管理設備設定

您可以直接在單個閘道上管理設備設定,也可以使用 SmartProvisioning 設定檔管理多個閘道。有關預配設定檔和建立設定檔的詳細資訊,請參閱 SmartProvisioning Administration Guide 適用於管理伺服器版本的 。

這些設備設定對於Check Point設備是唯一的。它們可以直接在設備上或通過設定檔定義。他們的選項卡是:

設定韌體

本節介紹如何為Check Point設備的設定檔設定韌體安裝設定。在預配設定檔中設定韌體設定時,將為引用此設定檔的所有設備提供設定。

韌體設定允許您更換安全閘道關閉 一個專用的 Check Point 服務器,用於運行 Check Point 軟體來檢查流量並對連線的網路資源執行安全政策。上的韌體。安全閘道版本必須與SmartConsole關閉 Check Point GUI 應用程式用於管理 Check Point 環境 - 設定安全政策、設定設備、監控產品和事件、安裝更新等。中定義的SmartLSM設定檔版本匹配,才能實現正確的政策行為。因此,在韌體升級後,SmartLSM 設定檔將替換為預設的 SmartLSM 安全設定檔。

在某些情況下,可能需要為預設的SmartLSM安全設定檔定義例外。例如,如果不希望所有閘道在安裝後都使用指定的預設SmartLSM設定檔,則可以自定義不同的安全設定檔以替換已知的安全設定檔。

範例場景:

  • 安裝後的預設 SmartLSM 設定檔設定為使用名為 「」NewLSM的 SmartLSM 設定檔。

  • 安裝韌體後,您希望在所有安全閘道上安裝「設定檔」,但當前使用「NewLSMGroupA_LSM設定檔的閘道除外」。

  • 您希望將「設定檔替換為名為」GroupA_LSMGroupA_NewLSM設定檔。

在此方案中,您將新增一個 例外 ,將“”設定檔替換為“GroupA_LSMGroupA_NewLSM”設定檔。

您可以使用以下選項之一安裝韌體:

  • 立即 - 分兩步安裝韌體:

    • 在下次與引用此設定檔的安全閘道同步期間立即下載韌體。

    • 下載完成後安裝韌體。

  • 根據時間範圍 - 您可以定義韌體映像的下載和安裝時間範圍。下載和安裝時間可以限製為一周中指定的時間範圍清單。它們從套用韌體設定後的最近時間範圍開始。您還可以定義下載立即進行,如上所述,並且僅基於指定的時間範圍進行安裝。例如,如果在星期日套用了韌體安裝設定,並且有兩個時間範圍:

    • 一個範圍設定為星期五 00:00 到星期六 00:00

    • 一個範圍設定為星期三 23:00 到星期四 06:00

      韌體在週三 23:00 至週四 06:00 之間安裝。

      如果安全閘道在最近的時間範圍內未成功下載和/或安裝韌體,則會在下一個時間範圍內重試。

要在預配設定檔中設定韌體安裝設定,請執行以下操作:

  1. 打開安全 閘道設定檔 視窗,然後選擇 韌體 選項卡。

  2. 從此應用程式中選擇集中管理韌體

  3. 點擊進階

    將顯示「設定檔設定」 視窗。

  4. 選擇覆寫設定檔設定:

    • 允許

    • 否認

    • 指令的

      有關覆蓋設定檔設定的詳細資訊,請參閱 設定RADIUS

  5. 韌體映像中,點擊選擇 以選擇通過SmartUpdate上載的韌體映像。

  6. 安裝後的預設 SmartLSM 設定檔中,選擇安全閘道的新 SmartLSM 設定檔(安全閘道版本必須與 SmartConsole 中定義的 SmartLSM 設定檔版本匹配,才能實現正確的政策行為)。安全閘道在成功安裝韌體後,僅當新韌體版本與您現在的版本不同時,才會替換其SmartLSM設定檔。

  7. 如有必要,請按下例外,為具有指定SmartLSM設定檔的安全閘道選擇新的SmartLSM設定檔。

    • 新增/編輯 - 按下「新增」或「編輯」以打開「例外」 視窗,以定義/更改 SmartLSM 設定檔替換的 例外。除非 SmartLSM 設定檔來自高於 R71 的版本,否則不會顯示它們。

      • 目前的SmartLSM 設定檔 - 從清單中選擇一個 SmartLSM 設定檔。僅當版本不是 R71 且不是所選韌體版本時,才會顯示 SmartLSM 設定檔。確保在SmartConsole中安裝了SmartLSM設定檔的政策。

      • 安裝 後的智慧LSM設定檔 - 選擇在韌體映像安裝後替換智慧LSM設定檔的SmartLSM設定檔。僅當 SmartLSM 設定檔的版本與所選韌體版本相同時,才會顯示該設定檔。確保在SmartConsole中安裝了SmartLSM設定檔的政策。

    • 刪除 - 按下以刪除 SmartLSM 設定檔 例外 設定。

  8. 選擇選擇選擇一個選項來安裝韌體:

    • 立即 - 立即下載韌體,但在下次與引用此設定檔的安全閘道同步時安裝韌體。

    • 根據這些時間範圍 - 選擇使用安全閘道時間或本地時間。

      • 新增/編輯 - 按下新增編輯 以打開時間範圍視窗,以定義/更改下載和安裝韌體映像的工作日和時間。選擇日期和時間,然後按下確定

      • 刪除 - 從清單中選擇一個範圍,然後按下刪除以刪除時間範圍。

      • 立即 下載映像 - 點擊此選項可立即下載韌體映像,但在設定的時間範圍內安裝映像。

  9. 點擊顯示設定檔設定- 檢視此閘道引用的預配設定檔的設定。

  10. 點擊確定.

設定RADIUS

您可以設定 RADIUS 伺服器(遠端身份驗證撥入使用者服務),該伺服器為 Check Point 設備閘道提供身份驗證、授權和記帳。在預配設定檔中設定 RADIUS 時,可以為引用此設定檔的所有閘道設定它。RADIUS 伺服器必須已定義為SmartConsole物件。

您可以將設備設定為聯絡多個 RADIUS 伺服器。如果無法訪關閉 UserCheck 規則動作可封鎖流量和檔案,並顯示 UserCheck 訊息。使用者可以同意允許該活動。清單中的第一個伺服器,則會聯繫清單中的下一個RADIUS伺服器進行身份驗證。

要在預配設定檔中設定 RADIUS 設定,請執行以下操作:

  1. 打開安全 閘道設定檔 視窗,然後選擇 RADIUS 選項卡。

    1. 從此應用程式中選擇集中管理RADIUS設定

    2. 點擊進階

      將打開「設定檔設定」 視窗。

    3. 選擇覆寫設定檔設定:

      • 允許

      • 否認

      • 指令的

  2. 選擇 在設備上 啟動RADIUS以在Check Point設備上啟用RADIUS。

  3. 按下新增以新增在 SmartConsole 中定義的 RADIUS 伺服器,從清單中選擇一個 RADIUS 伺服器,然後按下確定

  4. 要刪除伺服器,請在清單中選擇一個伺服器,然後按下刪除

  5. 使用「向上」和「向下」設定聯繫RADIUS伺服器的優先順序。

  6. 點擊「 僅允許特定RADIUS群組中的管理者(逗號分隔) 」以允許來自RADIUS伺服器上定義的指定群組關閉 具有共用屬性的物件集合,例如使用者帳號。進行身份驗證。只有屬於這些群組的管理者才能獲得存取權限。

  7. 點擊確定.

設定熱點

要在預配設定檔中設定熱點設定,請執行以下操作:

  1. 打開安全 閘道設定檔 視窗,然後選擇 熱點 選項卡。

  2. 從此應用程式中選擇集中管理熱點設定

  3. 點擊進階。出現「 設定檔設定」 視窗。

  4. 選擇以下覆蓋設定檔設定之一:

    • 允許

    • 否認

    • 指令的

  5. 選擇 設備上的 熱點已啟動以啟用熱點。

  6. 設定欄位:

    • 門戶標題 - 保留預設值或輸入其他標題。

    • 門戶訊息 - 保留預設值或輸入其他訊息。

    • 使用條款 - 選取此複選框可在熱點門戶頁面上新增“我同意以下條款和條件”複選框。在文字方塊中輸入條款和條件文本。當使用者按下條款和條件連結時,將顯示輸入的文字。

    • 需要身份驗證 - 若要要求使用者身份驗證,請選取該複選框。

    • 允許特定群組中 的使用者 - 選擇此選項可允許存取特定使用者群組關閉 具有相關職責的已命名使用者群組。,而不是所有使用者。在文字框中輸入群組的名稱。

  7. 點擊套用.

設定設定文本

要在預配設定檔中設定設定文稿,請執行以下操作:

  1. 打開安全 閘道設定檔 視窗,然後選擇 設定文本 選項卡。

  2. 從此應用程式中選擇集中管理設定腳本

  3. 點擊進階

    將打開「 設定檔設定 」 視窗。

  4. 選擇以下覆蓋設定檔設定之一:

    • 允許

    • 否認

    • 指令的

  5. 在「設定腳本」中 ,輸入要在小型辦公設備閘道上運行的腳本, 。

  6. 點擊套用.

設定預配設定檔

對於使用預配設定檔管理的每群組設定,您可以決定哪些設定具有首選項: local (未預配)或(來自 SmartProvisioning 單個管理或 central 預配設定檔)。

要設定預配設定檔的設定,請執行以下操作:

  1. 在「設定檔清單」中,右鍵按下設定檔,然後選擇「編輯預配設定檔」。

  2. 在「設定檔」視窗中,點擊任何類別選項卡(常規除外)。

  3. 為參考設定檔的閘道選擇管理設定:

    • 在設備上本地管理設定:引用此設定檔的每個閘道都有自己的設定,這些設定在本地設定(而不是在SmartProvisioning GUI 中)。這些設定不能被對預配設定檔或SmartProvisioning閘道物件的更改覆蓋。如果選擇此選項,將顯示「 閘道 」視窗:設定定義為在設備上本地管理。

    • 從此應用程式集中管理設定:引用此設定檔的每個閘道都從預配設定檔或SmartProvisioning閘道物件獲取此設定的設定。

  4. 如果選擇集中管理設定,請點擊「進階」。

    將打開「 設定檔設定 」 視窗。

  5. 在設備等級為「覆蓋設定檔設定」選擇一個選項是

    • 允許 - 您可以使用設備本地設定或在 SmartProvisioning 設備視窗中更改這些設定來覆蓋設定檔設定。您也可以保留設定檔設定。

    • 已拒絕 - 每個閘道都從設定檔中獲取設定,沒有用於覆蓋設定檔設定的選項。

    • 必需 - 每個閘道在沒有預配設定檔的情況下進行管理。

  6. 點擊確定.

設定文件託管

設定檔覆蓋

閘道視窗顯示和選項

本地

不相關

設定定義為在設備上本地管理。

要更改此設定,請參閱隨附的預配設定檔 profile_name

(控制項無法用)

集中

覆蓋被拒絕

覆蓋設定檔設定被拒絕

要更改此設定,請參閱隨附的預配設定檔 profile_name

(控制項為唯讀,由設定檔設定)

集中

允許覆蓋

選擇覆寫方法:

  • 在設備上 本地管理設定 - 本地管理。使用本地設定覆蓋預配設定。

  • 使用設定檔設定 - 在此閘道上強制實施設定檔設定。

  • 使用以下設定- 使用此處給出的值單獨管理此閘道上的這些設定。

集中

強制覆蓋

覆蓋設定檔設定是必需的:在此處設定設定。

要更改此設定,請參閱預配設定檔 profile_name

(每個閘道單獨設定)

  • 在設備上 本地管理設定 - 在本地管理此閘道上的這些設定。

  • 使用以下設定- 使用此處給出的值單獨管理此閘道上的這些設定。

例如,如果將「主機」的設定設定為「中心」和「允許」,則在以下情況下,閘道上的「主機」選項卡允許您管理閘道的主機清單:

  • 在設備上本地定義主機清單(即使它已分配預配設定檔)

  • 使用預配設定檔的主機清單置備閘道

  • 定義覆寫此閘道上的預配設定檔的新主機清單(在「閘道」視窗中)

警告 - 如果選擇「 使用以下設定」 並且不輸入指定主題的值,則會刪除設備上的當前設定