查看: 8451|回复: 57
我对checkpoint曾经的误解和现在的理解（一）
论坛徽章:8
本帖最后由 jayli426 于
01:52 编辑
因为从前我只是写程序的人，也不是计算机专业出身，所以对Oracle的checkpoint有过很多误解
现在想来，有些甚至是让人哭笑不得。
现在我来描述一下我从前的误解，我相信这也是很多初学者的误解。
我在这里描述一下，避免后来的初学者踏入同一条河流
1)第一个误解，redo log只是理解成log，没有理解redo
&&这是什么一回事呢？
&&大家做应用系统的都知道，日志只是记录系统中的变化历史。
&&其中最重要的目的，主要是当系统报错时，能够查看具体的报错信息和当时的上下文
&&这样能够方便我们定位问题和排错
&&可是，如果带着这个思路去理解redo log，显然是南辕北辙。
oracle中redo log某种程度上来讲，是实际数据的一部分。
&&更确切的说如果没有redo log，就无法保证数据的一致性
&&其实Oracle也有类似（我刚刚提到的）应用系统的日志，例如alert.log。
&&所以建议初学者 看到redo log的时候，不要只看到log，而忽视了redo
&&而且这个redo 是真正会redo的，而不是简单记录操作历史的。
2）第二个误解：写入数据文件的只会是commit过数据
程序员最初接触Oracle，自然都是从SQL语句开始的，
insert table_A values('XX','YY',...);
update table_A set column_1='ZZ';
总而言之看见commit，就知道之前执行（在同一个事务中）的insert 或者update，或者delete涉及到的数据 已经完成了持久化。
当看到DBWR负责将数据写入Datafile这样一个描述后
我的第一感觉DBWR 只会将 commit过的数据写入data file
（这是误解二）
实际却是 DBWR 会写一切被修改的数据块 （说一切被修改过的数据，可能不妥）。
同时还以为执行commit动作的时候，就会把对应数据写入到数据文件
（这是误解三）
其实是不会，是先写redo log，然后再找时机往数据文件中写 （具体什么时机，则要看参数配置了）。
为何会这样呢？
因为写数据文件时随机写，代价太高。
而写redolog 是顺序写，相对代价低很多
是否又有初学者问；什么是随机写
我建议可以先了解harddisk的原理出发，去了解随机写和顺序写
不过可以简单理解为，假设现在有1万个房间，每一层有100个房间，假设现在要访问801,这3个房间，
分别放上桔子，苹果，香蕉
我们得跑上8楼，10楼，30楼，然后再找对应的房间号
这就是DBWR写数据文件做的动作
而redo log只是记录我们要去801号房间去放桔子，1001号房间去放苹果，3003号房间去放香蕉
这么几个需要做的动作。
至于什么时候放？那当然等DBWR有空了再放。
这个技术有个专有名词，叫write head logging
即日志优先写，或者优先写日志。
回到误解二
说实话，我敢担保初学者看到这里依然会有疑惑的 DBWR 怎么会写一切会修改的数据块呢？
那么岂不是未提交过的数据也被写入了数据文件了？
可事实却是如此
那为何未提交过的数据也被写入数据文件呢？那么岂不是数据的一致性发生问题了？
这就是Oracle 知识的特点
我们不能只关注一个知识点，而是需要将各个知识点串起来，才会有对Oracle真正理解。
因为只关注一个的时候，就会容易走入死胡同。
所以我们要做得真的就是如白鳝大师所言“像Oracle一样思考”，而且是全盘和系统的思考
那为何未提交过的数据也会被写入数据文件呢
注意：Oracle读写的最小原子单位是数据块，不是记录
性急的兄弟又会立马出来打断，这个我知道啊，但是这和我的问题有什么关系呢？
哈，关系大着呢？
因为DBWR只是按数据块被更新的顺序的依次写入到数据文件中
那么存在这么一种可能，就是这个数据块上既有commit过记录，也有正在被某个事物处理的数据，
那么当这个数据块被写入到数据文件的时候，很明显，此时被修改但是未被提交过的数据也被写入了数据文件。
3）第4个误解：redo log只记录了commit过的数据变化
& &前面提到write head logging，也就是说commit过的数据，应当会被redo log 记录下来。
& &那么从前我的理解是redo log只会记录commit过的数据，而不记录未提交的数据
& &现在回想，这个理解其实还颇有些道理的
& &是啊，那些没有提交过但是被修改过的数据，为何要被写入到日志里面呢？
& &让他好好在内存里呆着，等到事务rollback的时候，自然将这些数据给扔掉算了（其实就是不care，不管就得了）。
& &我为何有这个思路呢？
& &就是一直是以SQL的逻辑处理方式来理解oracle的内部处理机制
& &SQL处理数据的单位是基于记录的
& &而Oracle 处理数据，DBWR是基于数据块的，后台进程写redo log record是基于redo log block的
& &好像处理control file 的单位也不同的
& &但是总而言之，都不是基于记录的。
& &考虑一下之前提到过的场景
& &当一个数据块上既有commit过记录，也有正在被某个事物处理的数据，
& &那么当这个数据块被写入到数据文件的时候，很明显，被修改但是未被提交过的数据也被写入了数据文件。
& &那么Oracle 怎么知道这个数据块里面的数据是提交了还是没有提交的呢？
& &数据块里面虽然是记录是事务编号，但是并没有记录哪个数据是和哪个事务相关，即我们只能知道这个数据块和哪些事务关联
& &但是我们无法知道这些事务和这个数据块中的哪个数据关联。
& &这个关联靠什么， 靠的是redo log record
& &所以只有把未commit过的记录相关联的redo log record记录也写入到redo log file中。
& &我们才能在数据库crash后，恢复数据的时候（确切的说是instance recovery），知道哪些数据是commit过的，哪些数据是未commit过的，需要rollback的
4）redo log记录数据变化是基于记录的
& &这个误解其实还是源于& && &SQL处理数据的单位是基于记录的
& & 例如执行了一条sql
& &&&insert table_A values('XX','YY',...);
& & redo log里面就记录这条SQL
& &&&insert table_A values('XX','YY',...);
& &&&可是是这样的吗？
& &&&想一想，redo log可是要负责recovery的
& &&&如果我们执行了
& &&&delete from table_A
& &&&但是我们没有提交，
& &&&而相应的数据块也被写入了，如果这个时候数据库crash
& &&&那么再次启动恢复的时候，如何找回之前的数据呢？
& && &这里我有疑问，感觉解释不下去了
& &&&貌似这个时候也可以通过undo 表空间找回啊？
& &&&因为这个时候对应undo 表空间的数据也是写入了的啊
& &&&因为修改实际业务数据块的时候，也修改了undo 表空间的数据块
& &&&这个时候SCN应当是相同的，那么实际业务数据库写入了的时候，undo表空间也是写入了的。
认证徽章论坛徽章:490
求职 : 论坛徽章:10
楼主辛苦。
论坛徽章:3
楼主辛苦。
招聘 : 认证徽章论坛徽章:38
总结的很好，特别是数据块的写入与REDO的写入机制联合起来解释，这样就非常直观了。
论坛徽章:8
本帖最后由 jayli426 于
06:58 编辑
htyro 发表于
总结的很好，特别是数据块的写入与REDO的写入机制联合起来解释，这样就非常直观了。
&&数据块里面虽然是记录是事务编号，但是并没有记录哪个数据是和哪个事务相关，即我们只能知道这个数据块和哪些事务关联
& &但是我们无法知道这些事务和这个数据块中的哪个数据关联。
这个结论应当是不对的，
事务应当是知道哪几行数据是修改过的，通过行锁
我需要再学习一下data block的结构，明确一下细节。
过几天再给出一个相对合理的解释和描述
论坛徽章:70
jayli426 发表于
&&数据块里面虽然是记录是事务编号，但是并没有记录哪个数据是和哪个事务相关，即我们只能 ...
UNDO中记录有前映像对应的行号。除回滚、CR块相关一致读外，其他时候只需要知道块被修改过了。并不需要知道块中哪一行被修改。
论坛徽章:70
& &&&如果我们执行了
& &&&delete from table_A
& &&&但是我们没有提交，
& &&&而相应的数据块也被写入了，如果这个时候数据库crash
& &&&那么再次启动恢复的时候，如何找回之前的数据呢？
LZ猜测的不错，是通过UNDO。
Delete时，前映像也就是删除前的内容，被送进UNDO。
如果UNDO没了，先用Redo恢复Undo，再用UNDO回滚Delete。
论坛徽章:8
本帖最后由 jayli426 于
10:43 编辑
vage 发表于
UNDO中记录有前映像对应的行号。除回滚、CR块相关一致读外，其他时候只需要知道块被修改过了。并不需要知 ...
关于这个问题我是有个疑问的
假设现在又数据块D1，里面有100行记录
加入现在有用户执行
select * from table_1 where col_1='A'
假设 col_1='A' 对应的记录是第33行
请问oracle是如何判断这一行数据是 有事务在操作，还是没有事务才操作呢？
论坛徽章:70
jayli426 发表于
关于这个问题我是有个疑问的
在其他进程访问这个块时，Oracle不需要判断哪一行有事务。它只看ITL。如果ITL中有事务，它就开始回滚、构造CR块。
UNDO块中，当然记录的有前映像是对应哪一个文件、哪个块、哪一行、哪一列。
itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有　　　　
　北京市公安局海淀分局网监中心备案编号：10　广播电视节目制作经营许可证：编号（京）字第1149号checkpoint模式新手攻略【insurgency吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：23,794贴子：
checkpoint模式新手攻略
打了快一个月的checkpoint，发现有的时候队友不懂规则的问题是在发愁，水一贴
打checkpoint，必备Flash，往bot多的地方丢一颗，跑出去收割人头吧，那酸爽
灯和红点尽量不要带，会暴露位置，不过楼主是经常用Mac玩（对阴影加重）不得不带灯...
关于站点，在站点之前最好把bot清一下杀干净，不然会引一波援兵潮，尤其在Last man stand的时候要注意
不过也有特殊情况，有时候会有bot藏起来故意让你找不到，这个时候还是快找掩体......
来援兵潮的时候在一个有窗户的屋子里不要站两个人，会吃RPG的
守不住了或者想安心收割人头就快找旁边的芦苇草丛吧，除非bot走到你身边，不然不会发现你的
炸点不会引援兵潮，但有时候爆炸物很难找，多注意搜刮bot
当你丢出麻辣烫的时候基本不会有bot被烧死，他们会跑到旁边看着，所以这时候再补一颗手雷
checkpoint还是一步一步搜点好，别净想着抢人头。因为Support压制扫射敌人所有人都向前冲整个节奏被坏的情况太多了
睡觉，明晚再更，学生党
不明觉厉　　　　　 --Insurgency搞基群，群号：，欢迎喜欢玩Insurgency的基友&_&
带手电或者激光会增加被集火的几率吗
楼主，求PVP各个模式攻略完全不知道干什么
来人支持一下给点动力嘛
烟雾弹能防止对面放rpg 不过bormt在烟雾边缘也是能看到你的无聊啊啊啊啊啊啊啊啊啊啊
烟雾弹丢到正确的地方能防RPG等一切bot能发射丢出的东西；这玩意也能让bot冲过来，所以当你遇到八百米能爆头的狙击手时快丢烟雾躲起来再收割
为什么我每一次用c4都会把自己炸飞.....一般在打对抗的时候才会在需要站点的地方丢出shit然后躲起来
刚站完点尽量等一分钟或者半分钟再出去，不然会被神一般的bot爆头
AP弹可以穿墙，对重甲伤害大，HP弹对肉体伤害大，每次选弹药都在纠结选哪种.....不过打对抗除了支援兵尽量选AP弹吧，checkpoint里bot用HP弹都是一下秒
狙击手要学会走位和精确瞄准，一发未中要迅速报点；支援兵要学会压制扫射，虽然机枪很刺激但不推荐新手玩；爆破兵的霰弹也不错，加个消音跑到后面收一堆bot，注意携带爆炸物；队长要会用无线电！很重要！其他的兵种要注意配合和掩护，接枪
更新之后checkpoint好玩太多，AI不像以前无脑
贴吧热议榜
使用签名档&&
保存至快速回贴当前位置： >>
Check Point 防火墙实施指南
Check Point 防火墙项目实施指南UTM-1/Power-1?2011 Check Point Software Technologies Ltd. All rights reserved .第1页文档修订记录标题 项目名称Check Point 防火墙项目实施指南 Check Point 防火墙项目实施指南 管理文档 □ 设计方案 □ 测试文档 □ 实施文档 X 其他 □类别 配置文档 □ 创建日期 一线人员 顾问 版本号 1.00 日期
修改人 陈世雄 审阅人 刘刚 摘要 版权说明 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容，除由特别 注明，版权均属于以色列捷邦安全软件科技公司所有，受到有关产权及版权法保护。任何个 人、机构未经 Check Point 公司的书面授权许可，不得以任何方式复制或引用本文档的任何 片断。?2011 Check Point Software Technologies Ltd. All rights reserved .第2页目录CHECK POINT 防火墙项目实施指南 .................................................................................................................... 1 1 .防火墙介绍 ............................................................................................................................................... 8 1.1 UTM-1 ........................................................................................................................................ 8 UTM-1 功能特性 .............................................................................................................. 8 UTM-1 防火墙面板接口说明 .......................................................................................... 91.1.1 1.1.2 1.2POWER-1 ...................................................................................................................................... 9 Power-1 功能特性 ............................................................................................................ 9 Power-1 面板接口说明 .................................................................................................. 10 术语介绍 ............................................................................................................................. 11 UTM-1/ POWER-1 产品区别 ...................................................................................................... 121.2.1 1.2.2 1.3 1.41.4.1 2市场定位的区别 ............................................................................................................ 12防火墙系统配置指南 ............................................................................................................................... 12 2.1 2.1.1 2.1.2 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.3 2.3.1 2.3.2 2.3.3 2.4 2.4.1 2.5 初始化防火墙系统配置 ..................................................................................................... 12支持的 Check Point 软件版本 ....................................................................................... 12UTM-1/Power-1 防火墙系统初始化 ............................................................................. 12 初始化管理服务器系统配置 ............................................................................................. 22管理服务器的安装 ........................................................................................................ 23 初始化管理服务器系统 ................................................................................................ 25 管理服务器的高可用性配置 ........................................................................................ 33 防火墙管理客户端安装 ................................................................................................ 37系统和网络配置 ................................................................................................................. 40系统层配置 .................................................................................................................... 40 接口配置 ........................................................................................................................ 43 路由配置 ........................................................................................................................ 49防火墙 HA 配置 .................................................................................................................. 55 SmartCenter 配置 ClusterXL 属性 .................................................................................. 55 防火墙对象和策略配置 ..................................................................................................... 60?2011 Check Point Software Technologies Ltd. All rights reserved .第3页2.5.1 2.5.2 2.5.3 2.5.4 2.5.5 2.5.6 2.5.7 2.5.8 2.6配置网络对象 ................................................................................................................ 60 配置服务对象 ................................................................................................................ 79 防火墙策略配置 ............................................................................................................ 81 配置网络地址转换(NAT) ............................................................................................... 85 配置 OPSEC 类型对象 .................................................................................................... 89 限制用户连接数 ............................................................................................................ 97 配置防火墙最大并发连接 ............................................................................................ 98 会话老化时间配置 ........................................................................................................ 98POWER-1 多核(COREXL)配置 ..................................................................................................... 992.6.1 2.6.2 2.7 3设置处理防火墙进程 CPU 的数量 .............................................................................. 100 设置处理防火墙接口的 CPU 数量 .............................................................................. 101SYSLOG 转发 SMARTCENTER 日志............................................................................................... 103入侵防护(IPS)策略的配置 ...................................................................................................................... 105 3.1 3.2 IPS 浏览 .................................................................................................................................. 105 IPS 配置 .................................................................................................................................. 1063.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.3 4定义执行 IPS 的防火墙 ............................................................................................... 106 定义 IPS Profile ............................................................................................................. 108 配置 Protections ........................................................................................................... 111 配置 Geo Protection ..................................................................................................... 112 配置 Network Exceptions ............................................................................................. 113IPS 安全更新 ................................................................................................................ 114 Follow Up 选项 ............................................................................................................. 115 Advanced 选项 ............................................................................................................. 116 禁用 IPS ............................................................................................................................. 116防火墙维护和监控................................................................................................................................. 117 4.1 SMARTDASHBOARD ..................................................................................................................... 1174.1.1 4.2使用 Data Base Reversion Control ............................................................................... 117SMARTVIEW TRACKER.................................................................................................................. 122?2011 Check Point Software Technologies Ltd. All rights reserved .第4页4.2.1 4.2.2 4.2.3 4.2.4 4.3SmartView Tracker Mode ............................................................................................. 123工具栏介绍 .................................................................................................................. 124 使用 Filter 过滤日志 .................................................................................................... 124 配置策略 Track ............................................................................................................ 125SMARTVIEW MONITOR ................................................................................................................ 1264.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.3.8 4.3.9 5配置 Monitor ................................................................................................................ 126 监控 Gateway 状态 ..................................................................................................... 127 监控 Traffic ................................................................................................................... 128 监控 System Counters .................................................................................................. 129 监控 Tunnels................................................................................................................. 129 监控 Remote Users ....................................................................................................... 130SmartUpdate ................................................................................................................ 131安装安全更新 .............................................................................................................. 132 管理 License ................................................................................................................. 133防火墙备份与恢复................................................................................................................................. 135 5.1 5.2 SECUREPLATEFORM 备份和恢复 ................................................................................................ 135 SMARTCENTER 备份和恢复(UPGRADE_TOOLS) ............................................................................. 1366故障排查步骤 ........................................................................................................................................ 139 6.1 6.1.1 6.1.2 6.1.3 6.1.4 6.1.5 6.2 6.3 6.3.1 6.3.2 硬件故障排查： ............................................................................................................... 139使用 Hardware Diagnostic Tool ................................................................................... 139 电源与风扇状态检查 .................................................................................................. 140 系统由于 I/O 错误无法启动 ....................................................................................... 140 硬盘故障检查 .............................................................................................................. 140 网卡故障检查 .............................................................................................................. 140软件故障排查 ................................................................................................................... 140 防火墙故障信息收集 ....................................................................................................... 141登陆防火墙收集系统文件信息 .................................................................................. 141Coredump 文件的搜集................................................................................................. 141?2011 Check Point Software Technologies Ltd. All rights reserved .第5页6.3.3 6.3.4 6.3.5 6.4 6.4.1 6.4.2 6.4.3 6.4.4 7收集 debug ................................................................................................................... 141 使用 zdebug ................................................................................................................ 141Debug FWD 进程 .......................................................................................................... 142 故障排查步骤示例： ....................................................................................................... 143问题现象 ...................................................................................................................... 143 排查思路 ...................................................................................................................... 143 排查结果分析 .............................................................................................................. 143 注意事项: ..................................................................................................................... 144常用命令 ............................................................................................................................................... 144 7.1 7.2 防火墙管理常用命令 ....................................................................................................... 145 系统管理常用命令 ........................................................................................................... 1458系统优化 ............................................................................................................................................... 146 8.1 8.2 8.2.1 8.2.2 8.2.3 8.2.4 8.2.5 对 SMARTCENTER 的优化 ..................................................................................................... 146 对防火墙模块的优化 ....................................................................................................... 147关闭不需要的功能模块 .............................................................................................. 147 优化常用协议会话时长 .............................................................................................. 148 取消默认拒绝 X11 协议 .............................................................................................. 148 优化协议同步 .............................................................................................................. 149 其他优化建议 .............................................................................................................. 1509完整配置示例 ........................................................................................................................................ 152 9.1 9.1.1 9.1.2 9.1.3 9.2 9.2.1 9.2.2 9.2.3 分布式组网+OSPF+ECMP ................................................................................................. 152网络规划及拓扑图 ...................................................................................................... 152IP 地址规划 .................................................................................................................. 153具体配置 ...................................................................................................................... 153分布式组网+STATIC+ECMP ................................................................................................ 160网络规划及拓扑图 ...................................................................................................... 160IP 地址规划 .................................................................................................................. 161具体配置 ...................................................................................................................... 161?2011 Check Point Software Technologies Ltd. All rights reserved .第6页9.3HA 组网+OSPF........................................................................................................................ 1679.3.1 9.3.2 9.3.3 9.4网络规划及拓扑图 ...................................................................................................... 167IP 地址规划 .................................................................................................................. 168具体配置 ...................................................................................................................... 168HA 组网+STATIC 路由 .............................................................................................................. 1799.4.1 9.4.2 9.4.3 9.5网络规划及拓扑图 ...................................................................................................... 179IP 地址规划 .................................................................................................................. 180具体配置 ...................................................................................................................... 180HA 组网+OSPF+ECMP ............................................................................................................ 1879.5.1 9.5.2 9.5.3 9.6网络规划及拓扑图 ...................................................................................................... 187IP 地址规划 .................................................................................................................. 188具体配置 ...................................................................................................................... 188HA 组网+STATIC+ECMP ........................................................................................................... 1989.6.1 9.6.2 9.6.3网络规划及拓扑图 ...................................................................................................... 198IP 地址规划 .................................................................................................................. 199具体配置 ...................................................................................................................... 199?2011 Check Point Software Technologies Ltd. All rights reserved .第7页1 .防火墙介绍1.1 UTM-11.1.1 UTM-1 功能特性UTM-1 硬件产品为用户提供了经验证的安全技术，并完美结合了容易部署与强大管理 的特性。通过权限的硬件设备解决方案，Check PointUTM-1 硬件产品整合了防火墙、VPN、 入侵防护和防病毒等关键的安全应用到一个集中与容易部署的硬件解决方案中，UTM-1 硬 件产品基于 Check Point 的软件刀片架构，可以灵活而快速的部署各种额外的安全功能，如 IPS、应用控制、防病毒、防垃圾邮件、WEB 过滤等，而这些部署无需添加其他的新的硬件 和改变网络的部署结构，通过启用相关功能即可直接启用该功能。UTM-1 设备样图如下，上图展示 UTM-1 3076 设备外观，下面详细介绍 UTM-1 系列具体性能参数和规格；?2011 Check Point Software Technologies Ltd. All rights reserved .第8页1.1.2UTM-1 防火墙面板接口说明序号 1 2 3 4 5 6说明 LCD 显示屏幕 LCD 控制按钮 USB 端口 Console 控制台端口 Internal 接口，默认管理口，内网与同步端口 扩展网络端口1.21.2.1Power-1Power-1 功能特性Check Point Power-1? 网络安全设备使各个企业能够最大程度地保证高性能环境 （例如 庞大的校园或数据中心）的网络安全。 它们将 Check Point 防火墙、IPsec VPN 和入侵防 御软件刀片与先进的加速技术和网络连接技术相结合，从而为多 Gbps 环境提供高性能的 安全平台。确保重要业务应用的可用性，防火墙吞吐量达到 25 Gbps，整个系统的防火墙和 IPS 吞吐量达到 15 Gbps。现场可升级，实现最大的性能灵活性（Power-1 11000 系列）。上图展示 Power-1 11000 设备外观，下面详细介绍 Power-1 系列具体性能参数和规格； 注: Power-1 HCC 11000 系列的硬件，由于采用 64 位操作系统，其性能参数补充如下: Firewall Throughput 最大吞吐 30Gbps Maxumum concurrent HTTP connections 最大并发连接 400 万 Maximum HTTP connections rate 最大 HTTP 每秒新建 7 万?2011 Check Point Software Technologies Ltd. All rights reserved .第9页1.2.2?Power-1 面板接口说明CheckPoint Power-1 前面板示意图序号 1 2 3 4 5 6 7 8 9说明 冗余热插拔硬盘 LCD 显示 LCD 控制按钮 进气口 管理与同步端口 控制台端口 USB 端口 8 个 1 GbE 端口 现场热插拔扩展模块 1 GbE SR 光纤（单个模式） （4 个端口）;1 GbE LR 光纤（多个模式） （4 个端口） 10 GbE SR 光纤（单个模式） （2 个端口; 10 GbE LR 光纤（多个模式） （2 个端口） LOM（带外管理）卡10?2011 Check Point Software Technologies Ltd. All rights reserved .第 10 页1.3 术语介绍术语/定义 SecurePlatform/ SecurePlatform Pro Source and Destination VPN Service Action Track Install-On time Implied Rules Gloable properties Anti-Spoofing SmartView Tracker SmartView Monitor SmartUpdate SmartReporter SmartEvent Expert IPS Security Gateway/ Firewall Module 描述 CheckPoint UTM-1、Power-1 和 Smart-1 等平台防火墙底层操作系 统，同时集成了 CheckPoint 软件，包括 Firewall、VPN 等软件刀 片。支持 ssh、web 界面等管理方式，主要配置主机名、接口 IP、 静态路由、时区等，动态路由、SNMP 等设置需通过 CLI 配置 源地址、目标地址，通常作为定义策略的引用对象 虚拟专用网络，使用加密算法对数据流进行加密的加密传输网络 服务，定义访问控制策略时需要控制的端口与协议类型 动作，防火墙对访问控制规则定义的动作如允许、拒绝、丢弃等 跟踪，对触发访问控制规则的流量的日志记录方式 策略下发，策略下发的对象防火墙 时间，策略生效的时间 隐含规则，防火墙默认存在的策略 全局属性，包括对防火墙全局参数的配置如协议老化时间等 防地址欺骗，基于接口上生效的防止 IP 源地址欺骗 用于查看防火墙访问控制规则生成的日志信息的模块 用于查看防火墙运行状态遗迹网络协议的实时与历史信息的模块 管理防火墙 license 以及防火墙软件版本的模块 集中生成网络、安全以及用户活动状态的报表工具 集中分析防火墙日志，合并安全事件发掘安全威胁的分析工具 专家模式， 是 SecurePlatform 操作系统的高级模式， 通常可以配置 和修改防火墙更多的属性和使用更多的 Unix 命令。 入侵防御系统，是针对网络攻击、蠕虫病毒、以及网络和操作系 统漏洞进行主动防御的安全功能模块。 是指 Check Point 防火墙安全网关， 通常也称是防火墙模块或者安 全策略执行点。 集中防火墙的管理服务器。用来集中管理防火墙设备，有 Standalone(独立)和 Distributed(分布式)两种部署模式 Standalone：安全网关和安全管理服务器安装在同一台设备上 Distributed：安全网关和安全管理服务器安装在不同设备上 管理客户端组件(GUI)。 包括 SmartDashboard、 SmartView Tracker、 SmartView Monitor 和 SmartUpdate 等，用来添加网络对象、网段、 对象组等，以及定义服务、添加策略、配置 NAT、安装策略等， 防火墙管理的大部分工作都通过 SmartConsole 完成，它需要首先 连接到 SmartCenter 才能进行防火墙管理操作。 具体各组件功能请 参考后续章节 防火墙 License 分两种： ? Local License：用于 SmartCenter 的 Standalone 部署模式， License 绑定防火墙管理接口 IP 地址SmartCenterSmartConsoleLicense?2011 Check Point Software Technologies Ltd. All rights reserved .第 11 页?Central License：用于 SmartCenter 的 Distributed 部署模式， License 绑定管理服务器 IP 地址1.4 UTM-1/ Power-1 产品区别1.4.1 市场定位的区别UTM-1 产品系列主要面向中小企业用户，性能覆盖面从小型分支公司到中型企业，防 火墙吞吐量从 1.5G 到 4.5G，面向此范围内不同性能需求的用户。同时，具有 UTM(统一威 胁管理)的全面功能特色，不仅体现在防火墙\VPN，也支持防病毒、网址过滤、IPS 等功能。 Power-1 产品系列主要面向中高端企业用户，主要从性能方面满足客户的需求，防火墙 吞吐量从 9G 到 30G，因此在性能方面具有卓越的处理能力，同时也能按照客户对功能的需 求，有选择的启用需要的模块，如 VPN 等。 所以 UTM-1 与 Power-1 的产品在系统与应用层功能一致，区别就在于满足市场不同用 户的需求，其他方面并无区别，在用户使用上，系统界面与所有防火墙功能配置相同，统一 的用户界面具有易上手和操作的优势。2 防火墙系统配置指南2.12.1.1初始化防火墙系统配置支持的 Check Point 软件版本如下 Check Point 版本防火墙可以安装在 UTM-1/Power-1 上 ?R70 and R70.x releases ?R71 and all R71.x releases ?R75 相关介质可以访问 Check Point Support site http://support.checkpoint.com.下载。2.1.2 UTM-1/Power-1 防火墙系统初始化在 UTM-1/Power-1 硬件平台上，所采用的系统都是 SecurePlatform 操作系统，因此底层 都是相同操作系统，不同之处在于 UTM-1 硬件性能和配置如前文所述，适合中小企业， Power-1 系列硬件采用更高端的硬件配置，具有更强大的性能，特别是 HCC 系列基于 64 位 操作系统，具有更强的每秒新建连接与并发处理的能力。下面详细介绍配置过程；2.1.2.1 Console 登录防火墙COM 参数设置如下?2011 Check Point Software Technologies Ltd. All rights reserved .第 12 页通过 Console 口登录命令行窗口，查看系统是否正常起来，确认管理接口默认地址 没有变化为 https://192.168.1.1:4434(如下图所示), UTM-1 防火墙在如下状态下，无需 在命令行最任何配置，设备的初始化过程全部通过 WEB 界面完成，参考 2.1.2.2 节。2.1.2.2 WEB 方式初始化防火墙新设备到场后，启动设备通过 console 口登录确认设备正常，然后登录 WEB 方式对系 统属性、网络路由、接口等属性进行详细配置，过程如下； 1. 准备 pc 主机一台、网线一条，将网线连接到防火墙的默认管理(Internal)接口， 2. 配置 pc 主机 IP 地址： 192.168.1.10/24，如下所示；3. 在 IE 的地址栏中输入 https://192.168.1.1:4434 打开登录网页，用户名为“admin” ，?2011 Check Point Software Technologies Ltd. All rights reserved .第 13 页默认密码为“admin” ，第一次登陆需要修改默认密码。登录管理界面后， 会自动进入 UTM-1 的密码管理界面， 建议更改默认的用户名和密码。 密码设置有强制复杂性要求，至少 6 位而且包含特殊字符，并且不能设置弱口令。设置完成 后，点击“Save and Login” 。初始密码修改完成后，进入 UTM-1 的配置向导欢迎界面，如下图所示，点击“Next”?2011 Check Point Software Technologies Ltd. All rights reserved .第 14 页继续执行防火墙初始化。修改设备时间， 进入系统的时间配置界面修改系统时间后， 点击 “Apply” 保存， 点击 “Next。 ”初始配置设备网络接口属性，如 IP 地址，接口速率、双工模式等，初始化配置时，建 议至少按照客户网络拓扑配置好防火墙外网口和内网口，或者先将 IP 地址全部配置好。下?2011 Check Point Software Technologies Ltd. All rights reserved .第 15 页面先配置外网口，在网络连接配置界面点击“External。 ”进入防火墙外网口的配置界面，添加 IP 地址和子网掩码，如下图所示；点击“Apply” 保存；用同样的方法配置内网口。配置完成后回到 connections 界面核对接口 IP 配置， 如果以后需修改配置， 方式与上文相同。?2011 Check Point Software Technologies Ltd. All rights reserved .第 16 页在上图中，Internal 的默认地址是 192.168.1.1，当配置新的地址后，该 IP 地址自动成为 Internal 接口的子接口 IP，该地址可直接删除，也可以在防火墙初始化完成后删除。 注 意 删 除 后 需 要 用 新 的 IP 地 址 登 录 防 火 墙 ， 如 上 图 即 登 录 地 址 变 更 为 https://100.100.101.3:4434， 完成网络连接配置后点击 “Next” ,继续防火墙系统与网络层配置。配置网络路由，如下图所示，选择“New”下拉框，可以添加静态路由与默认路由。?2011 Check Point Software Technologies Ltd. All rights reserved .第 17 页选择“New” ，点击“Default Route” ，添加默认静态路由。添加默认路由配置界面，填写默认路由，如下图所示；完成默认路由配置后，继续选择“Next” 。设置防火墙“主机名” 、域名和 DNS 配置界面。 选择 Next；此处必须设置主机名，其他可以忽略。?2011 Check Point Software Technologies Ltd. All rights reserved .第 18 页进入 Management 界面，选择防火墙“ Centrally Management ”集中管理属性，即通过 SmartCenter 管理以分布式部署的防火墙。选择“Next” ；如果用户仅使用单台防火墙且自己 管自己，则选择“Locally Managed” ，则是将 SmartCenter 和防火墙安装在同一设备上。配置对防火墙 Web 与 SSH 访问权限，可以通过 Web 和 SSH 访问防火墙的主机，完成 后，选择“Apply” ，如果允许任何访问，则直接输入“any” ，表示任何地址可以通过 WEB 和 SSH 访问防火墙， 通常建议设置管理网段或者管理员 IP 地址， 细化安全管理， 强化安全。 配置防火墙系统访问控制权限后，点击下一步。?2011 Check Point Software Technologies Ltd. All rights reserved .第 19 页如果配置防火墙为 HA 模式，则选择这台防火墙为 HA 中一个成员如下图，选择 Next； 如果仅仅是单台防火墙，则选择“Standard Gateway” ，如果防火墙使用动态 IP 地址，则选 择第三项。 本文档设计所有防火墙均做 HA， 因此选择 “This Gateway is a member of a Cluster” .设置该防火墙和 Smart Center 通信的 SIC 密钥，SIC 即“Secure Internal Communication”用 SSL 加密防火墙与 SmartCenter 的通信，如下图所示，点击“Next”选择下一步；配置完成 SIC 后，记住所设置的值，后面会用于建立与 SmartCenter 的通信，点击“Next”?2011 Check Point Software Technologies Ltd. All rights reserved .第 20 页出现如下图配置信息摘要，校验所有配置，然后点击“Finish”防火墙开始初始化。配置过程中，请等待 10 分钟左右，系统会自动完成整个初始化过程。当系统初始化完成后，会出现如下提示信息，即表示完成初始化配置。至此，Check Point UTM-1 防火墙的初始化工作已经完成，下面需要进行 SmartCenter 的配置与通过 SmartCenter 将所有防火墙管理起来。?2011 Check Point Software Technologies Ltd. All rights reserved .第 21 页2.2初始化管理服务器系统配置Check point 防火墙的管理是通过一个三层架构来实现的。在大型网络环境中，通常不 止一台防火墙，会有很多边界、内网防火墙，我们采用集中的管理方式，实现策略配置、日 志审计以及日常维护， 实现投资最小来帮助公司对防火墙便利的管理获得更大的收益。 通常 管理服务器与防火墙分布式部署，实现业务系统与管理系统的分割。 Check Point 防火墙管理架构包含三部分： 管理客户端， 安全管理服务器 （SmartCenter） 以及安全网关。安全管理服务器(SmartCenter)保存所有 Check Point 防火墙网关的策略与 对象的配置；所有的防火墙日志都会集中转发到安全管理服务器(SmartCenter)，防火墙与 安全管理服务器的网络层的配置，例如 IP 地址和路由，都保存在各自的系统之中，安全管 理服务器(SmartCenter)上保存所有防火墙的访问控制策略以及日志记录。 注:下文描述 SmartCenter 是指管理服务器是指 Security Gateway 或 Module 是指防火 墙模块,SmartConsole 是指 SmartCenter 控制客户端。首先我们可以在管理员的机器上安装防火墙客户端控制台， 然后利用控制台的图形化界 面登录 check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发 到防火墙执行模块。具体实现过程见图示：防火墙策略配置步骤： 1. 打开 SmartConsole 并登录到管理服务器(以下简称 SmartCenter) 2. 定义好网络对象(主机、网段、组)对象,引用定义的网络对象配置企业防火墙 安全策略 3. 在 SmartCenter 上将定义好的策略包下发到指定防火墙模块。 4. 在 SmartCenter 上集中对企业防火墙进行管控和日志审计以及排错。 5. 通过 SmartCenter 内建报表服务器统一生成信息安全事件报表。?2011 Check Point Software Technologies Ltd. All rights reserved .第 22 页在上图分布式集中管理防火墙的网络环境中， 需要使用单独的 SmartCenter 集中管理所 有防火墙网关，下面介绍完整的分布式部署防火墙的安装步骤。 注意: 管理服务器可以采用专用硬件平台 Smart-1， 或者使用软件介质安装到开放服务 器平台，为了更好的产品服务和兼容性，通常建议使用 Smart-1。如果使用 Smart-1 平台， 则跳过 2.2.1 节。2.2.1 管理服务器的安装准备好 PC 服务器一台，硬件型号选择请参考 Check Point 官方网站硬件兼容性列表图， 连接如下；http://www.checkpoint.com/services/techsupport/hcl/all.html。然后选择 OK，其他项目如“Device List“是本设备硬件信息列表，?2011 Check Point Software Technologies Ltd. All rights reserved .第 23 页选择键盘模式，建议选择默认 US配置 SmartCenter 管理服务器的 IP 地址与子网掩码以及网关。?2011 Check Point Software Technologies Ltd. All rights reserved .第 24 页配置 SmartCenter 管理服务器登录页面的端口，默认是 https 443 端口， 注: 该端口可以更改，如 4434， 在 Smart-1 设备上，默认使用的 4434 端口。配置完成后，点击“OK“开始格式化硬盘并，安装管理服务器。2.2.2 初始化管理服务器系统如果使用 Open Server 安装管理服务器，则在安装完成后链接网线，访问管理服务器的 IP 地址 https://192.168.1.1 登录初始化页面。 如果使用 Smart-1 专用硬件，管理服务器软件已经内置，具体安装步骤是如下; 首次登?2011 Check Point Software Technologies Ltd. All rights reserved .第 25 页陆 Smart-1 设备，需要连接到“ MGMT ”口，设置 PC 的地址是“ 192.168.1.100 ” ，访问 https://192.168.1.1:4434 登陆管理页面。 =================================================================== 注意事项： 由于初始化管理服务器是通过 WEB 浏览器登录， 因此可能出现的无法登陆页面， 无法打开弹出窗口等问题， 要考虑浏览器版本、 浏览器安全配置等因素， 如果出现异常情况， 建议更换浏览器或者升级浏览器版本尝试。 ====================================================================打开页面后，首先需要接受配置协议选择“I Accept” ，进入下一步，输入初始帐户 “admin”,和密码“admin” ，?2011 Check Point Software Technologies Ltd. All rights reserved .第 26 页为防止密码丢失，管理服务器提供了回复密码的软令牌，首先需要下载密码恢复令牌， 如下图所示，设置密码恢复的问题和答案，需要记住该答案，在恢复密码时使用。记 录 令 牌 的 问 题 与 答 案 后 ， 点 击 Ok, 并 下 载 密 码 恢 复 令 牌 并 妥 善 保 存 ， 文 件 格 式 为 &Hostname&_&Random&.me)， 恢复密码时， 点击 “Forgot your password?” ， 然后点击 “Browse” ， 选择保存的文件，点击“Send” ，然后回答此前设置的问题答案，然后将会生成新密码。?2011 Check Point Software Technologies Ltd. All rights reserved .第 27 页初始化配置页面向导，点击“Next” ，第一次登陆需要修改默认帐户和密码，?2011 Check Point Software Technologies Ltd. All rights reserved .第 28 页配置管理服务器接口 IP 地址，如下图点击需要用作管理接口然后配置 IP，点击“Next”,接口配置完成后，开始配置路由，如下图，选择“Default Route” ，配置默认路由。然 后点击“Next” ，接下来配置 DNS，配置管理服务器的 DNS 地址，点击“Next” ，接着配置管理服务器主机名与 IP 地址；如下所示，配置 SmartCenter 主机名后，系统会 根据主机名生产内部跟证书，因此不要变更 SmartCenter 的主机名称。然后点击“Next” 。?2011 Check Point Software Technologies Ltd. All rights reserved .第 29 页接下来配置系统时间和时区，确认时间配置正确。然后点击“Next” ，然后配置允许 SSH/WEB 方式管理此设备的 IP 地址保证只有授权 IP 能访问和管理此设备。 默认配置是“any” ，可以选择“Add”添加。下面是很重要的步骤，选择管理服务器的模块，由于只做管理服务器功能，因此选择 “Security Management”模块即可。?2011 Check Point Software Technologies Ltd. All rights reserved .第 30 页然后选择此设备为“Primary Security Management”,如果做管理服务器的 HA，则选择 第二个选项。点击“Next” 。下图是配置允许通过 SmartDashBoard GUI 客户端登陆管理服务器的 IP，建议定义防火墙管 理员网段或者 IP 地址，选择“Add”添加。如果允许任何地址登录，则直接输入“any”即可，或者定义指定 IP 或者网段。?2011 Check Point Software Technologies Ltd. All rights reserved .第 31 页下图选择登陆 SmartDashBoard GUI 管理客户端的管理员帐号和密码，选择“Add”添 加防火墙 GUI 管理界面登陆的帐户和密码。如下图所示，添加 SmartDashBoard 管理员帐户 admin，密码******，点击“Apply” 。配置完成上述过程，下面校验所有配置选项，如果配置没有问题，点击“Finish”开始 初始化管理服务器。?2011 Check Point Software Technologies Ltd. All rights reserved .第 32 页2.2.3 管理服务器的高可用性配置通常使用单台管理服务器(SmartCenter)， 可能会存在单点故障的风险， 为消除这中风险， 我们除了定期对管理服务器策略进行备份外， 另外可以部署管理服务器的高可用， 安装第二 台 SmartCenter，安装时直接选择 Secondary SmartCenter，并且输入 SIC, 如前文 2.2.1.2 节 所叙述，下图所示。注意事项； ? 最好与 Primary SmartCenter 同一网段 ? 必须与 Primary SmartCenter 安装相同的组件 ? 必须与 Primary SmartCenter 的操作系统相同 安装完成备份的管理服务器之后，需要登录到主管理上配置第二台管理服务器的属性， 并实现 HA 的配置，这部分的配置需要参考 SmartDashboard 部分如何配置网络对象属性后 再操作，建议在配置 Secondary SmartCenter 前先参考第 2.5 章。 使用 SmartDashboard 登陆 Primary SmartCenter，然后新建 Host 对象，注意主机名、IP、 系统版本与安装的模块，然后同步 SIC 如下图:?2011 Check Point Software Technologies Ltd. All rights reserved .第 33 页选择“Policy” ?“Globle Properties”?“Management High Ability” ，配置 SmartCenter 同 步的方式，选择点击 Save 时同步两台 SmartCenter 和下发策略时同步。配置火墙的 log server， 新增加了备份的 SmartCenter 并安装了 log server， 因此需要在所 有火墙上指定备份的 log server， 直接点击火墙属性， 选择 Logs and Masters ,选择 Log Server，?2011 Check Point Software Technologies Ltd. All rights reserved .第 34 页添加新增的 log server。配置完成后点击“Policy”?“Management High Avalability” ，查看 SmartCenter 高可用 的状态。同时可以用 Read Only 的权限登录备份的 SmartCenter ，通过同样的方式查看 SmartCenter 的状态。如下图所示:?2011 Check Point Software Technologies Ltd. All rights reserved .第 35 页做一个切换， 将 Primary SmartCenter 重启， 如下图所示 SmartView Tracker 断开， Primary SmartCenter 显示 Standby 并且 Failed to connect…以 Read-Write 的权限登陆到 Secondary SmartCenter，可以看到切换已经完成， Secondary SmartCenter 变成 A?2011 Check Point Software Technologies Ltd. All rights reserved .第 36 页Primary SmartCenter 工作时，Secondary SmartCenter 不记录 log。2.2.4 防火墙管理客户端安装安装完成管理服务器和初始化防火墙后，下面需要在防火墙管理员的计算机上安装防火 墙管理客户端，即 SmartConsole ，首先通过管理服务器页面下载 SmartConsole 工具， https://Managment IP:4434，点击“Production Configuration”?“Download SmartConsole”, 程序下载到本地计算机后，点击安装程序，出现如下界面，点击”Next” ========================================================== 注意事项： 安装 SmartConsole 需要客户端安装有.Net 2.0 工具。 ==========================================================?2011 Check Point Software Technologies Ltd. All rights reserved .第 37 页然后选择默认安装所有模块，点击“Next”,选择 SmartConsole 安装路径，选择默认安装路径在 C 盘，点击“Next”继续安装程序，?2011 Check Point Software Technologies Ltd. All rights reserved .第 38 页安装完成后点击“Next”,开始安装，最后点击“Finish”完成管理客户端安装，安装 完成后在计算机程序中可以找到程序的快捷方式，选择 SamrtDashboard 可以登录 SamrtCenter,然后做网络对象和安全策略等配置。?2011 Check Point Software Technologies Ltd. All rights reserved .第 39 页2.3系统和网络配置2.3.1 系统层配置2.3.1.1 系统密码配置通过 Web 的方式登录到 SecurePlatform 系统的登录界面，输入用户名和密码登陆后， 选择“Device” ?“Device Administrators”进行更改密码；该密码为 web 登陆密码，同后面登陆 SSH 访问命令行的密码是同一密码。2.3.1.2 时间及 NTP 配置选择“Device” ?“Date and Time”进行时间的更改，先选择所在的时区，然后再修 改具体时间，点击“Apply”生效；选择“Device” ?“Date and Time” ? “Use Network Time Protocol (NTP) to?2011 Check Point Software Technologies Ltd. All rights reserved .第 40 页synchronize the clock”，进行 NTP 的配置。输入 NTP 服务器的 IP 地址，点击“Apply” 使配置生效；2.3.1.3 主机名配置选择“Network” ? “Domain”进行主机名的配置； 输入新的主机名点击“Apply” 使 配置生效；2.3.1.4 SSH、HTTPS 访问权限配置为保证 SecurePlateform 系统的安全性，建议对需要访问系统的地址或网段进行配置， 具体配置如下； 选择“Device” ? “Web and SSH Clients”配置需要访问系统的单个 IP 地址或者网段；点击“Apply”保存配置。?2011 Check Point Software Technologies Ltd. All rights reserved .第 41 页2.3.1.5 SNMP 配置如果用户现场需要通过 SNMP 网管系统搜集和监控防火墙状态，则需要在防火墙上配置 SNMP 属性，具体配置过程如下； 1. 登录到 SecurePlatform 命令行界面， 2. 切换到“Expert”专家模式下 3. 启用 SNMP 服务，运行“snmp service enable” 4. 配置 SNMP daemon a.运行 cpconfig b.选择“SNMP extentions” c.输入“y”敲回车 配置到此，操作系统的 MIB(management Information Base)与 Check Point MIB 都监听在 161 端口。 5. 校验 SNMP 的运行，运行如下命令检查； ps aux | grep snmp netstat -an | grep 161 ps aux | grep cpsnmp snmpwalk -c public -v2c 127.0.0.1 1.3.6.1.2.1 (检查 OS MIB) snmpwalk -c public -v2c 127.0.0.1 1.3.6.1.4.1.2620 (检查 the Check Point MIB) 如 果 运 行 上 述 命 令 没 有 任 何 响 应 ， 可 能 SNMP Agent 运 行 不 正 常 ， 那 么 建 议 在 $FWDIR/conf/snmp.C 文件中添加 SNMP 的 community name。配置过程如下： 运行“cpstop” 用 vi 打开$FWDIR/conf/snmp.C 文件，找到 community name 选项； ========================================= :snmp_community ( :read (&community name&)?2011 Check Point Software Technologies Ltd. All rights reserved .第 42 页:write () ========================================== 保存文件并退出，运行“cpstart” 。2.3.2 接口配置2.3.2.1 接口 IP、MTU 配置配置设备网络接口属性，如 IP 地址，接口速率、双工模式等。以 eth1 口为例在网络连 接配置界面点击“eth1” 。进入外网口的配置界面，添加 IP 地址和子网掩码，点击“Apply”保存；用同样的方法 配置内网口和同步口。双工、速率、以及 MTU 均可以在如下图接口属性上修改。配置完成后回到 connections 界面核对接口 IP 配置， 如果以后需修改配置， 方式与上文相同。2.3.2.2 子接口的配置配置防火墙 Vlan 子接口，仍然在网络连接配置界面，点击网络连接界面里面“New”?2011 Check Point Software Technologies Ltd. All rights reserved .第 43 页选项，下拉菜单可以看到“VLAN”属性。进入子接口连接配置界面，配置“Interface” 、 “VLAN Number”和“IP”地址等属性。配置完成后，返回“connections”属性，回到网络连接界面检查子接口的配置，如下图所示；?2011 Check Point Software Technologies Ltd. All rights reserved .第 44 页2.3.2.3 配置端口聚合配置端口聚合，如下图点击网络连接界面里面的 New，下拉菜单可以看到“Bond”。点击“Bond” ，出现端口聚合配置界面，将需要聚合的端口从“Available”中 “Add”到 “Selected Members”中，添加聚合端口的 IP 地址和子网掩码。配置好聚合端口 IP 后， 在 “Bond” 配置页面可以看到端口聚合可以配置成 “Load Sharing” 模式，即可以配置端口工作在端口聚合负载均担模式，?2011 Check Point Software Technologies Ltd. All rights reserved .第 45 页点击上图“Advanced Bond Properties”属性，可以配置更多端口聚合的参数，如聚合端 口的 MTU 值， “LCAP rate”等，如下图所示；配置完成后如下图所示， “Lan2”和“Lan3”为端口聚合接口，名称为“bond0” 。如果要删除端口聚合，如下图选择“bond0” ，然后选择“Delete”即可删除端口聚合。?2011 Check Point Software Technologies Ltd. All rights reserved .第 46 页2.3.2.4 配置端口冗余配置端口冗余，如下图点击网络连接界面里面的 New，下拉菜单可以看到“Bond”。点击“Bond” ，出现端口聚合配置界面，将需要聚合的端口从“ Available”中 “Add”到 “Selected Members”中，添加聚合端口的 IP 地址和子网掩码。配置好聚合端口 IP 后，在“ Bond ”配置页面可以看到端口聚合可以配置成“ High Availability”模式，即配置端口端口工作在主备模式，具体选择视客户网络环境灵活配置。?2011 Check Point Software Technologies Ltd. All rights reserved .第 47 页2.3.2.5 配置桥模式接口如果客户网络环境是将防火墙部署成透明模式， 则需要配置防火墙为桥模式， 桥模式具 体配置是点击网络连接界面里面的“New” ，下拉菜单可以看到“Bridge” 。点击“Bridge” ，进入网桥的配置界面，将“Available”中选择需要的网桥的接口“add” 到“Selected Members”中。到 connections 界面， 检查 Bridge 接口的配置， 如下图所示例如 Lan2 和 Lan3 接口为桥接口。?2011 Check Point Software Technologies Ltd. All rights reserved .第 48 页如需删除防火墙的桥模式接口，则首先选择“br0” ，再点击“Delete”即可删除桥模式。2.3.3 路由配置2.3.3.1 配置默认路由选择“Network” ?“Route” ，点击“New” ?“Default Route”设置默认路由；?2011 Check Point Software Technologies Ltd. All rights reserved .第 49 页进入默认路由配置界面，配置 Gateway，点击“Apply”保存配置。2.3.3.2 配置静态路由选择“Network” ?“Route” ，点击“New” ?“Route”配置静态路由；进入静态路由配置界面，配置目标网段，下一跳网关，点击“Apply”保存配置。?2011 Check Point Software Technologies Ltd. All rights reserved .第 50 页2.3.3.3 OSPF 动态路由配置SecurePlateform 平台配置 OSPF 动态路由需要通过 SSH 登入命令行界面，通过命令配 置。只有 SecurePlateform Pro 支持 OSPF 动态路由，首先使用“pro enable”命令开启 SecurePlatform pro features，需要使用“reboot”重启系统完成操作。重启完毕后，使用“router”命令进入高级路由模块配置 OSPF（高级路由模块配置命 令与 Cisco 配置命令相同） ，配置示例如下： [CPC]# router localhost&enable localhost#configure terminal localhost(config)#router ospf 1 localhost(config-router-ospf)#router-id 127.1.1.2 #设置 OSPF 的 router ID/ localhost(config-router-ospf)#network 100.100.101.0 0.0.0.255 area 0.0.0.10 #发布参与 OSPF 的路由 localhost(config-router-ospf)#network 200.200.1.0 0.0.0.255 area 0.0.0.10 #发布参与 OSPF 的路由 localhost(config-router-ospf)# redistribute direct (将通过 SPLAT web 或者 sysconfig 定义的静态路重分布进 OSPF) localhost(config-router-ospf)#redistribute kernel (将 OS 上根据接口定义的路由重分布进 OSPF) localhost(config-router-ospf)#restart-type signaled (用于 Cluster 模式时加快 OSPF 的 failover) localhost(config-router-ospf)#exit localhost(config)#interface bond0 localhost(config-if)#ip ospf 1 area 0.0.0.10 localhost(config-if)#enable localhost(config-if)#exit localhost(config)#exit localhost#write memory (保存配置) localhost#quit [CPC]# 路由模块常用命令： localhost#show run[CPC]# router localhost&en?2011 Check Point Software Technologies Ltd. All rights reserved .查看详细配置第 51 页localhost#show run Building configuration... router ospf 1 restart-type signaled router-id 127.1.1.2 network 100.100.101.0 0.0.0.255 area 0.0.0.10 network 200.200.1.0 0.0.0.255 area 0.0.0.10 redistribute kernel redistribute direct exit interface bond0 ip ospf 1 area 0.0.0.10 exit exitlocalhost#show ip ospf neighborlocalhost#show ip ospf neighbor Routing Process &ospf 1&:查看 OSPF 邻居Neighbor 100.100.101.2, interface address 100.100.101.2 In area 0.0.0.10 interface eth1 Neighbor priority is 1, state is Full 6 state changes DR is 100.100.101.3 BDR is 100.100.101.2 Options is 18 Dead timer is due in 37 seconds Neighbor 100.100.101.2, interface address 101.100.101.2 In area 0.0.0.10 interface eth4 Neighbor priority is 1, state is Full 6 state changes DR is 101.100.101.3 BDR is 101.100.101.2 Options is 18 Dead timer is due in 32 secondslocalhost#show ip routelocalhost#show ip route查看路由表信息Codes: C - connected, S - static, R - RIP, B - BGP, O - OSPF D - DVMRP, 3 - OSPF3, I - IS-IS, K - Kernel A - Aggregate O C O O C O 0.0.0.0/0 1.1.1.0/24 23.23.23.0/24 24.24.24.0/24 100.100.101.0/24 100.100.102.0/24 [12/150] via 192.168.110.238, 00:22:17, eth0 via 192.168.110.238, 00:22:17, eth0 [1/0] via 1.1.1.1, 00:22:54, eth7 [12/10] via 101.100.101.2, 00:22:17, eth4 via 100.100.101.2, 00:22:17, eth1 [12/10] via 101.100.101.2, 00:22:17, eth4 via 100.100.101.2, 00:22:17, eth1 [1/0] via 100.100.101.3, 00:08:04, eth1 [11/10] via 101.100.101.2, 00:22:17, eth4?2011 Check Point Software Technologies Ltd. All rights reserved .第 52 页via 100.100.101.2, 00:22:17, eth1 O O C S C C C C C K 100.100.104.0/24 100.100.105.0/24 101.100.101.0/24 127.0.0.0/8 127.0.0.1/32 127.1.1.0/24 192.168.110.0/24 200.200.1.0/24 200.200.2.0/24 200.200.4.0/24 [11/10] via 101.100.101.2, 00:22:17, eth4 via 100.100.101.2, 00:22:17, eth1 [12/10] via 101.100.101.2, 00:22:17, eth4 via 100.100.101.2, 00:22:17, eth1 [1/0] via 101.100.101.3, 00:22:54, eth4 [0/0] via 127.0.0.1, 00:22:54, lo [1/0] via 127.0.0.1, 00:22:54, lo [1/0] via 127.1.1.1, 00:22:54, loop00 [1/0] via 192.168.110.236, 00:22:54, eth0 [1/0] via 200.200.1.2, 00:22:54, eth3 [1/0] via 200.200.2.2, 00:22:54, eth2 [0/40] via 200.200.1.4, 00:22:54, eth3localhost#2.3.3.4 等价路由配置先拷贝 ECMP 的 Hotfix 程序如下文件到防火墙/var/tmp 目录， 1. dr_splat_.tgz 2. sim_.tgz 3. routeassistd 4. routeassistdscript 5. 将 routeassistd 复制到/bin 路径，将 routeassistdscript 复制到/etc/init.d 目录。 6. 然后安装文件 dr_splat_.tgz 与 sim_.tgz，过程如下， ================================================================== [Expert@CPA]# tar xvfz dr_splat_.tgz #解压 Hotfix 文件。 CPadvr-R75-00.i386.rpm [Expert@CPA]# rpm -ihv CPadvr-R75-00.i386.rpm #安装该文件 Preparing... ########################################### [100%] 1:CPadvr ########################################### [100%] ************************************************************** DO NOT FORGET TO: Log in again and run cpstart in order to activate the product. ************************************************************** ******************************************************* Check Point Advanced Routing R75 installation complete. ******************************************************* [Expert@CPA]# tar xvfz sim_.tgz [Expert@CPA]# rpm Cihv 解压文件.rpm =================================================================== 7. 添加 ECMP 静态路由 所有 ECMP 静态路由目前只有通过写路由到启动文件中添加，按照红色标记部分添加 添加 ECMP 等价路由到 rc.local 文件中。?2011 Check Point Software Technologies Ltd. All rights reserved .第 53 页=================================================================== [Expert@CPA]# vi /etc/rc.local #!/bin/sh # This script will be executed *after* all the other init scripts. # You can put your own initialization stuff in here if you don't # want to do the full Sys V style init stuff. touch /var/lock/subsys/local if [ -f /opt/CPshared/5.0/tmp/.CPprofile.sh ]; then # Register log rotation process . /opt/CPshared/5.0/tmp/.CPprofile.sh cpd_sched_config add RotateLogs -c /sbin/cp_logrotate -e 100 -s fi if [ -f /etc/rc.d/rc.local.user ]; then . /etc/rc.d/rc.local.user fi ip route add 200.200.4.0/24 nexthop via 200.200.1.4 nexthop via 200.200.2.4 ip route add 23.23.23.0/24 nexthop via 100.100.101.2 nexthop via 101.100.101.2 ~/etc/rc.local: unmodified, readonly: line 1 [Expert@CPA]#/etc/rc.local 运行 rc.local 文件。 =================================================================== 8. 启动 ECMP 服务进程 [Expert@CPA]# chkconfig --add routeassistdscript 9. 重启系统路由模块进程 [Expert@CPA]# drouter start #重启路由模块服务 [Expert@CPA]# cpstart #重启防火墙服务2.3.3.5 查看等价路由信息通过 SSH 登入命令行界面，使用“router”命令进入高级路由模块，执行如下命令： [Expert@CPA]# ip route 224.0.0.2 dev lo proto gated scope link 224.0.0.6 dev lo proto gated scope link 224.0.0.5 dev lo proto gated scope link 23.23.23.0/24 proto none nexthop via 100.100.101.2 dev eth2 weight 1 nexthop via 101.100.101.2 dev eth3 weight 1 8.8.8.8 via 100.100.101.6 dev eth1 127.0.0.1 dev lo proto kernel scope link 127.1.1.0/24 dev loop00 proto kernel scope link src 127.1.1.1 100.100.101.0/24 via 101.100.101.2 dev eth4 proto none 100.100.101.0/24 dev eth1 proto kernel scope link src 100.100.101.3 100.100.102.0/24 via 100.100.101.2 dev eth1?2011 Check Point Software Technologies Ltd. All rights reserved .第 54 页101.100.101.0/24 dev eth4 proto kernel scope link src 101.100.101.3 23.23.23.0/24 via 101.100.101.2 dev eth4 proto none 192.168.110.0/24 dev eth0 proto kernel scope link src 192.168.110.236 200.200.4.0/24 proto none nexthop via 200.200.2.4 dev eth2 weight 1 nexthop via 200.200.1.4 dev eth3 weight 1 1.1.1.0/24 dev eth7 proto kernel scope link src 1.1.1.1 100.100.104.0/24 via 100.100.101.2 dev eth1 100.100.105.0/24 via 100.100.101.2 dev eth1 200.200.2.0/24 dev eth2 proto kernel scope link src 200.200.2.2 200.200.1.0/24 dev eth3 proto kernel scope link src 200.200.1.2 24.24.24.0/24 via 100.100.101.2 dev eth1 127.0.0.0/8 dev lo scope host [Expert@CPA]#2.4防火墙 HA 配置2.4.1 SmartCenter 配置 ClusterXL 属性完成在 UTM-1 初始化防火墙后，需要在 SmartDashboard 上配置 Cluster 网络对象，首 先打开 SmartDashboard 创建一个 Cluster 对象。打开 SmartDashboard,登陆到 Smart Center，选择”Network Object“，右键点击&Check Point&，选择“Security Cluster”--&“UTM-1/Power-1/Open Server Cluster/IP Series” 建立 Cluster 对象。?2011 Check Point Software Technologies Ltd. All rights reserved .第 55 页弹出如下界面，选择 Wizard Mode 或者“Classic Mode”传统配置 Cluster 模式的方式， 通常选择 “Classic Mode” ， 然后选择左下角 “Don?t show this again” 以后默认用 “Classic Mode” 配置。点击“Classic Mode”后，出现如下图 Cluster 配置界面，首先定义 Cluster 对象的名称， Cluster IP 地址， 通常建议写防火墙内网口虚地址 IP， 然后检查 “Hardware” ， “Version” ， “OS” 等信息确认配置正确， 然后选择 Cluster 需要启用的功能模块，选择“Firewall” ， “ClusterXL”功能模块，如下 图所示；?2011 Check Point Software Technologies Ltd. All rights reserved .第 56 页然后在左侧选择&Cluster Members&， 新建 “Cluster Members” 并初始化火墙模块的 SIC。 首先在 Cluster Member 页面，点击“Add”?“New Cluster Member” ，然后配置 Cluster Member 如下属性，如防火墙主机名，IP 地址、然后在弹出在窗 口输入“Name”和“IP address” ，点击“Communication”建立“SIC” 。?2011 Check Point Software Technologies Ltd. All rights reserved .第 57 页如下图在“one-time password”中输入防火墙展开时创建的“Activation Key” ，然后点 击“Initialize”如下图，按钮完成 SIC 建立。完成后可以点击 Test SIC Status 按钮查看状态显示 SIC Status for CPA: Communicating， 则 CPA 与 SmartCenter 的 SIC 成功建立，然后按照同样的方法添加 CPB 防火墙。添加完 Cluster Member 防火墙后，然后选择 Cluster 对象左窗栏中“ClusterXL”选项，如下 图所示，建立防火墙 HA 配置， 选择“High Availability” ，Mode 选择“New” ，?2011 Check Point Software Technologies Ltd. All rights reserved .第 58 页然后配置“Topology”，进入“Topology”选项页面，选择“Edit” 。然后从左侧选择“Topology” ，编辑“Topology”属性并且选择下面“Get All member topology” ，然后配置防火墙上虚拟接口的 IP。如下图所示。如果不确定用户的网络环境， 以及内部的网段，建议取消接口“anti-spoofing”功能。最后回到防火墙属性界面， 在左侧选择 “General Properties” 属性页面， 点击&Get OS&. 如 果 SIC 配置正确火墙和 SMC 正常通信，则 OS 的类型会自动改变成&Secureplatform&，配置 火墙的版本。点击 OK，校验 License 文件正常安装，配置好策略好下发策略，策略配置具 体过程也可以参考 2.5 节。?2011 Check Point Software Technologies Ltd. All rights reserved .第 59 页2.5防火墙对象和策略配置2.5.1 配置网络对象在前文了解 Check Point 防火墙管理构架后，下面就从防火墙管理的第一步开始，首先 登录到 SmartConsole，点击“开始”， “程序”打开安装好的 SmartConsole 文件，如下图项目 CheckPoint Configuration SmartDashboard SmartView Tracker SmartEvent Tools SmartEvent Intro SmartProvisioning SmartReporter SmartUpdate SmartView Monitor 管理服务器初始化配置向导模块 防火墙策略配置模块 防火墙策略日志查看模块 防火墙安全事件查看模块 Check Point 其他产品配置工具 SmartEvent 介绍演示模块 分支办公室设备管理 事件报表模块 License 与防火墙软件管理模块 防火墙性能与状态管理模块打开 SmartDashboard，使用 SmartCenter 帐户登录链接到管理服务器 IP 地址。?2011 Check Point Software Technologies Ltd. All rights reserved .第 60 页首次使用 SmartDashboard 登录，会提示是否接受指纹，点击 Approve注：Fingerprint 用于唯一标识该 GUI 客户端，首次登录才会出现，以后不会再提示 配置网络对象分别包括主机、网段、组对象、地址段对象，稍后将在定义安全策略时引 用预先定义的网络对象，下面详细介绍配置步骤。2.5.1.1 配置网关对象如果两台防火墙启用 HA，则添加 Security Cluster 对象。如果不启用 HA，则添加单个 Security Gateway 对象。下面举例配置 Cluster 对象。 2.5.1.1.1 配置 Security Cluster 对象登录 SmartDashboard， 右击 “CheckPoint” ? “Security Cluster” ? “UTM-1/Power-1/Open Server Cluster/IP Series”?2011 Check Point Software Technologies Ltd. All rights reserved .第 61 页可以通过两种方式添加网关对象，向导模式和典型模式，可根据个人喜欢选择。建议通过典 型模式，简洁方便。选择?Don?t show this again?下次不再提示，点击 Classic Mode输入 Cluster 对象名称和 IP 地址 ( 一般使用防火墙外网口的虚地址 ) ，硬件平台选择 UTM-1 或者 Power-1，CheckPoint 版本为 R75。在 Network Security 区域选择需要启用的软 件刀片 Firewall 和 Monitoring，以及 ClusterXL。点击左边栏“Custer Members” ，点击“Add”?“New Cluster Member” 。?2011 Check Point Software Technologies Ltd. All rights reserved .第 62 页输入第一台防火墙主机名和 IP 地址，点击“Communicaton”按钮建立 SIC输入 One-time password ，该值为通过 cpconfig 初始化 CheckPoint 安装包时建立的 Activation Key，详见，然后点击 Initialize 按钮。 注意: 这里的 One-time password 即前文 2.4.1 节介绍输入“Enter Activation Key:”的值。成功完成后显示已建立信任关系， 如下图所示；Trust state 显示“Trust established” 。可点击“Test SIC Status”按钮查来连接状态，显示 Communicating 则防火墙与管理服 务器(SmartCenter)连接状态正常。?2011 Check Point Software Technologies Ltd. All rights reserved .第 63 页按同样方式添加另外一台 Security Gateway，最终显示两个 member。然后配置 ClusterXL 属性， 点击 “ClusterXL” 在右边选项中选择 “High Availability” ， “Mode” 选择“New”模式，即 HA 主备模式，在“Upon Cluster Member recovery”选择第一项维持 当前“Active”的设备为主设备，即不抢占模式。?2011 Check Point Software Technologies Ltd. All rights reserved .第 64 页在 Topology 页面，点击?Edit Topology?按钮 get 防火墙接口信息点击 Get-&All Members? Interfaces，获取防火墙接口地址?2011 Check Point Software Technologies Ltd. All rights reserved .第 65 页点击 Cluster 对象的?Get Topology?按钮， 获取 Cluster 的 IP 地址， 并在 Network Objective 列， 如果没有出现虚地址 IP，则手工添加虚地址对象。注：心跳接口选择 1st Sync，如果配置了多个心跳接口，可依次选择 2nd Sync、3rd Sync。 定义接口位置并在各接口上禁用 Anti-Spoofing。选择接口，点击 Edit 按钮在 Topology 选项卡，如果是外网口，选择 External，取消 Anti-Spoofing 选项?2011 Check Point Software Technologies Ltd. All rights reserved .第 66 页如果是内网接口，选择 Internal 和 Network defined by the interface…，并取消 Anti-spoofing?2011 Check Point Software Technologies Ltd. All rights reserved .第 67 页2.5.1.1.2网关对象的防地址欺骗(Anti-Spoofing)说明是 Check Point 防火墙为了防止地址欺骗具有的独特功能，其机制是在防火墙对接口上 所有报文进行地址来源检测， 假如在黑客从 Internet 伪造企业内网的 IP 地址企图绕过访问控 制策略， 则攻击报文首先会通过防火墙外部接口转发到内部网络， 如果启用了 Anti-Spoofing， 防火墙将会检测该数据包的来源并来至内部网络的报文， 因此是不受信任区域请求过来的伪 造报文，防火墙会丢弃该数据报文。 为了细化和明确网络区域的所在的位置，通常我们建议启用 Anti-Spoofing 具体在每个 防火墙接口后面，定义该接口后面所有内部的地址和网段，作为信任的网络区域，比如将这 些受信任的网段分别加到一个 “Group” 网络对象， 然后在 “Specific” 配置上指定这个 “Group” 是该网络接口之后的信任区域网络资源。然后勾选“Perform Anti-Spoofing based on interface topology”选项。 但是， 此功能在大型网络中通常比较难于启用， 网络管理员如果不了解自己的网络地址 规划， 有可能忽略部分的网段}