邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: checkpoint安装 [打印本页]

作者: 钉子    时间: 2003-6-29 08:52
标题: checkpoint安装
<br>
<br>
·安装流程: <br>
<br>
Firewall-1提供的Check Point管理软件不能在Linux系统上运行。目前的版本仅支持 Windows NT、Windows 2000和一些UNIX系统(例如Solaris)。因此,要使用Firewall-1, 需要另增一台计算机作为管理工作站。Firewall-1 for Solaris管理软件工作得并不好,所 以我个人推荐使用基于Windows NT或Windows 2000版本的管理软件。虽然Firewall-1管理软 件包含在同一张光盘上,但它必须与Firewall网关软件分开独立安装。 <br>
快速提示:我几乎对我所有的Red Hat Linux系统安装都使用kickstart build。kickstart 安装让我能够从一个包含了所有升级更新的Red Hat安装目录进行快速安装,而且不需要参 与到安装过程--所有安装问题的回答都已在kickstart的配置文件中了。关于kickstart的 更多信息请访问以下链接文档: <br>
<a target=_blank href=http://www.linux.com/howto/KickStart-HOWTO.html>http://www.linux.com/howto/KickStart-HOWTO.html</a> <br>
<a target=_blank href=http://www.redhat.com/support/manuals/RHL-7-Manual/ref-guide/ch-kickstart2.html>http://www.redhat.com/support/manuals/RHL-7-Manual/ref-guide/ch-kickstart2.html</a> <br>
通常说来,安装Firewall-1的Linux系统的分区需求如下: <br>
* /(根分区),根分区包含了基本的系统结构。空间大约为100-200MB。<br>
* swap(交换分区)。这应该和系统内存大小差不多。 <br>
* 建议设置独立的/usr分区。/usr是Red Hat Linux系统安装大多数应用程序的目录。为 /usr分区大约需预留1GB的空间。 <br>
* 设置独立的/var分区也有一定帮助。大多数的动态数据,例如spool文件、日志文件等, 都存放在这里。但是在Linux系统中安装Firewall-1时,Firewall-1的日志文件是存放到 /opt,而不是/var目录下。因此为/var分区预留200MB或稍大一些的空间就基本足够了。<br>
* 由于Firewall-1缺省被安装到/opt目录下。该目录包含了Firewall-1软件程序、配置文件 和日志文件等。对于Firewall-1机器,应为其分配尽可能大的分区。 <br>
如果是从CD(或其它手工安装方式)安装系统,则以上所有分区都能够手工创建。我测试安 装Firewall-1系统时用的kickstart配置文件(ks.cfg)文件中定义了如下分区: <br>
part / --size 200 <br>
part swap --size 128 <br>
part /usr --size 1000 <br>
part /var --size 200 <br>
part /opt --size 1 <br>
--grow 注意在定义/opt分区时"--grow"参数的使用,它使该分区使用磁盘的所有剩余空间。 <br>
<br>
安装Firewall-1前做一下配置: <br>
* 编辑/etc/inetd.conf文件,禁用所有不需要的服务。通常我是把该文件中所有的服务都 禁用。对于telnet,可用OpenSSH替代。 <br>
* 运行ntsysv关闭任何不需要的服务。特别地,Firewall-1系统不应该运行大多数的标准服 务。例如我把除了crond、network、random、sshd和syslog以外的其它服务都关闭了。<br>
* 重启系统,运行"netstat -a"命令查看该机器还打开了什么端口。如果发现你不期望或不 清楚的开放端口,就应该仔细分析研究了。<br>
* 确保所有网卡都被安装且正常工作(可使用"netconf"程序),和路由表设置正确。在这 里,通常可以通过"ping"命令来确保系统的网络功能正常。这样使后面可能的问题调试更加 简单些。 <br>
<br>
<br>
安装Firewall-1 <br>
cd /cdrom/cdrom0<br>
./InstallU <br>
* 读取和接受许可协议。 <br>
* 选择安装方式。可选项为(1) VPN-1 & FireWall-1 Stand Alone Installation(统一安 装)和 (2) VPN-1 & FireWall-1 Distributed Installation(单独安装)。对于单一型 的防火墙,应该选择选项(1)。如果采用分布式防火墙并由防火墙管理控制台管理,可以 选择选项(2)。请确保你拥有足够的Firewall-1许可证! <br>
* 选择一个Firewall-1模块。可选项为(1) VPN-1 & FireWall-1 - Limited hosts (25, 50, 100, 250)、(2) VPN-1 & FireWall-1 - Unlimited hosts 和 (3) VPN-1 & FireWall-1 - SecureServer。如果你有无限制IP地址的许可证,应该选择选项(2)。如果 你的许可证是有IP地址限制的,请选择选项(1)。<br>
* Do you wish to start VPN-1 & FireWall-1 automatically from /etc/rc.d/rc3.d and /etc/rc.d/rc5.d (y/n) [y] ? 此处应回答y(yes)。 * 配置许可证。不要在这里增加任何许可证,而应该使用"fw putlic"命令。 * 设置系统管理员。在这里应该增加至少一名系统管理员(例如"fwadmin"用户)及其口 令。另外应该为该系统管理员赋予写("W")权限。 <br>
* 配置GUI客户。在这里应该增加至少一个GUI客户,即Firewall-1管理工作站的IP地址。<br>
* 配置SMTP服务顺。Firewall-1提供发送报警电子邮件的功能。如果希望使用该功能,就需 要在这里进行相应配置。<br>
* 配置SNMP extension。出于安全方面的考虑,不推荐在Firewall-1激活SNMP extension。 然而在可管理网络环境中也许需要该功能支持。<br>
* 配置用户组。它允许设置除root外该组中的用户能够启动或停止Firewall-1软件。不推荐。<br>
* 配置IP转发。它允许在启动时禁止IP转发选项。推荐使用该选项。 <br>
* 配置缺省过滤器。它允许在启动时使Firewall安装缺省的过滤器。建议选择(N),因为该 功能似乎会对网络堆栈的正常工作有影响。<br>
* 配置随机数池(Random Pool)。Firewall-1使用在这里输入的随机字符串来对随机数池进 行初始化。 <br>
* 启动Firewall-1。此时可能会出现一条错误消息:“FW-1: only 25 internal hosts allowed”,因为此时还未安装Firewall-1许可证。 <br>
<br>
在Firewall-1安装后,应该执行如下任务: <br>
* 立刻退出登录并再次登录。Firewall-1的安装程序会在/etc/profile.d中安装一些额外的 脚本,以使缺省路径中包含Firewall-1可执行程序(/etc/fw/bin)的路径。退出登录并 再次登录就能正确设置缺省路径了。<br>
* 安装Firewall-1许可证。使用Firewall-1许可证书电子邮件中的命令。<br>
* 登录到管理工作站上,安装Check Point管理客户,运行策略编辑器,然后连接到防火墙。<br>
* 创建网络对象和规则! <br>
<br>
Firewall-1具有从单个管理模块控制多台防火墙的功能。在讨论之前,先解释几个概念: <br>
* 管理工作站。这是运行Check Point管理软件的Windows NT或Windows 2000工作站。它允 许用户浏览、编辑和删除防火墙规则,和与Firewall-1管理模块通讯。 <br>
* Firewall-1管理模块。这是一个运行在一台或多台Firewall-1系统中的"fwm"守护进程。 它接受来自管理工作站的连接,接受规则的更新,和在一个或多个执行模块中进行分发。<br>
* 执行模块。这是用于执行规则集的"fwd"守护进程和"fwmod.2.2.x"内核模块。它运行于互 联网网关上。 <br>
<br>
通常都是在同一台机器(互联网网关)上运行Firewall-1管理模块(fwm)和执行模块。然而 这却不是必须的,特别在有多台互联网网关,或者多个信任网络之间的多台网关的情况下。 <br>
在安装过程中会提示两种安装方式,它们是:<br>
* VPN-1 & FireWall-1 Stand Alone Installation(统一安装)<br>
* VPN-1 & FireWall-1 Distributed Installation(单独安装) <br>
<br>
Firewall-1统一安装方式在同一台机器上统一安装管理模块和执行模块。单独安装则允许指 定其中之一模块,或两模块都安装。 <br>
例如,X公司在美国拥有一个广域网络。WAN中大多数的网站通过帧中继连接,而在San Francisco和New York的两个节点各有互联网连接。此时就可能需要单独安装方式:在New York节点安装管理模块和执行模块;在San Francisco节点仅安装执行模块。这样可从中央 管理控制台控制这两台防火墙,且仅能连接到New York防火墙来同时更新防火墙规则集。<br>
一定要确保在安装Firewall-1前选择正确的安装方式。如果选择了统一安装方式,则当试图 在多个执行模块中应用一个规则集时会产生错误!因此事前必须对网络的结构和互联网连接 方式有足够的了解。 <br>
<br>
在Linux安装防火墙模块之前(或刚安装完之后),应在Windows系统安装Firewall-1 GUI。 只需将光盘插入光盘驱动器中,根据自动运行的安装程序的指示操作即可。 如果安装程序没有自动启动,则可手工运行它。(位于光盘的\windows\CPMgmtClnt-41目录 下的SETUP.EXE程序。) <br>
文字 <br>
<br>

作者: 天擎    时间: 2003-12-26 11:58
标题: Re:checkpoint安装
现在NG的版本不需要在线注册的,大家只要有NG的光盘,不需要安装什么操作系统,你只需要用光盘启动电脑就可以安装一个NG了,它会先安装一个简化版本的NG的,不过光盘需要是那种完整版本的,不能是for win,for solaris的,NG之可以在linux7.3上面安装的,不可以在x86的solaris上面安装,可以在Sun自己的机器上面安装的。
作者: fau    时间: 2006-8-16 10:45
Checkpoint确实强大,但操作也相对复杂,还是ISA2004用的顺手些~
作者: chrisqian    时间: 2006-8-16 11:44
不是同一概念。
ISA是属于应用层防火墙,每个客户端请求都是由防火墙代理完成的,所以消耗内存非常大。
CP是属于状态检测防火墙既理解传输层连接,又理解应用层连接,而不仅仅是了解分组。
回2楼,虽然CP可以直接安装使用,如不注册也可使用15天,但仍需要在线注册你的license,并且license是帮定IP的。
作者: 天擎    时间: 2006-8-24 12:23
是的.CP如果不输入License的话,可以使用全部的功能15天,然后必须要输入License了.至于License一般都是代理商给你的申请的,而且你可以自己到CP的官方网站申请一个账号,然后让代理商把产品转到你的账号上面来,这样License就可以自己从上面下了.
作者: 曾经翔成    时间: 2012-3-17 11:52
提示: 作者被禁止或删除 内容自动屏蔽




欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://news.5dmail.net/bbs/) Powered by Discuz! X3.2