Checkpoint的安裝流程

2019-11-04 23:56:09

字體：大中小

供稿：網(wǎng)友

·安裝流程：

Firewall-1提供的Check Point治理軟件不能在linux系統(tǒng)上運(yùn)行。目前的版本僅支持 Windows NT、windows 2000和一些UNIX系統(tǒng)（例如Solaris）。因此，要使用Firewall-1，需要另增一臺計(jì)算機(jī)作為治理工作站。Firewall-1 for Solaris治理軟件工作得并不好，所以我個(gè)人推薦使用基于Windows NT或Windows 2000版本的治理軟件。雖然Firewall-1治理軟件包含在同一張光盤上，但它必須與Firewall網(wǎng)關(guān)軟件分開獨(dú)立安裝。

快速提示：我?guī)缀鯇ξ宜械腞ed Hat Linux系統(tǒng)安裝都使用kickstart build。kickstart 安裝讓我能夠從一個(gè)包含了所有升級更新的Red Hat安裝目錄進(jìn)行快速安裝，而且不需要參與到安裝過程－－所有安裝問題的回答都已在kickstart的配置文件中了。關(guān)于kickstart的更多信息請?jiān)L問以下鏈接文檔：

http://www.linux.com/howto/KickStart-HOWTO.Html

http://www.redhat.com/support/manuals/RHL-7-Manual/ref-guide/ch-kickstart2.html

通常說來，安裝Firewall-1的Linux系統(tǒng)的分區(qū)需求如下：

* /（根分區(qū)），根分區(qū)包含了基本的系統(tǒng)結(jié)構(gòu)。空間大約為100－200MB。

* swap（交換分區(qū)）。這應(yīng)該和系統(tǒng)內(nèi)存大小差不多。

* 建議設(shè)置獨(dú)立的/usr分區(qū)。/usr是Red Hat Linux系統(tǒng)安裝大多數(shù)應(yīng)用程序的目錄。為 /usr分區(qū)大約需預(yù)留1GB的空間。

* 設(shè)置獨(dú)立的/var分區(qū)也有一定幫助。大多數(shù)的動態(tài)數(shù)據(jù)，例如spool文件、日志文件等，都存放在這里。但是在Linux系統(tǒng)中安裝Firewall-1時(shí)，F(xiàn)irewall-1的日志文件是存放到 /opt，而不是/var目錄下。因此為/var分區(qū)預(yù)留200MB或稍大一些的空間就基本足夠了。

* 由于Firewall-1缺省被安裝到/opt目錄下。該目錄包含了Firewall-1軟件程序、配置文件和日志文件等。對于Firewall-1機(jī)器，應(yīng)為其分配盡可能大的分區(qū)。

假如是從CD（或其它手工安裝方式）安裝系統(tǒng)，則以上所有分區(qū)都能夠手工創(chuàng)建。我測試安裝Firewall-1系統(tǒng)時(shí)用的kickstart配置文件（ks.cfg）文件中定義了如下分區(qū)：

part / --size 200

part swap --size 128

part /usr --size 1000

part /var --size 200

part /opt --size 1

--grow 注重在定義/opt分區(qū)時(shí)"--grow"參數(shù)的使用，它使該分區(qū)使用磁盤的所有剩余空間。

安裝Firewall-1前做一下配置：

* 編輯/etc/inetd.conf文件，禁用所有不需要的服務(wù)。通常我是把該文件中所有的服務(wù)都禁用。對于telnet，可用OpenSSH替代。

* 運(yùn)行ntsysv關(guān)閉任何不需要的服務(wù)。非凡地，F(xiàn)irewall-1系統(tǒng)不應(yīng)該運(yùn)行大多數(shù)的標(biāo)準(zhǔn)服務(wù)。例如我把除了crond、network、random、sshd和syslog以外的其它服務(wù)都關(guān)閉了。

* 重啟系統(tǒng)，運(yùn)行"netstat -a"命令查看該機(jī)器還打開了什么端口。假如發(fā)現(xiàn)你不期望或不清楚的開放端口，就應(yīng)該仔細(xì)分析研究了。

* 確保所有網(wǎng)卡都被安裝且正常工作（可使用"netconf"程序），和路由表設(shè)置正確。在這里，通常可以通過"ping"命令來確保系統(tǒng)的網(wǎng)絡(luò)功能正常。這樣使后面可能的問題調(diào)試更加簡單些。

安裝Firewall-1

cd /cdrom/cdrom0

./InstallU

* 讀取和接受許可協(xié)議。

* 選擇安裝方式。可選項(xiàng)為(1) VPN-1 & FireWall-1 Stand Alone Installation（統(tǒng)一安裝）和 (2) VPN-1 & FireWall-1 Distributed Installation（單獨(dú)安裝）。對于單一型的防火墻，應(yīng)該選擇選項(xiàng)(1)。假如采用分布式防火墻并由防火墻治理控制臺治理，可以選擇選項(xiàng)(2)。請確保你擁有足夠的Firewall-1許可證！

* 選擇一個(gè)Firewall-1模塊。可選項(xiàng)為(1) VPN-1 & FireWall-1 - Limited hosts (25, 50, 100, 250)、(2) VPN-1 & FireWall-1 - Unlimited hosts 和 (3) VPN-1 & FireWall-1 - SecureServer。假如你有無限制ip地址的許可證，應(yīng)該選擇選項(xiàng)(2)。假如你的許可證是有IP地址限制的，請選擇選項(xiàng)(1)。

* Do you wish to start VPN-1 & FireWall-1 automatically from /etc/rc.d/rc3.d and /etc/rc.d/rc5.d (y/n) [y] ? 此處應(yīng)回答y（yes）。 * 配置許可證。不要在這里增加任何許可證，而應(yīng)該使用"fw putlic"命令。 * 設(shè)置系統(tǒng)治理員。在這里應(yīng)該增加至少一名系統(tǒng)治理員（例如"fwadmin"用戶）及其口令。另外應(yīng)該為該系統(tǒng)治理員賦予寫（"W"）權(quán)限。

* 配置GUI客戶。在這里應(yīng)該增加至少一個(gè)GUI客戶，即Firewall-1治理工作站的IP地址。

* 配置SMTP服務(wù)順。Firewall-1提供發(fā)送報(bào)警電子郵件的功能。假如希望使用該功能，就需要在這里進(jìn)行相應(yīng)配置。

* 配置SNMP extension。出于安全方面的考慮，不推薦在Firewall-1激活SNMP extension。然而在可治理網(wǎng)絡(luò)環(huán)境中也許需要該功能支持。

* 配置用戶組。它答應(yīng)設(shè)置除root外該組中的用戶能夠啟動或停止Firewall-1軟件。不推薦。

* 配置IP轉(zhuǎn)發(fā)。它答應(yīng)在啟動時(shí)禁止IP轉(zhuǎn)發(fā)選項(xiàng)。推薦使用該選項(xiàng)。

* 配置缺省過濾器。它答應(yīng)在啟動時(shí)使Firewall安裝缺省的過濾器。建議選擇(N)，因?yàn)樵?功能似乎會對網(wǎng)絡(luò)堆棧的正常工作有影響。

* 配置隨機(jī)數(shù)池(Random Pool)。Firewall-1使用在這里輸入的隨機(jī)字符串來對隨機(jī)數(shù)池進(jìn) 行初始化。

* 啟動Firewall-1。此時(shí)可能會出現(xiàn)一條錯誤消息：“FW-1: only 25 internal hosts allowed”，因?yàn)榇藭r(shí)還未安裝Firewall-1許可證。

在Firewall-1安裝后，應(yīng)該執(zhí)行如下任務(wù)：

* 馬上退出登錄并再次登錄。Firewall-1的安裝程序會在/etc/PRofile.d中安裝一些額外的腳本，以使缺省路徑中包含F(xiàn)irewall-1可執(zhí)行程序（/etc/fw/bin）的路徑。退出登錄并再次登錄就能正確設(shè)置缺省路徑了。

* 安裝Firewall-1許可證。使用Firewall-1許可證書電子郵件中的命令。

* 登錄到治理工作站上，安裝Check Point治理客戶，運(yùn)行策略編輯器，然后連接到防火墻。

* 創(chuàng)建網(wǎng)絡(luò)對象和規(guī)則！

Firewall-1具有從單個(gè)治理模塊控制多臺防火墻的功能。在討論之前，先解釋幾個(gè)概念：

* 治理工作站。這是運(yùn)行Check Point治理軟件的Windows NT或Windows 2000工作站。它允許用戶瀏覽、編輯和刪除防火墻規(guī)則，和與Firewall-1治理模塊通訊。

* Firewall-1治理模塊。這是一個(gè)運(yùn)行在一臺或多臺Firewall-1系統(tǒng)中的"fwm"守護(hù)進(jìn)程。它接受來自治理工作站的連接，接受規(guī)則的更新，和在一個(gè)或多個(gè)執(zhí)行模塊中進(jìn)行分發(fā)。

* 執(zhí)行模塊。這是用于執(zhí)行規(guī)則集的"fwd"守護(hù)進(jìn)程和"fwmod.2.2.x"內(nèi)核模塊。它運(yùn)行于互聯(lián)網(wǎng)網(wǎng)關(guān)上。

通常都是在同一臺機(jī)器（互聯(lián)網(wǎng)網(wǎng)關(guān)）上運(yùn)行Firewall-1治理模塊(fwm)和執(zhí)行模塊。然而這卻不是必須的，非凡在有多臺互聯(lián)網(wǎng)網(wǎng)關(guān)，或者多個(gè)信任網(wǎng)絡(luò)之間的多臺網(wǎng)關(guān)的情況下。

在安裝過程中會提示兩種安裝方式，它們是：

* VPN-1 & FireWall-1 Stand Alone Installation（統(tǒng)一安裝）

* VPN-1 & FireWall-1 Distributed Installation（單獨(dú)安裝）

Firewall-1統(tǒng)一安裝方式在同一臺機(jī)器上統(tǒng)一安裝治理模塊和執(zhí)行模塊。單獨(dú)安裝則答應(yīng)指定其中之一模塊，或兩模塊都安裝。

例如，X公司在美國擁有一個(gè)廣域網(wǎng)絡(luò)。WAN中大多數(shù)的網(wǎng)站通過幀中繼連接，而在San Francisco和New York的兩個(gè)節(jié)點(diǎn)各有互聯(lián)網(wǎng)連接。此時(shí)就可能需要單獨(dú)安裝方式：在New York節(jié)點(diǎn)安裝治理模塊和執(zhí)行模塊；在San Francisco節(jié)點(diǎn)僅安裝執(zhí)行模塊。這樣可從中心治理控制臺控制這兩臺防火墻，且僅能連接到New York防火墻來同時(shí)更新防火墻規(guī)則集。

一定要確保在安裝Firewall-1前選擇正確的安裝方式。假如選擇了統(tǒng)一安裝方式，則當(dāng)試圖在多個(gè)執(zhí)行模塊中應(yīng)用一個(gè)規(guī)則集時(shí)會產(chǎn)生錯誤！因此事前必須對網(wǎng)絡(luò)的結(jié)構(gòu)和互聯(lián)網(wǎng)連接方式有足夠的了解。

在Linux安裝防火墻模塊之前（或剛安裝完之后），應(yīng)在Windows系統(tǒng)安裝Firewall-1 GUI。只需將光盤插入光盤驅(qū)動器中，根據(jù)自動運(yùn)行的安裝程序的指示操作即可。假如安裝程序沒有自動啟動，則可手工運(yùn)行它。（位于光盤的/windows/CPMgmtClnt-41目錄下的SETUP.EXE程序。）

上一篇：clear modempool-counters

下一篇：dialer voice-call、encapsulation cpp和framing