CHECKPOINT作为软件防火墙,需要安装在NT, 2000或SUN的平台上, 以下的手册是指安装在NT的平台下的SINGLE GATEWAY的产品, 有三个区( 内部网, INTERNET, DMZ)

　　CHECKPOINT防火墙主要分为两大模块:

　　1.Management Module

　　2.VPN/Firewall Module

　　VPN-1/FIREWALL-1产品有:

　　1.Enterprise Security Console: 包括Management Module

　　2.Enterprise Center: 包括Enterprise Security Console, VPN/FW module.

　　3.VPN-1/FIREWALL-1 Network Security Center: 包括VPN-1/FW-1 Enterprise Center, Open Security Extension.

　　4.单一的GATEWAY: 包括Management Module, VPN/Firewall Module

　　(单一的GATEWAY, Management Module和VPN/Firewall Module必须装在一台机器上)

　　网络环境的设置:

　　至少需要有两个网段, 一个是内部网, 一个接公网, 一般来讲还有一个DMZ(非军事化区), 这样就有三个网段.DMZ区主要用于放你的INTERNET服务器, 如WWW, MAIL等.

　　CHECKPOINT 4.1安装前的准备

　　1. WINDOWS NT SERVER 4.0+SP6, 至少有两块网卡, 必须删除NETBEUI协议.

　　2. 停在不需要的服务.

　　3. 检查路由.

　　4. 在网络选项中，打开 “IP FORWARDING”, 启用IP FORWARDING, ( 利用CHECKPOINT来控制IP FORWARDING)

　　5. 在外部网卡上设置DNS(可选).

　　安装步骤

　　插入安装光盘。

　　1． .在 “The Welcome“窗口。

　　2． 选择 'Next'.

　　3． 在 'Licence Agreement“选择'Yes'.

　　4． 在 “Product Menu“ 选择 ”Server/Gateway components“.

　　5． 选择 'Next'.

　　6． 在“Server/Gateway components“的窗口选择”VPN-1/FireWall-1“和”Floodegate-1”

　　7． 选择“Next“

　　8.在“Setup Type“的窗口, 选择 “Stand Alone Installation”.

　　9． 选择“Next“, 在 “Information” 窗口, 选择 ”Next“.

　　10．“VPN-1/Firewall-1 Gateway/Server mode”的窗口，选择”VPN-1/Firewall-1 Gateway Module- Limited hosts ( 25-250 ), 选择 “Next”.

　　11. 选择“Install without Backward compatibility”, 选择“Next” -> “Next”, 选择”OK”,

　　系统会自动安装CHECKPOINT SP2.

　　12. 在安装“Client Managent” 时，选择安装所有组件。

　　13．系统会自动安装“Floodegate-1”和SP2.

　　14. 在“Question”提示时，选择”NO”.

　　15. 在”Licensed”窗口中，添加一个“License”.

　　16. 在“Administrators”窗口中，至少添加一个管理员。

　　17. 配置公网IP

　　18. 在”GUI CLIENTS”的窗口中，添加远端管理机器的IP.

　　19.输入连接INTERNET的网卡的名字，可从“IPCONFIG /ALL”中得到信息。

　　20.在“IP FORWARDING”的窗口中，选择“Control IP Forwarding”.

　　21.根据提示，输入不同的字符直至完成。

　　22．重新启动机器

　　LICENSE的安装

　　1 . 进入http://license.checkpoint.com

　　2. 选择“Permanent and Evaluation License”.

　　3. 填入用户信息和“Certificate Key”, 根据提示完成申请。会得到如下的信息。

　　Expiration Date: 01Apr2001

　　Host ID: xx.xx.xx.xx

　　Features: cpsuite-aeal-des-v41 cprs:4.1:rs5

　　License String: aTKRhsYJ3-fp2yX5Hug-XCenB3wqp-X4ac7X3Wu (Validation

　　code: LcKbi)

　　4. 在防火墙的机器上，进入”CHECK POINT CONFIGURATION TOOL”, 在“LICENSE”的菜单中，选择添加，填入上面的信息。系统会自动重启防火墙的服务。

　　配置CHECKPOINT

　　1. 打开“CHECKPOINT POLICY EDITOR”

　　2. 输入管理员名和口令。

　　3. 定义防火墙，从菜单中选择“MANAGE”->”NETWORK OBJECTS”,选择”NEW”->

　　“WORKSTATION”, 输入防火墙的NETBIOS名，输入防火墙公网的IP, 选择“GATEWAY”，选择安装了“VPN-1/FIRWALL-1”和”FLOODGATE-1”.

　　4. 在“WORKSTATION PROPERTIES”中，进入”INTERFACES”菜单，分别加入三块网卡的“NAME”,”IP”,”MASK”, 可用”IPCONFIG /ALL”获得以上信息。

　　5. 定义内部网和DMZ区，从菜单中选择“MANAGE”->”NETWORK OBJECTS”,选择”NEW”->“NETWORK”, 输入内部网名称，IP （输入网段，如192.168.0.0 ）,输入MASK. 选择“NAT”菜单，选择”Add Automatic Address Translation Rules”,在“Translation Method”中，选择”Hide “, 在“Hiding IP address”中，输入防火墙的公网的IP, xx.xx.xx.xx

　　6. 参照5，定义DMZ区。

　　定义安全策略。

　　具体的配置，可使用GUI的客户端来查看。

　　1. 打开“CHECKPOINT POLICY EDITOR”

　　2. 添加“Stealth Rule”, 目的不允许任何机器访问防火墙。

　　3. 定义内部网访问策略.

　　定义NAT

　　如邮件服务器在DMZ区，IP 地址为192.167.0.2, 为了使用和保护邮件服务器，需要进行NAT转换。具体步骤如下：

　　1． 定义邮件服务器，定义防火墙，打开“CHECKPOINT POLICY EDITOR”，从菜单中选择“MANAGE”->”NETWORK OBJECTS”,选择”NEW”->“WORKSTATION”, 输入邮件服务器的NETBIOS名，输入邮件服务器IP, 192.167.0.2

　　2. 定义NAT, 选择“NAT”菜单，选择”Add Automatic Address Translation Rules”,

　　在“Translation Method”中，选择”STATIC “, 在“Valid IP address”中，输入邮件服务器的公网IP, xx.xx.xx.xx

　　3. 修改LOCAL.ARP, 进入C:\WINNT\FW1\4.1\STATE\, 编辑LOCAL.ARP, 加入邮件服务器的公网IP对应于防火墙外部网卡的MAC地址. 重启防火墙的服务。

　　4. 在防火墙上中增加路由表，route add xx.xx.xx.xx mask 255.255.255.255 192.167.0.2

　　5. 一般在防火墙前面有个前端路由器, 你如果在对WEB SERVER或MAIL SERVER做静态NAT后, 最好将前端路由器的ARP CACHE清除, 然后在前端路由器上, PING你的NAT的地址,再用SH IP ARP来看看, MAC地址是不是对应于防火墙外部网卡的地址.

　　ANTI-SPOOFING的设置

　　CHECKPOINT 使用ANTI-SPOOFING来防止IP欺骗, 但是在配置防火墙的INTERFACE时要注意:

　　可分为以下几种情况:

　　1. 只有两个网段, 一个内部网, 一个公网, 没有WEB等服务器需要做静态的NAT.

　　选中防火墙的OBJECT属性, 选择"INTERFACE" , 选择"有效地址",

　　在防火墙内部网卡上选择"THIS NET", 在防火墙外部网卡上选择" OTHERS"

　　2. 有两个网段, 一个内部网, 一个公网, 有WEB等服务器需要做静态的NAT.

　　使用GROUP 来解决,

　　1. 定义一个组.

　　2. 将内部网和你WEB服务器NAT后的地址( 即公网地址) 加入此组中.

　　3 . 在内部网INTERFACE 上不选"THIS NET" 选择"Specfic", 选择你建的组.

　　4. 在防火墙外部网卡的INTERFACE上, 选择"OTHERS"