大规模部署安装

支持的安全管理版本

所有集中托管的设备都支持大规模部署。

请确保你的版本支持LSM。

参见Release Notes你的版本安全管理服务器关闭 Check Point Security Management Server或多域Security Management Server。

大规模部署的工作流程

当你在SmartConsole关闭 Check Point GUI应用程序用于管理Check Point环境 - 配置安全策略、配置设备、监控产品和事件、安装更新等。中为一个网关或集群关闭 两个Quantum Spark设备相互连接以实现高可用性。定义一个SmartLSM配置文件时,你可以使用SmartProvisioning来配置多个网关。

大规模部署的工作流程:

  1. 在SmartConsole中为你的部署组(网关或网关集群)创建必要的SmartLSM安全配置文件。

  2. 在SmartConsole中安装安全策略关闭 控制网络流量并通过数据包检查强制执行数据保护和资源访问的组织准则的规则集合。,这些SmartLSM安全配置文件。

  3. 根据SmartConsole中定义的SmartLSM安全配置文件,在SmartProvisioning中创建实际的集群或网关对象。更多信息,请参阅SmartProvisioning

  4. 用 "首次配置向导 "配置相关设备。

    使用USB驱动器来快速配置多个设备,而不需要首次配置向导。更多信息,请参阅从USB驱动器或SD卡中进行部署

  5. 在SmartProvisioning中管理设备设置。

定义大规模部署的SmartLSM网关配置文件

SmartLSM让您从一个安全管理服务器上管理大量的Quantum Spark设备网关。当你使用SmartLSM配置文件时,你可以减少管理开销,因为你定义了每个配置文件的网关属性和策略。SmartLSM配置文件是一个逻辑对象,包含了防火墙和策略组件。

使用SmartConsole为Quantum Spark设备定义一个SmartLSM安全配置文件。

要定义一个单一的SmartLSM配置文件 Quantum Spark设备:

  1. 用SmartConsole连接到管理服务器。

  2. 对象菜单中,单击更多对象类型> LSM配置文件>新小型办公设备网关

    SmartLSM安全配置文件“窗口打开。

  3. 通过本窗口的导航树定义SmartLSM安全配置文件。

    要打开每个窗口的在线帮助,请点击“帮助”。

  4. 单击“确定”。

  5. 在Gateway SmartLSM配置文件上安装适用的安全策略。

  6. 单击菜单>SmartProvisioning。继续在SmartProvisioning GUI中进行配置。

定义一个SmartLSM设备集群配置文件

SmartLSM设备集群配置文件是一个逻辑对象,如同SmartLSM设备网关配置文件。它包含防火墙和策略组件,但也需要逻辑拓扑配置。

SmartLSM集群配置文件中的拓扑表是所有用此配置文件创建的SmartLSM集群的一个模板。SmartLSM集群配置文件会自动将配置设置和安全策略分配给SmartLSM集群。

SmartLSM集群配置文件和它的拓扑结构是在SmartConsole中配置的。然后,SmartProvisioning GUI被用来连接和管理安全管理服务器的设备。

在你做这个步骤之前:

  • 准备好两台设备。

  • 用同一子网的IP地址配置匹配的内部接口。例如,如果你在其中一个设备上使用LAN1,你必须在第二个设备上使用LAN1。

  • 准备好同一子网的广域网接口。

  • 从广域网和内部网络地址池中随机选择一个IP地址,作为集群的虚拟IP。

要创建一个SmartLSM集群配置文件:

  1. 用SmartConsole连接到管理服务器。

  2. 对象菜单中,单击更多对象类型> LSM配置文件>新小型办公设备集群

    SmartLSM安全配置文件“窗口打开。

  3. 在 "一般属性"中,为配置文件输入一个名称(例如,ClusterProfile1 )。

  4. 选择 "集群成员"标签,点击"添加",将两个集群成员关闭 作为集群一部分的安全网关。添加到配置文件中。

  5. 选择 "拓扑"选项卡,点击"编辑"插入一个模板拓扑。

    对于每个SmartLSM集群,你必须至少定义3个网络:

    • 外部:每个集群成员有一个接口,共享虚拟IP地址

    • 内部:每个集群成员有一个接口,共享虚拟IP地址

    • 内部 - 同步:每个集群成员有一个接口

      每个接口的网络地址(例如:1.1.1.194 )并不是SmartLSM集群环境的实际地址。这些是用于模板的。实际的网络地址在SmartProvisioning应用程序的下一个配置步骤中被修改。

      重要事项- 每个成员的接口地址的主机八位数,如成员1-WAN的 "59"(例如,1.1.1.59 )必须是其真实的主机地址,不能修改。请确保正确配置它。

      虚拟IP地址的主机八位数可以在以后修改。

  6. 对于每个虚拟IP接口,双击文本字段,输入接口名称、安全区、网络类型、IP地址和网掩码。

  7. 对于内部和同步接口,选择由接口IP和Net Mask定义的网络。在Anti-Spoofing标签中为每个接口设置Anti-Spoofing。保持成员网络标签中的默认设置。

  8. 对于每个集群成员,双击拓扑结构文本字段,输入接口名称、IP地址和网络掩码。对于VLAN,确保成员名称使用机器上的实际物理接口名称。请注意,这些名称与设备的 WebUI 中显示的名称相同,但将冒号字符": "替换为句号字符".":

    例如,如果WebUI显示LAN1:10,在此输入LAN1.10

  9. 单击 "保存"并在集群配置文件上安装策略。

  10. 在集群SmartLSM配置文件上安装适用的安全策略。

  11. 单击菜单>SmartProvisioning。继续在SmartProvisioning GUI中进行配置。

使用SmartProvisioning进行部署

您可以使用SmartProvisioning来管理Quantum Spark设备网关与SmartConsole中定义的SmartLSM配置文件。在你用SmartProvisioning管理这些设备之前,使用首次配置向导或USB驱动器配置文件配置这些设备。

如需了解有关使用SmartProvisioning进行大规模部署的更多信息,请参阅适用于你管理服务器版本的SmartProvisioning管理指南