一、備份
|
|
Snapshot |
System backup |
migrate |
Save configuration |
| 是否備份gaia系統配置 |
是 |
是 |
否 |
是 |
| 是否備份產品配置 |
是 |
是 |
是 |
否 |
| 是否備份補丁 |
是 |
否 |
否 |
否 |
| 防火牆備份的文件大小 |
5-100GB |
取決於配置 |
取決於配置 |
幾KB |
| 管理服務器備份文件大小 |
5-100GB |
5-100GB |
取決於配置 |
幾KB |
| 是否支持定時備份 |
否 |
是 |
否 |
否 |
| 能否從不同的版本恢復 |
是 |
否 |
在導入到新版本時執行升級 |
需要手工設置 |
Snapshot
1、登錄GW的web管理界面
2、選中【Maintence】->【snapshot management】
3、點擊【new】,新建一個快照,要求有足夠的空間備份 。
System Backup
Via webUI(支持定時自動備份):
1、登錄GW的web管理界面
2、選中【Maintence】->【System Backup】
3、點擊【backup】,然后設置備份
Via Smartconsole:
1、登錄smartconsole
2、右鍵點擊防火牆,【actions】->【System Backup】
3、選擇備份方法及配置目標服務器。
Via cli:
1、add backup local 或者
add backup scp|ftp ip 1.1.1.1 username root password 123456
2、show backup status #監控備份創建
show backups #預覽
如果是SMS服務器備份,則需先斷開smartconsole客戶端。
migrate
升級流程
R77-R80
客戶需提供的文件:upgrade_tool導出的文件, save configuration
先把導出的tool文件升級到R80
具體步驟:
1、 要在虛擬機搭建一個與客戶現有環境相同的管理服務器
2、 導入upgrade_tool導出的文件和config配置文件(模擬客戶環境)
$MDS_FWDIR/bin/upgrade_tools/migrate export/import +文件名
Save configuration +文件名
3、 導入官方指定升級包文件升級(兩小時)
4、 校驗策略包有沒有錯誤
5、 用upgrade_tools導出策略包
6、 在客戶現場安裝全新的R80管理服務器
7、 將新的upgrade文件導入到全新的R80服務器上
下發策略之前先驗證策略
Cpinfo 收集當前時間點的各項數據
Show installer package #查看補丁
save configuration
1、登錄cli命令行
2、save configuration test
3、進入專家模式在當前目錄下就存在test文件,可導出。
二、Https檢測
如果啟用了https,這些https流量將不再信任,需導入防火牆生成的證書才能正常進行網絡訪問
1、勾選啟用https檢測
2、創建CA證書,並導出證書復制到客戶機,雙擊該證書將該證書導入客戶機
3、在policy里新建一條允許http和https的策略
4、點擊https檢測
5、選取記錄日志,底下選框表示對著名url不檢測,進行放通。
三、更新license
有兩種授權,一種是管理服務器設備的授權,一種是服務模塊的授權(如IPS等)
當授權還未過期,可以登到smartconsole上進行授權,如果已經過期,將無法登錄到smartconsole上,可以登錄到web界面通過離線文件進行更新設備授權。上傳了license文件后,需要在菜單欄里【manage license and pakages】,然后進行attach綁定設備。
當授權完成后,對服務模塊還需安裝一個合同文件,通過這個合同文件,這些模塊才能從數據中心導入數據,如TP庫。
四、開啟定時保存日志
避免日志過大,定期保存日志。【additional logging】
五、ipsec vpn配置
1、在兩台網關設備啟用IPsec vpn 模塊
2、分別設置各自的出口地址
3、在【network management】設置vpn區域
4、創建具體的加密共同體【meshed community】
5、建立策略,vpn選擇剛建立的加密共同體,源目雙向選擇各自網絡區域。
6、手動加一條NAT規則,如果是內部網絡互訪,將使用各自源IP。
六、配置域控及用戶訪問控制(SA357)
七、常用命令
cphaprob stat #查看集群高可用狀態
fw unloadlocal #卸載策略
fw fetch SMS的IP #主動獲取策略
cpstat mg #查看是否有其他管理員登錄smartconsole
fw tab -t connections -s #查看連接數
fw tab -t cphwd_db -s #查看連接數
clusterXL_admin down/up #專家模式下關閉/開啟設備集群
cpview -t <[01..31][Jan..Dec][4-digit year][hh:mm:ss]> #查看某個時間
$MDS_FWDIR/scripts/web_api-show_package.sh[-k [策略表名]] #導出策略表
set interface eth1 ipv4-address 192.168.1.1 mask-length 24 vlan 10 #設置接口IP
Api 添加對象
> mgmt login user admin
1.創建主機Host對象:
mgmt add host name 'T001' ip-address '10.10.10.1'
2.創建網段Network對象:
mgmt add network name N001 subnet 10.10.10.0 mask-length 24
3.創建網絡組Group對象:
mgmt add group name 'G001'
4.將網絡對象添加至Group組:(此處需要先找到組對應的uid,通過mgmt show group uid "名字")
============================================
uid: "ad7a4fc9-390e-4df1-801b-4e9277542e9c"
name: "G001"
type: "group"
============================================
mgmt set group uid a95184f1-9d20-4014-b6a3-32e8b6ed3ae0 members.add T001
5.創建完成后,保存到數據庫:
ALPHA_SMS_01> mgmt publish
八、執行SAM
SAM集成到SmartView監視器中,用於在SmartView監視器中阻止看到的、看起來可疑的活動。使用SAM可以阻止多次嘗試未經授權訪問網絡或Internet資源的用戶。 啟用SAM功能的防火牆規則阻止不安全的可疑連接,並且立即生效(不需要安裝策略)。
R80.x操作步驟
A. 使用SmartConsole連接連接到管理服務器
B. 在SmartConsole中中定位到LOGS & MONITOR.
C. 使用快捷鍵Ctrl + Alt +T ,打開一個新的Tab
D. 在屏幕底部定位到 External Apps,點擊Tunnel & User Monitoring:
E. 自動打開SmartView Monitor 程序。
F. 定位到 Suspicious Activity Rules...:
G. 將會打開程序Enforced Suspicious Activity Rules,添加一個新規則
H. 彈出Block Suspicious Activity窗口,設置參數即可
注意:單擊此按鈕后無法編輯SAM規則,必須刪除當前規則並配置新規則。
九、策略執行順序
First------------部分隱式規則(如sic等,無法修改)
explicit---------顯示規則(在策略表中可添加修改的規則)
before last------具體的可修改的隱式規則
last-------------策略表中的cleanup
implicit drop rule---------沒有日志發生
十、api的使用
> api start #啟用API
Api 添加對象
> mgmt login user admin
1.創建主機Host對象:
mgmt add host name 'T001' ip-address '10.10.10.1'
2.創建網段Network對象:
mgmt add network name N001 subnet 10.10.10.0 mask-length 24
3.創建網絡組Group對象:
mgmt add group name 'G001'
4.將網絡對象添加至Group組:(此處需要先找到組對應的uid,通過mgmt show group uid "名字")
============================================
uid: "ad7a4fc9-390e-4df1-801b-4e9277542e9c"
name: "G001"
type: "group"
============================================
mgmt set group uid a95184f1-9d20-4014-b6a3-32e8b6ed3ae0 members.add T001
5.創建完成后,保存到數據庫:
ALPHA_SMS_01> mgmt publish
十一、anti-spoofing
當接口啟用anti-spoofing,他能驗證包的來源和去向,當外部區域使用內部區域的IP訪問時,就會丟棄該包。一個包一旦被路由,會仔細檢查本身的接口。
十二、fw monitor和tcpdump
fwaccel off #關閉安全加速
fw monitor -o monitorfile.pcap #抓取當前所有流量
fw monitor -e “accept src=192.168.1.1 or dst=10.1.1.100;” -ci 20 -o monitorfile2.pcap #抓取指定的包
tcpdump -i eth1 icmp -w dumpfile.pcap #抓取指定接口的包
fwaccl on #啟用安全加速
十三、配置手工靜態NAT
新建一個host-nat,並登錄web界面修改arp表,修改訪問策略,添加手動NAT。
十四、命令行修改網絡接口
1、增加聚合口
add bonding group 10
set bonding group 10 mode 8023AD
set bonding group 10 lacp-rate slow
set bonding group 10 xmit-hash-policy layer2
2、Shutdown不需要用到的接口;
Set interface eth2 state off
Set interface eth3 state off
3、刪除需要配置成子接口的接口IP地址:
delete interface eth1-01 ipv4-address
delete interface eth1-02 ipv4-address
4、將指定端口加入至聚合端口bond10:
add bonding group 10 interface eth1-01
add bonding group 10 interface eth1-02
5、配置各網關子接口VLAN ID和IPv4地址:
add interface bond10 vlan 10
set interface bond10.10 ipv4-address 10.86.128.250 mask-length 24
add interface bond10 vlan 11
set interface bond10.11 ipv4-address 10.86.224.240 mask-length 24
6、登錄Checkpoint管理服務器,更新fwclient防火牆集群拓撲信息,重新配置高可用的VIP地址;
7、保存配置,下發策略;
8、業務驗證測試;
9、完成變更;
十五、coreXL
1、fw ctl multik stat #查看corexl 狀態
2、關機,增加內核個數
3、fw ctl affinity -l
1……1
2……2
4……3
6-20……n-2
>20……n-4<30
4、fw ctl affinity -l -a -v