CheckPoint 防火墙概览
由于工作的原因,接触了大量不同品牌的防火墙,本文记录一下check point 防火墙的特性
checkpoint防火墙不像cisco和juniper这种传统防火墙厂商是以cli命令为主web页面为辅,虽然也支持cli模式,但checkpoint 防火墙的精华在于它的Restful api ,据我了解,其实checkpoint mgmt cil命令返回的结果 其实也是和api返回的结果一样,是json结构的数据。
命令行登录专家模式
登录命令行(ssh)默认模式下支持部分操作及命令,如需要执行更高权限的命令则需要登录专家模式。在命令行中输入expert,输入密码即可,专家模式中可以看到checkpoint的 gaia os 其实就是基于linux系统的改造版。
使用mgmt cli命令管理配置
首先登陆mgmt
mgmt login user admin
然后使用命令
mgmt_cli show gateways-and-servers details-level "full" --version 1.1 --format json
最后要退出mgmt,如果不退出,则会导致session增多,一旦session到了极限,则可能造成极大的风险,即其他管理员登录不上smartcenter, API也同理
mgmt logout
架构
CheckPoint分为三层架构,GUI客户端(SmartConsole)是一个可视化的管理配置客户端,用于连接到管理服务器(SmartCenter), SmartCenter是一个集中管理平台,用于管理所有设备,将策略分发给执行点(Firewall)去执行,并且收集所有执行点的日志,执行点具体执行策略,进行网络访问控制。
也就是说checkpoint很方便的管理集群或者多台独立的墙,通过SmartCenter提供的api 也可灵活对接checkpoint设备,不像传统设备一样需要去解析防火墙命令,要知道不同品牌甚至不同型号的设备命令都是不一样的,这样维护起来十分的不方便,而checkpoint api升级是向下兼容的。
防火墙策略
CheckPoint防火墙的策略执行顺序为自上而下,当满足某一条策略后将执行该策略的操作,并且不再匹配后面的策略。
如果策略中包含用户对象,即使匹配该策略,仍然会继续匹配后面的策略,只有后面的策略没有匹配或者后面的策略中匹配的操作是drop时,才会执行之前包含用户的策略。
通常CheckPoint 策略配置的顺序依次为防火墙的管理策略,VPN策略,服务器策略(DMZ),内网上网策略,全部drop策略。
创建策略后,必须Install Policy之后才会生效。
NAT
在CheckPoint 中地址转换分为自动和手动两种,其中自动又分为Static NAT,和hide NAT
Static NAT
static是指将内部网络的私有ip地址转换为公用IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换某个公有IPd地址,借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问
在对象中配置static nat 然后才开通一条访问策略,上图所示的策略表示允许访问192.168.10.10的http和https请求会被映射到58.246.25.91
Hide NAT
Hide NAT 是指改变外出数据包的源端口并进行端口转换,即端口转换(PAT,Port Address Translation)采用端口多路复用方式。内部网络的所有主机都可共享一个合法外部ip地址实现对互联网的访问。从而最大限度的节约IP地址资源,同时又可隐藏网络内部的所有主机,有效避免来自互联网的攻击,因此,网络中应用的最多的就是端口复用方式。
手动 NAT
将公网地址58.246.25.91的80端口映射到内网地址的192.168.10.10的443端口
- 创建主机地址分别为58.246.25.91和192.168.10.10
- 创建允许访问58.246.25.91的80端口的策略
- 创建一条nat策略,Original Destination填58.246.25.91
Original Service填80
Translated Destination填192.168.10.10 Translated Service填443
API
官方文档