Check Point平台 1/30

{%hackmd @themes/dracula %} ###### tags: `Firewall` # Check Point平台 1/30 ![](https://i.imgur.com/Xm9QDBL.png) FW重點是在於系統的設定參數業界常用Check point 環境建置VMware Warkstation需15版以上(15以下會有問題，不支援UEFI) 架構圖:**Lab Topology.pdf** 使用R81版:**Check_Point_R81.10_T335.iso** 15天試用(會用快照回復與利用VMWare控制時間) FW是放在站台的邊際，也稱邊際防火牆 Site站台在資訊定義是有隔離在資安定義稱**Security Site**，需有實體隔離**Physical Isolate** 有定訂指引需有實際距離隔離，但無規範要求距離需多少，通常是以天然災害距離界定，台灣因海島型經常以30KM 常以內湖-龍潭-新竹-台南使用VPN機制讓各站台的FW權限相同使用Policy Server同步各FW的Rule/Policy 2台FW為Security Gateway 這3台皆為Check Point設備 Lab為方便練習會多個功能放同一台上，實務上各功能都會是獨立設備才符合資安規範 Check point的FW是軟體FW 稱Soft Blade，每一個Blade都是一個功能(都是30萬起算) 另有開源的**pfsense**有免費版 Distributed:**分散架構,集中管理** 適合統一控管多台FW設定 Standalone:**單一架構,分散管理** 適合單一站台FW的設定 CP的版本可降一級大版本(R81.10可用R80.x) 分散式安裝時將以SMS的管控主機版本為主 ![](https://i.imgur.com/Kf0eqIh.png) Policy Server Console in與Local in：調整Configuration(權限一樣較高) Smart Console：調整Policy(權限較低) CP是用Unix，但有改，架構不同，圖型化介面是向NOKIA買的 Gaia是安裝平台(security Parfrom?) CP只要x86設備皆可安裝,也可虛擬化建於VM機內由其在上雲後FW等功能或設備己無Infar界限 # A-SMS Policy Server:(Policy Server For All Site) CPUx4,8G(最小Cx2,4G), HostOnly,預設(BusLogic,IDE),分散80G,相容15版 :::spoiler **Gaia** admin/Chkp!234 GW:10.1.1.1 NO DHCP SERVER ![](https://i.imgur.com/Nl98IQf.png) ![](https://i.imgur.com/k8ZrLQ6.png) ![](https://i.imgur.com/ZC0gvmE.png) ![](https://i.imgur.com/jkAf2QR.png) ![](https://i.imgur.com/dsaNfeZ.png) ![](https://i.imgur.com/8n72Pp4.png) ![](https://i.imgur.com/gWI98Bt.png) ![](https://i.imgur.com/dJf4oEA.png) ![](https://i.imgur.com/xGYADJD.png) ::: **架構圖** ![](https://i.imgur.com/DBB1376.png) :::info ![](https://i.imgur.com/IavwxLn.png) 總 ![](https://i.imgur.com/TM6j2c6.png) ![](https://i.imgur.com/CKxlynk.png) 用預設 ![](https://i.imgur.com/8giB0vc.png) ![](https://i.imgur.com/kdf8aLl.png) ![](https://i.imgur.com/EBxG8Ma.png) ![](https://i.imgur.com/GqLlDpG.png) ![](https://i.imgur.com/gFwu86p.png) 安裝 ![](https://i.imgur.com/7FuWofz.png) ![](https://i.imgur.com/4kp2PYc.png) ![](https://i.imgur.com/Syh04vr.png) ![](https://i.imgur.com/XOntl4Z.png) ![](https://i.imgur.com/1hufuxk.png) ![](https://i.imgur.com/ll7D2sA.png) ![](https://i.imgur.com/DUS9Hjm.png) ![](https://i.imgur.com/ThJYvbw.png) ![](https://i.imgur.com/MoX6QYb.png) 平台裝完會安裝FW ![](https://i.imgur.com/NLYC4VT.png) ![](https://i.imgur.com/gDHAUdS.png) ::: ![](https://i.imgur.com/zVEtx7W.png) ![](https://i.imgur.com/KsgbvBp.png) 無法保留關機halt(我的可以???) 預設於安裝後需要進行第一次的組態初始設定但因需改時間控制相關，需用VM強制關機 Time sync off:但CP仍會有方法向VM同步時間圖型介面的option不調整從.vmx最後去加設定參數：(每台都要設定) BIOS中看到的時間是未加時區的 ![](https://i.imgur.com/mMAMzt0.png) ![](https://i.imgur.com/gZmrT2U.png) :::danger :warning::warning::warning: 1.安裝結束後,開機前需注意這5行是否存在 2.若一直無法存成功，先移除頂標![](https://i.imgur.com/7OS7DT8.png)與左標![](https://i.imgur.com/K5lLU0j.png),再設定.vmx時間參數，再重新加入VM Workstation裡 ::: ![](https://i.imgur.com/lYbMFrf.png) --- # A-GUI 安裝S2016進行連Console設定組態 ![](https://i.imgur.com/sUmndzn.png) :::info A-GUI-02安裝 Admin.../!Qaz@Wsx 相容v15 S2016 Stand BIOS CPUx4,8G,HostOnly,HDD預設(60G,Nvme) ![](https://i.imgur.com/tIf7ZmC.png) ![](https://i.imgur.com/xy6Nba1.png) ![](https://i.imgur.com/WONcRp7.png) ![](https://i.imgur.com/AfUKew7.png) ![](https://i.imgur.com/OD7DitC.png) ![](https://i.imgur.com/rXC4FJR.png) 完整安裝VM Tools 暫切NAT取Win試用授權調整.vmx ![](https://i.imgur.com/oJ3GNpQ.png) 設定BIOS時間與HDD開機 ![](https://i.imgur.com/NwLQRgp.png) ![](https://i.imgur.com/yOoZmC0.png) 關自動效時(及設定時區) ![](https://i.imgur.com/UU0OXRB.png) ::: :::info ==Lan Segments== ![](https://i.imgur.com/75O0Tyb.png) ![](https://i.imgur.com/TUvHZks.png) **SMS與GUI切換至LAN2** ![](https://i.imgur.com/GAwAldd.png) ::: 設定IPv4 ![](https://i.imgur.com/c5SDf3O.png) 在GUI用Web連SMS(Https:\\10.1.1.101) 同意簽章與加入信任的網站 ![](https://i.imgur.com/jWb0OZL.png) ![](https://i.imgur.com/espOBp3.png) ![](https://i.imgur.com/jjwR6TM.png) ![](https://i.imgur.com/a3Fn4xi.png) ![](https://i.imgur.com/i0cLKbH.png) ![](https://i.imgur.com/ZylZs7Y.png) Host：A-SMS-02 Domain:alpha.cp DNS:10.1.1.201 ![](https://i.imgur.com/qJYpVfl.png) manual時區 ![](https://i.imgur.com/Mnlmgsw.png) **不勾Security GW** 分散式架構，要獨立管理 ![](https://i.imgur.com/sMLQVXW.png) :::spoiler **另建一組管理Policy的帳號** cpadmin cpadmin\Chkp%678 ![](https://i.imgur.com/GKNgm89.png) ::: 限制管理介面連線方式(CP的授權方式是綁IP上) 選**This machine** ![](https://i.imgur.com/T7r1MEU.png) ![](https://i.imgur.com/gQjz5rb.png) 平台初始設定完成 ![](https://i.imgur.com/ekp3VSG.png) :::warning 登入的帳號會互卡設定權限需注意Web或Console都要正常登出後另一邊才能可登入可設定 ![](https://i.imgur.com/wwmdpSa.png) 不可設定 ![](https://i.imgur.com/7gbSUpU.png) ::: **Blades** ![](https://i.imgur.com/B4cjjQK.png) 推： Theat、Mobile Access 不推：Anti防毒 eth0:comment:A-SMS-00 Intranet eth0 LAN2 lo:comment:A-SMS-00 LO Internal LAN2 ![](https://i.imgur.com/AZStrc1.png) IPv4 Next Hop Type:正常(黑洞、拒絕) ![](https://i.imgur.com/fQwmgI2.png) comment：ASMS02 Pri：1 ![](https://i.imgur.com/dpsWDix.png) Time and Date ![](https://i.imgur.com/rVKjN6L.png) Messages ![](https://i.imgur.com/GEeiizy.png) ==User manager== 此為系統權限帳號,cpadmin非系統帳號(所以看不到) **admin2/(012** Shell:/etc/cli.sh(建議不要改) 加入adminRole(1個帳號只能給1個角色) ![](https://i.imgur.com/McWjMHe.png) ![](https://i.imgur.com/alusd1E.png) UID(1~101為系統保留) ![](https://i.imgur.com/YDGYZyR.png) 登入SMS,halt,快照 ![](https://i.imgur.com/tAFNk1Z.png) ## **安裝IIS＋FTP** 2/1 ![](https://i.imgur.com/VP9wkKX.png) 新增FTP站台(方式同下方B-GUI) ![](https://i.imgur.com/yZJIeUZ.png) # A-GW 相容v15 4C,8G,80GB,NICx3:HostOnly 前半段安裝相同 **admin/Chkp#456** ManagerPort:eth1:10.1.1.1/24 GW:留空(Lab環境沒對外的網路) ![](https://i.imgur.com/XfJaQSI.png) ![](https://i.imgur.com/jyIJuNG.png) 安裝後調整**.vmx**時間設定 ![](https://i.imgur.com/8fktZYp.png) VM NIC改Lan1～3 ==初始系統Config 1/31== Web連去：https://10.1.1.1 eth1-Config IPv4:Off(之後再一起設定) Host:A-GW-02 Domain:alpha.cp DNS:10.1.1.201 時間：(會抓Console本機的時間，所以是對的) Security GW(Sec Mana不勾) No HAIP(DHCP?) :::success Pic ![](https://i.imgur.com/0f7dZ8o.png) ![](https://i.imgur.com/Rp8Id8I.png) ![](https://i.imgur.com/h3mBvIQ.png) ![](https://i.imgur.com/f9zTl6F.png) ![](https://i.imgur.com/0hKZuyb.png) Security GW ![](https://i.imgur.com/w1htuRb.png) ![](https://i.imgur.com/GwO04Bz.png) :warning::warning::warning: 暗柱裝：**abc123** 第一次識別用的密碼(只用一次就失效，失敗也會失效) ![](https://i.imgur.com/NLCcWOP.png) ![](https://i.imgur.com/YbSjzV0.png) ![](https://i.imgur.com/uilF3Gp.png) ::: 完成 ![](https://i.imgur.com/yeNn4RL.png) ==基本組態Config== ![](https://i.imgur.com/izNtdft.png) Lan1~3: Static Route GW ![](https://i.imgur.com/w2rBjU8.png) ![](https://i.imgur.com/akV1zRN.png) ![](https://i.imgur.com/C69jgey.png) ![](https://i.imgur.com/hfFV9Xg.png) Summary ![](https://i.imgur.com/P3to97D.png) Edit Default GW:設對面GW的對外IP(下一跳IP) ![](https://i.imgur.com/cGkYp6q.png) ![](https://i.imgur.com/YmYsvkU.png) ![](https://i.imgur.com/tvEZiZg.png) ![](https://i.imgur.com/63MznvM.png) # A-DMZ ![](https://i.imgur.com/X0O3tAz.png) S2016,4C,8G,60GB,BIOS **Admin.../#Edc$Rfv** 完整安裝VM Tools 調時區：off Auto,UTC+8,off daylight .vmx GW設定成FW後就Ping不到了，後面可再設定開啟 EX：Ping 10.1.1.1、192.0.2.1 安裝IIS(預設＋FTP全部) ![](https://i.imgur.com/mVA6EFq.png) ![](https://i.imgur.com/dIYVD1l.png) ![](https://i.imgur.com/RpjR8ef.png) ![](https://i.imgur.com/cF6gn5D.png) ![](https://i.imgur.com/Ct46ET3.png) 測試自己的FTP OK ![](https://i.imgur.com/tEDTQiL.png) 關機做快照與標示 ![](https://i.imgur.com/3Ar3GaT.png) # Smart Console Smart Console用於設定Policy 下載-安裝(連到SMS才能下載) ![](https://i.imgur.com/CY2O1zn.png) 各規則可依環境不同包裝成不同的規則包 SMS上會放所有的規則與規則包 FW上只放要用的規則包 Demo Mode：可下規則與設定，但只是Demo而己不會儲存 ![](https://i.imgur.com/MfhMNU2.png) Fingerprint(只會顯示一次) ![](https://i.imgur.com/OVDeKDF.png) 看板 ![](https://i.imgur.com/XunAC7w.png) Blades功能:皇冠-Policy,方圖-Log ![](https://i.imgur.com/ppsaXkg.png) ## 還原 Smart Console鎖定的解法初次登Smart Console若密碼錯誤多次或忘記密碼會鎖定，且無第二個帳戶可解除，在實務上需進行還原，LAB中可將SMS # B-GW admin/Chkp*901 4C,8G,60GB,NICx2 manager NIC：eth1(Lan4) 10.2.2.1/24 GW：暫空 no DHCP # B-GUI B-GUI做完初始設定後將不再Console 只剩Client與Web Server Win10, BIOS,4C,8G,60GB B-GUI-02：**User / %Tgb^Yhn** NIC暫切NAT取90天授權後切Lan4設IP ![](https://i.imgur.com/4Ln7EPZ.png) Host：B-GUI-02 Domain：(先不設) DNS：10.1.1.201 ![](https://i.imgur.com/ZvjSXrc.png) Security GW(Sec Mana不勾) ![](https://i.imgur.com/FP5q3n7.png) Activation Key:def456 ![](https://i.imgur.com/Nevacqj.png) ![](https://i.imgur.com/dNVxdKm.png) --- 看板 ![](https://i.imgur.com/npuk3es.png) ![](https://i.imgur.com/pxf7AZp.png) ![](https://i.imgur.com/shrL18a.png) ![](https://i.imgur.com/rBFcxig.png) ![](https://i.imgur.com/xOt4bvz.png) ![](https://i.imgur.com/EHShuhh.png) Management Interface：eth1改eth0 將管理交接出去(實務中有差異，LAB中VMWare會自動切換) ![](https://i.imgur.com/wmC3RiM.png) https://172.22.102.1/ ![](https://i.imgur.com/HVUUsrs.png) ## 安裝IIS Win10也能執行WinServer的功能但差在承載能量，不適合上線使用，例如Service連線數量 ![](https://i.imgur.com/pQbLa62.png) # 最後測試從A-GW Ping SMS、GUI、DMZ 從B-GW Ping B-GUI 都要Ping的到(注意Win防火牆要關) 反向設備Ping A-GW,B-GW都Ping不到 init的規則包有擋ICMP GUI設定名稱、時間 Security GW ClusterXL