Настройка Checkpoint Firewall . Часть 1-2. Установка и первоначальная конфигурация

Настройка Checkpoint Firewall . Часть 1-2. Установка и первоначальная конфигурация

Chekpoint – это известная компания, которая специализируется на разработке решений для поддержки безопасности в сети. Свою историю компания начала с 1993 года, и с тех пор занимается созданием инструментов сетевой безопасности на основе SecurityManagment Architecture (SMART). SMART представляет собой архитектуру управления и взаимодействия, которая была разработана компаний Chekpoint.

Использование концепции архитектуры SMART позволило создать OS Gaia, что в реальности было воплощено посредством объединения ОС IPSO и ОС SPLAT. Это программное обеспечение отличается наличием широкого спектра технологий, которые способствуют высокому уровню безопасности при работе с информацией. Можно отметить такие, как: IPS (для пакетной фильтрации), Stateful Inspection (для контроля соединений в режиме реального времени).

В статье будут рассмотрены основные принципы функционирования и настройки межсетевых экранов безопасности от компании Chekpoint.

Подготовительный этап

Изначально нужно определиться с выбором оборудования. Тут возможны два варианта: купить устройство с готовой аппаратной платформой, помещенной в специальный корпус Checkpoint или собрать ее самостоятельно. С перечнем поддерживаемых серверов можно ознакомиться на сайте компании в разделе Support ServicesHCL, а просчитать на какую величину нагрузки будет рассчитана конкретная платформа можно с помощью документа.

Израильский производитель Checkpoint предоставляет не полную информацию обо всех комплектующих, устанавливаемых в устройствах – указан только объем используемой оперативной памяти и число имеющихся в наличии интерфейсов. Данные об используемых CPU можно найти в интернете.

Установка ОС Gaia

После выбора аппаратной платформы можно приступать к непосредственной инсталляции операционной системы Gaia. Она основа на дистрибутиве RedHat 5.2, который включает множество знакомых команд и утилит, характерных для Linux-based ОС.

В качестве примера выбрана версия Gaia R77.10 для виртуального окружения. Ее установка идентична инсталляции предыдущих и последующих версий.

Чтобы получить дистрибутив операционной системы нужно пройти процедуру регистрации на сайте Checkpoint с использованием SMS-привязки к телефону. После успешной процедуры авторизации закачать дистрибутив.

Установка операционной системы отличается своей простотой, достаточно будет подтверждать намерение выполнения установочных процедур и ОС будет автоматически установлена. Единственное на что нужно обратить внимание – это диск, на который будет устанавливаться ОС. Он должен иметь размер не менее 8 ГБ. В противном же случае система выдаст ошибку и установка прекратится.

Если аппаратная платформа владеет диском с объемом от 8 до 15 ГБ, то ОС самостоятельно произведет разбивку диска на нужные разделы. Если же диск будет иметь больше 15 ГБ, можно будет самостоятельно сформировать разделы для system-root (/) и под логи (/var/logs/). При разбивке диска нужно помнить, что раздел «Backup and upgrade» должен быть не меньше, нежели сумма «system-root»+«logs».

Рекомендации по разметке диска под менеджмент сервера и под фаервольные ноды.

Менеджмент сервер

  • Рут должен иметь размер не меньше 6 ГБ, а в том случае, если запланировано применение дополнительных блейдов (например: Application Control, IPS, URL Filtering), размер следует увеличить до 10 ГБ.
  • Под логии выделяется все оставшееся доступное пространство, поскольку менеджмент сервера обеспечивает не только настройку правил, а и хранение различных логов и обновлений.

Фаервол

  • Рут – это важный раздел для фаервола, для него будет достаточно объема в 10 ГБ.
  • Поскольку основные логии хранятся на менеджменте сервера, а на фаерволе эта директория используется в основном для хранения обновлений, то для раздела логов будет достаточно 5 ГБ.

Подготовительный этап к настройке

После завершения установки операционной системы следует определиться, какую функцию должен выполнять сервер – фаервола или менеджмент сервера. Вследствие этого, начальная конфигурация должна включать следующие действия:

  • определение роли серверной системы;
  • выбор параметров менеджмент интерфейса;
  • определение правил доступа;
  • выбор параметров DNS, NTP, Proxy серверов (Proxy через WebUI).

Далее выполняется первичная настройка Checkpoint с использованием командной строки. Чтобы выполнить процедуру конфигурации фаервола посредством CLI нужна специальная утилита config_system. Она представляет собой обычный bash-скрипт, содержимое которого можно редактировать. Находится он в /bin/config_system. С помощью этого скрипта можно редактировать файл базы данных Gaia OS /config/db/initial. Ниже будет рассмотрена его работа с использованием в качестве примера функции для изменения ip-адреса:

DBSET=/bin/dbset

DBGET=/bin/dbget

...........

# configure new ip for interface

# $1 - interface name

# $2 - ip

# $3 - mask

set_ip() {

local cip

# get current ip

cip=$(dbget -c interface:$1:ipaddr)

# if interface configured, delete old ip first

if [[ ! -z $cip ]]; then

log "Configure IPv4 - remove old ip:$cip from $1"

$DBSET interface:$1:ipaddr:$cip

$DBSET interface:$1:ipaddr:$cip:mask

fi

# now configure new ip/mask

log "Configure IPv4 - interface:$1, new ip:$2, mask:$3"

$DBSET interface:$1:state on

$DBSET interface:$1:ipaddr:$2 t

$DBSET interface:$1:ipaddr:$2:mask $3

}

........

$DBSET :save

Чтобы получить настройки из базы нужно воспользоваться утилитой /bin/dbget, а для смены конфигурации применяется команда /bin/dbset. Часть файла, описывающего настройку интерфейса eth0, выглядит следующим образом:

[Expert@Gaia_R77.10_test:0]# cat /config/db/initial | grep eth0

management:interface eth0

interface:eth0 t

interface:eth0:link_speed 1000M/full

interface:eth0:state on

interface:eth0:ipaddr:192.168.1.2 t

interface:eth0:ipaddr:192.168.1.2:mask 24

interface:eth0:duplicity full

interface:eth0:speed 1000M

interface:eth0:auto_negotiation on

Параметр от значения следует отделять пробелом. После этого можно пробовать получить какие-либо значения с помощью DBGET.

[Expert@Gaia_R77.10_test:0]# dbget -c interface:eth0:ipaddr

192.168.1.2

Ключ –с нужен для того, чтобы выводить имя дочернего параметра, который имеет ненулевое значение. Чтобы показать величину этого параметра используется ключ –v.

[Expert@Gaia_R77.10_test:0]# dbget -cv interface:eth0:ipaddr

192.168.1.2 t

Получено значение, которое равно t, то есть true. Это означает, что на интерфейсе значение IP-адреса, равно 192.168.1.2.

Чтобы изменить значение адреса на интерфейсе нужно выполнить следующие процедуры:

  • удалить действующее значение IP-адреса и маски;
  • задать новую величину IP-адреса;
  • выбрать новое значение для маски;
  • сохранить созданную конфигурацию.

[Expert@Gaia_R77.10_test:0]# dbset interface:eth0:ipaddr:192.168.1.2

[Expert@Gaia_R77.10_test:0]# dbset interface:eth0:ipaddr:192.168.1.2:mask

[Expert@Gaia_R77.10_test:0]# dbset interface:eth0:ipaddr:192.168.1.1 t

[Expert@Gaia_R77.10_test:0]# dbset interface:eth0:ipaddr:192.168.1.1:mask 24

[Expert@Gaia_R77.10_test:0]# dbset :save

Установка первоначальной конфигурации

Config_system может воспринимать или файл или строку, включающую требуемые параметры, которые разделяются амперсандом &. Синтаксис строки будет иметь следующий вид:

Gaia_R77.10_test> config_system "hostname=myhost&domainname=somedomain.com&timezone='UTC-3'&ftw_sic_key=aaaa&install_security_gw=true&gateway_daip=false&install_ppak=true&gateway_cluster_member=true&install_security_managment=false"

Рассмотрим конфигурационный файл. Он содержит в себе аналогичные значения, записанные в отдельных строчках.

Шаблон конфигурационного файла, который потом можно редактировать будет иметь следующий вид:

[Expert@Gaia_R77.10_test:0]# config_system -t /home/admin/initial.conf

initial.conf

Пример конфигурации менеджмент сервера будет иметь следующий вид:

install_security_managment="true"

mgmt_admin_name=admin

mgmt_admin_passwd=password

mgmt_gui_clients_radio="network"

mgmt_gui_clients_ip_field=192.168.1.0

mgmt_gui_clients_subnet_field=24

admin_hash='HASH_OF_ADMIN_PASSWORD'

install_mgmt_primary="true"

iface=eth0

ipstat_v4=manual

ipaddr_v4=192.168.1.1

masklen_v4=24

default_gw_v4=192.168.1.254

ipstat_v6=off

hostname=Gaia_R77.10_MGMT

timezone='Etc/GMT+3'

primary=8.8.8.8

Для фаервола вид следующий:

install_security_gw="true"

admin_hash='HASH_OF_ADMIN_PASSWORD'

iface=eth0

ipstat_v4=manual

ipaddr_v4=192.168.1.2

masklen_v4=24

default_gw_v4=192.168.1.254

ipstat_v6=off

hostname=Gaia_R77.10_FW1

timezone='Etc/GMT+3'

ftw_sic_key='onetimepassword'

primary=8.8.8.8

Следует остановиться на параметре ftw_sic_key="". Secure Internal Communication key (SIC) представляет собой одноразовй пароль, который нужен для того, чтобы управление фаерволом можно было реализовать с менеджмент сервера. Он потребуется один раз, когда добавляется фаервол в панель управления менеджмент сервера.

Заключительным шагом является передача полученного файла скрипту и ожидание завершения выполнения конфигурации.

Итоги

После выполнения описанных выше процедур в наличии будет один фаервол и один менеджмент сервер. Их можно дальше настраивать для последующего использования.

В дальнейшем фаерволы можно добавлять для управления их работой с одного менеджмент сервера и для организации их в кластер.


Возврат к списку