此篇文章目的为CheckPoint的下一代防火墙功能技术回顾,自我感觉CheckPoint的技术还是挺不错的,只不过它的操作和和部署挺麻烦的。在部署的过程如果一个环节出错了,都会给自己造成不小的困扰。
CheckPoint是一款软件化的防火墙,很像是在Linux上装一个软件一样。不过这也是多数防火墙的趋势,在一个自己集成的系统上进行部署。简单说几点它与其它厂商的防火墙的不同:
-
CheckPoint的在安装的时候并不是把所有的功能都开启,就拿和路由交换类的思科Nexus交换机来打个比方吧:如果你需要开启ospf功能,你需要使用feature命令进行启用。CheckPoint在安装的时候,就是根据自己的需要对功能进行勾选,选择性安装。(当然有的功能需要收费)
- CheckPoint在部署策略的时候和别的厂商思想不太一样:如Juniper的SRX,PaloAlto等等是基于zone的形式进行放行,思科ASA有安全域,说白了是基于Security level的等级来放行的。而CheckPoint是Global Policy,在上图可以观察到。
- 每个GW的接口都要建立详细的Network Object与之对应关联,且接口下默认开启防地址欺骗功能。
- GW模式默认是无法Ping通,但是不会影响通信。后续SM会有策略放过,当然也可以卸载默认策略,或临时开启皆可。
- CheckPoint的Policy有分层子选项卡功能。
-
VPN实施部署待大家自己发现,它的部署方式也有所区别
下面演示一下环境安装部署(设备OS版本R80.10)过程: