双CheckPoint防火墙实施方案
注：本文是我在2004年给一家大型公司实施防火为墙时的实施方案，想让大家了解checkpoint及双防火墙实施情况。因截屏文件太大，如果有需的同事，可以联系我。
双CheckPoint防火墙实施方案
姜道友（）
客户环境概述...................................................................................................
1.1概述....................................................................................................................
1.2网络拓扑与地址分配表........................................................................................
1.3安装前准备事宜...................................................................................................
第二章 Nokia
IP380安装与配置.......................................................................................
2.1概述....................................................................................................................
2.2初始化nokia380...................................................................................................
2.3设置nokia基本信息.............................................................................................
2.3.1 Nokia 端口IP地址设定...........................................................................
2.3.2设置网关路由...........................................................................................
2.3.3设置Nokia平台时间.................................................................................
2.3.4设定Nokia高可用VRRP参数.....................................................................
2.4初始化checkpoint...............................................................................................
2.4.1在nokia平台上checkpoint的安装与卸载..............................................
2.4.2初始化checkpoint..................................................................................
第三章 管理服务器的安装与配置...................................................................................
3.1checkpoint
smartcenter的安装..............................................................................
3.1.1安装前的准备.........................................................................................
3.1.2安装步骤................................................................................................
3.2配置checkpoint对象和参数................................................................................
建立sic...................................................................................................
定义防火墙对象拓扑结构........................................................................
3.2.3使用同样的步骤按照表1的参数建立IP380B
checkpoint gateway对象。....
3.3基于nokia
vrrp或者cluster的设置......................................................................
3.3.1基于Nokia VRRP的设置..........................................................................
3.3.2为nokia
vrrp定义策略..............................................................................
3.3.3高可用性的检查.......................................................................................
cluster 的设置............................................................................................
3.5暂时没有............................................................................................................
第四章 策略设定............................................................................................................
4.1概述...................................................................................................................
netscreen的策略.................................................................................................
4.3经过整理后转换成checkpoint的策略..................................................................
设定策略...........................................................................................................
定义主机对象..........................................................................................
定义网络对象..........................................................................................
4.4.3定义组.....................................................................................................
定义服务.................................................................................................
添加标准策略..........................................................................................
添加NAT策略.........................................................................................
第五章 切换与测试........................................................................................................
5.1切换...................................................................................................................
5.2测试...................................................................................................................
5.3回退...................................................................................................................
第六章 日常维护............................................................................................................
6.1防火墙的备份与恢复..........................................................................................
6.1.1 nokia
防火墙的备份与恢复方法................................................................
6.1.2 checkpoint
management 上的备份与恢复...................................................
客户环境概述
XXXXXX公司因应企业内部的网络需求，对总部网络进行扩容改动，中心防火墙从原来的netscreen换成两台Nokia
IP380，两台nokia互为热备。维持原有的服务不变。
由于这次网络改动比较大，所以先离线进行安装和测试，最后再进行切换
网络拓扑与地址分配表
XXXXXX改造前网络拓扑如下
改动后，XXX将按照以下图进行实施
给个设备及端口的地址分配入下表所示
IP地址分配表（表1）
管理服务器参数
防火墙各端口参数
172.16.100.5/30
172.16.100.6/30
172.16.100.1/30
10.101.1.101/24
10.101.1.102/24
10.101.1.1/24
192.168.11.1/24
192.168.11.2/24
安装前准备事宜
1．管理服务器硬件平台
CPU 奔腾3 500以上
内存 128以上
硬盘 60M以上
操作系统，windows 2000 server
2．网络连线
3．Checkpoint及nokia管理软件
Checkpoint NG AI R55
安装包for windows
hotfix09或以上
4．Nokia IP380设备两台
内置IPSO3.8 build 39
内置checkpoint NG AI
IP380安装与配置
首先我们可以对两台Nokia
IP380进行安装与配置，由于Nokia防火墙将会替代Netscreen，所以Nokia防火墙可以进行离线配置。配置步骤如下。
初始化nokia380
1．& 使用nokia console线，连接nokia console口和管理pc的串行端口，并打开电源家电。
2．& 打开windows 超级终端按照下图设置
3．& Nokia
IP380正常开机后填入防火墙的名字：IP380A 。如下图
4．& 输入默认管理员用户admin的密码并确认密码，这里密码填password，密码以后可以通过web界面进行修改。如下图所示
5．& 设定使用基于web的浏览器进行管理还是基于文本的浏览器进行管理，这里选择1
6．& 设定初始网络参数，这里需要设定一块网卡的IP地址，以方便进行基于web的管理，如下图所示，分别填入网卡号和IP地址，暂时不设定default route，并配置端口成100M全双工。
7．& 确认以上信息正确，由于网络上并没有VLAN设置，所以并不需要进行Vlan配置。如下图
设置nokia基本信息
主要设定nokia底层基本参数，包括IP地址，路由，时间，VRRP设定
Nokia 端口IP地址设定
1．使用网线连接管理机和nokia端口，打开IE浏览器，输入刚才定义的nokiaIP地址 ,使用用户名admin，密码password登陆。如下图所示。
2．登陆后点击config按钮，进入配置界面，如下图所示。
3．点击interface按钮后，进入interface配置界面。点击逻辑端口Eth3c0配置Eth3的IP的，如下图所示。
在Active选项上选On，NewIPaddress框添上IP地址，NewMaskLength框填上子网掩码的长度，如下图所示。
4． Apply键。
5． 配置网卡物理参数。点击UP按钮，回到Interface configuration界面，点击物理端口号Eth3出现以下界面。
修改link speed的参数为100M，修改Duplex为Full。
6．Apply键和Save键，保存配置。
7．重复以上步骤，按照IP列表分配表（表1）中参数配置各个端口地址。如下图
2.3.2设置网关路由
完成IP地址的设定以后，需要做的是设定默认网关和静态路由
1． 进入配置界面，点击Routing Configuration －&
Static Route，进入下图所示
在default 项选择On，next hop type选normal，然后点击apply
2． 在原来的参数下面会出现新一项参数Gateway
Type，这里选择address，点击APPLY如下图所示：
填上nokia的网关，然后点击apply后点击save，完成默认网关的设置。如下图所示
这里网关地址填:?????
4． 在new static route 填上要网段地址，在mask
length填上网段掩码，next hop type选上normal，gateway
type选上address,并点击apply，如下图所示
5． Apply后会出现gateway address
参数框，填入下一跳地址，点击apply，完成静态路由的添加。如下图
6.重复步骤4、5添加更多的静态路由，完成后按save保存
这里需要设置的静态路由有???????
2.3.3设置Nokia平台时间
1． 进入配置界面后，点击system configuration下的local time setup
2． 在secect city中选择China/HongKong，在manual set day and time
分别填上日期和时间，如下图，完成后点击apply，再点击save。
2.3.4设定Nokia高可用VRRP参数
a．& 设定时间同步
管理服务器与执行点之间必须做到时间同步，才可以成功建立安全连接（SIC），同时，再做VRRP时两个执行点之间的时间也必须做到同步，他们的状态表才能正常及时地交换。所以，必须为设备设置NTP时间服务。
我们以IP380A作为时间的基准服务，IP380B作为作为客户段，进行参数配置。
1．&&&&&&&&&&&&&
在IP380A上点击Router Services下的NTP，进入NTP配置界面，在Enable NBT上选yes
在NTP Reference
Clock 下的NTP
Master选yes，Stratum填上3（这项填写范围为1－15），点击APPLY，再点击SAVE，这样IP380A便成为时间服务器。
2．&&&&&&&&&&&&&
在IP380B配置页面上点击Router Services下的NTP，进入NTP配置界面，在NTP
Global Settings 上选yes，点击APPLY，如下图：
在NTP servers
下add new server address
上添加IP380A的地址192.168.11.1。点击APPLY，出现下图
点击save保存配置，时间同步配置完毕。
注意，第一次时间同步时间比较长。
b．& 配置VRRP参数
同一设备的某一端口监控另一端口，当发现被监控端口出现问题时（例如，端口断开），按照预先设定的规则，监控端口更改自身的优先级。属于同一VRRP组的成员共享一个虚拟IP地址，这个地址将作为终端设备的网关或者路由设备的下一跳地址使用。
一般来说，是高优先级的设备在本机故障的情况下降低自身的优先级，使得原来低优先级的设备接管工作，实现服务的高可用性。
本方案采用IP380A作为主防火墙。
配置步骤如下:
1．& 选择VRRP monitored Circuit模式
在IP380A，IP380B的配置页面上点击Router Service下的VRRP，进入VRRP配置界面，点击Legacy VRRPConfiguration，在需要做VRRP的端口下选择Monitored Circuit，点击apply如下图，填上virtual router的数值。注意，每个对应的子端口的virtural router值应该一样（例如IP380A的eth1c0的virtual router 和IP380B的eth1c0的virtual
router值相同），这样才能保证这对端口在同一个vrrp组里面。
VRRP协议主要可以防止网络中断造成的服务中断，提供接口方面的高可用性，因此需要选择VRRP
Monitored Circuit模式，点击APPLY然后在Create Virtual
Router中填写一个自定义的编号，这个编号用于识别同一网络内的高可用设备成员所属的高可用分组，因此两个防火墙属于同一网段的接口必须使用同一Virtual
Router ID。在本例中，分别使用81，82，83作为三个网段的virtual值，由于同步口并不用参与数据传输，所以同步端口并不用配置vrrp属性。
2．& 配置虚拟IP地址，MAC地址，监控接口，优先级，认证。
IP380A作为主用机使用，因此优先级较高，填写以下参数：
外网：eth1c0
Priority:254
interval:2
Address:IP????(虚拟IP地址)
Interface:eth2c0(这里选择的是要监控的端口，即DMZ)
点击APPLY，完成设定第一个监控端口
Interface:eth3c0(这里选择要监控的端口，即内网)
点击APPLY，点击SAVE完成设定第二个监控端口
DMZ：eth2c0
Priority:254
interval:2
Address:??????? (虚拟IP地址)
Interface:eth1c0(这里选择的是要监控的网口，即外网口)
点击APPLY，完成设定第一个监控端口
Interface:eth3c0(这里选择要监控的端口，即内网)
点击APPLY，点击SAVE完成设定第二个监控端口
内网：eth3c0
Priority:254
interval:2
Backup Address:IP
?????(虚拟IP地址)
Interface:eth1c0(这里选择的是要监控的网口，即外网口)
点击APPLY，完成设定第一个监控端口
Interface:eth2c0(这里选择的是要监控的端口，即DMZ)
点击APPLY，点击SAVE完成设定第二个监控端口
IP380B作为主用机使用，因此优先级较低，填写以下参数：
外网：eth1c0
Priority:240
interval:2
Address:IP????(虚拟IP地址)
Interface:eth2c0(这里选择的是要监控的端口，即DMZ)
点击APPLY，完成设定第一个监控端口
Interface:eth3c0(这里选择要监控的端口，即内网)
点击APPLY，点击SAVE完成设定第二个监控端口
DMZ：eth2c0
Priority:240
interval:2
Address:??????? (虚拟IP地址)
Interface:eth1c0(这里选择的是要监控的网口，即外网口)
点击APPLY，完成设定第一个监控端口
Interface:eth3c0(这里选择要监控的端口，即内网)
点击APPLY，点击SAVE完成设定第二个监控端口
内网：eth3c0
Priority:240
interval:2
Backup Address:IP
?????(虚拟IP地址)
Interface:eth1c0(这里选择的是要监控的网口，即外网口)
点击APPLY，完成设定第一个监控端口
Interface:eth2c0(这里选择的是要监控的端口，即DMZ)
点击APPLY，点击SAVE完成设定第二个监控端口
虚拟的MAC地址缺省情况下使用VRRP模式，设备会以VRRP Router ID为基础为虚拟IP分配一个虚拟的MAC地址
3．& 测试与状态检测
在Voyager的Monitor页面下的Routing Protocols下的VRRP里，可以检测当前设备的VRRP状态，如下图所示：
初始化checkpoint
IP380出厂的时候就已经安装好checkpoint，所以在Nokia平台下新的机器并不需要重新安装checkpoint，只需把checkpoint初始化即可。如果客户有最新的checkpoint安装包for Nokia 平台，可以重新安装最新的checkpoint安装包
2.4.1在nokia平台上checkpoint的安装与卸载
新出厂的nokia机器可以不需要重新卸载checkpoint和安装checkpoint，初始化checkpoint即可，这一章节可以跳过，直接访问2.4.2&进行初始化。
如果客户以前测试过checkpoint，或者客户想重新安装checkpoint，可以先在nokia
web界面上先卸载checkpoint。
1． 进入configuration interface，点击manage installed
packages进入管理package界面。
2． 设置Check&Point&VPN-1&NG&with&Application&Intelligence&为off
设置Check&Point&CPinfo&NG&with&Application&Intelligence&为off
点击apply停止以上软件包
3． 设置Check&Point&SVN&Foundation&NG&with&Application&Intelligence&
点击apply 停止SVN软件包
注意SVN软件包必须在其他所有软件包都在off的状况下才能正常stop，所以要先off所有软件包，点击apply之后，才能在off
SVN软件包，最后再apply。如图
4． 在manage installed packages点击delete packages
5． 所有checkpoint开头的组件设置成delete，然后点击apply，如下图
6． 等待一阵后回到manage installed
package后，可以看到所有package均被delete，如下图
7． 在console上使用命令ls /var/opt 没有任何的文件或文件夹留下，ls /opt
没有任何CP开头的文件夹，说明已经卸载成功了。
如果客户有最新的checkpoint安装包，而客户又是新安装的Nokia机器，建议使用 Manage Installed
Packages来对checkpoint进行安装。
我们预先把起一台ftp服务器，并把checkpoint 的安装包放到ftp服务器上。
1． 使用浏览器登陆到nokia configuration interface界面，点击manage installed
packages进入。
2． 点击ftp and install packages进入安装界面，如下图所示
3． 输入ftp地址，路径，用户名和密码，然后按apply键
这里ftp地址为:???????
ftp路径为:/
用户名:ftp
4． 在list列表上选择要安装的checkpoint包，然后点击apply
5． Checkpoint包会通过ftp的方式下载到Nokia上，看到提示download
successful后选择要安装的包，然后点apply安装
6． 点击Click here to
install/upgrade
/opt/packages/IPSO3.8_wrapper_R55.tgz进行安装，选择install ＝ yes 如下图 ,点击apply
7． 在console打入命令 tail
/var/log/messages,如果console出现下图情况，则表明已经安装成功。
8． 回到manage installed packages
可以看到所有package都已经install，checkpoint fw1和 SVN
Foundation的状态是on的,如下图所示
2.4.2初始化checkpoint
要使checkpoint能正常工作，必须对checkpoint进行初始化。由于两台Nokia是跑HA模式，所以smartcenter必须要装在外部，不能和enforcement
module安装在一起，步骤如下：
1． 使用超级终端推出console，重新登陆console，运行命令cpconfig，如下图
2． Accept license之后，就可以选择checkpoint的产品，如果是买了checkpoint
enterprise版的请选择1，如果是买了checkpoint express的请选择2
由于XXXXXX购买的是checkpoint enterprise，所以选择1
3． 在选择checkpoint产品之后，会来到安装方式选择，这里有两个选项
Stand Alone ：单独安装，即smartcenter和enforcement module都安装在同一个设备中
Distributed :分布式安装，即只选择smartcenter 或者enforcement
module其中一个安装。
由于XXX使用高可用性配置模式，所以这里选择2分布式安装
4． 当选择分布式安装后，系统会提示安装哪个checkpoint组件，如下图所示
我们只选择1，vpn－1 pro gateway进行安装
5． 选择checkpoint组件后，系统提示是否打开状态同步功能，填入y回车继续
完成同步状态功能的选择后，系统会提示是否添加license，一般checkpoint没有license的情况下都有15天的试用期，所以这里不用输入license也可以使用，填入n，然后回车
7． 键入一个随机队列，用于生成用于加密的种子
8． 系统会要求键入SIC
password，这个password用于enforcement module和management server的安全连接，在以后设置smartcenter的时候，添加checkpoint gateway 输入的sic需要和这个密码相同才能建立SIC连接。设置界面如下图,这里填入sic
password为123456
9． 最后系统提示重新启动机器，按y重启机器，checkpoint 在nokia上初始化完成。
管理服务器的安装与配置
管理服务器smartcenter在HA的环境中是储存了所有的checkpoint的配置和策略。所以管理服务器在一个checkpoint的配置环境中是属于核心配置，虽然管理服务器不参与客户数据的流动，因为策略只能从管理服务器安装到enforcement，不能从enforcement返回到管理服务器，所以一旦管理服务器损坏，客户将丢失所有防火墙的配置权，策略必须重新定义。
3.1.1安装前的准备
奔腾3 500 以上，256内存以上，硬盘5g以上
server ＋ sp4
需要winzip或者winrar软件安装
checkpoint NG AI R55 安装包for
3.1.2安装步骤
1．& 解压缩安装包，点击setup.exe
进入安装界面
2．& 点击next后，会进行产品选择
这里有2个选择
check point
enterprise/pro
check point
在XXX这个案件中，我们选择check print enterprise/pro
3．& 然后会进行安装选项选择，这里选择new
installation
4．& 然后到组件选择界面。这里主要选择安装那一类型的checkpoint产品，注意，smartcenter和secureremote/secureclient是不能同时安装在统一台机器上
由于在XXX的两台nokia只是做高可用，所以这里只是需要安装管理服务器和gui即可，如下图所示
点击next继续
5．& 选择安装smartcenter后，系统会询问是安装成&&&&&&
primary smartcenter还是secondary
smartcenter。Checkpoint是支持smartcenter的高可用性，可以使用两个smartcenter进行备份。另外一个选项是安装成单独的log server，只是作为单独的log记录，不进行策略管理。
在XXX这个案件中，我们选择primary smartcenter，如下图所示。
点击next开始安装
Fandation默认安装在c:\programe
files\checkpoint\cpshared目录下，也不能进行修改，Fw1默认安装在c:\winnt\fw1下面，这个路径可以修改，由于checkpoint的log也是记录在这个路径下，所以最好把这个路径安装在空间比较多的地方。
在XXX这个案件，我们建议划分d盘为安装checkpoint的目录如下图所示
我们把fw1的安装目录设成d:\fw1\R55,点击next继续安装
7．& 安装fw1完成以后，开始安装smart console 即gui 点击next继续
8．& 拷贝文件完成后，checkpoint
管理服务器安装完成，但是安装进程并没有完成，而是进入下一阶段，初始化管理服务器
3.1.3管理服务器的初始化
完成安装后，安装程序进行仍然未结束。这时会继续初始化checkpoint smartcenter
1． 添加smartcenter
license。由于checkpoint初始安装有15天的试用license，所以这里可以不需要添加任何license而继续，如果用户此时已经有license，可以点击add来进行添加，如下图
在XXX这个案件，我们并不需要在这个时候添加license，我们点击下一步继续。系统会弹出一个对话框确认没有license。
添加管理员帐号。在这一步，用户必须添加一个管理smartcenter的管理员帐号。点击添加，输入管理员名字和密码，并设定管理员的权限。如下图
点击下一步继续
3． 设定允许管理员管理的GUI client 地址列表。
基于安全的因素管理服务器必须有访问控制列表，只有在列表上的ip才能通过GUI登陆管理服务器进行管理。
在XXX这个案件中，我们建议填入具体的管理GUI地址，但是现在由于安装便利的原因，先暂时设定GUI
client为任何地址*.*.*.*，在完成实施以后，可以改为具体的IP地址。
点击下一步继续。
4． 输入随机的字符，生成加密种子。
这里输入随机的一串字符，为ca生成加密种子。只要打入字符，知道下一步按钮可以点击为止。如下图
5． 初始化ca。在生成加密种子以后，系统会提示初始化ca。默认ca的名字是机器的名字，这里不需要修改，点击下一步即可。
6． Ca初始化后，会生成指纹。这里只要点击完成按钮完成初始化，并重新启动机器。
配置checkpoint对象和参数
初始化管理服务器后，我们可以使用checkpoint的smart console GUI登陆管理服务器进行配置。
1．& 打开checkpoint smart console
,输入管理服务器的IP地址，用户名和密码。
XXX的管理服务器IP为
第一次登陆时会提示对照指纹，按approve接受即可。
2．& 建立一个checkpoint
gateway对象。在GUI左边对象树右键点击network object -& new
-&checkpoint -& gateway
选择classic
mode，点击ok，如下图
填入防火墙的名字，ip地址，并在version和type上选择好相应的产品，在产品列表中把firewall打上勾，如下图所示。
在XXX这个案例中，防火墙对象的名字为IP380A ,
IP为????????
为 NG with
Application Intelligence
Type 为 Check Point
Enterprise/Pro
3．& 建立SIC通道。点击Gateway对象下的Communication按钮，填入sic密码（这里的sic密码要和初始化enforcement module的一样），点击Initialize，建立sic通信
确认sic成功建立
定义防火墙对象拓扑结构
1．& 点击左边菜单topology，出现topology属性对话框，点击get－》interface
with topology
2．分别点击入每个网卡属性，并按照原来的设计定义好外网和内网(表1),并设置好相应的地址欺骗的参数。
如上图所示
3.2.3使用同样的步骤按照表1的参数建立IP380B checkpoint
gateway对象。
vrrp或者cluster的设置
对于Nokia的vrrp和cluster，除了在要在nokia底层上设定必要的参数之外，也要在checkpoint上设定做一定的设置。
3.3.1基于Nokia VRRP的设置
1．建立checkpoint cluster对象
右键点击checkpoint -&
new check point -&Gateway
Cluster建立一个cluster
Gateway对象，如下图。
2．编辑cluter的基本属性，设置IP地址与cluster对象名称
3．点击Cluster Members，点击add添加cluster对象，并把两个防火墙对象加到cluster 中。如下图
4．点击3rd Party Configuration，Specify Cluster operation中选High Avaibility，3rd Party中选Nokia VRRP，如下图
5．点击Synchronization，确认Use State Synchronization打上勾，点击add添加同步网段。在XXX这个案例中同步网段为192.168.11.0/24 ，如下图所示。
6．点击topology选项，点击get按钮，得到cluster的topology
3.3.2为nokia
vrrp定义策略
由于VRRP成员会向多播地址224.0.0.18发出一些用于VRRP协议的信息，所以在防火墙设置里要允许这些流量通过。
1．新建一个multicast host如下图
2．定义必要的防火墙策略，包括防火墙到224.0.0.18的信息和各防火墙成员之间的互访（如NTP同步等），配置如下图所示：
3．安装策略完成Nokia
vrrp的配置
3.3.3高可用性的检查
可以在两台执行点上同时执行下面的命令：
fw tab &t connections
得到如下图所示的结果：
由上图可见，防火墙将列出当前的连接状态，当两个执行点的＃VALS值，也就是当前连接数相同时，说明两个执行点的状态表已经同步了。
防火墙的策略是防火墙的核心部分，任何一个防火墙都必须有其自己的策略对数据进行控制，checkpoint上的策略主要有标准策略，NAT策略两种
对于XXX这个案件，由于线上已经有netscreen在运作，nokia380上的策略要和netscreen的基本相同，我们需要的是把netscreen的策略转换成nokia的策略。
XXX网络管理员提供的netscreen的策略如下(表略)
经过整理后转换成checkpoint的策略
destination
NAT address
NAT service
定义主机对象
1．& 邮件点击对象树Node -&new
node -& host
2．& 编辑node 对象属性
填入node名称和ip地址
3．& 如果此node需要做动态nat，点击NAT，出现Nat属性框，在Add
Automatic Address Translation上打勾。
如果此node做动态NAT映射，请选择hide。并选择转换的方式，转换方式有2种
&hide behind
根据目标网络自动选择接口地址进行NAT转换
&hide behind IP
address& NAT成某一个固定地址
4．& 如果此节点需要做静态NAT，请在NAT方式上选择static，并填写NAT的地址
5．点击ok完成定义
6．XXX这个案件上，我们需要定义的主机对象及其属性如下表
Ip address
NAT address
定义网络对象
1．& 右键点击对象树
network -& new
2．& 编辑network对象，填入相应的网络名称，网络号，子网掩码
3．& 如果网络也需要做NAT可以点击Nat选项，定义NaT参数，nat参数说明可以参照Node NAT的参数说明
4．& 点击确定完成网络对象的定义
5．& XXX这个案件上，我们需要定义的网络对象及其属性如下表
network name
Ip address
NAT address
4.4.3定义组
很多时候需要用到组对象，把几个不同的对象组合起来使用。下面描述一下如何定义组
1．& 右键点击属性树
group -& new simple
2．& 填写组明，编辑组成员
选择需要加入这个组的对象，点击add加入
3．& XXX这个案件上，我们需要定义的组对象及其属性如下表
Include object
如果有特殊的应用和服务，可以通过新建服务来进行对象添加
1．& 点击service选项卡
2．& 根据需要的协议右键点击，如右键tcp
3．& 输入服务名称，填入端口号，或者其他参数
4．& 点击确定完成添加
5．& XXX这个案件，我们需要自定义的服务如下
Service name
添加标准策略
在定义了所有的对象之后，我们就可以把这些对象应用到具体的策略上去，添加策略的方法如下。
1．& 选择菜单rule-&add
rule 然后选择规则的位置
2．& 把相应的对象按照拖到策略的各个字段中，能进行拖动工作的有source
destination vpn service
3．& Action
中选择需要做的动作，这里主要的使用都是drop和accept，accept是在前面的对象都匹配的情况下允许数据通过，drop是不允许数据通过
4．& 如果需要记录log，可以在trace中选择log
5．& XXX的案件中，根据上面描述的策略列表进行策略设定
添加NAT策略
nat的方式除了可以在对象的nat属性上做设置之外，还可以直接编辑nat策略列表，其实在对象上自动做nat后，就会自动在nat列表上添加策略。所以，从本质上讲，所有的nat设置都是源于nat策略列表，nat策略列表的添加方式与标准策略添加相似
1．点击address translation列表框
2．选择菜单rule-&add rule来进行添加策略
3．把需要做nat的对象拖到策略不同的字段中。
4．XXX需要手工添加的nat列表如下表
Original packet
Translation
destnation
destination
5．安装策略
切换与测试
在所有nokia防火墙的设置均完成以后，可以进行切换，切换的目标是使用nokia防火墙替换原来的netscreen防火墙。切换步骤如下。
1．机器上架
2．拔开原来netscreen网络接线
拔开netscreen的网线，但是网线仍然保留，并记录各根网线对应的netscreen的端口。
3．Nokia防火墙进行网络接线，按照以下列表进行接线
Nokia IP380A
Nokia IP380B
DMZ区域交换机
内网区域交换机
NokiaIP 380B eth4
DMZ区域交换机
内网区域交换机
NokiaIP 380A eth4
在防火墙上设置策略允许icmp的数据通过
1．& 检查firewall对外网的连通性
外部地址61.144.19.137
进行测试，如果能ping通表示firewall对外网的连通性正常。
2．& 检查firewall对DMZ的连通性
DMZ的地址XX.XX.XX.XX进行测试，如果能ping通表示firewall对DMZ的连通性正常。
3．& 检查firewall对内网的连通性
内部网络的某一台机器，如果能ping通表示firewall对内网的连通性正常
4．& 检查内网用户的应用连通性
检查内部用户使用DMZ区域服务的连通性。在内网设置一台机器，其地址为XX.XX.XX.XX并根据下列表进行DMZ区域的访问
5．& 检查DMZ区域对外服务提供的连通性和对内服务的连通性
使用notebook进行拨号上网，并得到一个公有地址，按照以下列表访问XXX对外提供的服务。
如果在切换的时间内，并不能完成以上测试，或者在切换过程中出现不能马上解决的问题，必须进行，回退动作。回退步骤如下
1．& 关闭两台nokia的电源，重新启动netscreen电源
2．& 恢复netscreen的线路，把原来netscreen的网线插会netscreen上
3．& 按照5.2测试方式测试XXX原有服务是否正常
防火墙的备份与恢复
6.1.1 nokia
防火墙的备份与恢复方法
备份文件的描述。由于Nokia防火墙的核心是类unix操作系统，所以其核心的配置是一系列的文件。
以下文件包含nokia IP系列的全部系统配置
/var/etc/ipsec.
/var/admin&
/var/monitor
在nokia的web界面上有工具能对这些文件进行备份一下是备份合恢复的步骤
手工创建一个备份文件：
1. 在nokia web主页界面上点击
2. 在System
Configuration中点击Configuration Backup and
3. 在MANUAL
BACKUP 区, 在
BACKUP FILE NAME
里面输入要备份文件的名称。
4. BACKUP HOME
DIRECTORIES 区域，点yes备份用户目录, BACKUP /opt/CPfw1-50-03
区域点击yes，Backup /opt/Cpshared-50-03
区域点击yes
5．点击apply
6．点击save
传输一个备份文件到远程服务器
1. 在nokia
web主页面点击CONFIG
2. 在System Configuration下点击 Configuration Backup and
3. 在REMOTE
TRANSFER ARCHIVE FILE
区域, 在FTP
SITE输入ftp的地址
4. 在 REMOTE
TRANSFER ARCHIVE
在FTP DIR输入框输入远程ftp的路径.
5. 在 REMOTE
TRANSFER ARCHIVE
在FTP USER 输入框输入ftp用户名
6．在REMOTE
TRANSFER ARCHIVE
在FTP PASSWORD 输入框输入ftp用户名的密码.
7. 在BACKUP HOME
DIRECTORIES 区域，点yes备份用户目录, BACKUP /opt/CPfw1-50-03
区域点击yes，Backup /opt/Cpshared-50-03
区域点击yes
8. 点击MANUAL BACKUP
FILE下拉菜单，选择你要上传的备份文件.
11. 点击 APPLY.
从远程服务器上恢复
1．在nokia
web主页面点击 CONFIG.
2. 在System Configuration点击 Backup and Restore Configuration
3. 在RESTORE
FROM REMOTE FIELD区域, 在FTP SITE
框中输入保存backup文件的ftp服务器的地址.
4. 在RESTORE
FROM REMOTE FIELD区域, 在FTP
DIR框输入存储backup文件的ftp路径
5. 在RESTORE FROM
REMOTE FIELD区域, 在FTP USER 框输入用户名
6. 在RESTORE FROM
REMOTE FIELD区域, 在FTP PASSWORD 框输入密码
7. 点击APPLY.
8.然后会出现一系列的文件，选择你要恢复的backup文件。
9. 点击APPLY,
然后点击SAVE.
10. 点击reboot，重新启动机器..
6.1.2 checkpoint
management 上的备份与恢复
在管理服务器打开windows
服务列表。（开始菜单－&控制面板－&管理工具－&服务）
停止4个和checkpoint有关的服务
分别备份以下两个目录
C:\Program
Files\checkpoint\cpshared\ng
备份以下注册表键值
HKEY_LOCAL_MACHINE\SOFTWARE\CheckPoint\SIC
在windows服务列表启动4个和checkpoint有关的服务（开始菜单－&控制面板－&管理工具－&服务）
1.一开始新mgmt的windows 名字一定要和旧的一样，ip可以不同
2.停所有cp服务
包括cpstop和其他两个服务列表的服务
安装checkpoint FW1/VPN1 NG AI
软件，并配置成management，安装可以参考checkpoint安装使用手册
2． 用checkpoint gui管理客户端软件登录刚刚安装好的checkpoint management 并确认gui管理客户端软件能正常登录到management server
3． 在windows服务列表停止4个和checkpoint有关的服务（开始菜单－&控制面板－&管理工具－&服务）
分别把上面备份的两个目录拷贝回相应的地方。
C:\Program
Files\checkpoint\cpshared\ng
C:\winnt\fw1\ng
导入上面备份好的注册表键值
6． 在windows服务列表启动4个和checkpoint有关的服务（开始菜单－&控制面板－&管理工具－&服务）
8． 用checkpoint gui客户端管理软件登录management 并查看配置是否正确。
此方法在checkpoint ng
AI上也能成功通过
，修改于：
10:14，已浏览4537次，有评论63条
Excellent!
评论于： 10:28:45 （24.225.25.★）
兄弟，这文章太好了，可以连图片一起发给我嘛，真的非常可望得到
在此先谢谢了
frank评论于： 17:07:58 （210.22.76.★）
也发一分给我：
kimxie评论于： 16:13:37 （61.144.136.★）
能发给我一份么？haohmaru_
写的太好了
不霁何虹评论于： 16:32:54 （192.20.251.★）
写得好啊,发一份吧,谢谢啊
你好评论于： 13:11:31 （61.172.253.★）
能发给我一份嘛&非常感谢！
rabbit评论于： 15:10:09 （221.130.180.★）
能发一份给我吗？
skycorner评论于： 20:31:06 （221.11.191.★）
也发我一份号码？jmh@
joe评论于： 13:54:59 （211.136.172.★）
能发一份给我吗?
本站网友评论于： 15:37:10 （219.135.157.★）
给我发一份
yang评论于： 17:55:21 （221.218.19.★）
能给我发一份吗？多谢了！&loong.
sinotrust评论于： 13:24:23 （222.66.20.★）
能给我一份吗？感谢！charlin-cn&at&<
charlin评论于： 14:05:42 （218.17.2.&#9733;）
fj_&&&非常感谢...
fjxiaoye评论于： 12:02:02 （125.77.50.&#9733;）
&非常感谢！
myths评论于： 18:29:23 （59.40.113.&#9733;）
非常感谢！
taoism评论于： 16:52:55 （220.191.86.&#9733;）
&&&我也想要一份,Thanks!
mm2006评论于： 14:09:28 （221.232.120.&#9733;）
请给我一份有图片的文档.有个工程要用到这方面的技术.谢谢!!!
不羁的风评论于： 14:05:16 （219.134.171.&#9733;）
急需一份.cn
ligang评论于： 22:10:24 （59.44.33.&#9733;）
请给我一份&kenneth.he.,
he&yong评论于： 10:02:38 （59.40.229.&#9733;）
请给我一份，谢谢
本站网友评论于： 14:43:06 （61.241.88.&#9733;）
能给我一份吗？谢谢你了！我的Email:
ok8631145评论于： 13:16:34 （222.72.86.&#9733;）
现在还有发吗.发一份给我吧
laoson评论于： 15:21:14 （218.5.2.&#9733;）
现在还有发吗.发一份给我吧
kimxie评论于： 14:58:28 （218.107.26.&#9733;）
能给我一份吗?&谢谢
wen评论于： 15:40:05 （121.32.26.&#9733;）
谢谢你的方案对我工作的帮助!请发一份图片文挡好吗?
w.k.&谢谢!!!!!!
cain评论于： 12:00:09 （222.182.25.&#9733;）
太好了,谢谢你帮助,能不能发一分带图片的文档给我好吗?
hu022002评论于： 20:21:47 （222.248.224.&#9733;）
本人很需要这份资料，楼主朋友可以发一份给本人吗？
评论于： 16:37:03
（211.140.10.&#9733;）
数据超市向服务器托管、主机托管、租用用户提供7x24级专业技术保障，提供第一时间的响应与技术支撑。&上海电枭网络科技有限公司，咨询电话：021-分机&联系人:汤先生。
服务器租用年付(服务器托管一年服务、同时立刻获得服务器产权)
数据超市-1&&配置：Celeron&2.6G&&&512M&DDR400&&&&&80G&SATA&&&&&#65509;：8100/年
数据超市-2&&配置：P4&2.8G&&&&&&&&512M&DDR400&&&&&80G&SATA&&&&&#65509;：9100/年
数据超市-3&&配置：P4&3.0G&C&&&&&&512M&DDR400&&&&&80G&SATA&&&&&#65509;：9700/年
数据超市-4&&配置：Xeon&2.4G&&&&&&512M&DDR400&&&&&80G&SATA&&&&&#65509;：11700/年
数据超市-5&&配置：Xeon&2.4G&&&&&&512M*2&DDR&RAM&&36.4G&SCSI&&&#65509;：13700/年
数据超市-6&&配置：Xeon&2.4G&&&&&&512M&DDR&RAM&&&&36.4G&SCSI&&&#65509;：12200/年
数据超市-7&&配置：Xeon&2.4G*2&&&&512M*2&DDR&RAM&&36.4G&SCSI&&&#65509;：16100/年
数据超市-8&&配置：Xeon&2.8G&&&&&&512M&DDR&RAM&&&&80G&SATA&&&&&#65509;：13600/年
数据超市-9&&配置：Xeon&2.8G*2&&&&512M&DDR&RAM&&&&80G&SATA&&&&&#65509;：16100/年
数据超市-10&配置：Xeon&2.8G&&&&&&512M&DDR&ECC&&&&73G&SCSI&&&&&#65509;：17900/年
数据超市-11&配置：Xeon&2.8G*2&&&&512M&DDR&ECC&&&&73G&SCSI&&&&&#65509;：19900/年
DELL&服务器&
PE1950机架式XEON3.0/512*2/73G*1/CD/键鼠/单电源/无导轨&15000
PE2950机架式XEON3.0/512*2/73G*1/CD/键鼠/单电源/无导轨&15100
上海电枭网络科技有限公司&&网络实名：数据超市
咨询电话：021-&-20&&&&021-&-20&&&&021-&-20&&
24小时服务电话：&&&&&咨询受理:汤立锋
网络咨询：MSN:&<@&&&&&&&&&&&&&客服QQ：
地址：上海市浦东新区季景路259弄17号602(靠近上海电信外高桥机房)
本站网友评论于： 15:34:40 （222.64.4.&#9733;）
能发我一份图片文档吗？非常感谢！
本站网友评论于： 19:25:42 （60.191.34.&#9733;）
期待您的来信，
本站网友评论于： 10:19:11 （125.77.193.&#9733;）
楼主能不能把你的这个文章连带图片给我发一份啊&谢谢
我的MAIL:&
本站网友评论于： 13:54:48 （211.136.93.&#9733;）
本站网友评论于： 21:31:54 （218.77.11.&#9733;）
怎么没图啊.给我一份吧
chengzhang评论于： 13:31:55 （222.222.39.&#9733;）
期待之非常期待!!!!!
评论于： 20:29:35
（124.114.175.&#9733;）
多谢&我也来一份&
本站网友评论于： 16:40:53 （220.231.227.&#9733;）
评论于： 22:26:42
（218.19.11.&#9733;）
可以发给我一份吗?非常感谢!!!
本站网友评论于： 16:49:43 （61.50.163.&#9733;）
你好，很好的文档，能给我发一份吗
本站网友评论于： 18:06:51 （210.21.200.&#9733;）
很好的文档，能给我也发一份吗？谢谢
本站网友评论于： 23:10:17 （211.137.173.&#9733;）
谢谢你的方案，对我工作很有帮助!请发一份图片文挡好吗?
本站网友评论于： 16:15:33 （125.89.50.&#9733;）
谢谢，请给我发一份有图片的好吗
cncxbao评论于： 09:58:14 （211.151.95.&#9733;）
写的很好，谢谢你的分享，能给我发一份吗？先谢谢了
本站网友评论于： 13:01:35 （116.58.142.&#9733;）
能不能给我一份啊，最近在搞这个，谢谢了
本站网友评论于： 15:55:35 （211.97.105.&#9733;）
我正在维护NOKIA&IP390防火墙，很有借鉴作用要一份完整的
另有一个问题，双机负载均衡后，Nokia&vrrp产生大量的组播数据，当交换机间配置Trunk时，Trunk的流量非常大1M多bps，下联交换机没有任何连接，如何抑制Nokia的组播泛滥？
评论于： 13:42:40 （123.6.171.&#9733;）
楼主你好，能给我一份图片文档吗？希望你看到留言。。。
本站网友评论于： 15:11:11 （218.19.111.&#9733;）
你好，可以给我一份完整的文档么？我的邮件地址是express_
评论于： 10:51:41
（219.142.181.&#9733;）
你好，&终于找到能提高自己的文章了
&如果你能发一份完整的，更的感激你！&zichao-&
评论于： 21:38:20
（124.115.222.&#9733;）
你好，可以给我一份完整的文档么？我的邮件地址是feiyyi@
本站网友评论于： 19:01:55 （211.136.26.&#9733;）
写得太棒了，几乎把常见的问题都写了。
能否发我一份
小笨孩评论于： 22:17:24 （220.160.85.&#9733;）
写的非常好,请发给我一份吧,谢谢
本站网友评论于： 19:41:26 （202.137.101.&#9733;）
请给我一份，好么？
本站网友评论于： 00:33:27 （61.49.232.&#9733;）
我也想要一份，多谢多谢！&
本站网友评论于： 11:31:00 （218.241.177.&#9733;）
能否给我一分...&多谢!&
本站网友评论于： 22:40:36 （220.175.42.&#9733;）
我也想要一份，非常感谢！&.cn
本站网友评论于： 22:44:28 （219.136.49.&#9733;）
&I&want&one&copy&too.&Can&you&please&send&this&doc&to&me&at&my&email:&?&
Thank&you&very&much&in&advance...
本站网友评论于： 05:54:59 （207.34.229.&#9733;）
非常感谢，你写得非常有用。能给我一份资料吗？
评论于： 17:03:57 （218.249.165.&#9733;）
谁要是看到我的留言请发一份给我，我等这checkpoint的技术文档太久了。
谢谢！！！
本站网友评论于： 03:19:40 （116.30.107.&#9733;）
你好，能给我一份吗？
谢谢了，我要得比较晚，不知道你有空看到这个留言不。
YLZJYU评论于： 21:08:24 （218.71.139.&#9733;）
你好,能发我一份吗?
&&&&&&&&&&
评论于： 10:36:57
（219.137.194.&#9733;）
能发份给我吗&&谢谢
本站网友评论于： 11:48:51 （218.1.26.&#9733;）
发一份给我吧.谢谢!
评论于： 15:28:05
（221.224.117.&#9733;）
你好，是否可以发一份给我，这有两台1260要上线。
希望你能看到这个留言。
本站网友评论于： 20:24:19 （222.76.35.&#9733;）
非常感谢，给我发送一份吧，谢谢！
本站网友评论于： 14:03:07 （211.139.198.&#9733;）
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。