配置网关和集群对象

本节包含在SmartConsole关闭 Check Point GUI应用程序用于管理Check Point环境 - 配置安全策略、配置设备、监控产品和事件、安装更新等。中定义一个网关或一个网关集群关闭 两个Quantum Spark设备相互连接,实现高可用性。的流程。

做符合你要求的流程,然后安装策略。

定义一个网关对象

定义一个网关对象的选项:

要定义一个单一的网关对象:

  1. 用SmartConsole连接到安全管理服务器。

  2. 从 "对象"菜单中,单击 "更多对象类型"> 网络对象 > 网关和服务器 > 新网关

    Check Point安全网关创建窗口打开。

  3. 单击 "向导模式"。

  4. 在 "一般属性"页上:

    1. 网关名称域名,为安全网关关闭 一台专门的Check Point服务器,运行Check Point软件,检查流量并为连接的网络资源执行安全策略。对象输入一个名称。

    2. 网关平台域名,为Quantum Spark设备选择正确的系列设备。

    3. 版本栏自动显示R80.20

    4. 平台类型域名,为Quantum Spark设备选择正确的设备类型。

    5. 以下列方式之一配置Quantum Spark设备的IP地址:

      • 选择静态IP地址并输入IP地址。

      • 选择动态IP地址,从DHCP服务器获得网关的IP地址。

    6. 点击“下一步”.

  5. 可信的通信页面,配置安全管理服务器和Quantum Spark设备如何相互验证,然后点击下一步

    • 如果在上一个 "常规属性"页面,你选择了静态IP地址

      1. 认证部分,选择通过使用一次性密码安全地启动可信的通信,或在没有认证的情况下启动可信的通信(不太安全)。

      2. 如果你选择了通过使用一次性密码安全地启动可信的通信,请输入一次性密码并确认。

        这个密码只用于建立最初的信任。建立之后,信任是基于安全证书的。

        重要提示- 此密码必须与您在首次配置向导中为设备定义的一次性密码相同。

      3. 在可信通信部分,选择当网关第一次连接到安全管理服务器时自动启动可信通信现在启动可信通信

      4. 单击 "连接"。

        出现一个状态窗口。

    • 如果在上一个 "常规属性"页面,你选择了动态IP地址

      1. 网关标识符部分,选择一个标识符:网关名称MAC地址,或首先连接

      2. 认证部分,选择通过使用一次性密码安全地启动可信的通信,或在没有认证的情况下启动可信的通信(不太安全)。

      3. 如果你选择了通过使用一次性密码安全地启动可信的通信,请输入一次性密码并确认。

        这个密码只用于建立最初的信任。建立之后,信任是基于安全证书的。

        重要提示- 此密码必须与您在首次配置向导中为设备定义的一次性密码相同。

  6. 刀片激活页面,选择立即激活并配置软件刀片激活并稍后配置软件刀片

    如果你选择了立即激活和配置软件刀片

    1. 选择你要激活的软件刀片旁边的复选框。

    2. 点击“下一步”.

  7. 刀片配置页面,配置所需的选项并点击下一步

    注意 - 除非您在前一刀片激活页面选择“立即激活和配置软件刀片”,否则不会出现此页面。

    • NAT- 默认情况下,隐藏网关外部IP后面的内部网络复选框被选中。

    • IPSec VPN- 在参与站点到站点的社区字段中,选择该网关参与的VPN社区(你必须在开始向导之前创建这个VPN社区)。如果是一个星状结构,这个网关就成为VPN附属网关。

    • QoS- 选择适用的入站和出站带宽速率。

  8. VPN域页面,配置VPN加密域设置,然后点击下一步

    注意 - 除非您在前一刀片激活页面选择“IPSec VPN软件刀片”,否则不会出现此页面。

    可用的选项:

    • 在该网关的外部IP后面隐藏VPN域

      只有当你想把所有内部网络隐藏在这个网关的外部IP后面时,才选择这个选项。从该网关后面的网络到参与VPN社区的其他网站的所有出站流量都是加密的。

      有了这个选项,从其他网站发起的、指向该网关后面的主机的连接就不会被加密。如果你需要访问本网关后面的主机,请选择其他选项(定义VPN拓扑结构)或确保所有来自其他站点的流量都指向本网关的外部IP地址,并定义相应的NAT端口转发规则关闭 规则库中的一组流量参数和其他条件,导致对一个通信会话采取指定的行动。,如:将指向本网关外部IP地址的传入HTTP连接的目的地转换为本网关后面的Web服务器的IP地址:

    • 创建一个新的VPN域

      1. 在 "名称"字段中,为该关闭 一个对象的集合,如用户账户,具有共享属性。输入一个名称。

      2. 可用的对象列表中,选择适用的对象并点击添加。这些对象被添加到VPN域成员列表中。

        注意- 要选择多个独立的对象,在点击它们的同时按住Ctrl键。要选择多个相邻的对象,在点击其中第一个和最后一个对象时,按住Shift键。

    • 选择一个现有的VPN域

      你必须在启动向导之前创建这个VPN域。

  9. 安装向导完成页面:

    你可以看到你设置的配置参数的摘要。

    如果你想配置安全网关的更多选项,选择编辑网关属性进行进一步配置

    点击“完成”.

  10. 新定义对象的 "一般属性"窗口打开。

    配置适用的设置,然后点击确定

  11. 在网关对象上安装安全策略。

在Quantum Spark网关上建立SIC

首次将网关连接到安全管理服务器时,必须在SmartConsole中创建一个新的网关对象。为此,请打开SmartConsole > “创建新网关” > 选择“SMB”。

建立 SIC:

  1. 在SmartConsole中,转到“网关& 服务器”。

    1. 选择Quantum Spark网关,然后单击“编辑” > “受信任的通信”。

    2. 在“身份验证”部分,确保选择“通过使用一次性密码安全启动受信任的通信"。输入一次性密码,然后单击“确定”。

  2. 连接到网关WebUI。

    1. 在浏览器中输入URL网址https://<IP of the Quantum Spark gateway>

    2. 转到“主页” > “安全管理” > “SIC”(重新连接、初始 SIC关闭 安全的内部通信。Check Point的专有机制,运行Check Point软件的Check Point计算机通过SSL相互验证,以实现安全通信。这种认证是基于ICA在Check Point管理服务器上颁发的证书。 或设置 SIC),然后输入用户名和密码。

定义一个网关集群对象

一个Quantum Spark设备安全网关集群是一个由两个成员组成的小组。每个代表一个单独的Quantum Spark设备,它安装了高可用性软件。ClusterXL是Check Point的集群解决方案。第三方OPSEC认证的集群产品不被支持。

高可用性

高可用性允许组织在集群成员关闭 一个安全网关,是集群的一部分。出现故障时保持连接。在这种配置下,只有一台机器处于活动状态(活动/待机操作)。该设备不支持负载共享。

先决条件

你必须首先配置和设置两个网关的实际IP地址。之后,你才能在SmartConsole或SmartProvisioning中创建集群对象。来自安全管理服务器的策略安装将会告知网关,它们会被配置为集群成员。

工作流程

  1. 将这两台Quantum Spark设备连接到电源上。

  2. 连接所需的网络。

  3. 在第一台设备上:

    1. 开启它。

    2. 用首次配置向导进行配置。

    3. 重新启动它。

    4. 关掉它。

    注意- 如果你不遵循这些指示,你不能正确使用http://my.firewall URL,你需要用网关的实际IP地址连接。(在您在Quantum Spark设备上改变它之前,该IP地址最初是LAN1的192.168.1.1)。

  4. 在第二台设备上:

    1. 开启它。

    2. 用首次配置向导进行配置。

    3. 重新启动它。

  5. 打开第一个设备。

  6. 在SmartConsole中:

    1. 配置集群对象。

    2. 在集群对象上安装安全策略。

  7. 在SmartProvisioning中,管理集群对象的设备设置。

为新网关创建一个集群

注意 - 有关设置和连接Quantum Spark设备的完整说明,请参阅您的Quantum Spark设备的入门指南

配置程序由两部分组成:

  1. 初步配置两个新的Quantum Spark设备网关

  2. 创建和配置一个集群对象

第一部分 - 两个新的Quantum Spark设备网关的初始配置:

  1. 将这两台Quantum Spark设备连接到电源上。

  2. 将所需的网络连接到两个Quantum Spark设备和它们之间。

  3. 第一台Quantum Spark设备连接到电源上,并将其打开。

  4. 将您的计算机连接到第一个Quantum Spark设备的LAN1接口。

  5. 配置你的计算机以自动获得一个IP地址。

  6. 在计算机的网络浏览器中,连接到:

    http://my.firewall

  7. 按照步骤,用首次配置向导配置第一个Quantum Spark设备。

    重要的是:

    • 广域网接口:

      当你在SmartConsole中以向导模式创建集群对象时,它假定WAN接口是集群的一部分。

      确保两台设备上的广域网接口被配置为匹配子网的静态IP地址。

    • 集群的SYNC接口:

      • 使用以太网交叉网络连接两个设备上的SYNC接口。

      • 默认情况下,LAN2接口被用于集群同步。

      • 在网关端配置的任何阶段,都没有必要在LAN2接口上配置IP地址。

        如果你不在LAN2接口上配置IP地址,SYNC接口的IP地址会自动设置为10.231.149.110.231.149.2

      • 如果你在SYNC接口上手动配置IP地址,你必须将这些IP地址配置在同一子网。

      • 你可以使用LAN2以外的不同SYNC接口。更多信息,见sk52500

    • 要在WANLAN1以外的接口上配置IP地址,请在每个网关的 WebUI中进行配置--在InternetLocal Network页面。确保对于属于集群的每个接口,你在与对等集群成员相同的子网中配置一个IP地址。

    • 一次性密码:

      • 记住这个一次性的密码。你需要它来配置SmartConsole中的集群对象。

      • 向导模式下创建集群对象,两个集群成员的一次性密码必须相同。

      • 如果两个集群成员上的一次性密码不一样,你必须在经典模式下创建集群对象。

  8. 重新启动第一个Quantum Spark设备。

  9. 关闭第一个Quantum Spark设备。

  10. 第二台Quantum Spark设备连接到电源上,并将其打开。

  11. 将您的计算机连接到第二个Quantum Spark设备的LAN1接口。

  12. 更新你电脑上的动态IP地址。

  13. 在计算机上的网络浏览器中,连接到:

    http://my.firewall

  14. 按照步骤,用首次配置向导配置第二个Quantum Spark设备。

    重要的是:

    • 广域网接口:

      当你在SmartConsole中以向导模式创建集群对象时,它假定WAN接口是集群的一部分。

      确保两台设备上的广域网接口被配置为匹配子网的静态IP地址。

    • 集群的SYNC接口:

      • 使用以太网交叉网络连接两个设备上的SYNC接口。

      • 默认情况下,LAN2接口被用于集群同步。

      • 在网关端配置的任何阶段,都没有必要在LAN2接口上配置IP地址。

        如果你不在LAN2接口上配置IP地址,SYNC接口的IP地址会自动设置为10.231.149.110.231.149.2

      • 如果你在SYNC接口上手动配置IP地址,你必须将这些IP地址配置在同一子网。

      • 你可以使用LAN2以外的不同SYNC接口。更多信息,见sk52500

    • 要在WANLAN1以外的接口上配置IP地址,请在每个网关的 WebUI中进行配置--在InternetLocal Network页面。确保对于属于集群的每个接口,你在与对等集群成员相同的子网中配置一个IP地址。

    • 一次性密码:

      • 记住这个一次性的密码。你需要它来配置SmartConsole中的集群对象。

      • 向导模式下创建集群对象,两个集群成员的一次性密码必须相同。

      • 如果两个集群成员上的一次性密码不一样,你必须在经典模式下创建集群对象。

  15. 重新启动第二个Quantum Spark设备。

  16. 打开第一个Quantum Spark设备(将其连接到电源)。

第2部分 - 创建和配置集群对象

  1. 用SmartConsole连接到安全管理服务器。

  2. 从 "对象"菜单中,单击 "更多对象类型"> 网络对象 > 网关和服务器 > 新建小型办公室集群

    Check Point安全网关集群创建窗口打开。

  3. 单击 "向导模式"。

  4. 在 "集群一般属性"页面上:

    1. 集群名称区域,为集群对象输入一个名称。

    2. 硬件区域,为Quantum Spark设备选择正确的系列设备。

    3. 点击“下一步”.

  5. 集群成员页面上:

    • 第一成员部分:

      1. 成员名称字段中,为第一个集群成员对象输入一个名称。

      2. 成员IPv4地址区域,输入第一个集群成员对象的IPv4地址。默认情况下,这必须是分配给WAN接口的IPv4地址。

    • 第二成员部分:

      1. 只有当你想检查通信和连接时,才清取消"现在定义第二个集群成员"复选框。

        这允许你只完成第一个集群成员的向导定义。

      2. 成员名称字段中,为第二个集群成员对象输入一个名称。

      3. 成员IPv4地址区域,输入第二个集群成员对象的IPv4地址。默认情况下,这必须是分配给WAN接口的IPv4地址。

    • 安全内部通信部分:

      密码字段中,输入你在每台设备的首次配置向导中输入的相同的一次性密码。

      点击“下一步”.

      该向导在安全管理服务器和设备之间建立了信任。

      注意- 在建立信任后,它是基于安全证书的。

  6. 集群接口配置页面,定义Quantum Spark设备上的网络接口是否是集群的一部分:

    这个窗口出现在Quantum Spark设备上配置的每个网络接口。

    为网关配置的接口总数出现在窗口标题中。例如,如果为网关配置了3个接口,总共需要配置3个窗口。窗口顶部的面包屑镜像显示了你目前正在配置的界面。你当前配置的接口名称出现在接口栏中。页面底部的图片显示了该接口是否被设置为高可用性。当你配置高可用性时,两个集群成员的物理IP地址在集群的虚拟IP地址指示的点上相遇。

    每个网络接口(在两个集群成员上)都有一个唯一的IP地址。

    当接口上启用了高可用性,那么集群就需要一个额外的唯一的虚拟IP地址。这个虚拟IP地址对网络是可见的,并确保集群故障切换事件对网络上的所有主机是透明的。

    当接口上的高可用性被禁用时,该接口被认为是不受监控的私有接口(不是集群配置的一部分)。

    你可以为除WAN接口外的所有网络接口配置高可用性。默认情况下,广域网接口始终是集群的一部分。如果你不希望广域网接口成为集群的一部分,在完成向导后在SmartConsole中编辑集群对象。

    如果没有定义广域网接口,在SmartConsole中编辑集群对象,为集群对象选择一个正确的主IP地址。(例如,在VPN中,这个IP地址被用作链接选择的选项之一)。

    你不需要配置LAN2接口,因为它是由向导自动配置的,只用于SYNC接口。确保两台设备的两个LAN2/SYNC端口之间都有网络连接。

    注意-LAN2/SYNC接口只支持IPv4地址。

    配置:

    1. 为集群输入一个虚拟IP地址网络掩码。该虚拟IP地址在下一次策略安装中被应用。

    2. 点击“下一步”.

    3. 要在接口上启用高可用性,选择在<名称> 接口上启用高可用性复选框。

      <名称>显示在Quantum Spark设备中定义的网络接口。

      当选择高可用性时,为集群输入一个虚拟IP地址网络掩码。该虚拟IP地址在下一次策略安装中被应用。

    4. 点击“下一步”.

    5. 对每个定义的接口重复上述步骤。

    6. 点击“下一步”.

  7. 安装向导完成页面:

    你可以看到你设置的配置参数的摘要。

    如果你想在集群对象中配置更多的设置,选择在高级模式下编辑集群

    点击“完成”.

  8. 新定义对象的 "一般属性"窗口打开。

    配置适用的设置,然后点击确定

  9. 在集群对象上安装安全策略。

  10. 更新连接到集群成员之一的计算机上的动态IP地址。

    然后,您就可以在网络浏览器中访问活跃集群成员,网址是: http://my.firewall

将现有的Quantum Spark设备转换为一个集群

执行这些程序,将现有的Quantum Spark设备转换为一个集群。

执行这些步骤需要一个窗口期。

使用的术语:

  • GW- 现有的Quantum Spark设备的网关对象,已经建立了信任,并有一个已安装的策略。

  • Cluster- 您创建的新的Quantum Spark设备集群对象。

  • GW_2- 加入现有网关的新集群成员对象。

用首次配置向导来配置新设备GW_2

  1. 请确保配置实际的IP地址,而不是现有网关GW使用的虚拟IP地址。

  2. 清除 "在LAN端口启用开关"复选框。

    如果你不这样做,默认的交换机配置会在集群的第一次策略安装中自动删除,因为它在集群配置中不被支持。

    注意- 在初始策略安装之前,删除交换机配置是比较安全的。

  3. LAN2端口(用于集群同步)配置为一个与其他集群成员在同一网络的IP地址。

    建议为同步接口分配一个静态IP地址。

  4. 不要从安全管理服务器获取策略。

要在SmartConsole中创建和配置集群:

  1. 使用向导来创建一个新的Quantum Spark设备集群。

  2. 将IP地址定义为现有网关GW使用的IP地址。

  3. GW_2的IP地址定义第一个成员。

    重要提示- 不要使用向导定义第二个集群成员。

  4. 建立可信的沟通。

  5. 定义集群接口的所有IP地址。

    使用现有的网关GWIP地址作为集群的虚拟IP地址。

  6. 在向导的最后,选择在高级模式下编辑集群的复选框。

  7. 高级模式下,从GW到集群对象输入所有适用的配置设置。

要重新配置现有的Quantum Spark设备:

  1. 在 WebUI 中,转到GW并连接到它。

  2. 用网关作为集群成员使用的实际IP地址重新配置集群接口的IP地址。

    重要的是—以下需要在窗口期进行。

要在SmartConsole中配置集群:

  1. 改变主IP地址和出现在GW对象的拓扑表中的IP地址。

  2. 在集群上安装策略。

    重要的是—窗口期期结束。此时该集群只包含一个成员,即GW_2

  3. 进入集群成员 > 添加 > 添加现有网关并编辑集群对象。

  4. 如果GW没有显示在列表中,请按"帮助",并确保GW不符合任何阻止它被添加到集群的类别。

    注意- 使用本帮助页面上的信息来确定是否有任何你想复制到新集群对象的配置设置。

  5. 在新的GW对象下,点击Topology > Get Topology来编辑集群对象的拓扑结构。

  6. 在集群对象上安装策略。

在 WebUI 中查看集群状态

当您在Quantum Spark设备网关上完成策略安装,并且该网关作为集群成员工作后,您可以在 WebUI应用程序(设备 > 高可用性)中查看集群状态。