checkpoint用户手册

^LOGICALLSCheckPointUTM-1用户手册TOC\o"1-5"\h\zHYPERLINK\l"bookmark4"\o"CurrentDocument"第一章使用向导3HYPERLINK\l"bookmark6"\o"CurrentDocument"一、从配置UTM开始3HYPERLINK\l"bookmark8"\o"CurrentDocument"1、登陆UTM32、配置网卡33、配置路由44、配置主机名55、调整时间5HYPERLINK\l"bookmark12"\o"CurrentDocument"二、步骤1—配置之前……一些有用的术语6HYPERLINK\l"bookmark14"\o"CurrentDocument"三、步骤2—安装和配置7HYPERLINK\l"bookmark16"\o"CurrentDocument"四、步骤3—第一次登录到SmartCenter效劳器8HYPERLINK\l"bookmark20"\o"CurrentDocument"五、步骤4—在平安策略定义之前10HYPERLINK\l"bookmark24"\o"CurrentDocument"六、步骤5—为平安策略定义规那么15HYPERLINK\l"bookmark26"\o"CurrentDocument"七、步骤6—来源和目的16HYPERLINK\l"bookmark28"\o"CurrentDocument"第二章策略管理16HYPERLINK\l"bookmark30"\o"CurrentDocument"一、有效的策略管理工具需要17HYPERLINK\l"bookmark32"\o"CurrentDocument"二、CheckPoint管理策略的解决17HYPERLINK\l"bookmark34"\o"CurrentDocument"1、策略管理概况17HYPERLINK\l"bookmark36"\o"CurrentDocument"2、策略集18HYPERLINK\l"bookmark38"\o"CurrentDocument"3、规那么分节标题20HYPERLINK\l"bookmark40"\o"CurrentDocument"4、查询和排列规那么以及对象20HYPERLINK\l"bookmark42"\o"CurrentDocument"三、策略管理需要注意的问题21HYPERLINK\l"bookmark44"\o"CurrentDocument"四、策略管理配置21HYPERLINK\l"bookmark52"\o"CurrentDocument"第三章SmartViewTracker24HYPERLINK\l"bookmark46"\o"CurrentDocument"一、跟踪的需求25HYPERLINK\l"bookmark48"\o"CurrentDocument"二、CheckPoint对跟踪的解决方案25HYPERLINK\l"bookmark50"\o"CurrentDocument"1、跟踪概况252、SmartViewTracker26HYPERLINK\l"bookmark54"\o"CurrentDocument"3、过滤27HYPERLINK\l"bookmark56"\o"CurrentDocument"4、查询28HYPERLINK\l"bookmark58"\o"CurrentDocument"5、通过日志切换维护日志文件28HYPERLINK\l"bookmark60"\o"CurrentDocument"6•通过循环日志来管理日志空间28HYPERLINK\l"bookmark62"\o"CurrentDocument"7、日志导出功能29HYPERLINK\l"bookmark84"\o"CurrentDocument"8、本地日志29HYPERLINK\l"bookmark66"\o"CurrentDocument"9、使用日志效劳器记录日志29HYPERLINK\l"bookmark68"\o"CurrentDocument"10、高级跟踪操作29HYPERLINK\l"bookmark70"\o"CurrentDocument"三、跟踪需要考虑的问题30HYPERLINK\l"bookmark72"\o"CurrentDocument"四、跟踪配置31HYPERLINK\l"bookmark74"\o"CurrentDocument"1、根本跟踪配置31HYPERLINK\l"bookmark76"\o"CurrentDocument"2、SmartView的查看选项31HYPERLINK\l"bookmark78"\o"CurrentDocument"3、配置过滤器32HYPERLINK\l"bookmark80"\o"CurrentDocument"4、配置查询32HYPERLINK\l"bookmark82"\o"CurrentDocument"5、维护336、本地日志34HYPERLINK\l"bookmark86"\o"CurrentDocument"7、使用日志效劳器348、自定义命令35HYPERLINK\l"bookmark90"\o"CurrentDocument"9、阻断入侵36HYPERLINK\l"bookmark92"\o"CurrentDocument"10、配置报警命令36第一章使用向导一、从配置UTM开始1、登陆UTM2、配置网卡^ALOGICALIS3、配置路由4、配置主机名5、调整时间二、步骤1—配置之前……一些有用的术语这里介绍一些有助于理解本章内容的相关信息。SecurityPolicy〔平安策略〕是由系统管理员创立的，用来管理进和出的网络通信连接。Enforcementmodule〔执行点模块〕是可以执行网络平安策略的FireWall的系统引擎。SmartCenterServer〔SmartCenter效劳器〕是系统管理员用来管理平安策略的效劳器。所有的数据库和策略信息都存储在SmartCenter效劳器上，并且在需要的时候下载到执行点模块中。SmartConsoleClient〔控制台〕是一系列的GUI应用程序，能够管理平安策略的不同方面。例如，SmartViewTracker就是一个管理日志的SmartConsole。SmartDashboard是系统管理员用来创立和管理平安策略的SmartConsole。独立的部署方式例如独立的部署方式是一种简单的部署方式，所有平安策略的管理端和执行端的相关组件〔分别指SmartCenter效劳器和执行点模块〕都安装在同一台计算机上。^LOGICALISliic&cMidDKtkrMlo^'workingjumkLANSm^rtCent^r5«rwcrSmartDasAboardVPN-1/Fir«Wall-lEnforcementModuleSmartCenterServerRouter图3-1独立的部署方式组件包括：EnforcementModule一般都安装在通向互联网的网关上；在网络中的位置是保护本地局域网。SmartCenterServer。SmartDashboard。在独立部署方式中执行点模块和SmartCenter效劳器都必须安装在同一台计算机中。SmartDashboard以及其他的SmartConsole客户端可以安装在任何一台没有操作系统限制的计算机上。可以参考最新版本的ReleaseNote获得更多信息。三、步骤2—安装和配置安装之前的介绍安装SmartCenter和执行点模块的机器需要安装有TCP/IP。这意味着这些机器必须有：至少两块网卡。一块是“外部网〞或者是连接互联网的，另外一块是“内部网〞或者是面向局域网的。每块网卡都有自己的IP地址。SmartCenter效劳器必须能够查询DNS效劳器来解析机器的IP地址。四、步骤3—第一次登录到SmartCenter效劳器登录过程W*lconetoCheekPoint'sNGX图3-8Mare：°口弓登陆窗口SmartDashboard管理员通过SmartDashboard连接到SmartCenter效劳器，这个过程对其他所有的SmartConsole客户端是一样的。在这个过程中，管理员和SmartCenter效劳器都需要被认证，然后在他们之间建立一个平安的通讯通道。在成功完成认证以后，选定的SmartConsole将进行连接。在第一次登录之后，管理员可以创立一个用于登录过程的证书。使用证书的登录认证比使用用户名和口令的登录认证具有更好的平安性。这个证书将在以后的阶段中创立，具体可以参考SmartCenter的用户手册。认证管理员以及SmartCenter效劳器在SmartCenter效劳器安装时，在配置工具的Administrator页面中定义使用UserName和Password进行登录。在提供认证信息以后，指定目标SmartCenter效劳器的IP地址或主机名，然后点击0K>手工使用在配置过程中配置工具的指纹信息与SmartCenter的指纹信息进行核对，以验证SmartCenter效劳器。这个步骤只在第一次登录的时候出现，当SmartCenter效劳器验证成功以后，指纹信息会保存在SmartConsole机器的注册中。演示模式在登录SmartCenter时，系统管理员可以在Login窗口选择Demo模式。这是一个没有连接到SmartCenter效劳器的模式。在创立真实的平安系统之前，可以用这个模式来熟悉不同的对象和功能特性。它包含有许多预先配置好的网络对象的例如。第一次使用SmartDashboard*localtiheckPow^tSmdrtOdshbowd-Staodard|O1x|Fie也kJEp*tySmar啊p鼻#thwindowHeb]H1匡)J亀囲w他1J令吉凰宙gli°iSEIl[i=lrisisi1$Q|Q愆X代%・驾•:iah&VPHManager|旳OoS|SjQOeikopSetirtyBiS«vtY|谢A(陆TrgjiMon^.1SrwrtDefcnj#JWebtrr^gefKeObjectsTreeIverswi]NangRCorp^Jtt'interCpfpwite^QW电Corporatf-Clust«-2卷C»TMMfltB.l(n|torrrTMntTfrHiir^SfrvtrwthUW,-ObjectsLisiMGTAppUionirtdhfenc#NG*wthAppkabonIrtebg»r>c«NGwth^ppkdbcnIrt備戒hAppkationktCafxrMbe-Ot^ter、Capwale屮二.OMfler10100Q0-1¥■CXjsttr-i-c»nrcRamde■SCrWSrSmartMap¥Goripade■Ckistw-1-srferni3iRwote■iNdmz¥Remoted-rtflrnaim商net*tocaWbRwd/WtfteNUM图3-9SmartDashboard界面选择Start>Programs>CheckPointSmartConsole(R65)>SmartDashboard来连接SmartDashboard，然后进行正确的登录。一旦系统管理员登录成功，将显示SmartDashboard。SmartDashboard的GUI包括以下的组件：SecurityRule――这里系统管理可以创立和管理平安策略。ObjectTree――根据分类列出系统中的所有对象〔网络对象、效劳、资源等〕。第一次登录时缺省包含SmartCenter效劳器对象。ObjectList――显示所有在对象树中选定的对象的详细信息。SmartMa使用图形化的形式显示系统中相关的对象。这个视图有一些缺省的对象，例如，SmartCenter效劳器对象，还有关联互联网的对象。大局部管理操作〔例如添加、编辑或删除〕在菜单栏和工具栏等位置执行，或者右键点击选定的对象执行。五、步骤4-在平安策略定义之前为了完成平安策略，系统管理首先需要检查网络内部所有的特定需求，以及所有的平安和网络访问的需要。本章将定义一个简单的平安策略，运行所有从LAN发起的连接，并且只有Email连接能够进入LAN,在定义平安策略之前，关联系统中不同组件的各种特定对象〔例如网关、网络和效劳器〕必须先定义好。然后，这些对象应用在规那么中组成平安策略。定义对象对象是规那么的组成局部。对象关联到实际的计算机和网络组件，以及逻辑的组件〔例如动态对象〕。为了设定本章中定义的简单平安策略，需要定义以下的对象：一个关联LAN的Network对象。一个关联Mail效劳器的Host对象。缺省的SmartCenter效劳器对象。缺省的SmartCenter效劳器必须做修改，以便正确地关联SmartCenter效劳器和执行点模块，因为是独立部署。注意：手册中独立部署的例如对象可以在Demo模式查看。1〕创立关联LAN的网络对象处理过程如下：在对象树〔ObjectTree〕中，创立一个新的网络。-耳_NetvjorkObjectsCheckpointNodesInteKcperable回直回M⑥圍ffi圜西3-sQs.:団‘ra.-+0:0Networks0北DeviceNewNetwork...CroupsLogical5er\DynamicOtVoIPdomainsDeleteQueryObjects..,Sort图3-10在对象树中创立一个新的网络对象网络对象包含有两个选项卡：在General选项卡中，为网络对象提供名称，名称必须能够明确说明对象的关联。在本章的规那么指定中，这个网络对象命名为Alaska_RND_LAN然后填写相应的IP地址和掩码。Alaska_RND_LAN这个对象的详细信息如下：IPAddress——NetMask——h^LOGICALLS图3-11网络属性窗口在NAT选项卡中配置网络地址转换的设定。对于例如部署中的简单策略定义,不需要进行网络地址转换。2〕创立一个关联网络Mail效劳器的Node对象必须创立一个关联网络内部Mail效劳器的对象。这个对象会使用在简单的规那么表中。处理过程如下：在对象树中，参见图3-12创立一个新的HostNode。^LOGICALIS图3-12在对象树中创立一个新的HostNode在HostNode窗口包含有不同的选项卡。确保在General页面中定义Mail服务器的名称和IP地址。在规那么表中这个Mail效劳器名为Alaska_DMZ_mail。3〕修改缺省的SmartCenter对象在对象树的网络对象分页中会显示缺省的SmartCenter效劳器对象。这个对象必须进行配置，以便执行点模块能够正确地工作。操作过程如下：选择SmartCenter效劳器对象。双击这个对象来显示属性页面。在GeneralProperties页面，确认在CheckPointProducts列表框选中了FireWall〔如图3-13〕。窗口图3-13CheckPointGateway在Topology页面中〔如图3-14〕:点击Get>InterfaceswithTopology点击Add手工添加一块网卡。你可以在任何一个网卡的TopologyProperties窗口。可以自动地检索网关上的所有网卡。另外，也可以页面中编辑网卡。选中后双击即弹出Interface图3-14CheckPointGateway窗口，Topology页面六、步骤5-为平安策略定义规那么对象是建立规那么的一局部，规那么是创立平安策略的一局部。平安策略中的规那么是一系列的指令，决定哪些通信可以进入LAN或从LAN外出。在这个例如部署中，将执行以下的规那么:允许所有由LAN发起到外部的通信连接的规那么。允许email从外部发送到内部的LAN当中的规那么。下面的规那么在规那么表中缺省的显示，并作为最后的规那么使用，所以，它不需要做明确的^LOGICALLS定义：这条规那么将丢弃除了上述允许规那么的通信连接之外的所有数据包。表3-1允许所有内部LAN对外发起访问的规那么SourceDestinationServiceAclionTrackInsial1OnAhsk^RND_LANAnyAnyActeprnonetlatcway表3-2允许进入内部网络的SMTP连接〔email〕SourceDestinationServjteActionTrackInstallOnAnyAlaska」AcceptnoneGaticway保存和安装你的策略一旦定义好规那么以后：选择File>Save保存策略。你可以使用缺省提供的选项，也可以自定义。选择Policy>Install安装策略。在安装窗口选择你需要安装策略的网关。最后，你成功地创立了你的第一个平安策略。七、步骤6—来源和目的你已经学习了开始需要的根底知识。下一步是获得更多关于CheckPoint的高级知识。在CheckPoint的产品CD上有关于这个信息的CheckPoint文档〔以PDF格式存储〕。当你在使用CheckPoint的SmartConsole客户端时，你也可以使用在线的帮助。为了获得关于CheckPoint产品的更多技术信息，可以访问://support.checkpoint/kb/。第二章策略管理本章内容一、有效的策略管理工具需要二、CheckPoint管理策略的解决方案三、策略管理中需要注意的问题四、策略管理的配置一、有效的策略管理工具需要随着网络结构的不断增长，更多的网络资源、计算机以及效劳器、路由器被部署在网络当中。这造成了平安策略需要处理更多的网络对象以及逻辑结构〔关联相关的实体〕，并且使用更多数量的规那么，对系统管理员来说，使得策略变得更复杂以及更富有挑战性。因为平安策略的复杂性，很多管理员的操作倾向于“如果没有被攻击，就不处理〞的方式：他们倾向于在看似平安的位置放置新的策略〔例如在规那么表的最后〕，而不是放在最适宜的位置上。规那么陈旧而且对象很少去做清理。这些不好的趋势使得平安策略变得混乱以及不协调，并且数据库不清晰，这使得平安策略的有效功能下降，并且使得系统管理员难于管理。对于系统管理员来说，一个简单有效无弱点的解决方案更加有助于管理，所以需要重视易于使用的策略管理工具。由于网络的复杂性，能够针对不同的节点和分支建立自己适宜的结构。能够快速定位对象。能够分析规那么表。Checkpoint管理策略的解决方案本节内容1、策略管理概况2、策略集3、规那么分节标题4、查询和存储规那么以及对象1、策略管理概况SmartCenter效劳器提供了大量的工具进行不同的策略管理任务，其中包括定义局部和维护局部。PolicyPackages允许简单地对不同类型的策略〔一般指在同一个安装目标上的策略〕进行分组。PredefinedInstallationTargets允许将每个策略集管理到适合的模块上。这个功能可以在每次安装〔卸载〕策略时自由地选定需要的模块，并且可以在任何时候方便地修改列表。另外可以减少安装策略时的风险。SectionTitle允许可视化地中断在工程中的规那么表，因此可以立即改善定位感兴趣的规那么和对象的能力。SLOGIC血LISQueries可以对使用的规那么和对象提供多方面的搜索功能。Sorting可以通过排列在对象树和对象列表中的对象的简单快速定位对象。这个功能可以通过命名和颜色的定义来大大提高效能。2、策略集策略集允许通过对每个类型的节点创立特定策略集来满足内部网络中不同节点的特定需求。图2—1中例如了包含有4个节点的网络。Acodgste：GWSernasFdrm图2—1包含有不同节点的例如网络每个不同节点使用不同的CheckPoint产品：ServersFarm安装有FireWall—1。SalesAlaska和SalesCalifornia节点安装有FireWall—1和VPN—1。ExecutiveManagement安装有FireWall—1、VPN—1和FloodGate—1。即使各个节点使用了相同的产品但是有不同的平安需求，针对他们的策略也需要不同的规那么。为了有效地管理不同类型的节点，你需要三种不同的策略集。每个策略集必须包含有管理有相关产品的不同策略。因此，一个策略集由下面一个或多个类型的策略组成，每个策略管理不同的CheckPoint产品：平安和地址转换策略，控制FireWall—1模块。这些策略也决定VPN配置模式。QoS策略，控制FloodGate—1模块。桌面平安策略，控制SecuRemote/SecureClient机器。与上面策略不同的是，VPN规那么表管理器不会应用到单个的节点，但是会应用到关联的节点之间。因此，这个规那么表针对所有的节点。WebAccessRule〔Web访问规那么〕是独立的策略集，因为它相对于网络来说是应用全部〔例如阻断一个指定的节点〕。在SmartDashboard的全局属性〔GlobalProperties〕中设置可以将这个规那么表显示出来〔在GlobalProperties窗口的SmartDashboardCustomization页面中〕。文件操作文件操作〔New、Open、Save等〕是在策略集的水准上进行操作〔相对于单个策略而言〕。New允许定义一个新的策略集，或者向已存在的策略集添加一个单一的策略。Open允许翻开已经存在的策略集。包含有策略集的策略类型决定在规那么表中显示哪些分页内容。SaveAs允许存储一个完整的策略集，或者将规那么表中指定的策略进行储存〔例如SecurityandAddressTranslation，QoS或者DesktopSecurity〕。注意：在修改策略集之前备份它，可以使用数据库修订控制功能。不需要使用文件操作来进行备份和测试的目的，从而不会因为无关的策略集混乱系统。另外，如果只有一个对象数据库但是有不同集合的话，在对象数据库中保存集合不一定会协调这个变化。安装目标为了正确安装〔卸载〕策略集并排除错误，每个策略集需要管理到相关的安装目标上。这个管理可以在每次安装时排除重复选择目标模块，并且确认策略集在安装到目标时没有错误。可以对整个策略集定义安装目标，因而可以排除在每个策略当中具体地定义每条规那么的安装目标。在每次进行Install〔安装〕和Uninstall〔卸载〕时可以自动地显示选择的目标〔参见图2-2〕。IristalRnlicpinfdlebcjiTiNrliajmHa_RND_GW^iasK*_rrou«r叫5E〔〔a_ClU£tBrC^IToiridSY勺b廿肛clusterFb'id^GW童a卵_「W^rinary.irtaiaa^ffl^rT回回回回回[3回回回同口口口回回门回□□口[loo皿11]£希比丄0"甲£.Ir^JIaliorModeQl~i^3l?n注ch汕记联$寸忖BuleirKJcFhidcnM臣kcrTapLIihsterEirslalmalthemenhEK.ililLalsdonotirutallal皿r'InElBlonalelevltsd1^udjfei.iiileil;doflDtinshlatdl^LOGICALISffchdrifMMidworkingjuimk图2—2在InstallPolicy窗口的安装目标例如在所有的安装目标当中你可以从缺省状态中通过选中或不选中来设置策略集的安装〔在GlobalProperties窗口的SmartDashboardcustomization页面中〕，然后根据需要来对每个安装进行设置。3、规那么分节标题规那么的分节可以依照各自的主题进行可视化的分组。例如，中等规模的网络可能对内部所有节点有一个单一的策略，然后对每个节点的规那么使用分节的标题进行定义〔更大更复杂的网络可能需要使用策略集〕。使用分节进行规那么的排列不必将大局部一般匹配的规那么放置在规那么的起始局部。4、查询和排列规那么以及对象查询规那么查询规那么可以加深对策略的理解以及验证新规那么放置在适宜的地方。你可以在Security、DesktopSecurity以及WebAccess等规那么表中查询。一个查询可以包含一个或多个子查询。每个子句可以指向已经选择的对象或者规那么中的指定列。你可以针对单个的对象、组或者全部进行查询。为了增强查询能力，可以使用适当的逻辑条件〔“Negate〞,“And〞和"Or"〕。一旦应用查询以后，那么在规那么表中只显示查询后匹配的规那么。匹配的规那么被隐藏，但仍是整个策略集的一局部并且能够被安装。可以通过调试额外的查询来精简查询结果。例如，在规那么表中当一个效劳器从主机A移到主机B时查询就很有用了。这个变化要求更新所有主机的访问权限。为了找到需要修改的规那么，可以在所有的规那么中查询Destination列中包含有主机A或主机B的规那么。缺省情况下查询不仅搜索规那么中所包含的主机，也搜索规那么中那些可能包含这些主机的网络对象或者组对象，包括在规那么中的Destination是Any的。查询网络对象网络对象查询可以搜索到符合查询

标准

excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载

的对象。可以使用这个工具进行控制和排除对象关联错误。查询系统中所有的对象〔缺省选择下〕或者指定类型的对象〔例如FireWall—1installed,FloodGate—1installed,GateWayClusters等〕,以使用不同的过滤〔例如SearchbyName,SearchbyIP等〕来精简这个列表以及使用通配符来搜索。除了这些根本的搜索之外，还可以完成更高级的查询：IP地址与接口卡不匹配的对象。被几个对象使用的相同IP地址。"notused〞。没有使用的对象。注意：在LDAP效劳器上定义的对象实体一般在查询中当作你可以将查询结果进行分组。例如，希望创立一个包含系统中所有邮件效劳器的分组,然后在规那么表中使用。如果命名习惯是在邮件效劳器命名中包含有字符“Mail〞那么可以通过选择SearchbyName的过滤器，以及在此输入*Mail*就可以简单地在所有的网络对象中找到指定的对象。然后创立一个包含有这个结果的分组并在适用的规那么使用。分组的对象也一样是通过CheckPoint的SmartConsole来激活，例如，如果使用SmartviewReporter，可以把这个分组包含在EmailActivity

报告

软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载

连接的源中。在对象树和对象列表中进行分类排列〔Sorting〕在对象树右键菜单中的Sort允许使用名字或颜色通过类型对每个分页进行分类〔在缺省选择中〕。分类参数在对象列表的窗口中应用。另外，在对象列表窗口中也可以点击相应的列来进行分类。分类是一个很有用的排错工具，例如：可以方便确定对象属于哪个节点，可以将每个节点的对象使用不同的颜色进行定义，然后在对象树当中使用颜色进行分类。显示复制的IP地址，在对象树当中显示NetworkObject分页以及在对象列表中使用IPAddress列进行分类。查找希望占用端口的效劳，显示对象树中的Services分页，然后在对象列表中使用Port列进行分类。三、策略管理需要注意的问题惯例建议使用一个定义对象命名和颜色的习惯，这样可以方便快速地定位需要查找的对象。例如，如果使用一个前缀指定对象的位置〔例如NYC_Mail_Server〕,可以快速地使用位置进行分组，也可以在对象列表中使用Name的列进行简单的分类。同样的，可以使用颜色的定义来区分对象属于哪些节点，并且在对象树中通过颜色来快速的分类。四、策略管理配置策略集创立一个新的策略集在菜单中选择File>New。…然后弹出NewPolicyPackage窗口。输入NewPolicyPackageName信息，这个名字不能包括：•包含有保存字。•包含有空格。•在起始位置使用数字。•包含以下任意字符：%,#,'&,*,!,@,?,<,>,/,，:。•任何以下后缀的结尾：.w,.pf,.W。在IncludethefollowingPolicytypes的节中，为包含的策略集选择以下局部或所有的策略类型。SecurityandAddressTranslation，选择Simplified〔简单〕或者Traditional〔传统〕的VPN配置模式。QoS,选择Traditionalmode或者Expressmode。DesktopSecurity,表2-1列出了针对每种策略类型的规那么表分页。PolicyTyptRuleTribsDisplav^cISecuritydiidTiailsInLiuii：1LjdltlojirilmodeSecuiiLy,TrutiildLienajidWtLAccessSecurityandAddressTiaiNation:SimplifiedmodeSecujity.AddressTranstatloi^VPNManagerandV\febAccessQo5QoSDesklopSecurityUeslctopSecurity表2-1每种策略类型的规那么表分页点击OK创立一个策略集。SmartDashboard当中显示新的策略集，包括选中的策略类型分页。定义策略集的安装目标在菜单当中选择Policy>PolicyInstallationTargets。…然后弹出SelectInstallationTargets窗口。选择以下条件：Allinternalmodules〔全部内部模块，为缺省选项〕Specificmodules，从NotinInstallationTargets的列表中选择相关的目标移动到InInstallationTargets歹U表中。3•点击OK。不管是安装还是卸载策略集都对选定的安装目标起作用。将所有模块的缺省状态设定为Selected或者NotSelected，因此方便策略的安装〔卸载〕过程。选择Policy>GlobalProperties可以在GlobalProperties窗口的SmartDashboardCustomization页面中选择适当的设定。可以在安装〔卸载〕的操作过程中进一步的修改安装目标：•为了只在这个操作中修改目标，选定相关的模块和策略并且取消对其他的选定。•为了可以在将来的操作中修改目标，点击SelectTargets来翻开SelectInstallationTargets窗口，然后根据需要对列表进行修改。向一个已存在的策略集增加策略1•在菜单中选择File>New。…然后弹出NewPolicyPackages窗口。2•选择AddPolicytoanexistingPackage,然后在下拉列表〔包含有所有未被激活策略类型的策略集〕中选中需要的策略集。在IncludethefollowingPolicytypes节中，选择所有希望添加到策略集的策略类型〔关联不同策略类型的规那么表分页，具体参见表2-1〕。点击OK。显示选定的策略集，包括需要增加的相关策略类型的规那么表分页。^LOGICALIS规那么分节增加一个节的标题1•选择一个需要在此之上或之后添加节标题的规那么。从菜单中选择Rules>AddSectionTitle>Above或者Below〔分别进行〕。然后弹出Header窗口。为新的分节定义标题，然后点击0K。在适当的位置显示新设定的分节标题。所有在这个标题之后以及到下一个标题之前的规那么都被可视化地进行分组。缺省情况下，分节是展开的。可以点击〔-〕符号进行这个分节的规那么进行隐藏。如果在某个分节之后的策略不属于这个分节，可以增加一个结尾的分节来标注这些规那么〔例如〞EndofAlaskaRuleS。〞查询规那么表配置一个新的查询显示需要查询的规那么表〔Security，DesktopSecurity或责WebAccess〕,然后在菜单中选择Search>QueryRules。…然后，弹出RuleBaseQueryClause窗口。从以以下表中选择希望查询的Column〔例如Destination〕。从NotinList中选择希望查询的对象移动到InList当中。如果选择了超过了一个以上的对象，对这些对象指定atleastone〔缺省选项〕来确认选定的列是否足够，或者必须选定all。这个语句将搜索规那么来确认哪个对象中包含了指定的列，或者属于其他的对象〔例如分组或者网络〕。•选定Negate可以在规那么中搜索指定的列中没有包含选定的对象。•选定Explicit可以在规那么中搜索指定的列中包含有选定的对象。点击Apply应用这个查询语句。点击Save可以保存查询语句。然后弹出SaveQuery窗口。定义查询的名字，然后点击0K。然后弹出RuleBaseQueries窗口，在SmartDashboardQueriesList中列出新的查询。交叉查询显示希望查询的规那么表〔Security,DesktopSecurity或者WebAccess〕,然后在菜单中选择Search>ManageRuleQueries。然后弹出RuleBaseQueries窗口。选择希望运行的第一个查询，然后点击Apply。匹配查询的规那么在规那么表中显示，并且其他的所有规那么被隐藏。如果不能在列表中找到需要的查询，可以定义一个新的查询：a〕点击New••。然后显示RuleBaseQuery窗口。b〕定义新查询的Name,然后点击New。然后显示RuleBaseQueryClause窗口。c〕定义查询〔参考新查询中步骤2到步骤5〕,然后点击OK。查询被添加到Clause列表中。d〕可以使用以下的逻辑运算符添加一个新的查询语句：And,搜索匹配所有语句的规那么。Or,搜索至少匹配一个语句的规那么。Negatequery，搜索不在这个语句定义范围内的规那么。4•选择需要运行的第二个查询。5•点击以下的任意一个：And,只显示满足所有查询的规那么。Or,显示满足其中一个查询的规那么。6•点击Apply运行选定的查询。7.点击ClearAll显示所有隐藏的规那么。查询以及分类对象查询对象在菜单中选择Search>QueryNetworkObjects。弹出NetworkObjects窗口，在Networkobjects节中显示系统〔缺省选择〕中所有的网络对象。另外，可以根据对象的类型〔例如FireWall—1Installed,FloodGate—1installed等等〕缩小显示的范围。在RefinedFilter节中指定适当的搜索标准，例如：•在Refineby的下拉列表选择SearchbyName可以找出包含有指定字符串的对象名，只需要输入希望搜索的字符串〔可以使用通配符〕，然后点击Apply即可。•在Refineby的以以下表中选择Duplicates可以找出复制的IP地址。匹配搜索标准的对象将被显示。点击Show在SmartMap中找出其中的对象。为了给搜索结果创立一个分组，可以点击Definequeryresultasgroup…；然后在GroupProperties窗口中指定新分组的名字即可。在对象列表中进行对象分类显示对象树中相关的分页〔例如Services〕。在对象列表中点击相关的列标题〔例如port〕。可以在问题中方便地定位对象；例如：可以找出使用相同端口的效劳。第三章SmartViewTracker本章内容一、跟踪的需求二、CheckPoint对跟踪的解决方案三、跟踪需要注意的问题四、跟踪的配置^LOGICALIStkhdrarwMidworlt-Ln^斟mm、跟踪的需求作为管理员，需要高级的跟踪工具：确保产品能够正常操作〔例如确保类似于访问控制和IKE等根本操作能正常运行〕对系统排错以及平安发布。为合法的原因收集信息。对网络通信模式分析产生报告。依靠数据的严整性需要不同的跟踪方式。例如可以选择跟踪各种标准网络模式〔例如上网浏览〕，这个信息不是特别紧迫的，可以根据需要进行跟踪。但是，如果防火墙遭到入侵，弟亜ZX卜彳冃召I壬骸、Checkpoint对跟踪的解决方案本节内容1、跟踪概况2、SmartviewTracker3、过滤4、查询5、通过日志切换维护日志文件6、通过循环日志管理磁盘空间7、日志导出功能8本地日志9、使用日志效劳器记录日志10、高级的跟踪操作1、跟踪概况通过日志CheckPoint产品可以提供收集网络内部所有活动的全面信息的能力。可以在任何特定的时间内审计这些日志，分析网络通信情况以及对网络进行排错和平安发布。图5—1图示日志采集和跟踪过程。SmartCantf?fervorti?!UWu^s%marTVl角"rawifR«4riewi.k.Lifn_rr：leSnMitjrntESciwtiWTN站他训sII:GA'Mnrtiux;benerawlogsandlbMidthanSn也故商hrSdrvtr*Jitantt图5—1日志收集和跟踪过程SmartDashboard允许为每条规那么自定义跟踪设置，每条规那么根据跟踪选项自动记录。如果断定跟踪匹配规那么的事件，可以根据信息的紧急程度选择不同的跟踪选项。可以在允许连接上选择标准Log，当希望存储字节数据时选择Accountlog选项，或者当连接的目标是防火墙机器时，进行Alert的记录。可以在规那么中Track列中点击右键来激活跟踪的选项列表。模块根据规那么中的定义来收集数据，并且将这些日志发给SmartCenter效劳器〔或者日志效劳器〕。到达SmartCenter效劳器的日志将生成一个日志文件，所有的日志保存在fw.log文件中，除了审计日志〔关联到管理〕是保存在fw.adtlog文件中的。SmartCenter效劳器可以通过SmartViewTracker来激活状态检测的日志。一个完整的审计解决方案可以激活对所有CheckPoint产品的新老日志的中央管理。可以方便地定义对指定地址跟踪的搜索，可以将日志集成到SmartViewReporter中，或者将日志导成文本形式以及导出到外部的Oracle数据库中。SmartCenter效劳器可以对匹配规那么的事件进行指定的操作〔例如发布报警、发送邮件以及允许一个用户定义的脚本等等〕。另外在解决方案中，可以从以下的CheckPointSmartConsole的跟踪以及审计功能上受益：SmartViewStatus允许查看每个模块的连接。SmartViewMonitor提供不同计数器的实时数据。SmartViewReporter允许保存整理过的记录〔相对未加工的日志〕以及快速定位感兴趣的事件。2、SmartViewTracker图5—2显示SmartViewTracker的主窗口。在Records栏中的每个条目都记录了与IkfedramMidworking_uoee,并且自动添加到记录栏中。规那么中相匹配的事件日志。新的记录添加到fW.log中Gb**〞耳胡]<*艄申mitUM"r«-—■•-*忸丄亠亠*「*iwjF'ftIrieLogActive^iidAuditfJudesdisplaydiffermltypesofbgsTUQueryTreepanedisplayrh亡Feedcrimedand匚Li^toiBqueriesH耳rtsQueryPropertiespanedsi^IlIyjthepropeltiesofLiefieldsintheRecordsi)aiuWk■mi「■BLC.二TieRecordsp^net|''彳」1,1、••[he(jelcl^ufejchrecordintheloqfile■EEfp>DRMD0a&EJIBaEJ&aEJsHiHl图5-2SmartViewTracker王界面Log域当中的显示由以下因素组成：产生日志的产品〔例如Firewall—1以及FloodGate—1〕。完成操作的类型〔例如安装或翻开一个连接〕。例如，当使用NAT时，显示地址转换的域〔使用“Xlate〞的前缀，例如XlateSrc,XlateDst等〕。当使用VPN—1时，显示IKE关联的域〔例如IKECookieL,IKECookieR等〕。SmartViewTracker的模式SmartViewTracker包括以下三种模式：Log,缺省模式，显示所有在fw.log文件中的日志。这里包括了由不同CheckPoint产品〔包括OPSEC的产品〕产生的平安事件条目。加到fw.log文件中的最新日志将在记录栏的最下面显示。Active允许定位当前通过VPN—1/FireWall—1模块活动连接，这些连接记录在活动连接的日志文件中。Audit允许查看管理的记录，一般包括规那么表中对象的改变和SmartDashboard的普通操作。这个模式显示了特定的审计数据，例如Administrator,Application或者Operation的详细内容，可以在fw.adtlog文件中查看。可以通过点击相关的分页来锁定模式的访问。3、过滤SmartViewTracker的过滤机制可以方便地定位感兴趣的日志以及隐藏其他数据，可以在每个日志的域中进行定义。一旦应用过滤标准，只有符合标准的条目会被选择和显示。在实际情况中过滤选项的利用是日志列中的一个功能。例如，当Date列中进行某个日期之后过滤的操作，那么在Source,Destination以及Origin列中会过滤掉在那个指定日期之前的记录。在Product列中进行特定CheckPoint产品的过滤是很有用的，SmartViewTracker把这些过滤设置为预定义的查询，在后续章节进行描述。4、查询SmartViewTracker可以在日志信息文件中进行操作。你可以显示日志文件中所有的记录，也可以设定一个或多个限制条件来过滤感兴趣的记录。这些过滤通过查询来完成。查询包括以下组件：应用一个或多个日志列的条件一一例如，为了获取所有来自于指定源的请求，允许一个在Service列中指定效劳以及在Source列中指定机器信息。选择希望显示的列一一例如，当获取请求信息时翻开URL的日志列。SmartDashboard中三种模式〔Log，Active以及Audit〕的每种模式都有它自己的查询树，包括以下的内容：Predefined，包含了不可以修改和保存的缺省查询。预定义查询的有效性依赖于进行的模式。所有模式的缺省查询是AllRecords。另外，Log模式包括有每个产品的预定义查询。Custom，允许在预定义查询的根底上自定义查询，从而获得更好的结果。自定义查询是主要的查询工具，允许精确查询感兴趣的内容。可以复制或保存一个已经存在的查询，然后自动在Custom文件夹中添加一个命名。选定的查询属性在QueryProperties中进行显示。5、通过日志切换维护日志文件获得的日志文件大小缺省保持在2GB以下，当它到达2GB的限制后会关闭，然后开启一个新的文件。这个操作就是日志切换，当日志文件到达指定的大小上限或匹配日志切换模式将自动执行，或者在SmartViewTracker中手工执行。文件关闭以后写入磁盘时将命名与当前时间和日期进行匹配。新的日志文件将使用缺省的日志文件名：$FWDIR/log/fw/log。通过循环日志来管理日志空间当缺乏足够的磁盘空间时，系统将停止记录日志。为了保证即使没有足够的磁盘空间也能够进行日志的记录，可以设定循环日志。当有效磁盘空间缺乏时可以自动删除旧的日志文件，这样模块就可以继续记录新的信息。循环日志过程如下：修改需要的有效磁盘总计。设定模块在指定的天数以后重复地删除日志。7、日志导出功能当SmartViewTracker是标准日志记录方式时，可能需要将日志使用在其他用途。为了这个目的，CheckPoint产品允许将日志导出。日志文件可以通过两种方式导出：文本方式。数据库方式，可以导出到外部的Oracle数据库。SmartViewTracker支持根本的导出操作，在这里可以将显示复制到一个文本文件中。许多高级操作〔例如导出整个日志文件或在线导出〕使用命令行来完成〔使用fwmlogexport和fwlog命令〕。&本地日志缺省情况下，模块将日志发送到SmartCenter效劳器上。但是为了提高模块的性能，可以将信息存储在本地的日志文件当中。这些文件可以匹配适当的时间表自动发送给SmartCenter效劳器或日志效劳器；或者通过SmartViewTracker手工导入，使用远程文件管理的操作。如果选择使用本地日志方式，那么需要在模块上配置日志维护设置〔例如日志切换、循环停止期间的日志处理在停止期间，模块不能发送日志，将日志写入本地文件当中。为了查看这个本地文件的信息，可以使用SmartViewTracker的远程文件管理操作的手工导入。9、使用日志效劳器记录日志为了减少SmartCenter效劳器的负载，管理员可以安装日志效劳器并且配置模块给这些日志效劳器发送日志。在这种情况下，SmartViewTracker登录到日志效劳器〔替代SmartCenter效劳器〕来查看日志。对于日志管理目的来说，日志效劳器与SmartCenter效劳器类似：可以执行在规那么中定义的事件操作〔例如发送报警和邮件〕；当日志文件到达2GB时自动进行日志切换，允许导10、高级跟踪操作阻断入侵^LOGICALLS在SmartViewTracker中的Active模式允许切断入侵，你选择认为是入侵的连接，然后执行以下操作来进行阻断：TheConnection阻断选定的或其他有相同效劳、源或目的连接。Thesourceoftheconnection阻断来自于这个源的访问，这将阻断所有来自于这个指定源对象的访问。Thedestinationoftheconnection阻断到这个目的的访问，这将阻断所有到这个指定目的对象的访问。定义希望阻断的时间期限。自定义命令SmartViewTracker允许你方便地在SmartConsole上运行命令，而不用使用命令行界面。缺省的有效命令是ping和whois。随着手工添加一个命令，就可以在Record栏中相关的元素右键菜单上激活。三、跟踪需要考虑的问题选择哪个规那么跟踪从事件日志当中获取好处的多少依赖于感兴趣的网络通信局部。因此，必须确保平安策略是跟踪所有稍后需要研究的事件。另一方面，需要注意记录太多的事件结果会使日志文件急剧增长，这将导致需要更多的磁盘空间和管理操作。为了平衡这些矛盾的需求，可以考虑信息的利用程度来决定策略规那么中对哪些要进行跟踪。例如，考虑以下内容：改善网络的平安性。增强对用户行为的了解。希望在报表中看到的数据。可能对将来很有用。选择适当的跟踪选项对于每个需要跟踪的规那么，可以定义以下的跟踪选项：Log――将事件的详细信息保存到日志文件，以备将来参考。这可以获得网络通信的根本信息。Account需要在保存的记录中包含字节的信息。Alert进行日志记录的同时SmartCenter效劳器执行一个预设的关联命令：显示一个弹出窗口，发送一个邮件或SNMP陷阱警告，或者允许自定义脚本。在线发送日志以及使用时间表发送日志缺省情况下，模块逐条地给目的端〔SmartCenter效劳器或日志效劳器〕在线发送日志记录。在这种情况下，当最新日志送到机器时就可以使用SmartViewTracker进行查看。为了提高模块的性能，可以将它配置为本地日志模式，将日志保存在本地日志文件当中。如果设定了日志发送时间表，可以在SmartViewTracker中翻开这个文件〔不是在线的文件〕另外，可以使用SmartViewTracker的远程文件管理操作从模块上手工导入这个文件。8L