《[解决方案]CheckPoint防火墙热备实施方案.doc》由会员分享,可在线阅读,更多相关《[解决方案]CheckPoint防火墙热备实施方案.doc(41页珍藏版)》请在三一文库上搜索。
1、CheckPoint防火墙热备实施方案目录第一章 客户环境概述. 41.1概述. 41.2网络拓扑与地址分配表. 41.3安装前准备事宜. 6第二章 Nokia IP380安装与配置. 72.1概述. 72.2初始化nokia380. 72.3设置nokia基本信息. 82.3.1 Nokia 端口IP地址设定. 82.3.2设置网关路由. 82.3.3设置Nokia平台时间. 92.3.4设定Nokia高可用VRRP参数. 92.4初始化checkpoint. 142.4.1在nokia平台上checkpoint的安装与卸载. 142.4.2初始化checkpoint. 16第三章 管理服务
2、器的安装与配置. 173.1checkpoint smartcenter的安装. 183.1.1安装前的准备. 183.1.2安装步骤. 183.2配置checkpoint对象和参数. 203.2.1 建立sic. 203.2.2 定义防火墙对象拓扑结构. 213.2.3使用同样的步骤按照表1的参数建立IP380B checkpoint gateway对象。. 213.3基于nokia vrrp或者cluster的设置. 223.3.1基于Nokia VRRP的设置. 223.3.2为nokia vrrp定义策略. 223.3.3高可用性的检查. 233.4nokia cluster 的设置.
3、 233.5暂时没有. 23第四章 策略设定. 244.1概述. 244.2 netscreen的策略. 244.3经过整理后转换成checkpoint的策略. 244.4 设定策略. 244.4.1 定义主机对象. 244.4.2 定义网络对象. 254.4.3定义组. 264.4.4 定义服务. 264.4.5 添加标准策略. 274.4.6 添加NAT策略. 27第五章 切换与测试. 295.1切换. 295.2测试. 295.3回退. 30第六章 日常维护. 316.1防火墙的备份与恢复. 316.1.1 nokia 防火墙的备份与恢复方法. 316.1.2 checkpoint ma
4、nagement 上的备份与恢复. 33第一章客户环境概述1.1概述XXXXXX公司因应企业内部的网络需求,对总部网络进行扩容改动,中心防火墙从原来的netscreen换成两台Nokia IP380,两台nokia互为热备。维持原有的服务不变。由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换北京集团网管中心1.2网络拓扑与地址分配表 XXXXXX改造前网络拓扑如下改动后,XXX将按照以下图进行实施给个设备及端口的地址分配入下表所示IP地址分配表(表1)管理服务器参数IP地址防火墙各端口参数端口用途Nokia380ANokia380B虚拟地址Eth1外网口Eth2DMZ172.1
5、6.100.5/30172.16.100.6/30172.16.100.1/30Eth3内网10.101.1.101/2410.101.1.102/2410.101.1.1/24Eth4 ?同步口192.168.11.1/24192.168.11.2/24gateway静态路由1.3安装前准备事宜1管理服务器硬件平台CPU 奔腾3 500以上内存 128以上硬盘 60M以上操作系统,windows 2000 server SP4补丁2网络连线3Checkpoint及nokia管理软件Checkpoint NG AI R55 安装包for windowshotfix09或以上4Nokia IP3
6、80设备两台内置IPSO3.8 build 39 内置checkpoint NG AI R55安装包第二章Nokia IP380安装与配置2.1概述首先我们可以对两台Nokia IP380进行安装与配置,由于Nokia防火墙将会替代Netscreen,所以Nokia防火墙可以进行离线配置。配置步骤如下。2.2初始化nokia3801使用nokia console线,连接nokia console口和管理pc的串行端口,并打开电源家电。2打开windows 超级终端按照下图设置3Nokia IP380正常开机后填入防火墙的名字:IP380A 。如下图4输入默认管理员用户admin的密码并确认密码
7、,这里密码填password,密码以后可以通过web界面进行修改。如下图所示5设定使用基于web的浏览器进行管理还是基于文本的浏览器进行管理,这里选择16设定初始网络参数,这里需要设定一块网卡的IP地址,以方便进行基于web的管理,如下图所示,分别填入网卡号和IP地址,暂时不设定default route,并配置端口成100M全双工。7确认以上信息正确,由于网络上并没有VLAN设置,所以并不需要进行Vlan配置。如下图2.3设置nokia基本信息 主要设定nokia底层基本参数,包括IP地址,路由,时间,VRRP设定2.3.1 Nokia 端口IP地址设定1使用网线连接管理机和nokia端口,
8、打开IE浏览器,输入刚才定义的nokiaIP地址http:/192.168.11.1 ,使用用户名admin,密码password登陆。如下图所示。2登陆后点击config按钮,进入配置界面,如下图所示。3点击interface按钮后,进入interface配置界面。点击逻辑端口Eth3c0配置Eth3的IP的,如下图所示。在Active选项上选On,NewIPaddress框添上IP地址,NewMaskLength框填上子网掩码的长度,如下图所示。4Apply键。5配置网卡物理参数。点击UP按钮,回到Interface configuration界面,点击物理端口号Eth3出现以下界面。修改
9、link speed的参数为100M,修改Duplex为Full。6Apply键和Save键,保存配置。7重复以上步骤,按照IP列表分配表(表1)中参数配置各个端口地址。如下图(图略)2.3.2设置网关路由 完成IP地址的设定以后,需要做的是设定默认网关和静态路由1进入配置界面,点击Routing Configuration Static Route,进入下图所示在default 项选择On,next hop type选normal,然后点击apply2在原来的参数下面会出现新一项参数Gateway Type,这里选择address,点击APPLY如下图所示:3填上nokia的网关,然后点击a
10、pply后点击save,完成默认网关的设置。如下图所示这里网关地址填:?4在new static route 填上要网段地址,在mask length填上网段掩码,next hop type选上normal,gateway type选上address,并点击apply,如下图所示5Apply后会出现gateway address 参数框,填入下一跳地址,点击apply,完成静态路由的添加。如下图6.重复步骤4、5添加更多的静态路由,完成后按save保存这里需要设置的静态路由有?2.3.3设置Nokia平台时间1进入配置界面后,点击system configuration下的local time
11、 setup2在secect city中选择China/HongKong,在manual set day and time 分别填上日期和时间,如下图,完成后点击apply,再点击save。2.3.4设定Nokia高可用VRRP参数a设定时间同步管理服务器与执行点之间必须做到时间同步,才可以成功建立安全连接(SIC),同时,再做VRRP时两个执行点之间的时间也必须做到同步,他们的状态表才能正常及时地交换。所以,必须为设备设置NTP时间服务。我们以IP380A作为时间的基准服务,IP380B作为作为客户段,进行参数配置。1在IP380A上点击Router Services下的NTP,进入NTP配
12、置界面,在Enable NBT上选yes在NTP Reference Clock 下的NTP Master选yes,Stratum填上3(这项填写范围为115),点击APPLY,再点击SAVE,这样IP380A便成为时间服务器。2在IP380B配置页面上点击Router Services下的NTP,进入NTP配置界面,在NTP Global Settings 上选yes,点击APPLY,如下图:在NTP servers 下add new server address 上添加IP380A的地址192.168.11.1。点击APPLY,出现下图点击save保存配置,时间同步配置完毕。注意,第一次时
13、间同步时间比较长。b配置VRRP参数同一设备的某一端口监控另一端口,当发现被监控端口出现问题时(例如,端口断开),按照预先设定的规则,监控端口更改自身的优先级。属于同一VRRP组的成员共享一个虚拟IP地址,这个地址将作为终端设备的网关或者路由设备的下一跳地址使用。一般来说,是高优先级的设备在本机故障的情况下降低自身的优先级,使得原来低优先级的设备接管工作,实现服务的高可用性。本方案采用IP380A作为主防火墙。配置步骤如下:1选择VRRP monitored Circuit模式在IP380A,IP380B的配置页面上点击Router Service下的VRRP,进入VRRP配置界面,点击Leg
14、acy VRRPConfiguration,在需要做VRRP的端口下选择Monitored Circuit,点击apply如下图,填上virtual router的数值。注意,每个对应的子端口的virtural router值应该一样(例如IP380A的eth1c0的virtual router 和IP380B的eth1c0的virtual router值相同),这样才能保证这对端口在同一个vrrp组里面。VRRP协议主要可以防止网络中断造成的服务中断,提供接口方面的高可用性,因此需要选择VRRP Monitored Circuit模式,点击APPLY然后在Create Virtual Rou
15、ter中填写一个自定义的编号,这个编号用于识别同一网络内的高可用设备成员所属的高可用分组,因此两个防火墙属于同一网段的接口必须使用同一Virtual Router ID。在本例中,分别使用81,82,83作为三个网段的virtual值,由于同步口并不用参与数据传输,所以同步端口并不用配置vrrp属性。IP380AIP380B2配置虚拟IP地址,MAC地址,监控接口,优先级,认证。IP380A作为主用机使用,因此优先级较高,填写以下参数:外网:eth1c0 IP?Priority:254Hello interval:2Backup Address:IP?(虚拟IP地址)Monitor Inter
16、face:eth2c0(这里选择的是要监控的端口,即DMZ)Priority Delta:16点击APPLY,完成设定第一个监控端口Monitor Interface:eth3c0(这里选择要监控的端口,即内网)Priority Delta:16点击APPLY,点击SAVE完成设定第二个监控端口DMZ:eth2c0 IP?Priority:254Hello interval:2Backup Address:? (虚拟IP地址)Monitor Interface:eth1c0(这里选择的是要监控的网口,即外网口)Priority Delta:16点击APPLY,完成设定第一个监控端口Monito
17、r Interface:eth3c0(这里选择要监控的端口,即内网)Priority Delta:16点击APPLY,点击SAVE完成设定第二个监控端口内网:eth3c0 IP?Priority:254Hello interval:2Backup Address:IP ?(虚拟IP地址)Monitor Interface:eth1c0(这里选择的是要监控的网口,即外网口)Priority Delta:16点击APPLY,完成设定第一个监控端口Monitor Interface:eth2c0(这里选择的是要监控的端口,即DMZ)Priority Delta:16点击APPLY,点击SAVE完成设
18、定第二个监控端口IP380B作为主用机使用,因此优先级较低,填写以下参数:外网:eth1c0 IP?Priority:240Hello interval:2Backup Address:IP?(虚拟IP地址)Monitor Interface:eth2c0(这里选择的是要监控的端口,即DMZ)Priority Delta:16点击APPLY,完成设定第一个监控端口Monitor Interface:eth3c0(这里选择要监控的端口,即内网)Priority Delta:16点击APPLY,点击SAVE完成设定第二个监控端口DMZ:eth2c0 IP?Priority:240Hello int
19、erval:2Backup Address:? (虚拟IP地址)Monitor Interface:eth1c0(这里选择的是要监控的网口,即外网口)Priority Delta:16点击APPLY,完成设定第一个监控端口Monitor Interface:eth3c0(这里选择要监控的端口,即内网)Priority Delta:16点击APPLY,点击SAVE完成设定第二个监控端口内网:eth3c0 IP?Priority:240Hello interval:2Backup Address:IP ?(虚拟IP地址)Monitor Interface:eth1c0(这里选择的是要监控的网口,即
20、外网口)Priority Delta:16点击APPLY,完成设定第一个监控端口Monitor Interface:eth2c0(这里选择的是要监控的端口,即DMZ)Priority Delta:16点击APPLY,点击SAVE完成设定第二个监控端口虚拟的MAC地址缺省情况下使用VRRP模式,设备会以VRRP Router ID为基础为虚拟IP分配一个虚拟的MAC地址3测试与状态检测在Voyager的Monitor页面下的Routing Protocols下的VRRP里,可以检测当前设备的VRRP状态,如下图所示:IP380AIP380B2.4初始化checkpointNokia IP380出
21、厂的时候就已经安装好checkpoint,所以在Nokia平台下新的机器并不需要重新安装checkpoint,只需把checkpoint初始化即可。如果客户有最新的checkpoint安装包for Nokia 平台,可以重新安装最新的checkpoint安装包2.4.1在nokia平台上checkpoint的安装与卸载新出厂的nokia机器可以不需要重新卸载checkpoint和安装checkpoint,初始化checkpoint即可,这一章节可以跳过,直接访问2.4.2进行初始化。a卸载如果客户以前测试过checkpoint,或者客户想重新安装checkpoint,可以先在nokia web
22、界面上先卸载checkpoint。1进入configuration interface,点击manage installed packages进入管理package界面。2设置Check Point VPN-1 NG with Application Intelligence 为off设置Check Point CPinfo NG with Application Intelligence 为off点击apply停止以上软件包3设置Check Point SVN Foundation NG with Application Intelligence 点击apply 停止SVN软件包注意SVN软
23、件包必须在其他所有软件包都在off的状况下才能正常stop,所以要先off所有软件包,点击apply之后,才能在off SVN软件包,最后再apply。如图4在manage installed packages点击delete packages5所有checkpoint开头的组件设置成delete,然后点击apply,如下图6等待一阵后回到manage installed package后,可以看到所有package均被delete,如下图7在console上使用命令ls /var/opt 没有任何的文件或文件夹留下,ls /opt 没有任何CP开头的文件夹,说明已经卸载成功了。b安装如果客户
24、有最新的checkpoint安装包,而客户又是新安装的Nokia机器,建议使用 Manage Installed Packages来对checkpoint进行安装。我们预先把起一台ftp服务器,并把checkpoint 的安装包放到ftp服务器上。1使用浏览器登陆到nokia configuration interface界面,点击manage installed packages进入。2点击ftp and install packages进入安装界面,如下图所示3输入ftp地址,路径,用户名和密码,然后按apply键这里ftp地址为:?ftp路径为:/用户名:ftp密码:ftp4在list列
25、表上选择要安装的checkpoint包,然后点击apply5Checkpoint包会通过ftp的方式下载到Nokia上,看到提示download successful后选择要安装的包,然后点apply安装6点击Click here to install/upgrade /opt/packages/IPSO3.8_wrapper_R55.tgz进行安装,选择install yes 如下图 ,点击apply7在console打入命令 tail /var/log/messages,如果console出现下图情况,则表明已经安装成功。8回到manage installed packages 可以看到所
26、有package都已经install,checkpoint fw1和 SVN Foundation的状态是on的,如下图所示92.4.2初始化checkpoint要使checkpoint能正常工作,必须对checkpoint进行初始化。由于两台Nokia是跑HA模式,所以smartcenter必须要装在外部,不能和enforcement module安装在一起,步骤如下:1使用超级终端推出console,重新登陆console,运行命令cpconfig,如下图2Accept license之后,就可以选择checkpoint的产品,如果是买了checkpoint enterprise版的请选择
27、1,如果是买了checkpoint express的请选择2由于XXXXXX购买的是checkpoint enterprise,所以选择13在选择checkpoint产品之后,会来到安装方式选择,这里有两个选项Stand Alone :单独安装,即smartcenter和enforcement module都安装在同一个设备中Distributed :分布式安装,即只选择smartcenter 或者enforcement module其中一个安装。由于XXX使用高可用性配置模式,所以这里选择2分布式安装4当选择分布式安装后,系统会提示安装哪个checkpoint组件,如下图所示我们只选择1,v
28、pn1 pro gateway进行安装5选择checkpoint组件后,系统提示是否打开状态同步功能,填入y回车继续6完成同步状态功能的选择后,系统会提示是否添加license,一般checkpoint没有license的情况下都有15天的试用期,所以这里不用输入license也可以使用,填入n,然后回车7键入一个随机队列,用于生成用于加密的种子8系统会要求键入SIC password,这个password用于enforcement module和management server的安全连接,在以后设置smartcenter的时候,添加checkpoint gateway 输入的sic需要和这
29、个密码相同才能建立SIC连接。设置界面如下图,这里填入sic password为1234569最后系统提示重新启动机器,按y重启机器,checkpoint 在nokia上初始化完成。第三章管理服务器的安装与配置管理服务器smartcenter在HA的环境中是储存了所有的checkpoint的配置和策略。所以管理服务器在一个checkpoint的配置环境中是属于核心配置,虽然管理服务器不参与客户数据的流动,因为策略只能从管理服务器安装到enforcement,不能从enforcement返回到管理服务器,所以一旦管理服务器损坏,客户将丢失所有防火墙的配置权,策略必须重新定义。3.1checkpo
30、int smartcenter的安装3.1.1安装前的准备cpu 奔腾3 500 以上,256内存以上,硬盘5g以上win2000 server sp4需要winzip或者winrar软件安装checkpoint NG AI R55 安装包for windowns 3.1.2安装步骤1解压缩安装包,点击setup.exe 进入安装界面2点击next后,会进行产品选择这里有2个选择check point enterprise/procheck point express在XXX这个案件中,我们选择check print enterprise/pro点击next3然后会进行安装选项选择,这里选择n
31、ew installation点击next4然后到组件选择界面。这里主要选择安装那一类型的checkpoint产品,注意,smartcenter和secureremote/secureclient是不能同时安装在统一台机器上由于在XXX的两台nokia只是做高可用,所以这里只是需要安装管理服务器和gui即可,如下图所示点击next继续5选择安装smartcenter后,系统会询问是安装成primary smartcenter还是secondary smartcenter。Checkpoint是支持smartcenter的高可用性,可以使用两个smartcenter进行备份。另外一个选项是安装成
32、单独的log server,只是作为单独的log记录,不进行策略管理。在XXX这个案件中,我们选择primary smartcenter,如下图所示。 点击next开始安装6SVN Fandation默认安装在c:programe filescheckpointcpshared目录下,也不能进行修改,Fw1默认安装在c:winntfw1下面,这个路径可以修改,由于checkpoint的log也是记录在这个路径下,所以最好把这个路径安装在空间比较多的地方。在XXX这个案件,我们建议划分d盘为安装checkpoint的目录如下图所示我们把fw1的安装目录设成d:fw1R55,点击next继续安装7安装fw1完成以后,开始安装smart console 即gui 点击next继续8拷贝文件完成后,che