Out Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Народ!!!! Есть проблема..... Есть CheckPoint и.... как его настраивать никто не знает.... В сети нигде описалова конкретного нет.... Может кто помогёт личным опытом... или может кто кинет линку на доки (желательно по русски) по этому зверю!!! Заранее спасибо....!       Добавляете, плиз, полезную информацию в шапку.     CheckPoint Firewall смотреть Цитата: CheckPoitn встает под Linux нормально... Я даже по Solaris ставил     Есть кое-какие доки на Ftp из варезной темы.. Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006

gnazar Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть вопрос. Как возможно просмотреть уже установленную политику правил (просмотреть какие сейчас правила задействованы и работают), желательно с помощью софта SmartDashboard, если это невозможно, то через консоль? Всего записей: 41 | Зарегистр. 22-09-2006 | Отправлено: 17:44 15-02-2007

gnazar Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сможешь кто-нибудь помочь с несколькими правилами? Мне нужно опубликовать в ВЕБ веб-сервер и майл-сервер, был бы очень признателен если бы объяснили построение этих правил.   Канал в интернет на одном интерфейсе Checkpoint На другом висит ДМЗ зона (172.20.1.0) На третьем внутреняя сеть (192.168.0.0) Оба сервера находятся в ДМЗ. Как должны выглядеть правила? Всего записей: 41 | Зарегистр. 22-09-2006 | Отправлено: 14:22 06-03-2007

megase Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору для почты (http тоже только порт 80)   source              destination           service       action   mail_ip             any                       25               accept    (для http не надо ) any                  mail_ip                  25               accept   затем на ноде mail_ip выбираем detail => NAT   выбираем static и указываем ip на кот. будет натиться (на вкладке Adres Translation появится 2 правила).   инсталим политику   ps по поводу обьяснений, в правилах сp нет привязки к интерфейсам (это д.б. описано в тополгии), просто пишется откуда, куда, сервис и вид действия. Всего записей: 30 | Зарегистр. 18-01-2005 | Отправлено: 18:58 06-03-2007 | Исправлено: megase, 19:02 06-03-2007

gnazar Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору megase писал: для почты (http тоже только порт 80)   source destination service action   mail_ip any 25 accept (для http не надо ) any mail_ip 25 accept   затем на ноде mail_ip выбираем detail => NAT выбираем static и указываем ip на кот. будет натиться (на вкладке Adres Translation появится 2 правила).   такое построение правила слегка неправильное, потому как не дает ожидаемій результат. Объясню почему. Если задавать статический НАТ в свойствах объекта, то мы можем перехватить лишь трафик, что идет от какого либо определенного объекта, а не поступает на шлюз (сам CheckPoint). Если же нужно отсеивать трафик, что поступил на шлюз, а оттуда уже с ИП адресом внешнего интерфейса шлюза транслируется во внутреннюю сеть, возникают сложности. мы не можем сослаться на этот ИП так как он определен в таблице объектов. ВЫВОД: Делаем вручную статическую трансляцию трафика. Как мы это делаем? Просто... Заходим на страницу "Address Tranlation" и создаем новое правило и забиваем:       ORIGINAL PACKET                                  TRANSLATD PACKET source     destination       service             source       destination       service ANY           F-WALL            80                 original       WEB-SERVER    original ANY           F-WALL            25                 original       MAIL-SERVER    original   Где F-WALL - наш фаервол (CheckPoint)   НА странице "Security" создаем два правила для ходящего трафика для WEB-SERVER и MAIL-SERVER и для отсылки почты в интернет:   source             destination       service   action  ANY               WEB-SERVER      80        accept  ANY                MAIL-SERVER     25        accept MAIL-SERVER   Any                   25        accept   После этого все работает. Всего записей: 41 | Зарегистр. 22-09-2006 | Отправлено: 10:57 20-03-2007

dshf21391 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А кто нибудь сталкивался с экспортом/импортом конфигураций? Я находил там базы полисей но при переносе их на другой сервер он ругается и не находит объекты. Как бы коректно выгрузить конфигурацию в файл/базу и загрузить на другом серваке? Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 15:58 20-04-2007

gnazar Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Возникла ситуации и не могу ее решить.   Есть устройство шифрования трафика. Принцип работы прост, есть два таких устройства на разных концах. Они устанавливают между собой соединение, обмениваються ключами безопастности и поднимают шифрованный ВПН канал. Для своей работы они используют специальные порты протокола IPSec, но модуль SmartDefence блокирует соединение, хотя весь входящий и выходящий трафик устройства полностью открыт. Как это выглядит в логах:   1 запись (accept): Number:                                         763237 Date:                                         23Apr2007 Time:                                        17:39:12 Product:                                    VPN-1 & FireWall-1 Interface:                                  eth3 Origin:                                       firewall (х.х.х.х) Type:                                        Log Action:                                       Accept Protocol:                                   udp Service:                                    IKE (500) Source:                                     CryptoIP-448_фирма1 (х.х.х.х) Destination:                                     CryptoIP-448_фирма2 (х.х.х.х) Rule:                                           17 NAT rule number:                        2 NAT additional rule number:           0 Source Port:                                    11553 XlateSrc:                                   firewall (х.х.х.х) XlateSPort:                                      22832   2 запись(drop): Number:                          763238 Date:                          23Apr2007 Time:                         17:39:17 Product:                     SmartDefense Interface:                   eth3 Origin:                        firewall (х.х.х.х) Type:                         Log Action:                       Drop Protocol:                    udp Source:                      CryptoIP-448_фирма1 (х.х.х.х) Destination:                 CryptoIP-448_фирма2 (х.х.х.х) Source Port:                   CryptoIP (4500) Attack Name:                 Malformed Packet Attack Information:      Invalid UDP packet - source / destination port 0   3 запись (alert): Number:                         763530 Date:                          23Apr2007 Time:                         17:41:16 Product:                     SmartDefense Interface:                   daemon Origin:                        firewall (х.х.х.х) Type:                         Alert Action:                          Protocol:                    udp Source:                      CryptoIP-448_фирма1 (х.х.х.х) Destination:                  CryptoIP-448_фирма2 (х.х.х.х) Attack Name:                   Malformed Packet Attack Information:       Invalid UDP packet - source / destination port 0 Information:                    Total logs: 2                                       Suppressed logs: 1   Что нужно смотреть в настройках? возможно ли отключить прверку трафика для определенного ИП? Всего записей: 41 | Зарегистр. 22-09-2006 | Отправлено: 17:24 24-04-2007

dshf21391 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Странно у тебя как то SmartDefence блокирует трафик. Вообще то IPsec - это порт UDP 500 для IKE, а потом протокол IP 53. Причём тут пакеты UDP 0 - совсем не ясно. Что ты используешь в качестве IPsec точек? Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 09:02 25-04-2007

gnazar Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору >Что ты используешь в качестве IPsec точек?   В этом разбираюсь поверхностно. Можно слегка объяснить о чем идет речь?   В этой ситуации я не могу понять почему идет блокирование если открыт полностью весь поток трафика.   Остается актуальным вопрос с отключением проверки трафика для определенного, чтобы установить между двумя устройствами связь, а дальше можно будет уже неспеша разобраться. Всего записей: 41 | Зарегистр. 22-09-2006 | Отправлено: 11:19 25-04-2007

dshf21391 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня SmartDefence почти весь выключен, т.к. там полезного вообще очень мало. Советую тебе тоже в SmartDefence отключить всё "лишнее" и включить только то, в чём ты на 100% уверен, что оно тебе надо. Т.к. он сканирует любой трафик и исключающих правил там нет. Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 13:56 25-04-2007

AndyZhuravlev Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору to dshf21391   Цитата: А кто нибудь сталкивался с экспортом/импортом конфигураций?   Я находил там базы полисей но при переносе их на другой сервер он ругается и не находит объекты. Как бы коректно выгрузить конфигурацию в файл/базу и загрузить на другом серваке?   Запусти на рабочем серваке установку Чуки, там есть експорт настроек. При установке новой Чуки, выбери импорт настроек... Всего записей: 45 | Зарегистр. 06-02-2003 | Отправлено: 11:03 26-04-2007

Out Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dshf21391 С экспортом\импортом все очень просто - есть команды: 1. upgrade_export 2. upgrade_inport Во всяком случае у меня на солярисе именно так.... Там экспортируется все - рулисы, лицензии, настройки и т.п. ---------- Кто страшиться упасть - тот недостоин неба Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 11:26 26-04-2007

dshf21391 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Спасибо, команды поищу. Пока выкрутился следующим образом: Если запустить инсталлятор при уже установленном FW-1, то он предлагает экспорт настроек, а при чистой инсталляции предлагает импорт. Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 15:01 26-04-2007

dshf21391 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как я понимаю, CheckPoint для Solaris только на Ultra Sparc идёт? Или всё же можно его на x86 запустить? Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 09:12 11-05-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование