設定安全性原則

本節說明如何在大規模部署中使用安全性原則。

安裝安全性原則

使用此程序來準備閘道連線時自動安裝的原則。

備註-如果 Quantum Spark 設備已實際設定和設定，當您成功完成此步驟時，原則會推送至閘道。如需可能的狀態清單，請參閱檢視政策安裝狀態。

在安裝原則程序結束時，尚未設定的 Quantum Spark 設備的原則狀態為「等待第一次連線。「這表示安全性管理伺服器與 Quantum Spark 設備之間尚未建立受信任的通訊。閘道連線時，會建立信任並嘗試自動安裝原則。

若要在SmartProvisioning GUI 中安裝安全性原則：

從功能表中點擊「政策>安裝」。

[安裝原則] 視窗隨即開啟。
選取安裝目標-Quantum Spark 設備安全閘道一個專用的 Check Point 服務器，用於運行 Check Point 軟體來檢查流量並對連線的網路資源執行安全政策。，以便在其上安裝原則和原則元件 (例如網路安全性或 QoS)。

依預設，所有由「Security Management Server 執行 Check Point 軟體以管理單一管理網域內 Check Point 環境中的物件和原則的專用 Check Point 伺服器。Synonym：單網域Security Management Server。」管理的閘道都可供選取。
在「安裝模式」段落中，選取安全性原則的安裝方式：
- 在每個選取的閘道上獨立。
- 在所有選取的閘道上，如果失敗，則不會安裝在相同版本的閘道上。

點擊確定.

「安裝程序」視窗會顯示所選目標的「網路安全性原則」狀態。

重要事項-如果 Quantum Spark 設備物件是由設備定義的未設定，且位於「等待第一個連線狀態」中，您會看到「安裝成功完成」的訊息。這表示原則已成功準備好進行安裝。

使用「政策安裝」和狀態列繼續追蹤安全性原則安裝的狀態。

您可以透過 SmartConsole Check Point GUI 應用程式用於管理 Check Point 環境 - 設定安全政策、設定設備、監控產品和事件、安裝更新等。視窗底部顯示的狀態列，查看受管理閘道的安裝狀態。狀態列會顯示處於「擱置中」或「失敗」模式的閘道數目。

每次閘道嘗試安裝政策或嘗試連線到 Security Management Server 時，狀態列都會動態更新。發生此類事件時，這些動作的結果也會顯示在 SmartConsole 快顯通知訊息球中。您可以設定這些通知。

若要監視每個設備上安裝的最後一個政策的狀態，您可以使用「政策安裝狀態」視窗。

該視窗有兩個部分。頂端區段顯示與已安裝政策相關的閘道清單和狀態詳細資訊。透過定義每個欄位的適用條件，您可以使用過濾欄位來僅查看感興趣的政策並隱藏其他詳細資訊。套用過濾條件之後，只會顯示符合所選條件的項目。如果系統記錄來自未知閘道的信任通訊 (SIC 安全的內部通信。Check Point 專有機制，運行 Check Point 軟體的 Check Point 裝置通過 SSL 相互驗證，以實現安全通信。此身份驗證基於 Check Point 管理服務器上的 ICA 頒發的證書。) 嘗試，則過濾器欄位下方會開啟黃色狀態列。

底部區段顯示您在閘道清單中選取之資料列的詳細資料 (發生的錯誤、準備政策的日期、驗證警告)。如果狀態列顯示黃色，請點擊「顯示詳細資料」以顯示嘗試連線到 Security Management Server 之未知閘道的詳細資料。

以下是此視窗中的不同狀態：

圖示	政策狀態	描述
	成功	政策安裝成功。
	成功	原則安裝成功，但有驗證警告。
	正在等待第一個連線	已設定 Check Point 設備物件，但閘道未連線至安全性管理伺服器 (未建立初始信任)。如果已準備好政策，則在連線閘道時將其提取。若未準備政策，策略類型欄目將顯示「未準備政策」。第一次連線閘道時，只會建立信任。
	正在等待第一個連線	與上述相同，並帶有嘗試建立信任失敗的警告或存在驗證警告。
	等待中	政策會保持擱置狀態，直到設備成功連線到 Security Management Server 並擷取政策為止。只有在至少有一個成功安裝政策時，才會顯示此狀態。例如，當Security Management Server連線到閘道時發生問 UserCheck 規則動作可封鎖流量和檔案，並顯示 UserCheck 訊息。使用者可以同意允許該活動。題（閘道無法接收通訊，如 NAT 後面所示）。
	等待中	與上述相同，但存在驗證警告。
	警告	警告
	訊息	訊息
	失敗	因為驗證錯誤而未安裝原則。
	失敗	政策安裝失敗。

您可以使用下列方式存取「政策安裝狀態」視窗：