管理设备设置

你可以直接在单个网关上管理设备设置,或者你可以使用SmartProvisioning Profile来管理多个网关。关于配置文件和创建它们的更多信息,请参见您的管理服务器关闭 一个Check Point安全管理服务器或一个多域安全管理服务器。版本的SmartProvisioning管理指南

这些设备设置对Check Point设备来说是独一无二的。它们可以直接在设备上或通过配置文件来定义。他们的标签是:

配置固件

本节说明如何为Check Point设备的配置文件配置固件安装设置。当您在配置文件中配置固件设置时,您为所有引用此配置文件的设备提供配置。

固件配置可以让你更换安全网关关闭 一台专门的Check Point服务器,运行Check Point软件,检查流量并为连接的网络资源执行安全策略。上的固件。安全网关的版本必须与SmartConsole关闭 Check Point GUI应用程序用于管理Check Point环境 - 配置安全策略、配置设备、监控产品和事件、安装更新等。中定义的SmartLSM配置文件的版本相匹配,以实现正确的策略行为。因此,在固件升级后,SmartLSM配置文件被替换为默认的SmartLSM安全配置文件。

在某些情况下,可能需要为默认的SmartLSM安全配置文件定义例外情况。例如,如果你不希望所有网关在安装后使用指定的默认SmartLSM配置文件,你可以定制不同的安全配置文件来替换已知的安全配置文件。

示例场景:

  • 安装后的默认SmartLSM配置文件被配置为使用一个名为"NewLSM"的SmartLSM配置文件。

  • 在固件安装后,你要在所有安全网关上安装 "NewLSM" 配置文件,除了目前使用 "GroupA_LSM" 配置文件的网关。

  • 你想用一个名为 "GroupA_NewLSM"的配置文件替换 "GroupA_LSM"的配置文件。

在这种情况下,你添加了一个例外,用 "GroupA_LSM" 配置文件替换 "GroupA_NewLSM" 配置文件。

你可以用这些选项之一来安装固件:

  • 立即- 在两个步骤中安装固件:

    • 在与引用此配置文件的安全网关进行下一次同步时立即下载固件。

    • 下载完成后安装固件。

  • 根据时间范围- 你可以为固件镜像定义下载和安装时间范围。下载和安装时间可以限制在一周内指定的时间范围列表中。它们从应用固件设置后最近的时间范围开始。你也可以定义下载立即进行,如上所述,只有安装是基于指定的时间范围。例如,如果固件安装设置是在周日应用的,有两个时间范围:

    • 一个范围设置为周五00:00至周六00:00

    • 一个范围设置为星期三23:00至星期四6:00

      固件的安装时间为周三23:00至周四6:00:

      如果安全网关在最近的时间范围内没有成功下载和/或安装固件,它会在下一个时间范围内再次尝试。

要在配置文件中配置固件安装设置:

  1. 打开安全网关配置文件窗口,并选择固件选项卡。

  2. 选择从这个应用程序集中管理固件

  3. 点击高级

    显示 "配置文件设置 "窗口。

  4. 选择一个覆盖的配置文件设置:

    • 允许的

    • 被拒绝

    • 强制性

      关于覆盖配置文件设置的更多信息,请参见下面的配置RADIUS

  5. 固件镜像中,点击选择以选择通过SmartUpdate上传的固件镜像。

  6. 安装后的默认SmartLSM配置文件中,选择安全网关的新SmartLSM配置文件(安全网关的版本必须与SmartConsole中定义的SmartLSM配置文件的版本相匹配,以实现正确的策略行为)。安全网关在成功安装固件后,只有在新的固件版本与你现在的版本不同时,才会替换其SmartLSM配置文件。

  7. 如果有必要,单击"例外",为具有指定SmartLSM配置文件的安全网关选择一个新的SmartLSM配置文件。

    • 添加/编辑- 点击"添加 ""编辑",打开 "例外"窗口,定义/改变SmartLSM配置文件替换的例外。不显示SmartLSM配置文件,除非它们来自高于R71的版本。

      • 当前SmartLSM配置文件- 从列表中选择一个SmartLSM配置文件。只有当版本不是R71且不是所选固件版本时,才会显示SmartLSM配置文件。确保你在SmartConsole中为SmartLSM配置文件安装了一个策略。

      • 安装后的SmartLSM配置文件- 选择一个SmartLSM配置文件,在固件镜像安装后取代SmartLSM配置文件。只有在版本与所选固件版本相同时,才会显示SmartLSM配置文件。确保你在SmartConsole中为SmartLSM配置文件安装了一个策略。

    • 移除- 单击以移除SmartLSM配置文件的例外设置。

  8. 选择一个选项来安装固件:

    • 立即- 立即下载固件,但在与引用此配置文件的安全网关进行的下一次同步中安装它。

    • 根据这些时间范围- 选择使用安全网关时间或本地时间。

      • 添加/编辑- 点击添加编辑,打开时间范围窗口,定义/改变下载和安装固件镜像的工作日和时间。选择日期和时间,然后点击确定

      • 删除- 从列表中选择一个范围,然后点击删除来删除一个时间范围。

      • 立即下载镜像- 点击此选项,立即下载固件镜像,但在设定的时间范围内安装镜像。

  9. 点击显示配置文件设置- 查看该网关引用的供应配置文件的设置。

  10. 单击 "确定.

配置RADIUS

你可以配置RADIUS服务器(远程认证拨入用户服务),该服务器为Check Point设备网关提供认证、授权和记录。当你在配置文件中配置RADIUS时,你可以为所有引用这个配置文件的网关配置它。RADIUS服务器必须已经被定义为一个SmartConsole对象。

你可以配置你的设备来联系一个以上的RADIUS服务器。如果列表中的第一个服务器无法到达,就会联系列表中的下一个RADIUS服务器进行认证。

要在配置文件中配置RADIUS设置:

  1. 打开安全网关配置文件窗口,并选择RADIUS选项卡。

    1. 选择从这个应用程序集中管理RADIUS设置

    2. 点击高级

      打开 "配置文件设置 "窗口。

    3. 选择一个覆盖的配置文件设置:

      • 允许的

      • 被拒绝

      • 强制性

  2. 选择设备上激活了RADIUS,以在Check Point设备上启用RADIUS。

  3. 点击添加,添加在SmartConsole中定义的RADIUS服务器,从列表中选择一个RADIUS服务器并点击确定

  4. 要删除一个服务器,在列表中选择一个服务器,然后点击删除

  5. 使用向上向下设置联系RADIUS服务器的优先级。

  6. 点击只允许来自特定RADIUS组的管理员(逗号分隔),允许来自RADIUS服务器上定义的指定组的认证。只有属于这些组的管理员才能获得访问权。

  7. 单击 "确定.

配置热点

要在配置文件中配置热点设置:

  1. 打开安全网关配置文件窗口,并选择热点选项卡。

  2. 选择从这个应用程序集中管理热点设置

  3. 点击高级。出现 "配置文件设置"窗口。

  4. 选择其中一个覆盖配置文件的设置:

    • 允许的

    • 被拒绝

    • 强制性

  5. 选择设备上的热点已激活,以激活热点。

  6. 配置字段:

    • 门户网站标题- 保持默认或输入一个不同的标题。

    • 门户网站信息- 保持默认或输入一个不同的信息。

    • 使用条款- 选择此复选框可在热点门户页面上添加 "我同意以下条款和条件 "复选框。在文本框中输入条款和条件文本。当用户点击 "条款和条件 "链接时,会显示输入的文本。

    • 要求认证- 要要求用户认证,选择复选框。

    • 允许来自特定组的用户- 选择允许特定用户组关闭 具有相关职责的命名的用户组。而不是所有用户访问。在文本框中输入该组的名称。

  7. 点击应用.

配置一个配置脚本

要在配置文件中配置一个配置脚本:

  1. 打开安全网关配置文件窗口,并选择配置脚本选项卡。

  2. 选择从这个应用程序中集中管理配置脚本

  3. 点击高级

    打开 "配置文件设置"窗口。

  4. 选择其中一个覆盖配置文件的设置:

    • 允许的

    • 被拒绝

    • 强制性

  5. 配置脚本中,输入要在小型办公设备网关上运行的脚本。

  6. 点击应用.

配置文件

对于用配置方案管理的每套配置,您可以决定哪些设置具有优先权:本地 (不配置)或中央 (从SmartProvisioning个人管理或从配置方案):

要配置方案的设置:

  1. 配置文件列表中,右击一个配置文件,选择编辑供应配置文件

  2. 简介窗口中,点击任何类别标签(除常规外)。

  3. 为引用该配置文件的网关选择管理设置:

    • 在设备上本地管理设置:引用此配置文件的每个网关都有自己的设置,在本地配置(不是在SmartProvisioning GUI中)。这些设置不能通过对对供应配置文件或SmartProvisioning网关对象的更改进行覆盖。如果你选择这个选项,会出现网关窗口:设置被定义为在设备上进行本地管理。

    • 从这个应用程序集中管理设置:引用此配置文件的每个网关从供应配置文件或从SmartProvisioning网关对象获得其对该设置的配置。

  4. 如果你选择集中管理设置,请点击高级

    打开 "配置文件设置"窗口。

  5. 选择 "在设备级别上覆盖配置文件设置"的选项

    • 允许- 您可以用设备本地设置或在SmartProvisioning设备窗口中对这些设置的更改来覆盖配置文件设置。你也可以保持档案设置的原样。

    • 拒绝- 每个网关从配置文件中获取设置,没有选项可以覆盖配置文件的设置。

    • 强制性- 每个网关的管理都没有配置文件。

  6. 单击 "确定.

管理的简介

简介覆盖

网关窗口显示和选项

当地

不相关

设置被定义为在设备上进行本地管理

要改变这一点,请参考所附的供应配置文件。 profile_name

(控制是不可用的)

中央

拒绝覆盖

拒绝覆盖配置文件设置

要改变这一点,请参考所附的供应配置文件。 profile_name

(控制是只读的,由配置文件配置)

中央

允许超限

选择覆盖的方法:

  • 在设备上本地管理设置- 本地管理。用本地设置覆盖供应配置。

  • 使用配置文件设置- 在该网关上强制执行配置文件设置。

  • 使用以下设置- 用这里给出的值单独管理该网关上的这些设置。

中央

强制性覆盖

覆盖配置文件设置是强制性的:在这里配置设置

要改变这一点,请参考供应配置文件 profile_name

(每个网关都是单独配置的)

  • 在设备上本地管理设置- 在本地修改该网关的这些设置。

  • 使用以下设置- 用这里给出的值单独管理该网关上的这些设置。

例如,如果你将主机配置设置为中央允许,网关上的主机标签使你能够管理网关的主机列表:

  • 在设备上本地定义主机列表(即使它有一个分配的供应配置文件)。

  • 用配置文件的主机列表配置网关

  • 定义一个新的主机列表(在网关窗口),覆盖该网关上的供应配置文件

警告- 如果你选择使用以下设置,并且没有为指定的主题输入数值,设备上的当前设置将被删除。