Check Point公司发展的过程:
1、纯软件阶段
2、NOKIA硬件
3、Check Point硬件,Check Point操作系统+软件
4、云和移动终端的安全产品(重点方向)
全套安全解决方案,包括云安全、移动安全、SDDC安全
底层配置在GAIA配置,SmartDashboard只能配置安全策略
Gaia是Check Point统一的,先进的安全操作系统,为Check Point所有的硬件设备,第三方服务器,虚拟网关。源之于IPSO和SecurePlatform。
合并IPSO和SecurePlatform最好的特性
集成了众多的特性,提高了操作的效率
一个安全的平台适合于最严格的环境
提供基于角色的管理
为所有的命令和属性提供网页用户界面
兼容IPSO和SPLAT命令行命令
网关不要指防火墙,可能会来回路径不一致,导致状态检测不通过而丢包。
在安装的时候可以设置是否集成在一台设备上,也可以设置是否集群管理。
SMS
配置IP地址:
set interface eth0 ipv4-address 202.100.1.101 subnet-mask 255.255.255.0
set interface eth0 state on 打开接口
测试:
ping 202.100.1.10
查看状态:
show interface eth0
查看整体配置:
show configuration
保存配置:
save config
expert 进入linux模式
set expert-password 设置export模式的密码
配置完IP地址后,进入网页配置。
图形化界面设置的时候,命令行界面被锁定不能配置。需要敲lock database override解锁,此时,图形化界面被锁定。
恢复出厂设置(其实是恢复快照):
set fcd revert Gaia_R77.20
默认用户是admin,口令也是admin,通过set user admin newpass Cisco123修改口令。
带外网口(默认192.168.1.1/24):
show interface mgmt
set interface eth3 state on
set interface eth5 state on
add bonding group 1
set interface bond1 state on
set interface bond1 ipv4-address 202.100.1.4 subnet-mask 255.255.255.0
add bonding group 1 interface eth3
add bonding group 1 interface eth5
save config
fw stat 查看防火墙的状态
fw unloadlocal 关闭本地防火墙,会关掉路由功能,OSPF能起来,但没有路由转发
启用dhcp中继,必须要开启路由功能才能使用。
cat /proc/sys/net/ipv4/ip_forward (专家模式)显示为1,表示默认开启路由功能
echo 1 > /proc/sys/net/ipv4/ip_forward (专家模式)临时启用IP路由状态
如果需要永久启用IP路由状态,在/etc/sysctl.conf中更改
桥类似于三层交换机上的VLAN
默认是basic模式,只有切换到advanced模式才能配置ospf
其他Gaia配置:
1、修改GUI Client(只有SMS才能配置)
只有范围内的主机和网络可以通过SmartDashboard进行管理(只有在安装了SMS的设备上才有此选项)
防火墙不能被SmartConsole网管。
2、Host Access
Gaia网页界面访问控制,也可以使用命令:set allowed-client host ipv4-address X.X.X.X
3、修改Gaia管理员账号
set user admin ....
4、重装SIC
只有在仅仅安装了security gateway的设备上才有此选项
5、策略路由
创建一个table(类似路由表),用policy rule匹配流量送到table(路由表)里查路由。
6、备份与快照
备份可以在运行相同CP版本和补丁的相同硬件或不同的硬件上恢复,而快照只适用原设备。
推荐在执行升级之前总是执行一次备份。
与快照不一样,备份不包括驱动。
备份文件包括原始硬件的MAC地址。
第一次安装完毕,或者在执行主要升级的时候进行快照。
