CheckPoint 防火墙概览

本贴最后更新于 1555 天前,其中的信息可能已经时移世易

由于工作的原因,接触了大量不同品牌的防火墙,本文记录一下 check point 防火墙的特性

checkpoint 防火墙不像 cisco 和 juniper 这种传统防火墙厂商是以 cli 命令为主 web 页面为辅,虽然也支持 cli 模式,但 checkpoint 防火墙的精华在于它的 Restful api ,据我了解,其实 checkpoint mgmt cil 命令返回的结果 其实也是和 api 返回的结果一样,是 json 结构的数据。

命令行登录专家模式

登录命令行(ssh)默认模式下支持部分操作及命令,如需要执行更高权限的命令则需要登录专家模式。在命令行中输入 expert,输入密码即可,专家模式中可以看到 checkpoint 的 gaia os 其实就是基于 linux 系统的改造版。

使用 mgmt cli 命令管理配置

首先登陆 mgmt

mgmt login user admin

然后使用命令

mgmt_cli show gateways-and-servers details-level "full" --version 1.1 --format json

最后要退出 mgmt,如果不退出,则会导致 session 增多,一旦 session 到了极限,则可能造成极大的风险,即其他管理员登录不上 smartcenter, API 也同理

mgmt logout

架构

CheckPoint 分为三层架构,GUI 客户端(SmartConsole)是一个可视化的管理配置客户端,用于连接到管理服务器(SmartCenter), SmartCenter 是一个集中管理平台,用于管理所有设备,将策略分发给执行点(Firewall)去执行,并且收集所有执行点的日志,执行点具体执行策略,进行网络访问控制。

也就是说 checkpoint 很方便的管理集群或者多台独立的墙,通过 SmartCenter 提供的 api 也可灵活对接 checkpoint 设备,不像传统设备一样需要去解析防火墙命令,要知道不同品牌甚至不同型号的设备命令都是不一样的,这样维护起来十分的不方便,而 checkpoint api 升级是向下兼容的。

防火墙策略

CheckPoint 防火墙的策略执行顺序为自上而下,当满足某一条策略后将执行该策略的操作,并且不再匹配后面的策略。

如果策略中包含用户对象,即使匹配该策略,仍然会继续匹配后面的策略,只有后面的策略没有匹配或者后面的策略中匹配的操作是 drop 时,才会执行之前包含用户的策略。

通常 CheckPoint 策略配置的顺序依次为防火墙的管理策略,VPN 策略,服务器策略(DMZ),内网上网策略,全部 drop 策略。

创建策略后,必须 Install Policy 之后才会生效。

NAT

在 CheckPoint 中地址转换分为自动和手动两种,其中自动又分为 Static NAT,和 hide NAT

Static NAT

static 是指将内部网络的私有 ip 地址转换为公用 IP 地址,IP 地址对是一对一的,是一成不变的,某个私有 IP 地址只转换某个公有 IPd 地址,借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问

cpstaticnat1.png

在对象中配置 static nat 然后才开通一条访问策略,上图所示的策略表示允许访问 192.168.10.10 的 http 和 https 请求会被映射到 58.246.25.91

Hide NAT

Hide NAT 是指改变外出数据包的源端口并进行端口转换,即端口转换(PAT,Port Address Translation)采用端口多路复用方式。内部网络的所有主机都可共享一个合法外部 ip 地址实现对互联网的访问。从而最大限度的节约 IP 地址资源,同时又可隐藏网络内部的所有主机,有效避免来自互联网的攻击,因此,网络中应用的最多的就是端口复用方式。

手动 NAT

将公网地址 58.246.25.91 的 80 端口映射到内网地址的 192.168.10.10 的 443 端口

  1. 创建主机地址分别为 58.246.25.91 和 192.168.10.10
  2. 创建允许访问 58.246.25.91 的 80 端口的策略
  3. 创建一条 nat 策略,Original Destination 填 58.246.25.91
    Original Service 填 80
    Translated Destination 填 192.168.10.10 Translated Service 填 443

API

官方文档

CheckPoint API

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...