博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 5112|回复: 9

配置Check Point防火墙和firewall analyzer 4

[复制链接]
发表于 2008-5-30 16:11:46 | 显示全部楼层 |阅读模式
配置Check Point防火墙
防火墙分析仪可以从大多版本的CheckPoint处导入日志,并支持R54或者更高的LEA。
查看Check Point版本号
要查看所运行的Check Point的版本号,使用以下命令:
$FWDIR/bin/fw ver

这里$FWDIR 是安装Check Point的目录。
--------------------------------------------------------------------------------
以下指导有助于在防火墙分析仪和Check Point管理服务器之间设置认证的或者未认证的连接,其它信息请参见Check Point文档或者和Check Point技术支持联系。

配置Check Point防火墙之前,在防火墙分析仪上添加 LEA服务器来连接防火墙。  

前提:

需要在Check Point防火墙的智能面板上做以下操作。

智能面板的修改 :

打开显示所有规则的"智能面板"。把"Track"值由"log"设定为"Account",可以在各规则上右键点击 "Track"并选择"Account"。设定之后CheckPoint 防火墙将按照字节数生成日志。
把所有规则的"Track"值改为"Account"后,请重新提交所有策略。
如果要导入所产生的日志,需要执行以下修改。如果不导入日志文件则可以跳过以下步骤。

在智能面板追踪上的修改:

打开"智能面板追踪"并点击"View" --> "Query Properties".
请选择以下属性:
Elapsed
Bytes
Client InBound Bytes
Client OutBound Bytes
Server InBound Bytes
Server OutBound Bytes
Status
URL
导入Check Point日志文件

对于非-LEA连接,有两种方法来生成并导出check point的文本日志文件,该文件可以导入到防火墙分析仪。对于LEA连接,可以跳过以下内容直接查看LEA配置指导。

方法1 :

在Check Point防火墙的命令行上执行以下命令

fw logexport -d ; -i fw.log -o exportresult.log -n

这里, -d指表示分隔符, -i表示输入的日志文件,-o表示输出的 ASCII文件,-n表示在日志文件中不对IP地址执行 DNS解析(该选项将明显示提升处理速度)。

详细信息请参见Check Point文件或者与Check Point的技术支持联系。

上述命令创建一个名为exportresult.log的ascii文件。拷贝或者传送该文件到防火墙分析仪,然后就可以在防火墙分析仪上导入该日志文件。

方法2 :

在Check Point智能追踪UI上 (在Check Point管理站上可看到所有日志), 在左边的树上选择所有记录选项。
点击"File" --> "Export".
输入正确文件名,例如exportresult.log. 拷贝或者传送该文件到防火墙分析仪,然后就可以在防火墙分析仪上导入该日志文件。
LEA配置 :

下面解释,管理LEA服务器需要对不同的check point防火墙进行不同的配置:

设置非认证LEA连接
为4.x版本设置认证的LEA连接
为NG设置认证的LEA连接
LEA配置文件
设置非认证LEA连接
按照下面步骤来从Check Poing防火墙配置非认证连接:

在安装Check Point管理服务器的FWDIR\conf 目录下,编辑fwopsec.conf文件并添加以下行:
lea_server port 18184
lea_server auth_port 0
重启防火墙服务
[4.1] fwstop ; fwstart
cpstop ; cpstart
在策略上添加规则来允许从防火墙分析仪访问Check Point管理服务器的上面定义的端口,18184是缺省LEA连接端口。
安装该策略
在防火墙分析仪上添加LEA服务器列表

设置了未认证LEA连接后,执行添加 LEA服务器中的步骤给防火墙分析仪添加LEA服务器。

为4.x设置认证的LEA连接
从Check Point v4.x防火墙上执行以下步骤来配置认证的连接:

在安装Check Point管理服务器的FWDIR\conf 目录下,编辑fwopsec.conf文件来定义认证的LEA连接所使用的端口。
lea_server port 0
lea_server auth_port 18184
lea_server auth_type auth_opsec
重启防火墙服务
fwstop ; fwstart
为防火墙分析仪(例如10.1.1.2)的LEA服务器设定密码(例如:abc123)
fw putkey -opsec -p abc123 10.1.1.2
在策略上添加规则来允许从防火墙分析仪访问Check Point管理服务器的上面定义的端口
安装该策略
在防火墙分析仪上修改LEA服务器

完成上步后,为Check Point防火墙编辑LEA配置文件:

定义IP地址(例如. 10.1.1.1), 端口(例如. 18184),以及认证的LEA连结的认证类型。
lea_server ip 10.1.1.1
lea_server port 18184
lea_server auth_type auth_opsec
认定连接到Check Point管理服务器的密码,这与设定在Check Point管理服务器的密码一致。
opsec_putkey -p abc123 10.1.1.1

为NG设置认证的LEA连接
以下步骤用于配置到Check Point NG管理服务器的sslca认证连接:

在安装Check Point管理服务器的FWDIR\conf 目录下,编辑fwopsec.conf文件来定义认证的LEA连接所使用的端口。
lea_server port 0
lea_server auth_port 18184
lea_server auth_type sslca
重启防火墙服务
cpstop ; cpstart
使用以下内容新建Opsec应用对象:
Name (eg. myclient)
Vendor: user defined
Server Entities: none
Client Entities: LEA
对该Opsec应用程序初始化安全内部通讯 (SIC),并输入激活键(例如def456)。记录下该激活键,以后将需要。
写下该Opsec应用对象的DN。这是客户端名称,这以后也需要。
打开该Check Point管理服务的对象并写下该对象的DN。这是服务器的名称。
添加规则到策略来允许上面定义的端口。比如端口18210/tcp(FW1_ica_pull)用于从防火墙分析仪引导 PKCS#12证书到Check Point服务服务器。该端口在成功建立从防火墙分析仪到Check Point服务服务器的连接后可以被关掉。
安装该策略
在防火墙分析仪在修改LEA服务器

完成上步后,为该CheckPoint防火墙编辑LEA配置文件:

为认证的LEA连接定义IP地址(例如10.1.1.1), 端口(例如18184), 认证类型以及SIC名称。
(该SIC名称为客户端Client DN并且服务DN参照以前记录的内容)
lea_server ip 10.1.1.1
lea_server port 18184
lea_server auth_type sslca
opsec_sslca_file opsec.p12
opsec_sic_name "CN=myleaclient,O=cpmodule..gysidy"
lea_server opsec_entity_sic_name "cn=cp_mgmt,o=cpmodule..gysidy"

从opsec-tools.tar.gz 或者工程网页上或者直接从OPSEC SDK得到opsec_pull_cert 工具。该工具用于在防火墙分析仪和Check Point管理服务器之间建立安全内部通讯Secure Internal Communication (SIC)。
从Check Point管理服务器(例如 10.1.1.1)得到客户端证书。激活键应该和在防火墙策略上指定的一致。然后拷贝结果文件PKCS#12 (缺省为: opsec.p12)到/server/default/leaconf 目录。
opsec_pull_cert -h 10.1.1.1 -n myleaclient -p def456
LEA配置文件
LEA配置文件在/server/default/leaconf 目录下,缺省情况下,只有leaclient.conf 文件。如果添加单个Check Point防火墙,使用该文件来配置LEA客户端参数。

如果配置多个Check Point防火墙,当在防火墙分析仪上添加LEA服务器后,使用与输入的主机名同样的名字创建另外的 .conf文件。


在LEA客户端配置文件中设置的参数说明如下:

参数                              
lea_server ip 要连结的防火墙日志分析仪上LEA服务器的IP地址。
lea_server port 未认证连结情况下,要连结的防火墙分析仪上LEA服务器的端口。
lea_server auth_port 认证连接情况下,要连结的防火墙分析仪上LEA服务器的端口。
lea_server auth_type 认证方法,缺省值为sslca。支持的值为sslca, sslca_clear, sslca_comp, sslca_rc4, sslca_rc4_comp, asym_sslca, asym_sslca_comp, asym_sslca_rc4, asym_sslca_rc4_comp, ssl, ssl_opsec, ssl_clear, ssl_clear_opsec, fwn1和auth_opsec。
opsec_sslca_file 认证连接情况下,PKCS#12证书的位置。
opsec_sic_name 认证连接情况下,LEA客户端(防火墙分析仪的LEA服务器)的SIC名.
lea_server opsec_entity_sic_name Check Point管理服务器的SIC名称

本文来自:  http://lists.virus.org/
发表于 2008-5-30 20:15:32 | 显示全部楼层
希望早进入状态 。
发表于 2008-12-9 10:38:57 | 显示全部楼层

怎么没看到下载啊

怎么没看到下载的地方啊
发表于 2009-3-20 15:45:17 | 显示全部楼层

你写的确实不错~~~`t``~顶~~~顶

你是我的活着的理由, 你知道不
你是我生命的支柱 , 你知道不
我发错了,你知道不 你写的确实不错~~~~~~顶















_______________________________________________________________________
北京代办营业执照北京代办执照代办营业执照代办北京执照北京执照代办
发表于 2009-4-16 10:33:29 | 显示全部楼层
没看懂!哎!
发表于 2009-4-16 10:34:54 | 显示全部楼层
你写的确实不错
发表于 2009-9-9 01:26:09 | 显示全部楼层
这些东东,个人觉得配上图更直观一些。
发表于 2009-9-9 01:27:47 | 显示全部楼层
这些东东,个人觉得配上图更直观一些。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-25 15:03 , Processed in 0.090447 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表