checkpoint防火墻相關(guān)培訓(xùn)cp訪問(wèn)控制和nat_第1頁(yè)
checkpoint防火墻相關(guān)培訓(xùn)cp訪問(wèn)控制和nat_第2頁(yè)
checkpoint防火墻相關(guān)培訓(xùn)cp訪問(wèn)控制和nat_第3頁(yè)
checkpoint防火墻相關(guān)培訓(xùn)cp訪問(wèn)控制和nat_第4頁(yè)
checkpoint防火墻相關(guān)培訓(xùn)cp訪問(wèn)控制和nat_第5頁(yè)
已閱讀5頁(yè),還剩32頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、訪問(wèn)控制與NATChapterSmartConsole 組件SmartDashboardSmartMapSmartView TrackerSmartView MonitorEventia ReporterEventia AnalyzerSmartProvisioningSmartUpdateManage Endpoint Security ServerSecurity Management Server安全管理服務(wù)器 術(shù)語(yǔ)往往交替使用SmartCenter Server = Security Management Server用戶管理安全策略安全策略與組織數(shù)據(jù)存儲(chǔ)的地方維護(hù)Security G

2、ateways 數(shù)據(jù)庫(kù)包括對(duì)象定義安全策略日志文件在SmartDashboard定義策略保存在Security Management Server在SmartDashboard 中管理用戶用戶與管理員類型AdministratorsRead OnlyRead/WriteAdministrator Groups用于識(shí)別管理員應(yīng)有的權(quán)限去安裝策略在SmartDashboard建立的管理員帳號(hào)并不同于在OS層面的管理員帳號(hào)External User ProfilesGroupsLDAP GroupsTemplatesUsers安全策略基礎(chǔ)Security Policy安全策略使用策略庫(kù)定義的一套網(wǎng)絡(luò)

3、安全規(guī)則Rule Base包含了network objects 例如 gateways, hosts, networks, routers, and domains.一旦策略庫(kù)被定義, 策略會(huì)通過(guò)網(wǎng)絡(luò)分布到所有的安全網(wǎng)關(guān)上.The Rule Base 為每一個(gè)應(yīng)用定義規(guī)則的source, destination, service, 和action定義如何跟蹤這些應(yīng)用在SmartDashboard管理對(duì)象 代表實(shí)際主機(jī)與設(shè)備無(wú)形組成部分(services)Resources資源一個(gè)組織的每個(gè)組件都有一個(gè)對(duì)應(yīng)的對(duì)象表示可以被策略使用Objects Tree對(duì)象樹Smartdashboard 結(jié)構(gòu)對(duì)

4、象樹功能選項(xiàng)卡對(duì)象列表菜單與快捷方式管理對(duì)象在Object Tree上建立對(duì)象編輯對(duì)象刪除對(duì)象克隆主機(jī)和網(wǎng)絡(luò)對(duì)象對(duì)象的添加Smartdashboard 結(jié)構(gòu)(對(duì)象樹)Firewall Policy 選項(xiàng)卡1.數(shù)據(jù)到達(dá)firewall,從第一條策略開(kāi)始匹配2. Firewall根據(jù)source,destination,service,vpn進(jìn)行匹配3.如果匹配成功,數(shù)據(jù)會(huì)根據(jù)Action中的內(nèi)容執(zhí)行動(dòng)作4.如果匹配不成功,數(shù)據(jù)會(huì)找下一條策略進(jìn)行匹配5.如果所有策略都不匹配成功,系統(tǒng)會(huì)找到最后一條any any drop隱含/顯式策略 Implicit vs. Explicit RulesCont

5、rol ConnectionsAccept control connections類型Gateway specificAcceptance of IKE and RDP trafficCommunication with various types of serversPolicy Global Properties FireWall Implied RulesFirstBefore LastLast配置記錄隱含策略記錄隱藏記錄日志勾選啟用隱含策略隱含策略位置隱含規(guī)則的位置關(guān)系Before LastFirstLast一些有用信息策略從上到下執(zhí)行放置最嚴(yán)格的策略在策略最上層組對(duì)象或合并規(guī)則可以使

6、策略更清晰首先添加clean up rule 清空策略到每個(gè)新的策略包使用 section titles注釋每條策略常用的規(guī)則要放在不常用規(guī)則的前面.Rule Base 配置必須安裝安全策略可以指定安裝的網(wǎng)關(guān)對(duì)象只有被管理的對(duì)象才可以安裝策略Install On 字段是規(guī)則庫(kù)中可以指定安裝在具體的網(wǎng)關(guān)的設(shè)定檢查安全策略看是否有重復(fù)策略IP Addressing why NATRFC 1918 私有網(wǎng)絡(luò)的地址分配Class A : 10.0.0.0-10.255.255.255Class B : 172.16.0.0-172.31.255.255Class C : 192.168.0.0-192

7、.168.255.255Hide NAT Static NAT NAT 與其實(shí)現(xiàn)方式(自動(dòng)實(shí)現(xiàn)的NAT)NAT 與其實(shí)現(xiàn)方式(自動(dòng)實(shí)現(xiàn)的NAT)Hide NAT (自動(dòng)實(shí)現(xiàn)模式)雙擊需要做NAT的對(duì)象點(diǎn)選NAT選項(xiàng)卡打勾“Add automatic Address Translation”Translation 選擇 Hide選擇 Hide 成gateway的地址還是Hide成某個(gè)具體IP選擇 需要安裝的firewallStatic NAT (自動(dòng)實(shí)現(xiàn)模式)雙擊需要做NAT的對(duì)象點(diǎn)選NAT選項(xiàng)卡打勾“Add automatic Address Translation”Translation 選

8、擇 Static填入映射到外網(wǎng)的IP地址選擇 需要安裝的firewallNAT 與其實(shí)現(xiàn)方式(手工實(shí)現(xiàn)的NAT)NAT 與其實(shí)現(xiàn)方式(手工實(shí)現(xiàn)的NAT)為什么需要手工NAT互聯(lián)網(wǎng)地址不夠使用多個(gè)業(yè)務(wù)多個(gè)IP對(duì)應(yīng)一個(gè)服務(wù)器需要取消某些NAT的情況VPN環(huán)境下不實(shí)現(xiàn)NAT靈活的NAT設(shè)置手工NAT需要注意的事項(xiàng)NAT策略順序Proxy ARP / ARP IssueSk30197添加Second IP 創(chuàng)建編輯$FWDIR/conf/local.arp對(duì)外發(fā)布的公網(wǎng)地址外物理網(wǎng)卡的Mac地址NAT表結(jié)構(gòu) 數(shù)據(jù)到達(dá)firewall 從第一條策略開(kāi)始匹配2. Firewall根據(jù)original pa

9、cket 中source,destination,service進(jìn)行匹配3.如果匹配成功,數(shù)據(jù)會(huì)根據(jù)translated packet表中的source,destination,service的內(nèi)容進(jìn)行NAT4.如果匹配不成功,數(shù)據(jù)會(huì)找下一條NAT策略進(jìn)行匹配手工NAT策略自動(dòng)NAT策略防火墻安裝對(duì)象與策略安裝策略管理概述可能需要多個(gè)版本的安全政策,但對(duì)象數(shù)據(jù)庫(kù)不變.添加唉或者綜合當(dāng)前策略創(chuàng)建新策略當(dāng)保存策略時(shí)策略的管理需要策略包 (包含 Security, NAT, and Desktop and QoS Policy rules)分布式安裝與多安全網(wǎng)關(guān)需要每個(gè)網(wǎng)關(guān)一套策略包策略管理流程的工

10、具策略包預(yù)定義安裝網(wǎng)關(guān)目標(biāo)Section Titles查詢排序策略管理與版本控制變更策略與對(duì)象的回退方法工具策略包管理Database Revision Control策略數(shù)據(jù)庫(kù)版本控制Database Revision Control實(shí)施新的對(duì)象和規(guī)則時(shí),網(wǎng)絡(luò)改變或調(diào)整的規(guī)則和對(duì)象,建立后備配置當(dāng)你保存策略時(shí)包括一個(gè)網(wǎng)關(guān)上的所有政策,對(duì)象和用戶配置,包括設(shè)置中的SmartDefense,全局屬性它可以被配置為自動(dòng)創(chuàng)建新的數(shù)據(jù)庫(kù)版本,安裝政策執(zhí)行Database Revision Control File Database Revision Control保存并繼續(xù)Policy or Data

11、base Management UtilityPolicy or Database Management UtilityConsiderationsDatabase Revision Control Database versions consists of all Policies, objects and users configured, including settings in SmartDefense and Global Properties Ideal management utility for stand alone deployment, or distributed with a single Gateway deployment Configurable to automatically create new database versions on Policy installationPolicy Package Management Policy Package including only Security and NAT, QoS, and Desktop Security settings Ideal management utility for a distributed i

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論