在Checkpoint的架構會有Management(MGMT)與Gateway(GW),可分為Standalone與Cluster架構。
以安裝與設定上,Cluster通常都會比Standalone來得比較繁瑣。以下簡易說明:
Standalone:把MGMT與GW都建置在同一台Server上。
Cluster:會有一台以上的MGMT與兩台以上的GW,分別建置在各別不同的Server上。
以下SOP已當各位安裝好一台MGMT與兩台GW,只差設定部份。
壹、設定步驟
壹、設定步驟
Step 1:新增Policy
大部份在做Cluster之前應該不會有Policy,設定後要Install Policy時都會被警告要先有一條Policy,
所以通常登入SmartDashboard時都會先新增一條any to any都allow的policy。
Step 2:建立Security Cluster
登入SmartDashboard後的左下方Object,
在Checkpoint點選右鍵選擇Security Cluster / Checlpoint Application/Open Server。
選擇Classic Mode。
Name : cpcluster 可自訂,建議以後不要再更改
IPv4 Address : 192.168.20.251 介面的Virtual IP,和Cisco HSRP類似
點選左邊選項的Cluster Members,再接著點選Add / New cluster Member。
Name : cp1 之前自訂的GW名稱
IPv4 Address : 192.168.20.248 GW的IP
點選Communication進行驗證,輸入當時所輸入的驗證密碼並點選Initalize進行驗證。
驗證沒問題會顯示如下圖。
接著點選左邊選單ClusterXL and VRRP,設定之後要跑什麼模式。
Hight Availability : ClusterXL AS Mode,Active/Standby
Load Sharing : Unicast AA Mode,兩邊都會跑,預設30%與70%
再來點選左邊選單Topology進行Topology的編輯,點選Edit。
一開始可點選cp1與cp2下的Get Topology按鈕,讓它自動取得兩台Gateway的介面IP。
取得IP後在Network Objective下選擇介面功能,
在此我們設定eth0跑Cluster與eth1跑Cluster+1st Sync,
接著在cpcluster下空白處快速點兩下進行介面的編輯。
Name : eth0
IP Address : 192.168.10.251
NetMask : 255.255.255.0
點選頁籤的Topology,選擇External (leads out to the Internet)
下方Anti-Spoofing的選項勾取進行開啟Anti-Spoofing並點選OK。
【Note】
Anti-Spoofing功能是為了防止IP Spoofing攻擊,防止入侵者偽造IP Address。
以下圖說明,該介面為192.168.10.0的網段,所以正常來說不應該會有其它網段的IP出現,開啟此功能就會阻擋其它網段的IP。
第二個介面如第一個介面設定。
Name : eth1
IP Address : 192.168.20.251
Net Mask : 255.255.255.0
點選頁籤的Topology,選擇Internal (leads to the local network),相同的啟用Anti-Spoofing功能。
【Note】
建議至少三個介面以上,分別為External、Internal、Sync,將三個功能各別分開。
雖然一個介面可做多個功能,但在複雜的Cluster架構下會建議讓介面更單純化。
詳細如下圖:
建置後就點選Install Policy進行派送安裝。
Step 3:確認Security Cluster狀態
到GW下輸入指令,
[Expert@cp1:0]# cphaprob stat
從下圖得知,目前是Load Sharing (Unicast)模式,也就是AA Mode。
cp1的IP是192.168.20.248且流量負擔是30%。
Cp2的IP是192.168.20.249且流量負擔是70%。
以下是調整為AS Mode,狀態如下:
