本书是关于Check Point VPN-1/FireWall-1 NG 的权威参考书。主要内容包括:Check Point VPN-1/FireWall-1 NG 套件的介绍、安装、GUI使用、安全策略、网络地址转换、配置和管理工具、开放安全和内容过滤、管理策略和日志、跟踪和报警、远程客户端的安全保护和相关的高级配置,附录还提供了子网掩码表和基于可信任身份的攻击等内容。
本书可读性强,章节编排自然,针对性极强,各章既相互依赖又自成体系,是一本不可多得的好书。适合于安全管理员、安全技术人员、对Check Point产品感兴趣者,可帮助读者直接在桌面使用Check Point VPN-1/FireWall-1 NG,并建立牢固的安全解决方案。
Drew Simonis(CISSP、CCNA、SCSA、SCNA、CCSA、CCSE、IBM CS)是RL Phillips Group,LLC的高级安全工程师,他为美国海军提供高级安全咨询、并负责大型企业级网络的工作。Drew是一个安全全才,在系统管理、因特网应用发展、入侵检测和防范以及渗透测试方面资历深厚。他是《Hack Proofing Your Web Applications》(Syngress 出版社出版,ISBN:1-928994-31-8)和《Hack Proofing Sun Solaris 8》(Syngress出版社出版,ISBN:1-928994-44-X)两本书的作者之一。Drew的背景包括担任过Fiderus各种各样的咨询职位、AT&T的安全体系结构设计师以及IBM的技术部门经理。Drew从South Florida大学获得学士学位,是美国MENSA的成员。他目前同他的妻子Kym和女儿Cailyn、Delany居住在Virginia州的Suffolk。 Daniel Kligerman(CCSA、CCSE、Extreme Network GSE、LE)是TELUS的咨询分析专家。作为TELUS Enterprise Solutions Inc.的一位成员,他的专业涉及路由、交换、负载平衡和Internet主机环境的网络安全。他毕业于多伦多大学,拥有计算机科学、统计学以及英文语言学学士学位。Daniel目前居住在加拿大的多伦多,在此他要感谢Robert、Anne、Lorne和Merita对他的支持。 Corey S.Pincock(CISSP、MCSE、GSEC、MCDBA、CCSA、CCNA)是位于Florida州Tampa的CastleGarde公司的一个高级信息安全设计师。作为一位Graham-Leach-Bliley和HIPAA信息安全方面的专家,Corey为国家级的金融和卫生机构提供咨询,设计实现包括安全策略开放、风险评估和安全基础结构设计、实现、培训以及监视等内容的安全程序。其他涉及的领域包括防火墙评估和审计、Windows 2000和密码系统。Corey曾经是CommerceQuest的网络管理员、MicroAge的系统工程师以及Certified Tech Trainers的高级讲师。Corey从华盛顿大学获得学士学位并是ISSA成员。Corey目前和他的妻子以及两个女儿居住在Florida州的Tampa。在这里他要感谢他的妻子Shelly,感谢她鼓励他努力工作,并对Certified Tech Trainers的Allen Keele表示感谢。 Dan“Effugas”Kaminsky(CISSP)在Cisco Systems工作了两年,主要是为大规模网络监控系统设计基础安全结构。Dan在几个主要的专业协会都有论文发表,包括Linuxworld、DEF CON和Black Hat Briefings。他还对OpenSSH作出过贡献,OpenSSH是当今使用的最重要的密码系统之一。他于1997年建立了交叉学科研究DoxPara Research(www.doxpara.com),试图结合心理学和科技理论为非理想但真实的环境创建一个更有效的系统。他以硅谷为研发基地,目前在California的Santa Clara大学研究信息系统的运行和管理。Dan同时也是畅销书《Hack Proofing Your Network》(Syngress出版社出版,ISBN:1-928994-70-9)的作者之一。 Jeff Vince(CCSA,CCSE)是Ontario的Waterloo的安全咨询顾问,其工作内容主要涉及中等或者大规模安装网络的安全网络结构和防火墙配置。他的专长主要集中在从防病毒软件到入侵检测以及运行在Microsoft Windows和Linux平台上的企业级安全管理软件等一系列安全产品上。除了一般的客户咨询工作,Jeff还是一个专业安全队伍的一员—对那些从高级金融机构和宽带服务提供商到小型软件开发公司所使用的网络进行成功的攻击和渗透测试。同时作为外部的攻击者试图突破网络和内部的安全管理者努力保护公司的资产,这两种角色使得Jeff在网络安全上见解独特。关于安全问题的双重视角使得他可以帮助客户构建在今天的Internet环境中可以提供高可用和满足安全需求的基础网络结构。 Doug Maxwell(CCSI)是Connecticut州East Hartford的Activis,Ltd.公司的高级网络工程师。 他是技术支持部门的第三级工程师,同时是获得Check Point证书的讲师。他的研究涉及UNIX网络安全和防火墙网络集成。Doug从Amherst的Massachusetts大学获得计算机科学学士学位,是Association for Computing Machinery(ACM)、USENIX、SAGE以及System Administrator誷 Guild的成员。他目前同他的妻子和一岁的儿子快乐地居住在Connecticut州的Ellington。 Simon Desmeules(CCSE、ISS、MCSE+I、CNA)是一个独立的有关计算机安全领域的专家。他目前为加拿大和美国财富1000的几个公司提供安全领域技术支持,包括体系结构设计、技术咨询和处理应急事件。他曾经是加拿大早期网络安全、Maxon服务以及管理安全客户的防火墙/入侵检测方面的安全专家。他是FW-1、ISS & Snort邮件列表的一个积极成员,他经常同邮件列表中的安全专家们探讨发现的新问题。 技术编辑 Cherie Amon(CCSA、CCSE、CCSI)是Integralis的高级网络工程师和安全讲师。她是Check Point的授权安全讲师,从1997年以来就一直进行Check Point产品的安装、配置和支持工作。Cherie在Connecticut州East Hartford的Integralis Authorized Training Center(ATC)讲授Check Point课程,这是该州惟一的一个Check Point ATC。在到Integralis工作之前,她曾经在IBM Global Dialer(即现在的ATT Global Dialer)做技术支持。Cherie居住在Florida州的Tampa,并在Tampa的South Florida大学就读,现在正准备获得数学学位。她在此感谢她的丈夫Kyle Amon和父亲Jerry Earnest,感谢他们使她走上了计算机技术之路。 技术审编 Allen Keele是一个作家和演讲家,拥有20多个技术认证,包括CISSP、SCNP、CCSE+、CCSI、CCNP、CCDA、NSA、NVGA、MCSE、CCEA、CCI和PSE。Allen早年在Georgia大学因为风险管理方面的成就获得商业学位,并从1998年开始为美国和西欧的一些国家提供高级技术和安全培训。现在他领导Certified Tech Trainers,Inc公司,为美国和欧洲提供有关Check Point(CCSE/CCSE/CCSE+)和安全认证程序(SCNP/SCNA)技术认证的全面的InfoSec培训。
我们生活的世界正在变得越来越小。感谢Internet的无处不在,使得我们与越来越多的人们比世界文明史的任何时候都要接近。我们可以同地球另一端的合伙人进行着商业交易,而同时我们又可以同我们的邻居聊天。十年前这被认为是一件奇迹,今天却已经成为屡见不鲜的现象。然而所有这些便利之处并不是可以自由获取的。
尽管这个世界正变得越来越小,但我们还是不能把它看成是童话中的小镇。我相信每个人都听说过有这么一个地方,每个人都相互认识,而且路不拾遗、夜不闭户。不幸的是,我们面临着网络安全问题,我们所处的环境可不是这种地方。为了更好地解决网络安全问题,必须首先假设我们是住在一个有偏执狂以及精神紊乱病人的城市里。我们不认识我们的邻居,但我们知道许多人希望通过非法途径获得我们的利益。这样,我们不仅要锁紧家门,还得焊紧门缝,在窗户上加上栅栏。我们不希望任何人在未经许可的情况下进入,当有人进来时我们需要非常近距离地观察他们。
Check Point为我们提供了解决目前数字世界所处困境的方法。其优秀的VPN-1/FireWall-1安全产品可以在很长时间内消除由于担心有人从家中伸出一个小木棍通向外界,从而导致家被暴露在外而带来的恐惧。作为最新的产品,领先市场的VPN-1/FireWall-1产品不采用常规的版本号,而是用“Next Generation”(即NG)来代替。这个名称很好地体现了产品的特色,比以前的版本有了许多增强和改进的地方。这些改进之处包括支持新的AES加密标准(DES的替代者),一个功能丰富的新GUI以及提高了配置的易用性。
本书的目的是给读者以指导。我们希望读者拿着这本书,直接就可以使用Check Point VPN-1/ FireWall-1建立一个牢固的安全解决方案。阅读本书不需要多少经验;也不必担心以前没用过此类产品。本书的每一章都建立在前面章节的基础上,所以通读全书将会得到一个全面的理解,但本书每一章同时又自成一体,这意味着读者可以直接阅读感兴趣的章节,以便快速查找到结果。
在第1章中,我们将首先介绍Check Point NG产品套件。读者可学习NG提供的各种组件,以及它们是如何使用Secure Virtual Network(SVN)作为基础进行通信的。NG在主管理台使用一个内部认证授权,它使用Secure Internal Communication(SIC)生成、发布和认证授权。读者可以初步了解Security Dashboard(安全模板)和Visual Policy Editor(可视化策略编辑器)。我们将阐述VPN-1/FireWall-1体系结构,描述它如何检查数据包,并讨论其性能和可扩展性。
在第2章,我们将引导读者安装VPN-1/FireWall-1产品。我们将讨论许可、如何保证防火墙主机安全、网络以及DNS。在做好准备后,我们将一步一步地描述如何在Windows、Solaris和Nokia平台上安装VPN-1/FireWall-1软件。该章将为那些必须安装VPN-1/FireWall-1 NG(无论是在单机还是在分布式环境下安装)的读者提供非常有价值的参考。
这个产品一旦安装完毕,而且已经完成了基本的配置,就需要使用管理GUI。第3章将让读者熟悉Check Point VPN-1/FireWall-1 NG的每个GUI Client:Policy Editor(策略编辑器)、Log Viewer(日志浏览器)、System Status(系统状态)以及SecureUpdate(安全更新)。我们将介绍如何登录和使用每个界面,以及在创建安全策略前需要定义的一长串对象的细节。这些将是创建下一章要讨论的规则的基础。
在开始创建构成FireWall-1规则库的安全策略之前,需要有一个企业级范围内的信息安全策略,包括一个由标准、指导方针和规程组成的Executive Security Policy(可执行安全策略),它用于实现和维护信息安全程序。第4章将引导读者熟悉这个过程。一旦完成策略的文档制定,就可以将其转换为Check Point VPN-1/FireWall-1 NG策略编辑器可以执行的安全策略。该章剩下的内容主要讨论Check Point策略编辑器的使用。从一个空策略开始,该章将引导读者利用一些必需的工具创建和维护一个安全规则库。
接下来,我们将在第5章详细讨论Network Address Translation(NAT)。NAT能解决网络面临的一部分困难,它允许机构在防火墙内部使用私有的地址并防止它们的公开地址对外开放。FireWall-1以前的版本总是使用服务器端的NAT,它要求管理员在使用NAT前配置操作系统中的主机路由,将网络流量推向一个给定的网络接口。Check Point VPN-1/FireWall-1 NG产品则能提供在客户端配置NAT的能力,这意味着在需要NAT时不必再为连接添加一个路由。还可以配置系统使得ARP可以自动完成。我们将讨论所有这些内容,并将详细讨论hide(隐藏)和static(静态)NAT以及manual(手动)和automatic(自动)NAT。
第6章提供了在VPN-1/FireWall-1中配置和管理用户需要使用的工具。我们将讨论不同类型的用户名/口令认证模式,以及如何实现它们(例如FireWall-1口令、RADIUS等等)。我们将引导读者在规则库中配置User Auth(用户认证)、Client Auth(客户认证)以及Session Auth(会话认证),并讨论各种认证方法的优劣。最后我们还将重点描述LDAP认证,并介绍如何配置防火墙来管理和认证LDAP用户。
接下来的第7章主要介绍Check Point的Open Security(OPSEC)标准及其支持的应用和内容安全。如果希望在防火墙中使用病毒扫描软件、使用如同WebSense一样的内容过滤器来过滤基于目录的Web站点,或者使用报告工具,那么阅读该章将非常有用。我们将审视使用FireWall-1安全服务器、不用第三方应用参与的内容安全功能。
第8章主要讲述管理策略和日志。我们将给读者提供一些重要的管理工具来维护Check Point VPN-1/FireWall-1 NG系统。我们还将讨论一些主题,包括如何管理日志、维护策略编辑器中的安全策略、对重要的防火墙文件进行备份以及易于实现的性能调节。该章还向读者推荐一些疑难解答工具,以帮助读者诊断系统中的系统问题。
第9章主要讲述如何配置各种各样的日志记录和警报。可以在各种地方进行跟踪,如策略编辑器GUI中的规则、用户属性以及策略的全局属性等等。该章将定义警报并描述NG中各种警报机制的不同之处。
第10章将带领读者进入虚拟专用网(Virtual Private Network, VPN)的世界。该章首先介绍一些VPN的背景,提供有关加密的发展概况并描述在Check Point VPN-1中所用的各种加密机制及算法。该章还将讨论网关到网关的VPN以及SecuRemote VPN,并指导读者如何对它们进行配置。
第11章同第10章紧密相连,通过Check Point的策略服务器、桌面安全选项以及SecureClient软件对远程客户端进行保护。SecureClient同SecuRemote一样,添加了个人防火墙功能。策略编辑器中的Desktop Security页面用来为远程客户的桌面创建一个细粒度安全策略。该章同时还提供SecureClient软件包工具的有关信息,为创建一个自定义的SecuRemote/SecureClient软件包提供详细的步骤说明。
第12章讨论NG防火墙的高级配置。该章将讨论Single Entry Point(SEP,单入口点)和Multiple Entry Point(MEP,多入口点)VPN设计,并详细介绍它们在VPN-1/FireWall-1中的配置。该章将设置Check Point High Availability(CPHA,Check Point高可用性)模块并讨论其他的高可用方法,如在Nokia平台上的路由和VRRP以及像Foundry ServerIron XL内容交换机之类的硬件设备等。
附录A为读者提供了有用的网络掩码清单,在处理网络地址和子网掩码时很有用。附录B中的内容稍微有点偏离我们的主题,不是讲述用Check Point的产品来提供安全,而是集中讨论欺骗攻击(spoofing attack)的理论和方法。为了成功地保护自己的网络系统,必须对那些网络恶意攻击者的动机和手段有所了解。在该附录中,Dan “Effugas”Kaminsky,世界著名的加密专家(他经常在Black Hat Briefings和DEF CON大会上演讲),提供了对欺骗攻击深入而极有价值的讲述。
编著本书是个愉快的经历。我想对任何Check Point VPN-1/FireWall-1产品感兴趣的人来说,本书都是强大的资源。我希望读者能从中汲取丰富的知识。
—Cherie Amon,技术编辑和作者之一
Check Point 认证安全专家(CCSA、CCSE、CCSI)
资深网络安全工程师/安全导师、活动家
—Drew Simonis,作者之一
Check Point 认证安全专家(CCSA、CCSE)
资深安全工程师,RL Phillips Group,LLC
(美)Drew Simonis 等:暂无简介
王东霞 王宏伟 吕俊耀 刘耀明 等:暂无简介
在计算机网络安全界,没有人不知道Check Point。
作为业界最优秀的防火墙提供者,甚至是因特网安全方面的领头羊,Check Point不断地提高其产品的功能、性能和易用性,突破技术上的难点,以保证其在市场上的优势和在人们心目中的地位。Check Point 的主导产品是FireWall-1。VPN-1/FireWall-1 Next Generation(简称NG)的隆重推出,比以前的版本有了许多增强和改进,旨在为企业安全解决方案的开发和实施提供必需的工具。人们都希望了解它的有关知识,这本书正是关于NG的一本很好的指南。
本书的特点是详细描述了Check Point NG的多个层面。如果想了解防火墙原理及NG的新技术理论,可以参考本书;如果想知道NG的实现方法和技巧,可以参考本书;如果想懂得如何使用和管理NG,还是可以以本书作为参考。
本书是由多个作者合作完成的,他们都是网络安全专家,也是Check Point的认证安全专家,同时还是网络安全的宣传家和活动家,因而在书中,他们不仅将防火墙的原理、SVN体系、状态检查机制等理论与技术讲述得清晰、透彻、深入浅出;而且对NG产品也描述得十分详尽,对它的新特征以及如何安装、配置、使用GUI、管理及升级等等均一一示例说明。从而使得本书既具有知识性,又不枯燥,一旦阅读,很自然深入其中,十分易于理解和掌握。
本书安排很具有条理性,通读全书将会给读者一个全面的理解,每一章同时又是相对独立的。读者可以直接阅读感兴趣的章节。而且并不需要有多少经验,也不要求以前使用过此类产品,因而本书在作为NG技术全面指南的同时,也可以作为防火墙技术、NG技术的入门书。特别是如同作者所希望的那样,拿着这本书,直接就可以使用Check Point VPN-1/FireWall-1来建立一个牢固的安全解决方案。
参与本书翻译工作的还有李林、李卓林、聂宛析、田敏、金光、吴小光、龚露娜、吴新鸣、张小冰、李海涛、文静、李祥、刘海宁、丁镇兴、万仁伟、刘晶晶、方平、邓盛骋、陈小冲、郭龙永、王冶等。本书的出版是集体劳动的结晶,前导工作室全体工作人员共同完成了本书的录排、校对等工作。由于时间仓促,且译者的水平有限,在翻译过程中难免会出现一些错误,请读者批评指正。
如果您在阅读中碰到了什么问题,请同我们联系:qiandaobook@163.com。我们会尽力解决您的问题。
译 者
2002年9月
第1章 Check Point NG介绍 1
1.1 简介 1
1.2 Check Point NG产品套件简介 1
1.2.1 VPN-1/FireWall-1 2
1.2.2 账号管理应用程序 4
1.2.3 SecuRemote/Secure Client应用程序 5
1.2.4 报表模块 6
1.2.5 Check Point高可用性功能 7
1.2.6 用户授权模块 7
1.2.7 FloodGate-1工具 8
1.2.8 Meta IP工具 9
1.3 理解VPN-1/FireWall-1 SVN组件 10
1.3.1 VPN-1/FireWall-1管理模块 10
1.3.2 GUI模块 14
1.3.3 策略服务器 17
1.4 防火墙技术概览 17
1.4.1 代理服务器和包过滤 17
1.4.2 FireWall-1的检查引擎 19
1.5 小结 21
1.6 本章内容快速浏览 22
1.7 常见问题解答 23
第2章 安装和配置VPN-1/FireWall-1 NG 25
2.1 简介 25
2.2 开始之前的准备工作 25
2.2.1 获得许可 27
2.2.2 使主机安全 28
2.2.3 配置路由和网络接口 30
2.2.4 配置DNS 32
2.2.5 为安装Check Point VPN-1/
FireWall-1 NG做好准备 32
2.2.6 从旧版本升级 36
2.3 在Windows上安装
Check Point VPN-1/FireWall-1 NG 37
2.3.1 从光盘开始安装 37
2.3.2 在Windows上配置Check Point
VPN-1/FireWall-1 NG 46
2.4 在Windows上卸载
Check Point VPN-1/FireWall-1 NG 58
2.4.1 卸载VPN-1 & FireWall-1 59
2.4.2 卸载SVN Foundation 61
2.4.3 卸载Management Clients 62
2.5 在Solaris上安装Check Point
VPN-1/FireWall-1 NG 62
2.5.1 从光盘开始安装 63
2.5.2 在Solaris上配置Check Point
VPN-1/FireWall-1 NG 69
2.6 在Solaris上卸载Check Point VPN-1/
FireWall-1 NG 80
2.6.1 卸载VPN-1 & FireWall-1 80
2.6.2 卸载SVN Foundation 83
2.6.3 卸载Management Clients 85
2.7 在Nokia上安装Check Point
VPN-1/FireWall-1 NG 86
2.7.1 安装Check Point VPN-1/
FireWall-1 NG软件包 87
2.7.2 在Nokia上配置Check Point
VPN-1/FireWall-1 NG 89
2.8 小结 91
2.9 本章内容快速浏览 92
2.10 常见问题解答 93
第3章 图形界面的使用 95
3.1 简介 95
3.2 管理对象 95
3.2.1 网络对象 97
3.2.2 服务 107
3.2.3 资源 110
3.2.4 OPSEC应用 111
3.2.5 服务器 111
3.2.6 内部用户 113
3.2.7 时间 113
3.2.8 虚拟链接 114
3.3 增加规则 115
3.4 全局属性 117
3.4.1 FireWall-1的隐含规则 117
3.4.2 SYNDefender 118
3.4.3 安全服务器 119
3.4.4 认证 119
3.4.5 VPN-1 119
3.4.6 桌面安全 119
3.4.7 可视化策略编辑器 119
3.4.8 网关的高可用性 119
3.4.9 高可用管理 119
3.4.10 状态检查 119
3.4.11 LDAP账户管理 120
3.4.12 网络地址转换 120
3.4.13 内容控制 120
3.4.14 开放安全扩展 120
3.4.15 日志和警报 120
3.5 SecureUpdate 120
3.6 日志浏览器 122
3.7 系统状态 124
3.8 小结 124
3.9 本章内容快速浏览 125
3.10 常见问题解答 126
第4章 创建安全策略 127
4.1 简介 127
4.2 需要安全策略的原因 127
4.3 如何编写安全策略 128
4.3.1 安全设计 130
4.3.2 防火墙结构 130
4.3.3 编写安全策略 130
4.4 实现安全策略 133
4.4.1 默认和初始策略 133
4.4.2 将策略转换成规则 134
4.4.3 操作规则 142
4.4.4 策略的各种选项 144
4.5 安装安全策略 146
4.6 策略文件 146
4.7 小结 147
4.8 本章内容快速浏览 148
4.9 常见问题解答 149
第5章 网络地址转换 151
5.1 简介 151
5.2 隐藏网络对象 151
5.3 配置静态的地址转换 155
5.3.1 静态源地址 156
5.3.2 静态目标地址 158
5.3.3 路由与ARP 160
5.4 自动的NAT规则 161
5.4.1 自动的隐藏模式规则 161
5.4.2 自动的静态规则 162
5.4.3 路由与ARP 163
5.5 NAT全局属性 164
5.6 小结 165
5.7 本章内容快速浏览 165
5.8 常见问题解答 166
第6章 用户认证 168
6.1 简介 168
6.2 FireWall-1认证模式 168
6.2.1 S/Key 169
6.2.2 SecurID 170
6.2.3 OS口令 170
6.2.4 VPN-1和FireWall-1口令 170
6.2.5 RADIUS 171
6.2.6 AXENT路径保卫器 172
6.2.7 TACACS 172
6.3 定义用户 173
6.3.1 生成通配符用户 173
6.3.2 生成并使用模板 174
6.3.3 生成用户组 176
6.4 用户认证 177
6.5 客户认证 181
6.6 会话认证 186
6.7 LDAP认证 192
6.7.1 LDAP账号单元 193
6.7.2 LDAP管理 195
6.8 小结 200
6.9 本章内容快速浏览 200
6.10 常见问题解答 201
第7章 开放安全与内容过滤 203
7.1 简介 203
7.2 OPSEC应用程序 203
7.3 CVP 205
7.3.1 定义对象 205
7.3.2 生成一个CVP资源 206
7.3.3 在规则里使用资源 208
7.3.4 CVP组 209
7.4 UFP 210
7.4.1 定义对象 210
7.4.2 生成一个URI资源来使用UFP 211
7.4.3 在规则里使用资源 214
7.4.4 UFP组 214
7.5 应用程序监控 215
7.6 客户端OPSEC应用程序 216
7.6.1 事件日志API 216
7.6.2 日志导出API 216
7.6.3 可疑活动监控 217
7.6.4 对象管理接口 217
7.6.5 Check Point管理接口 217
7.6.6 用户授权API 217
7.7 其他的资源选项 218
7.7.1 URI资源 218
7.7.2 SMTP资源 223
7.7.3 FTP资源 227
7.7.4 TCP 228
7.8 小结 230
7.9 本章内容快速浏览 231
7.10 常见问题解答 232
第8章 管理策略和日志 236
8.1 简介 236
8.2 Check Point VPN-1/FireWall-1 NG
性能管理 237
8.2.1 NG性能配置 237
8.2.2 NG性能管理 239
8.2.3 NG的性能监视 243
8.3 Check Point VPN-1/FireWall-1 NG
功效管理 246
8.3.1 质量控制 246
8.3.2 补丁和升级 247
8.3.3 策略管理 248
8.3.4 多策略管理 249
8.3.5 文件编辑 249
8.3.6 防火墙日志管理 251
8.4 Check Point VPN-1/FireWall-1 NG
可恢复性管理 254
8.5 执行高级管理任务 255
8.5.1 防火墙的控制 255
8.5.2 防火墙进程 257
8.6 小结 259
8.7 本章内容快速浏览 259
8.8 常见问题解答 260
第9章 跟踪和警报 262
9.1 简介 262
9.2 警报命令 262
9.2.1 使用Track选项 262
9.2.2 日志修改器 263
9.2.3 时间设置 264
9.2.4 警报命令 265
9.3 用户自定义跟踪 266
9.3.1 alertf 266
9.3.2 高级用户自定义警报 266
9.4 可疑行为监控 269
9.5 Check Point 恶意行为探测 270
9.5.1 CPMAD的配置 271
9.5.2 CPMAD问题 273
9.6 小结 274
9.7 本章内容快速浏览 274
9.8 常见问题解答 275
第10章 配置虚拟专用网 276
10.1 简介 276
10.2 加密机制 276
10.2.1 加密算法:对称密码技术与
不对称密码技术 277
10.2.2 密钥交换方法:Tunneling与
In-Place加密 278
10.2.3 散列函数与数字签名 279
10.2.4 认证和认证授权中心 279
10.2.5 VPN的类型 280
10.2.6 VPN域 280
10.3 配置FWZ VPN 280
10.3.1 定义对象 281
10.3.2 添加VPN规则 282
10.3.3 FWZ 的局限性 285
10.4 配置IKE VPN 285
10.4.1 定义对象 285
10.4.2 添加VPN 规则 286
10.4.3 测试VPN 289
10.4.4 考虑外部网络 291
10.5 配置SecuRemote VPN 291
10.5.1 本地网关对象 291
10.5.2 使用加密属性 293
10.5.3 客户端加密规则 294
10.6 SecuRemote客户端软件的安装 296
10.7 SecuRemote 客户端软件的使用 297
10.8 小结 300
10.9 本章内容快速浏览 300
10.10 常见问题解答 301
第11章 远程客户端的安全保护 303
11.1 简介 303
11.2 策略服务器的安装与配置 303
11.2.1 从光盘安装 304
11.2.2 配置策略服务器 304
11.3 桌面安全选项 306
11.3.1 桌面安全策略 306
11.3.2 桌面安全全局属性 307
11.3.3 客户端加密规则 310
11.4 SecureClient软件的安装 311
11.5 登录策略服务器 319
11.6 小结 320
11.7 本章内容快速浏览 320
11.8 常见问题解答 321
第12章 高级配置 323
12.1 简介 323
12.2 Check Point高可用性 323
12.2.1 启用高可用性功能 324
12.2.2 故障恢复 326
12.2.3 防火墙的同步 327
12.3 单入口点VPN配置 329
12.3.1 网关的配置 329
12.3.2 策略配置 333
12.4 多入口点VPN配置 333
12.4.1 重叠VPN域 334
12.4.2 网关配置 337
12.4.3 重叠VPN域 338
12.5 其他的高可用性方法 341
12.5.1 路由方法 341
12.5.2 硬件方法 341
12.6 小结 342
12.7 本章内容快速浏览 342
12.8 常见问题解答 342
附录A C类子网掩码表 344
附录B 欺骗:基于可信任身份的攻击 348
