CP防火墙维护培训手册

NOKIA-CP防火墙维护手册TomasSimon2006年4月12日课程模块模块一NOKIA平台介绍模块二CheckPoint介绍模块三配置VPN模块一NOKIA平台介绍本模块的主要内容NOKIA完整的服务架构NOKIA产品线介绍IPSO3.8介绍基本的voyager配置介绍NOKIA的简单维护NOKIA的监控功能NOKIA完整的服务架构硬件平台层应用层管理层支持层NOKIA产品线介绍SOHOIP30Lessthan25usersEnterpriseIP120IP130IP330IP350IP380IP530250–1000hostsprotectedCarrier/xSPIP710IP740IP1260Over1000HostsNOKIA产品线介绍NOKIA产品线介绍IPSO3.8介绍IPSO开始于一个干净的微内核的操作系统，内核中没有其他任何的额外服务；内核是由FreeBSD衍生出来,意味着IPSO是一个UNIX-based操作系统内核充分利用了包交换技术。事实上NOKIA防火墙可以被当作一个路由器来使用。IPSO作为一个操作系统,所以NOKIA平台上可以运行一些第三方的应用程序，比如：CheckPointFireWall-1andISSRealSecure3.8基本voyager配置介绍COM口连接9600,8N1,noParity,NullModemCable,noflowcontrol基本voyager配置介绍ModelIP100–IP300SeriesIP440IP530andupBootmanageron:DiskPartitionNoneFLASH提供多种选择的启动shell:•选择启动的内核•恢复出厂设置•单/多用户模式•预启动网络配置•诊断/修正信息•恢复Bootmanager密码基本voyager配置介绍1.给计算机选择一个FQDN名字，但不是必须的；2.在HOSTNAME后输入“toivonen”3.确认你的选择为缺省用户“admin”选择一个密码；确认一次密码；基本voyager配置介绍4.选择以后配置NOKIA平台的模式；5.选择一个接口进行配置；基本voyager配置介绍6.给被选择的接口分配一个IP地址，并分配一个子网掩码；7.配置速率和模式；8.确认配置信息；基本voyager配置介绍9.打开IE浏览器，输入NOKIA的IP地址；10.证窗口将出现在你的面前；基本voyager配置介绍正确的输入了登录的用户名和密码，你将进入NokiaVoyagerhome页面基本voyager配置介绍ConfigureMonitor基本voyager配置介绍XRemember:不要在浏览器中使用BACK键-回到上一个页面-回到Config页面-回到Home页面Remember:经常使用APPLY和SAVE键-在当前页面应用这些设置-保存当前运行的配置文件到disk硬盘中基本voyager配置介绍点击“Config”键，进入配置界面；以下为配置主界面；基本voyager配置介绍时间、时区的配置点击“SystemConfiguration”-“LocalTimeSetup”进入time配置界面基本voyager配置介绍网络接口的设置点击“Top”回到主配置界面点击“Interfaces”进入接口配置界面基本voyager配置介绍物理接口的设置点击对应接口的“physical”在“PhysicalConfiguration”,改变接口的linkspeed和duplex点击“Apply”和“Save”基本voyager配置介绍逻辑接口的设置点击“Up”键回到“InterfaceConfiguration”界面将给对应的接口分配IP地址选择对应接口的“LogicalInterface”进入“LogicalInterface”配置界面基本voyager配置介绍给接口分配IP地址给接口输入相应的IP地址和子网掩码长度；选择“On”，激活接口；可以修改接口的逻辑名字；点击“Apply”and“Save”点击“Up”回到“InterfaceConfiguration”界面；基本voyager配置介绍静态路由点击“Top”键回到主配置界面；点击“RoutingConfiguration”-“StaticRoutes”基本voyager配置介绍配置缺省网关在“Gateway”一栏,确保default的状态是“on”，并被配置了正确的IP地址；如果没有被设置，见下一页；基本voyager配置介绍配置缺省网关选择“GatewayType–address”；点击“Apply”新的“GatewayAddress”一栏出现；输入正确的“GatewayAddress”,“Description”和“Priority”；这个“GatewayAddress”被识别为上一级的路由器；点击“Apply”和“Save”基本voyager配置介绍配置主机名称表点击“SystemConfiguration”-“HostAddressAssignment基本voyager配置介绍1.输入一个设备的计算机名；2.所有做HA的设备必须列出各自的计算机名；3.这还要包括管理服务器4.输入确切的IP地址5.点击“Apply”和“Save”基本voyager配置介绍建立备份管理员和监控用户点击“SecurityandAccess”“Configuration”“Users”；UID为0的用户被认为admin用户；监控用户有只读权限：UID102为RO权限监控用户可以CLI登录监控用户可以进入Config，但不能改变任何设置和保存；1.创建管理员用户名Apply2.设置管理密码Save基本voyager配置介绍DNS设置点击“DNS”进入配置界面；输入domain名字和DNS服务器；日志文件中的反相查询需要DNS功能；NOKIA的简单维护Voyager•需要FTP服务器•比较少的人为操作在CLI下使用newpkg命令：•从IPSO得到更到的反馈•可以从不同的从程序安装两种方式的安装和升级软件NOKIA的简单维护从voyager安装软件1.输入FTP服务器信息；2.选择要下载的包；3.点击APPLY进行拷贝；123NOKIA的简单维护564.选择要安装的包，点击APPLY；5.点击出现的超级链接进行安装；6.选择installorupgrade这个链接；4NOKIA的简单维护•安装完成后还需要做一些事情:重新登录；•安装完成的包显示在列表中；NOKIA的简单维护从CLI安装软件使用Newpkg命令选择CLI的安装速度很快；记住选项-n:说明包的名字-i:只安装，不激活REMEMBER:安装软件之前，检查MD5IPSO3.8Build23NOKIA的简单维护NOKIA的简单维护BackupMethodDescriptionNotes1管理配置设置SavesIPSOconfigJustsavesVoyagerconfigurationConfigfileistext,local,andmustbecopiedofftheNokiaIPSecurityPlatform2配置的备份和恢复SavesIPSOconfigLogFilesHomeDirectoriesApplicationSettingsFilesare.tgzandplacedinthe/var/backupdirectoryFilesarelarge,andneedtobecopiedoffoftheNokiaIPSecurityPlatformJobscanbescheduledNOKIA配置的备份NOKIA的简单维护管理配置设置点击ManageConfigSets配置保存在/config/db/目录；选择一个新的配置，并将该配置载入为active配置；点击‘save’操作将覆盖active配置文件；可以实现出厂缺省设置；可以通过FTP把本地的配置文件保存到另外机器上。NOKIA的简单维护配置的备份和恢复点击ConfigBackupandRestore；配置保存在/config/db/目录；选择你要备份；定制一个备份计划任务；从/var/backup恢复通过Voyager’sFTP或者HTTP选项把备份文件恢复到NOKIA平台NOKIA的简单维护两种方式升级IPSO版本1.Voyager进入ManageIPSOImages界面进入NEWIMAGE界面2.在CLI下使用newimage命令这些升级IPSO版本的方法将保留Voyager的设置。NOKIA的简单维护从Voyager升级IPSO简单需要服务器使用FTPorHTTP测试是否可启动NOKIA的简单维护从CLI升级IPSO用newimage命令把另一版本的OS放到HD上；Newimage[usagesyntax]模块二CheckPoint介绍本模块的主要内容CheckPoint公司介绍OPSEC技术介绍CheckPoint的主要优势CheckPoint的安全架构CheckPoint的安装、配置CheckPoint的日志查看CheckPoint公司介绍CheckPoint公司是世界上发展速度最快的软件公司之一，在网络防火墙市场上持续保持领先地位。作为世界领先的IP网络策略管理解决方案供应商，CheckPoint公司的产品包括：领先的企业安全解决方案FireWall-1,VPN解决方案VPN-1和带宽管理解决方案FloodGate-1。其全资子公司MetaInfo提供先进的网络和IP地址管理软件，以简化复杂网络的配置、集成和管理。公司总部位于美国加利福利亚州雷德伍德城。OPSEC技术介绍CheckPoint专利的OPSEC（OpenPlatformforSecureEnterpriseConnectivity）技术为各厂商安全产品的整合提供了方便统一的接口，CheckPointFireWall-1可以有效地集成第三方的安全产品，为企业网络安全提供了统一、全面、灵活的管理平台，因而覆盖了网络安全的方方面面。您甚至可以通过FireWall-1管理Cisco、Bay、Xylan等网络设备供应商的不同产品。CheckPoint主要优势企业集中管理下的分布式客户机/服务器结构对网络应用的广泛支持增强的加密和身份认证功能精确可靠的内容安全开放的平台，更多的选择全方位的安全解决方案CheckPoint的安全架构管理安全策略，对象数据库，日志数据库和协调管理员登录用户接口，用于建立对象和安全策略，查看日志和FW状态，维护控制模块FWM执行安全策略，并向管理服务器报告状态和日志数据ManagementServer(SmartCenterServer)Multiplefirewallmodules(FWM)EnforcementPointsManagementModule(SmartConsole)CP各个组件支持不同的系统平台•Nokia•Windows•Solaris2•SunOS4•HP-UX•AIX•RedHatLinux•OthersSmartConsole(GUI)DatabasesFWMFWDSmartCenter(Management)Server•Windows•X/Motif•Nokia•Windows•Solaris2•SunOS4•HP-UX•AIX•LinuxEnforcement(Firewall)ModuleFWDSecurityserversInspectionModuleSNMPCheckPoint的安全架构CP组件的不同组合CheckPoint的安全架构CheckPoint的安装、配置CheckPoint执行模块的安装1、通过voyager安装CP软件包CheckPoint的安装、配置2、通过console口连接防火墙，执行cpco