区(选择5,9,1),选择2配置日期,选择3配置本地系统时间,选择4查看配置情况。注意配置时间和日期的格式。完成后选择n, 然后会出现提示是否从tftp服务器下载安装软件,选择n.然后出现如下界面,选择N,继续安装。 选择Y,接受安装许可协议。
消防防火墙工程实施方案 构筑社会消防安全“防火墙”工程施行计划 为推动社会消防安全办理立异,前移火灾防备关口,活跃构筑社会消防安全“防火墙”工程,全面进步我市火灾防控水平,特拟定如下计划: 一、总体方针 以贯彻施行《消防法》为主线,以“政府统一领导、部分依法监管、单位全面担任、公民活跃参与”为准则,实在进步社会单位抗御火灾才能、夯实底层火灾防控根底、进步公安机关消防监督办理水平、执行政府及职能部分消防作业责任,全力构筑社会消防安全“防火墙”,力求经过三年尽力,使全市消防作业社会化水平显着进步,消防安全环境显着改进,重特大尤其是群死群伤火灾事故得到有用遏止。 二、作业使命 (一)执行“四个责任”。 1、执行政府领导责任。各地要将消防作业归入本地经济和社会展开规划,将消防经费、公共消防设备和配备建造、社会消防力气展开、严重火灾危险整改等归入政府任期方针办理;2010年内完结“十一五”消防展开规划执行状况查看评价,研讨拟定“十二五”消防展开规划,保证消防作业与经济社会展开相适应;树立由政府领导牵头的消防安全委员会或消防
作业联席会议准则,加强消防作业安排协调,守时研讨处理消防作业严重问题;展开消防安全专项办理,对影响公共安全的严重火灾危险施行挂牌督办,催促整改执行;精心做好严重节假日和火灾多发时节的防火作业,保证消防安全。 2、执行部分监管责任。各有关部分要仔细实施消防作业责任,将消防安全标准化办理归入本行业、本系统办理的重要内容,严厉依法监管;公安消防部分安排展开消防安全查看,会集整治城乡结合部、棚户区、“城中村”及出租屋、“三合一”场所(集出产、住宿、运营于一体的场所)、务工人员聚集地等要点区域存在的消防安全杰出问题,实在消除火灾危险;教育、人力资源与社会保证、广电等部分及各新闻媒体要加强消防常识教育训练,全面进步大众的消防认识;住宅和城乡建造部分要严厉依法批阅触及消防安全的行政许可项目,加大对建造工程设计、施工和监理等企业的消防监管,施行消防安全源头操控;人力资源与社会保证部分要严厉执行持证上岗准则,加强消防特有岗位的用人办理;质监、工商部分要加强消防产品市场办理,保证消防产品质量;各有关部分要树立健全消防作业部分信息沟通和联合法律机制,构成齐抓共管的消防作业格式。 3、执行设备建造责任。各地要仔细编制、施行城乡消防规划,及时增建、改建、装备公共消防设备。当令出台公共消防设备建造和保护办理办法,清晰公共消防设备建造、保护
精心整理1项目实施方案 1.1项目实施计划 考虑到xxx与数据库建设项目的工程量、质量与涉及面等因素,在此工程实施前必需有严密的进度控制和精心的组织安排。我们根据本方案确定的项目目标以及具体建设要求,对建设任务以及工程进度进行综合安排计划,具体各个部分的实施可以视工程情况相互协调、齐头并进。 ?查看软件版本
1)通过IE浏览器登陆到安全设备,查看当前安全设备的软件版本。 2)通过串口登陆到安全设备后台,查看软件版本。 ?产品信息记录 记录下用户安全设备编号,作好记录工作 ?查看安全设备重启后能否正常启动 ? 配置 而不 8.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可 靠。 9.是否对防火墙进行脆弱性评估/测试?(随机和定期测试) 10.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控制规则集依从防
火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 11.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 12.防火墙访问控制规则集的一般次序为: 17.确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则,并确保任何源IP不是内部网的通信被记录。 18.是否执行NAT,配置是否适当? 19.任何和外网有信息交流的机器都必须经过地址转换(NAT)才允许访问外网,同样外网的机器要访问内部机器,也只能是其经过NAT后的IP,以保证系统的内部地址、配置和有
关的设计信息如拓扑结构等不能泄露到不可信的外网中去。 20.在适当的地方,防火墙是否有下面的控制? 21.如,URL过滤、端口阻断、防IP欺骗、过滤进入的Java或ActiveX、防病毒等。 22.防火墙是否支持“拒绝所有服务,除非明确允许”的策略? 23.根据xxx的需求,配置系统所需对外开放的端口映射。 帮助分析防火墙的活动,并为管理部门提供防火墙效率情况。 5.重大事件或活动是否设置报警?是否有对可以攻击的响应程序? 6.如适当设置入侵检测功能,或者配合使用IDS(入侵检测系统),以防止某些类型的攻击或预防未知的攻击。 7.是否有灾难恢复计划?恢复是否测试过?