CheckPoint 防火墙概览

由于工作的原因，接触了大量不同品牌的防火墙，本文记录一下 check point 防火墙的特性

checkpoint 防火墙不像 cisco 和 juniper 这种传统防火墙厂商是以 cli 命令为主 web 页面为辅，虽然也支持 cli 模式，但 checkpoint 防火墙的精华在于它的 Restful api ,据我了解，其实 checkpoint mgmt cil 命令返回的结果 其实也是和 api 返回的结果一样，是 json 结构的数据。

命令行登录专家模式

登录命令行（ssh）默认模式下支持部分操作及命令，如需要执行更高权限的命令则需要登录专家模式。在命令行中输入 expert,输入密码即可，专家模式中可以看到 checkpoint 的 gaia os 其实就是基于 linux 系统的改造版。

使用 mgmt cli 命令管理配置

首先登陆 mgmt

mgmt login user admin

然后使用命令

mgmt_cli show gateways-and-servers details-level "full" --version 1.1 --format json

最后要退出 mgmt,如果不退出，则会导致 session 增多，一旦 session 到了极限，则可能造成极大的风险，即其他管理员登录不上 smartcenter, API 也同理

mgmt logout

架构

CheckPoint 分为三层架构，GUI 客户端（SmartConsole)是一个可视化的管理配置客户端，用于连接到管理服务器（SmartCenter), SmartCenter 是一个集中管理平台，用于管理所有设备，将策略分发给执行点(Firewall)去执行，并且收集所有执行点的日志，执行点具体执行策略，进行网络访问控制。

也就是说 checkpoint 很方便的管理集群或者多台独立的墙，通过 SmartCenter 提供的 api 也可灵活对接 checkpoint 设备，不像传统设备一样需要去解析防火墙命令，要知道不同品牌甚至不同型号的设备命令都是不一样的，这样维护起来十分的不方便，而 checkpoint api 升级是向下兼容的。

防火墙策略

CheckPoint 防火墙的策略执行顺序为自上而下，当满足某一条策略后将执行该策略的操作，并且不再匹配后面的策略。

如果策略中包含用户对象，即使匹配该策略，仍然会继续匹配后面的策略，只有后面的策略没有匹配或者后面的策略中匹配的操作是 drop 时，才会执行之前包含用户的策略。

通常 CheckPoint 策略配置的顺序依次为防火墙的管理策略，VPN 策略，服务器策略（DMZ）,内网上网策略，全部 drop 策略。

创建策略后，必须 Install Policy 之后才会生效。

NAT

在 CheckPoint 中地址转换分为自动和手动两种，其中自动又分为 Static NAT,和 hide NAT

Static NAT

static 是指将内部网络的私有 ip 地址转换为公用 IP 地址，IP 地址对是一对一的，是一成不变的，某个私有 IP 地址只转换某个公有 IPd 地址，借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问

在对象中配置 static nat 然后才开通一条访问策略，上图所示的策略表示允许访问 192.168.10.10 的 http 和 https 请求会被映射到 58.246.25.91

Hide NAT

Hide NAT 是指改变外出数据包的源端口并进行端口转换，即端口转换（PAT，Port Address Translation）采用端口多路复用方式。内部网络的所有主机都可共享一个合法外部 ip 地址实现对互联网的访问。从而最大限度的节约 IP 地址资源，同时又可隐藏网络内部的所有主机，有效避免来自互联网的攻击，因此，网络中应用的最多的就是端口复用方式。

手动 NAT

将公网地址 58.246.25.91 的 80 端口映射到内网地址的 192.168.10.10 的 443 端口

1. 创建主机地址分别为 58.246.25.91 和 192.168.10.10
2. 创建允许访问 58.246.25.91 的 80 端口的策略
3. 创建一条 nat 策略，Original Destination 填 58.246.25.91
   Original Service 填 80
   Translated Destination 填 192.168.10.10 Translated Service 填 443

API

官方文档

CheckPoint API