在Checkpoint的架構會有Management(MGMT)與Gateway(GW),可分為Standalone與Cluster架構。

以安裝與設定上,Cluster通常都會比Standalone來得比較繁瑣。以下簡易說明:

Standalone:把MGMT與GW都建置在同一台Server上。

Cluster:會有一台以上的MGMT與兩台以上的GW,分別建置在各別不同的Server上。

以下SOP已當各位安裝好一台MGMT與兩台GW,只差設定部份。

壹、設定步驟

 

壹、設定步驟

Step 1:新增Policy

大部份在做Cluster之前應該不會有Policy,設定後要Install Policy時都會被警告要先有一條Policy,

所以通常登入SmartDashboard時都會先新增一條any to any都allow的policy。

0814-100129.png  

Step 2:建立Security Cluster

登入SmartDashboard後的左下方Object,

在Checkpoint點選右鍵選擇Security Cluster / Checlpoint Application/Open Server

0814-100144.png  

選擇Classic Mode

0814-100158.png  

Name : cpcluster 可自訂,建議以後不要再更改

IPv4 Address : 192.168.20.251 介面的Virtual IP,和Cisco HSRP類似

0814-100224.png  

點選左邊選項的Cluster Members,再接著點選Add / New cluster Member

0814-100259.png  

Name : cp1 之前自訂的GW名稱

IPv4 Address : 192.168.20.248 GW的IP

點選Communication進行驗證,輸入當時所輸入的驗證密碼並點選Initalize進行驗證。

0814-100340.png  

驗證沒問題會顯示如下圖。

0814-100421.png  

接著點選左邊選單ClusterXL and VRRP,設定之後要跑什麼模式。

Hight Availability : ClusterXL AS Mode,Active/Standby

0814-100453.png  

Load Sharing : Unicast AA Mode,兩邊都會跑,預設30%與70%

0814-100501.png  

再來點選左邊選單Topology進行Topology的編輯,點選Edit

0814-100517.png  

一開始可點選cp1與cp2下的Get Topology按鈕,讓它自動取得兩台Gateway的介面IP。

取得IP後在Network Objective下選擇介面功能,

在此我們設定eth0跑Cluster與eth1跑Cluster+1st Sync

接著在cpcluster下空白處快速點兩下進行介面的編輯。

0814-100741.png  

Name : eth0

IP Address : 192.168.10.251

NetMask : 255.255.255.0

0814-100653.png  

點選頁籤的Topology,選擇External (leads out to the Internet)

下方Anti-Spoofing的選項勾取進行開啟Anti-Spoofing並點選OK

【Note】

Anti-Spoofing功能是為了防止IP Spoofing攻擊,防止入侵者偽造IP Address。

以下圖說明,該介面為192.168.10.0的網段,所以正常來說不應該會有其它網段的IP出現,開啟此功能就會阻擋其它網段的IP。

0814-100658.png  

第二個介面如第一個介面設定。

Name : eth1

IP Address : 192.168.20.251

Net Mask : 255.255.255.0

0814-100722.png  

點選頁籤的Topology,選擇Internal (leads to the local network),相同的啟用Anti-Spoofing功能。

0814-100725.png

【Note】

建議至少三個介面以上,分別為External、Internal、Sync,將三個功能各別分開。

雖然一個介面可做多個功能,但在複雜的Cluster架構下會建議讓介面更單純化。

詳細如下圖:

0814-110736.png  

建置後就點選Install Policy進行派送安裝。

0814-101013.png  

0814-101032.png  

Step 3:確認Security Cluster狀態

到GW下輸入指令,

[Expert@cp1:0]# cphaprob stat

從下圖得知,目前是Load Sharing (Unicast)模式,也就是AA Mode

cp1的IP是192.168.20.248且流量負擔是30%。

0814-101252.png     

Cp2的IP是192.168.20.249且流量負擔是70%。

0814-101301.png

以下是調整為AS Mode,狀態如下:

0810-171525.png 

0810-171550.png

arrow
arrow
    全站熱搜

    EdisonChang 發表在 痞客邦 留言(0) 人氣()