一、备份
|
|
Snapshot |
System backup |
migrate |
Save configuration |
| 是否备份gaia系统配置 |
是 |
是 |
否 |
是 |
| 是否备份产品配置 |
是 |
是 |
是 |
否 |
| 是否备份补丁 |
是 |
否 |
否 |
否 |
| 防火墙备份的文件大小 |
5-100GB |
取决于配置 |
取决于配置 |
几KB |
| 管理服务器备份文件大小 |
5-100GB |
5-100GB |
取决于配置 |
几KB |
| 是否支持定时备份 |
否 |
是 |
否 |
否 |
| 能否从不同的版本恢复 |
是 |
否 |
在导入到新版本时执行升级 |
需要手工设置 |
Snapshot
1、登录GW的web管理界面
2、选中【Maintence】->【snapshot management】
3、点击【new】,新建一个快照,要求有足够的空间备份 。
System Backup
Via webUI(支持定时自动备份):
1、登录GW的web管理界面
2、选中【Maintence】->【System Backup】
3、点击【backup】,然后设置备份
Via Smartconsole:
1、登录smartconsole
2、右键点击防火墙,【actions】->【System Backup】
3、选择备份方法及配置目标服务器。
Via cli:
1、add backup local 或者
add backup scp|ftp ip 1.1.1.1 username root password 123456
2、show backup status #监控备份创建
show backups #预览
如果是SMS服务器备份,则需先断开smartconsole客户端。
migrate
升级流程
R77-R80
客户需提供的文件:upgrade_tool导出的文件, save configuration
先把导出的tool文件升级到R80
具体步骤:
1、 要在虚拟机搭建一个与客户现有环境相同的管理服务器
2、 导入upgrade_tool导出的文件和config配置文件(模拟客户环境)
$MDS_FWDIR/bin/upgrade_tools/migrate export/import +文件名
Save configuration +文件名
3、 导入官方指定升级包文件升级(两小时)
4、 校验策略包有没有错误
5、 用upgrade_tools导出策略包
6、 在客户现场安装全新的R80管理服务器
7、 将新的upgrade文件导入到全新的R80服务器上
下发策略之前先验证策略
Cpinfo 收集当前时间点的各项数据
Show installer package #查看补丁
save configuration
1、登录cli命令行
2、save configuration test
3、进入专家模式在当前目录下就存在test文件,可导出。
二、Https检测
如果启用了https,这些https流量将不再信任,需导入防火墙生成的证书才能正常进行网络访问
1、勾选启用https检测
2、创建CA证书,并导出证书复制到客户机,双击该证书将该证书导入客户机
3、在policy里新建一条允许http和https的策略
4、点击https检测
5、选取记录日志,底下选框表示对著名url不检测,进行放通。
三、更新license
有两种授权,一种是管理服务器设备的授权,一种是服务模块的授权(如IPS等)
当授权还未过期,可以登到smartconsole上进行授权,如果已经过期,将无法登录到smartconsole上,可以登录到web界面通过离线文件进行更新设备授权。上传了license文件后,需要在菜单栏里【manage license and pakages】,然后进行attach绑定设备。
当授权完成后,对服务模块还需安装一个合同文件,通过这个合同文件,这些模块才能从数据中心导入数据,如TP库。
四、开启定时保存日志
避免日志过大,定期保存日志。【additional logging】
五、ipsec vpn配置
1、在两台网关设备启用IPsec vpn 模块
2、分别设置各自的出口地址
3、在【network management】设置vpn区域
4、创建具体的加密共同体【meshed community】
5、建立策略,vpn选择刚建立的加密共同体,源目双向选择各自网络区域。
6、手动加一条NAT规则,如果是内部网络互访,将使用各自源IP。
六、配置域控及用户访问控制(SA357)
七、常用命令
cphaprob stat #查看集群高可用状态
fw unloadlocal #卸载策略
fw fetch SMS的IP #主动获取策略
cpstat mg #查看是否有其他管理员登录smartconsole
fw tab -t connections -s #查看连接数
fw tab -t cphwd_db -s #查看连接数
clusterXL_admin down/up #专家模式下关闭/开启设备集群
cpview -t <[01..31][Jan..Dec][4-digit year][hh:mm:ss]> #查看某个时间
$MDS_FWDIR/scripts/web_api-show_package.sh[-k [策略表名]] #导出策略表
set interface eth1 ipv4-address 192.168.1.1 mask-length 24 vlan 10 #设置接口IP
Api 添加对象
> mgmt login user admin
1.创建主机Host对象:
mgmt add host name 'T001' ip-address '10.10.10.1'
2.创建网段Network对象:
mgmt add network name N001 subnet 10.10.10.0 mask-length 24
3.创建网络组Group对象:
mgmt add group name 'G001'
4.将网络对象添加至Group组:(此处需要先找到组对应的uid,通过mgmt show group uid "名字")
============================================
uid: "ad7a4fc9-390e-4df1-801b-4e9277542e9c"
name: "G001"
type: "group"
============================================
mgmt set group uid a95184f1-9d20-4014-b6a3-32e8b6ed3ae0 members.add T001
5.创建完成后,保存到数据库:
ALPHA_SMS_01> mgmt publish
八、执行SAM
SAM集成到SmartView监视器中,用于在SmartView监视器中阻止看到的、看起来可疑的活动。使用SAM可以阻止多次尝试未经授权访问网络或Internet资源的用户。 启用SAM功能的防火墙规则阻止不安全的可疑连接,并且立即生效(不需要安装策略)。
R80.x操作步骤
A. 使用SmartConsole连接连接到管理服务器
B. 在SmartConsole中中定位到LOGS & MONITOR.
C. 使用快捷键Ctrl + Alt +T ,打开一个新的Tab
D. 在屏幕底部定位到 External Apps,点击Tunnel & User Monitoring:
E. 自动打开SmartView Monitor 程序。
F. 定位到 Suspicious Activity Rules...:
G. 将会打开程序Enforced Suspicious Activity Rules,添加一个新规则
H. 弹出Block Suspicious Activity窗口,设置参数即可
注意:单击此按钮后无法编辑SAM规则,必须删除当前规则并配置新规则。
九、策略执行顺序
First------------部分隐式规则(如sic等,无法修改)
explicit---------显示规则(在策略表中可添加修改的规则)
before last------具体的可修改的隐式规则
last-------------策略表中的cleanup
implicit drop rule---------没有日志发生
十、api的使用
> api start #启用API
Api 添加对象
> mgmt login user admin
1.创建主机Host对象:
mgmt add host name 'T001' ip-address '10.10.10.1'
2.创建网段Network对象:
mgmt add network name N001 subnet 10.10.10.0 mask-length 24
3.创建网络组Group对象:
mgmt add group name 'G001'
4.将网络对象添加至Group组:(此处需要先找到组对应的uid,通过mgmt show group uid "名字")
============================================
uid: "ad7a4fc9-390e-4df1-801b-4e9277542e9c"
name: "G001"
type: "group"
============================================
mgmt set group uid a95184f1-9d20-4014-b6a3-32e8b6ed3ae0 members.add T001
5.创建完成后,保存到数据库:
ALPHA_SMS_01> mgmt publish
十一、anti-spoofing
当接口启用anti-spoofing,他能验证包的来源和去向,当外部区域使用内部区域的IP访问时,就会丢弃该包。一个包一旦被路由,会仔细检查本身的接口。
十二、fw monitor和tcpdump
fwaccel off #关闭安全加速
fw monitor -o monitorfile.pcap #抓取当前所有流量
fw monitor -e “accept src=192.168.1.1 or dst=10.1.1.100;” -ci 20 -o monitorfile2.pcap #抓取指定的包
tcpdump -i eth1 icmp -w dumpfile.pcap #抓取指定接口的包
fwaccl on #启用安全加速
十三、配置手工静态NAT
新建一个host-nat,并登录web界面修改arp表,修改访问策略,添加手动NAT。
十四、命令行修改网络接口
1、增加聚合口
add bonding group 10
set bonding group 10 mode 8023AD
set bonding group 10 lacp-rate slow
set bonding group 10 xmit-hash-policy layer2
2、Shutdown不需要用到的接口;
Set interface eth2 state off
Set interface eth3 state off
3、删除需要配置成子接口的接口IP地址:
delete interface eth1-01 ipv4-address
delete interface eth1-02 ipv4-address
4、将指定端口加入至聚合端口bond10:
add bonding group 10 interface eth1-01
add bonding group 10 interface eth1-02
5、配置各网关子接口VLAN ID和IPv4地址:
add interface bond10 vlan 10
set interface bond10.10 ipv4-address 10.86.128.250 mask-length 24
add interface bond10 vlan 11
set interface bond10.11 ipv4-address 10.86.224.240 mask-length 24
6、登录Checkpoint管理服务器,更新fwclient防火墙集群拓扑信息,重新配置高可用的VIP地址;
7、保存配置,下发策略;
8、业务验证测试;
9、完成变更;
十五、coreXL
1、fw ctl multik stat #查看corexl 状态
2、关机,增加内核个数
3、fw ctl affinity -l
1……1
2……2
4……3
6-20……n-2
>20……n-4<30
4、fw ctl affinity -l -a -v