設定閘道和叢集物件

本節包含在 SmartConsole關閉 Check Point GUI應用程式用於管理Check Point環境--設定安全性原則、設定裝置、監控產品和事件、安裝更新等。 中定義閘道或閘道叢集關閉 兩個Quantum Spark Appliance互相連線,達成高可用性。的過程。

執行符合要求的過程,然後安裝原則。

定義閘道物件

用於定義閘道物件的選項:

  • 管理優先

    在現場設定和設定實際裝置之前,先在SmartConsole中定義閘道物件。這通常用於遠端部署的裝置或使用動態IP位址(由 DHCP 伺服器或ISP指派)連線到Security Management Server關閉 執行Check Point軟體的專用Check Point伺服器,可在單一管理網域內的Check Point環境中管理物件和原則。同義詞:單域Security Management Server。的裝置,因為在SmartConsole 中設定物件時不知道IP位址。可準備裝置在設定時拉取的原則。

    工作流程:

    1. 在SmartConsole中:

      1. 建立所需的物件並設定所需的設定:

        在啟用IPSec VPN軟體邊欄索引標籤之前,必須設定 VPN 社群關閉 VPN網域的命名集合,每個網域都受到VPN閘道的保護。和 VPN網域(可選)。

      2. 為裝置新增必要的閘道或叢集物件。

      3. 在閘道物件上安裝安全原則。

    2. 使用初次設定精靈設定裝置。

      或者,可使用 USB 驅動器快速設定許多裝置,而無需初次設定精靈。

      更多詳細資訊,請參閱從 USB 磁碟機或 SD 記憶卡進行部署.

    3. 在SmartProvisioning中,管理閘道物件設定。

  • 閘道器優先

    首先設定和設定裝置。然後,它會嘗試每隔 1 小時與Security Management Server(如果已設定)通訊。如果在 SmartConsole 中新增物件期間與閘道建立了連線,則精靈可以從閘道檢索資料(如拓撲),然後幫助進行設定。

    工作流程:

    1. 使用初次設定精靈設定相關裝置。

      或者,可使用 USB 驅動器快速設定許多裝置,而無需初次設定精靈。

      更多詳細資訊,請參閱從 USB 磁碟機或 SD 記憶卡進行部署.

    2. 在SmartConsole中:

      1. 建立所需的物件並設定所需的設定:

        在啟用IPSec VPN軟體邊欄索引標籤之前,必須設定 VPN 社群和 VPN網域(可選)。

      2. 為裝置新增必要的閘道或叢集物件。

      3. 在閘道物件上安裝安全原則。

    3. 在SmartProvisioning中,管理閘道物件設定。

定義單個閘道物件:

  1. 使用SmartConsole連線到Security Management Server。

  2. 在左側瀏覽面板中,按一下閘道器和伺服器

  3. 在最上面工具列中,按一下 (新增)>閘道器

  4. Check Point 安全性閘道器新增視窗中,按一下精靈模式

  5. 在「 常規屬性 」頁上:

    1. 閘道名稱 字段中,輸入安全閘道關閉 專用的Check Point伺服器,可執行Check Point軟體,檢查流量並執行連線網路資源的安全性原則。物件的名稱。

    2. 在「閘道平台」區域中,為Quantum Spark 裝置選擇正確的裝置系列。

    3. 版本欄會自動顯示可支援的最高版本。

    4. 在「平台類型」 欄位中,為Quantum Spark 裝置選擇正確的裝置類型

    5. 通過以下方式之一設定 Quantum Spark 裝置的 IP 位址:

      • 選擇靜態IP位址並輸入IP位址。

      • 選擇「動態IP位址」 以從 DHCP 伺服器取得閘道的IP位址

    6. 單擊 下一步.

  6. 在「受信任的通訊」頁上,設定Security Management Server和Quantum Spark 裝置相互進行身份驗證的方式,然後按兩下一步

    • 如果在之前的 「常規屬性」 頁上選擇了 「靜態IP位址」:

      1. 在「身份驗證」部分中,選擇「使用一次性密碼安全地啟動受信任的通訊」或「啟動未進行身份驗證的受信任通訊(安全性較低)」。

      2. 如果選擇了 「使用一次性密碼安全地啟動受信任的通訊」,請輸入一次性密碼並確認。

        此密碼僅用於建立初始信任。建立信任後,信任基於安全證書。

        重要事項:此密碼必須與您在初次設定精靈中為裝置定義的一次性密碼相同。

      3. 在「受信任的通訊」部分中,選擇「閘道初次連線到Security Management Server時自動啟動受信任的通訊」或「立即啟動受信任的通訊」。

      4. 按一下連線

        將出現一個狀態視窗。

    • 如果在之前的 「常規屬性」 頁上選擇了 「動態IP 位址」:

      1. 閘道器辨識碼部分中,點選個辨識碼:閘道器名稱MAC 位址優先連線

      2. 在「身份驗證」部分中,選擇「使用一次性密碼安全地啟動受信任的通訊」或「啟動未進行身份驗證的受信任通訊(安全性較低)」。

      3. 如果選擇了 「使用一次性密碼安全地啟動受信任的通訊」,請輸入一次性密碼並確認。

        此密碼僅用於建立初始信任。建立信任後,信任基於安全證書。

        重要事項:此密碼必須與您在初次設定精靈中為裝置定義的一次性密碼相同。

  7. 在「邊欄索引標籤啟動」頁上,選擇「立即啟動並設定軟體邊欄索引標籤」或「稍後啟動並設定軟體邊欄索引標籤」。

    如果選擇了 「立即啟動和設定軟體blade」:

    1. 選中要啟動的軟體blade旁邊的核取方塊。

    2. 單擊 下一步.

  8. 「blade設定」 頁面上,設定所需的選項,然後按一下 「下一步」

    注意:僅當您在之前的 blade啟動 頁面上選擇 「立即啟動並設定軟體blade」時,才會出現此頁面。

    • NAT預設情況下,「隱藏閘道外部 IP 後的內部網路」核取方塊處於選取狀態。

    • IPSec VPN :在「參與網站到網站社群」字段中,選擇此網關參與的 VPN 社群(必須在啟動嚮導之前新增此 VPN社群)。 如果是star社群,這個閘道就變成了VPN衛星閘道。

    • QoS:選擇適用的入站和出站頻寬速率。

  9. VPN 網域頁面上,設定 VPN 加密網域關閉 安全閘道保護的網路,及加密和解密VPN流量的網路。設定,然後按下一步

    注意:當您在上一個blade啟動頁面上選擇了IPSec VPN軟體blade,才會顯示此頁面

    可用選項:

  10. 在「 安裝精靈完成」 頁上:

    您將看到您設定的設定參數的摘要。

    如果要設定安全閘道的更多選項,請選擇 編輯閘道屬性以進行進一步設定

    點擊 完成.

  11. 將打開新定義的物件的「 常規屬性 」 視窗。

    設定適用的設定,然後按一下確定

  12. 在閘道物件上安裝安全原則。

在量子火花閘道上建立碳化硅(安全內部通訊)

初次將閘道器連線到安全管理伺服器關閉 Check Point Security Management Server或多網域Security Management Server。時,必須在 SmartConsole 中建立新的閘道器物件。為此,請開啟 SmartConsole > 新增閘道器 > 選擇中小企業。

建立 SIC:

  1. 在 SmartConsole 中,前往閘道器和伺服器

    1. 選擇 Quantum Spark 閘道器,然後按編輯>可信通訊

    2. 在「身份驗證」部分中,請確保選擇 「使用一次性密碼安全地啟動可信任通訊」。輸入 一次性密碼 並按 「確定」

  2. 連線到伺服器 WebUI。

    1. 在瀏覽器中輸入網址https://<IP of the Quantum Spark gateway>

    2. 前往首頁> 安全管理 > SIC (重新連線、初始 SIC關閉 安全內部通訊。執行Check Point軟體的Check Point電腦使用Check Point專有機制以SSL互相驗證,達成安全通訊。驗證根據Check Point Management Server上ICA發行的憑證。 或設定 SIC),並輸入使用者名稱和密碼。

    重要事項:

    • 裝置重新連線後,安全日誌將根據定義的兆位元組( MB )限制的數量發送到管理伺服器。

    • 在隱藏NAT後的動態IP位址(DAIP)閘道上,管理啟動的閘道連線無法運作。只有閘道啟動到管理伺服器的連線,例如擷取原則和流量記錄,才能正常運作。

      預期行為

      • 從閘道到管理伺服器的SIC測試成功。

      • 從管理伺服器到閘道的SIC測試失敗。

      • 在閘道上建立SIC後,可使用SmartConsole安裝原則。

      • 若要擷取原則,您可以在閘道WebUI上手動擷取原則,否則閘道將預設每4小時自動擷取原則。

定義閘道叢集物件

Quantum Spark 裝置安全閘道叢集是由兩個成員群組成的群組。各都代表一個單獨的Quantum Spark 裝置,該裝置安裝了高可用性軟體。ClusterXL 是Check Point叢集解決方案。不支援第三方 OPSEC 認證的叢集產品。

高可用性

高可用性允許組織在叢集成員出現故障時保持連線。在此設定中,只有一台裝置處於活動狀態(活動/待命操作)。此裝置不支援負載共用。

先決條件

須首先使用其實際IP位址設定和設定兩個閘道。之後,您才能在SmartConsole或SmartProvisioning中新增叢集物件。Security Management Server中的原則安裝會提醒閘道它們已設為叢集成員。

工作流程

  1. 請勿 將兩個 Quantum Spark 裝置連線到電源。

  2. 連線所需的電纜。

  3. 在第一個裝置上:

    1. 打開它。

    2. 使用初次設定精靈對其進行設定。

    3. 重新啟動它。

    4. 關閉它。

    注意事項:若不依照說明,則無法使用http://my.firewall網址正確,且需以閘道器實際 IP 位址來連線(在 Quantum Spark 裝置上變更 IP 位址前, IP 位址在LAN1上初始為 192.168.1.1)。

  4. 在第二台裝置上:

    1. 打開它。

    2. 使用初次設定精靈對其進行設定。

    3. 重新啟動它。

  5. 打開第一個裝置。

  6. 在SmartConsole中:

    1. 設定叢集物件。

    2. 在叢集物件上安裝安全原則。

  7. 在SmartProvisioning中,管理叢集物件的裝置設定。

為新閘道新增叢集

注意:請參閱 Quantum Spark 裝置 入門指南, 了解設定和連線 Quantum Spark 裝置的完整說明。

設定過程由兩部分群組成:

  1. 兩個新的Quantum Spark 裝置閘道的初始設定

  2. 新增和設定叢集物件

第 1 部分:兩個新的Quantum Spark 裝置閘道的初始設定:

  1. 請勿 將兩個 Quantum Spark 裝置連線到電源。

  2. 將所需的電纜連線到兩個 Quantum Spark 裝置上,以及裝置之間。

  3. 第一個 Quantum Spark 裝置連線到電源並將其打開。

  4. 將電腦連線到 第一個 Quantum Spark 裝置到 LAN1 介面。

  5. 將裝置設為自動取得IP位址。

  6. 在電腦上上的網路瀏覽器中,連結到:

    http://my.firewall

  7. 按照步驟使用初次設定嚮導設定第一個昆騰 Spark 裝置。

    重要:

    • 廣域網路網 介面:

      設定精靈模式下, 在SmartConsole中新增叢集物件時,假定WAN介面是叢集的一部分。

      確保 兩台裝置上的WAN 介面設定了匹配子網的靜態IP位址。

    • 叢集 同步 介面:

      • 使用乙太網交叉電纜連線 兩台裝置上的SYNC 介面。

      • 預設情況下, LAN2 介面用於叢集同步。

      • 在閘道端設定的任何階段,都無需在LAN2介面上設定 IP 位址。

        如果未在LAN2介面上設定 IP 位址,則SYNC介面的IP 位址將自動設為 10.231.149.110.231.149.2

      • 如果在SYNC介面上手動設定 IP 位址,則必須將這些 IP 位址設為位於同一子網上。

      • 可使用LAN2以外的其他SYNC介面。有關詳細資訊,請參見 sk52500

    • 要在WANLAN1以外的介面上設定 IP 位址,請在各閘道的 WebUI 中執行此操作:在網際網路本機網路頁面上。確保對於屬於叢集的各介面,在與對點叢集成員相同的子網中設定IP位址。

    • 一次性密碼:

      • 請記住此一次性密碼。您需要它來設定SmartConsole中的叢集物件。

      • 兩個叢集成員上的一次性密碼必須相同,才能在 設定精靈模式下新增叢集物件。

      • 如果兩個叢集成員上的一次性密碼不同,那麼必須在經典方式下新增叢集物件。

  8. 重新啟動 第一個 Quantum Spark 裝置。

  9. 關閉 第一個 Quantum Spark 裝置。

  10. 第二個 Quantum Spark 裝置連線到電源並將其打開。

  11. 將電腦連線到 第二個 Quantum Spark 裝置到 LAN1 介面。

  12. 續訂電腦上的動態IP位址。

  13. 在電腦上的網路瀏覽器中連結到:

    http://my.firewall

  14. 按照步驟使用初次設定精靈設定第二個Quantum Spark 裝置。

    重要:

    • 廣域網路網 介面:

      設定精靈模式下, 在SmartConsole中新增叢集物件時,假定WAN介面是叢集的一部分。

      確保 兩台裝置上的WAN 介面設定了匹配子網的靜態IP位址。

    • 叢集 同步 介面:

      • 使用乙太網交叉電纜連線 兩台裝置上的SYNC 介面。

      • 預設情況下, LAN2 介面用於叢集同步。

      • 在閘道端設定的任何階段,都無需在LAN2介面上設定 IP 位址。

        如果未在LAN2介面上設定 IP 位址,則SYNC介面的IP 位址將自動設為 10.231.149.110.231.149.2

      • 如果在SYNC介面上手動設定 IP 位址,則必須將這些 IP 位址設為位於同一子網上。

      • 可使用LAN2以外的其他SYNC介面。有關詳細資訊,請參見 sk52500

    • 要在WANLAN1以外的介面上設定 IP 位址,請在各閘道的 WebUI 中執行此操作:在網際網路本機網路頁面上。確保對於屬於叢集的各介面,在與對點叢集成員相同的子網中設定IP位址。

    • 一次性密碼:

      • 請記住此一次性密碼。您需要它來設定SmartConsole中的叢集物件。

      • 兩個叢集成員上的一次性密碼必須相同,才能在 設定精靈模式下新增叢集物件。

      • 如果兩個叢集成員上的一次性密碼不同,那麼必須在經典方式下新增叢集物件。

  15. 重新啟動 第二個 Quantum Spark 裝置。

  16. 打開 第一個 Quantum Spark 裝置(將其連線到電源)。

第 2 部分:建立和設定叢集物件

  1. 使用SmartConsole連線到Security Management Server。

  2. 物件選單中,按一下更多物件類型>網路物件>閘道器和伺服器>新增小型辦公室叢集

    Check Point 安全閘道集群建立 視窗開啟。

  3. 按一下設定精靈 模式

  4. 集群常規屬性 頁面上:

    1. 「集群名稱」 字段中,輸入集群對象的名稱。

    2. 在「硬體」欄位中,為Quantum Spark 裝置選擇正確的裝置系列。

    3. 單擊 下一步.

  5. 集群成員 頁面上:

    • 在「 第一個成員」 部分中:

      1. 在「成員名稱」欄位中,輸入第一個叢集成員物件的名稱。

      2. 成員 IPv4 位址欄位中,輸入第一個叢集成員物件的 IPv4 位址。預設情況下,這必須是指派給WAN介面的IPv4位址。

    • 在「 第二個成員」 部分中:

      1. 僅當要檢查通訊和連線時,才清除立即定義第二個集群成員核取方塊。

        這允許您僅完成第一個叢集成員的設定精靈定義。

      2. 在「成員名稱」欄位中,輸入第二個叢集成員物件的名稱。

      3. 成員 IPv4 位址欄位中,輸入第二個叢集成員物件的 IPv4 位址。預設情況下,這必須是指派給WAN介面的IPv4位址。

    • 在「安全內部通訊」部分中:

      在「密碼」 欄位中,輸入您在每台裝置上的「初次設定精靈」中輸入的相同一次性密碼

      單擊 下一步.

      該設定精靈在Security Management Server和裝置之間建立信任。

      注意:建立信任後,它基於安全證書。

  6. 「叢集介面設定」 頁面上,定義 Quantum Spark 裝置上的網路連線介面是否屬於叢集的一部分:

    對於在Quantum Spark 裝置上設定的各網路介面,將顯示此視窗。

    為閘道設定的介面總數顯示在視窗標題中。例如,如果為閘道設定了 3 個介面,則總共需要設定 3 個視窗。視窗頂部的痕跡導航映像顯示目前正在設定的介面。您目前正在設定的介面的名稱將顯示在「介面」列中。頁面底部的映像顯示介面是否設為高可用性。設定高可用性時,兩個叢集成員的實體IP位址在叢集的虛擬IP位址指定的點相遇。

    各網路介面(在兩個叢集成員上)都有一個唯一的IP位址。

    在介面上啟用高可用性後,叢集需要一個額外的唯一虛擬IP位址。此虛擬IP位址對網路可見,並確保叢集故障轉移事件對網路上的所有主機都是透明的。

    在介面上停用高可用性時,該介面將被視為不受監控的專用介面(不是叢集設定的一部分)。

    可為除WAN介面之外的所有網路介面設定高可用性。預設情況下, WAN 介面一律是叢集的一部分。如果不希望 WAN 介面成為叢集的一部分,請在完成設定精靈後在 SmartConsole 中編輯叢集物件。

    若未定義WAN介面,請在 SmartConsole 中編輯叢集物件,並選妥主要 IP 位址(例如 IP 位址在 VPN 中作為連線選擇的選項)。

    您不設定LAN2介面,因為它由設定精靈自動設定,並且僅用於SYNC介面。確保在兩台裝置的兩個 LAN2/SYNC 埠之間連線了電纜。

    注意LAN2/SYNC 介面僅支援 IPv4 位址。

    設定:

    1. 輸入叢集的虛擬 IP位址網路遮罩 。虛擬IP位址將在下一個原則安裝中套用。

    2. 單擊 下一步.

    3. 若要在介面上啟用高可用性,請勾選在<name>介面啟用高可用性

      <name>會顯示 Quantum Spark 裝置中定義的網路介面。

      選擇高可用性後,輸入叢集的虛擬 IP位址網路遮罩 。虛擬IP位址將在下一個原則安裝中套用。

    4. 單擊 下一步.

    5. 對各定義的介面重複上述步驟。

    6. 單擊 下一步.

  7. 在「 安裝精靈完成」 頁上:

    您將看到您設定的設定參數的摘要。

    如果要在叢集物件中設定更多設定,請選擇「 在進階模式下編輯叢集」。。

    點擊 完成.

  8. 將打開新定義的物件的「 常規屬性 」 視窗。

    設定適用的設定,然後按一下確定

  9. 在叢集物件上安裝安全原則。

  10. 續訂連線到其中一個叢集成員的裝置上的動態IP位址。

    然後即可用 Web 瀏覽器存取活動叢集的成員:http://my.firewall

將現有Quantum Spark 裝置轉換為叢集

執行以下過程將現有Quantum Spark 裝置轉換為叢集。

這些過程需要一些停機時間。

使用的術語:

  • GW:已建立信任並已安裝策略的現有量子 Spark 裝置閘道物件。

  • 叢集:您建立的新 Quantum Spark Appliance 叢集物件。

  • GW_2:加入現有閘道的新叢集成員物件。

要使用初次設定精靈設定新裝置 GW_2 ,請執行以下操作:

  1. 請確保設定實際IP位址,而不是現有閘道 GW使用的虛擬IP位址。

  2. 清除「 在 LAN 埠 上啟用交換器」核取方塊。

    如果不這樣做,則在叢集的初次原則安裝期間會自動刪除預設交換器設定,因為叢集設定不支援該設定。

    注意:在初始原則安裝之前刪除交換器設定更安全。

  3. 使用 與其他叢集成員位於同一網路中的IP位址設定LAN2埠(用於叢集同步)。

    建議為同步介面指派靜態IP位址。

  4. 請勿從Security Management Server取得原則。

在智慧控制中建立和設定叢集:

  1. 使用該設定精靈新增Quantum Spark 裝置叢集。

  2. 將IP位址定義為現有閘道 GW使用的 IP 位址。

  3. 使用GW_2的IP位址定義 第一個成員。

    重要事項:請勿使用精靈定義第二個叢集成員。

  4. 建立可信的通訊。

  5. 定義叢集介面的所有IP位址。

    使用現有閘道 GW IP 位址作為叢集的虛擬IP位址。

  6. 在設定精靈結束時,選中「 在進階模式下 編輯叢集」核取方塊。

  7. 進階模式下,輸入從GW到叢集物件的所有適用設定設定。

要重新設定現有Quantum Spark 裝置,請執行以下操作:

  1. 在 WebUI 中,到 GW 並連線到它。

  2. 使用閘道用作叢集成員的實際IP位址重新設定叢集介面的IP位址。

    重要:停機時間開始。

要在SmartConsole中設定叢集:

  1. 變更主IP位址和GW物件的拓撲表中顯示的IP位址。

  2. 在叢集上安裝原則。

    重要:停機時間結束。此時,叢集僅包含一個成員, 即GW_2

  3. 前往叢集成員>新增>新增現有閘道器,並編輯叢集物件。

  4. 如果GW 未顯示在清單中,請按「説明」並確保GW與阻止其新增到叢集的任何類別都不匹配。

    注意:使用此幫助頁上的資訊確定是否有任何要複製到新 叢集 物件的設定設定。

  5. 在新的 GW 物件下,按一下拓撲>取得拓撲來編輯叢集物件的拓撲。

  6. 在叢集物件上安裝原則。

在網頁介面中檢視叢集狀態

Quantum Spark 裝置的閘道器裝妥原則,且閘道器作為叢集成員運作後,可在 WebUI 應用程式(裝置>高可用性)中檢視叢集狀態。