Proffesional Knowledgebase
Proffesional Knowledgebase ,שלום רב .Checkpoint 600 הפעולות הנפוצות ביותר בעת התקנת/ במסמך זה נעבור על כל ההגדרות 1 All rights reserved to Atera Networks Ltd. © Proffesional Knowledgebase תוכן עניינים 1 2 3 4 5 6 7 8 9 11 11 12 13 14 הגדרה ראשונית של ה Checkpoint הגדרת אינטרנט הגדרת חוקים באמצעות Virtual server הגדרת NATופתיחת חוקים ב firewall policy הגדרת כניסת דואר מ Mailshieldבלבד. הגדרת Site to Site הגדרת חייגן VPN client to site הגדרת VOIP הגדרת רשת אלחוטית הגדרת רשת אלחוטית לאורחים הגדרת URL filtering הגדרת ניתוב למודם שע"מ הגדרת ניתוב ל WAN2 לינקים להורדה עמ' 3 6 11 11 11 02 00 28 1 34 39 20 45 24 © All rights reserved to Atera Networks Ltd. 2 Proffesional Knowledgebase הגדרה ראשונית של הCheckpoint שלב ראשון והכרחי בהבנת המערכת הוא הכרתה של המערכת בכניסה לממשק בפעם הראשונה אנו נגיע לאשף הגדרה ראשונית : 3 במסך זה נלחץ על הבא © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase במסך זה נתבקש לבחור סיסמת מנהל ,נגדיר סיסמא ונלחץ הבא במסך זה נתבקש להגדיר אזור זמן .כפי שניתן לראות ברירת המחדל היא ישראל ולכן נלחץ הבא © All rights reserved to Atera Networks Ltd. 4 Proffesional Knowledgebase ) (לא חובה.במסך זה ניתן לשנות את שם המכונה שם שיוצג לנו 5 All rights reserved to Atera Networks Ltd. © Proffesional Knowledgebase הגדרת אינטרנט בשלב זה נגדיר את סוג החיבור לאינטרנט ואת החייגן עצמו: לחיבור כבלים (הוט) נבחר ,L2TP תחת SERVER ADDRESSנזין את הכתובת אותה קיבלנו מספקית האינטרנט תחת השורה USERאת שם המשתמש אותו קיבלנו מספק השירות תחת השורה PASSWORDנזין את הסיסמא לשם המשתמש לחיבור מסוג VDSL \ ADSLנבחר בסוג .PPPOE תחת השורה USERנזין את שם המשתמש אותו קיבלנו מספק השירות ()user@isp תחת השורה PASSWORDנזין את הסיסמא לשם המשתמש במצב בו המודם הוא זה שמחייג קיימות בפנינו שתי אפשרויות האחת היא להגדיר קבלת כתובת אוטומטית מהמודם – על ידי בחירת DHCPשם נתבקש לציין: IP address Subnet Default gateway השנייה היא להגדיר כתובת קבועה – על ידי בחירת STATIC IP 6 © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase במסך זה נתבקש להגדיר את הכתובת הפנימית של ה FIREWALLואת הרשת הפנימית () LAN לחילופין נוכל לבטל את שירות ה DHCPבמצבים בהם יש ברשת שרת המשמש כ DHCP 7 © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase במסך זה נגדיר את הרשת האלחוטית SSIDהינו השם שיוצג למשתמשים המבקשים להתחבר לרשת האלחוטית וסיסמא היא הסי סמא אותה הם יתבקשו להזין על מנת להיכנס לרשת. במסך זה גם נוכל לבחור באם תאופשר גישה למשתמשים המחוברים באלחוטי לגשת לרשת הפנימית. במידה וכן נסמן Vתחת השורהAllow access from this network to the local network : או לחילופין אם לא נרצה נוריד את הV 8 © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase במסך זה מגדירים את אפשרויות הגישה לממשק הניהול של ה.FIREWALL ** ניתן לאפשר התחברות לממשק מכתובות ספציפיות. 9 במסך הבא המכונה תפעיל את רישיון המוצר. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase במסך זה נלמד איך להגדיר את החיבור לאינטרנט באופן ידני 10 )1 )2 )3 )4 )5 ראשית כל יש לבחור את שם החיבור לאחר מכן את הפורט אליו מחובר המודם WAN / DMZ ואז נתבקש לבחור את סוג החיבור )(pppoe, l2tp, cellular, etc לאחר בחירת סוג החיבור נזין את שם המשתמש והסיסמא אותם קיבלנו מספקית האינטרנט בסיום נקיש APPLY ** באשף ההגדרות הראשוני ניתן להגדיר את החיבור .אך לצורך מאמר זה נגדירו ידנית © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase הגדרת חוקים באמצעות Virtual server בהגדרות אבטחה יש מספר דרכים לאפשר כניסה לרשת מהאינטרנט, הדרך הקלה והנוחה ביותר הינה על ידי הגדרת התחנה אליה ננתב את השירות כאובייקט שרת ,מה שמוכר לנו ממערכות דומות כ – VIRTUAL SERVER את הפעולה הנ"ל נבצע במסך : 11 © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase על ידי לחיצה על כפתור NEWיפתח אשף יצירת האובייקט: 12 במסך זה ניתן לראות את סוגי הפרופילים הנפוצים לשימוש. ובתחתית המסך נוכל גם להגדיר ,OTHERאפשרות זו תאפשר לנו להגדיר פורטים נקודתית ** חשוב לציין כי אילו פורטים של הצד הפנימי ברשת ולא אילו שמגיעים מבחוץ ,לאילו שנרצה להגדיר שיגיעו מפורט Xויכנסו לפורט Yנראה בהמשך. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase המסך הבא יהיה : 13 כאן נגדיר את השם שיוצג לנו ואת הכתובת הפנימית. במסך הבא נאפשר גישה מבחוץ מהעולם או לחילופין אם נרצה אז רק מהרשת הפנימית. ברוב המקרים זו ההגדרה המתאימה למעט מקרים ספציפיים © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase במסך זה נגדיר האם המכונה תהיה מאחורי ה FIREWALLאו חשופה לעולם .אם לא בטוחים יש לסמן את האפשרות העליונה ביותר. במסך זה נוכל גם לסמן (וזאת רק כאשר במסך הראשון הגדרנו פורט אחד בלבד ) REDIRECT FROM זאת אומרת שאם נרצה למשל שתעבורה שתגיע מבחוץ בפורט Xתנותב פנימה למכונה בפורט Yזה יהיה המקום הנכון לבצע זאת. 14 © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase הגדרת NATופתיחת חוקים בfirewall policy אפשרות נוספת הינה להגדיר NATידנית .את זה נבצע במסך: במסך זה נלחץ על ,VIEW NAT RULES לאחר מכן נלחץ על כפתור **( NEWלא על כפתור new server ) לאחר מכן יופיע המסך: 15 במסך זה נגדיר את תנועת ה"חבילה" (כל מידע ברשת מחולק לחבילות קטנות ) packets- – Original source .1הכתובת \ כתובות מהן הבקשה מגיעה – Original destination .2היעד המקורי של הבקשה (ברוב המקרים תהיה ) This gateway – Original service .3השירות המקורי של הבקשה משמע לאיזה פורט פונה הבקשה. לדוגמה ,הפנית פורט 5544מהעולם פנימה יתורגם ל) RDP ( 8833 © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase עד כאן זה ההגעה ל FIREWALLאחרי השלב הזה ה"חבילה" ממשיכה מה FIREWALLפנימה. – Translated Source .1תרגום לכתובת המקורית (במקרים בהם נרצה לשנות את המקור ממנה מגיעה הבקשה) – Translated Destination .2תרגום היעד .לאן לנתב את הבקשה המקורית. – Translated Service .3תרגום הפורט \ שירות למשל אם מבחוץ הגענו מפורט 4455ונרצה שזה יתורגם ל 3389פנימה. בסיום ההגדרה נצטרך להגדיר ל FIREWALLלאפשר את הבקשה .וזאת מכיוון שבלי "אישור" הניתוב לא יבוצע. את ה"אישור" נבצע במסך ה .POLICY במסך הבא נוכל לראות כי הדף מחולק לשניים ,חלק עליון לתעבורה יוצאת וחלק תחתון לתעבורה נכנסת. 16 על ידי לחיצה על NEWנגדיר את הבקשות המגיעות אלינו תחת התעבורה הנכנסת. ** חשוב לציין כי יש חשיבות אקוטית להיררכיה של החוקים. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase לפנינו יפתח המסך הבא : 17 במסך זה נגדיר את המקור (כתובת IPאו רשת) לאחר מכן את היעד כאשר ברוב המקרים יהיה THIS GATEWAY את השירות ,לדוגמה -פורט 5544שנרצה לאפשר מבחוץ ולאחר מכן לנתב פנימה ל.8833 ולבסוף את הפעולה .האם לקבל את הבקשה או להפיל אותה. ניתן גם לבחור באם לדגום את הבקשות מסוג זה או לא .ב.LOG © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase הגדרת כניסת דואר מ Mailshieldבלבד אחת מההגדרות הנפוצות ביותר הינה פתיחת הפורטים הנחוצים לעבודה מול ה MAILSHIELD יש ליצור שלושה אובייקטים תחת הלשונית NETWORK OBJECTS Mailshield-1 : 212.79.242.192 - 212.79.242.254 Mailshield 2 : 212.79.238.66 - 212.79.238.126 Mailshield 3 : 193.28.13.1 - 193.28.13.254 לאחר מכן יש ליצור קבוצה תחת NETWORK OBJECT GROUP 18 ולהוסיף לקבוצה את 3האובייקטים אותם יצרנו קודם לכן. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase לאחר מכן יש ליצור חוק ,NATשאומר שכל תעבורה שמגיעה מהקבוצה שיצרנו (שמכילה את טווחי הכתובות של ה )Mailshield לכיוון הצ'קפוינט ( ) THIS GATEWAYבפרוטוקול SMTPתנותב לשרת הדואר .כפי שניתן לראות בצילום המסך: 19 לאחר מכן יש ליצור חוק שמאפשר לקבוצה שיצרנו להיכנס לרשת ב( SMTPחשוב לציין שאת החוק צריך להקים תחת INCOMING ) INTERNAL TRAFFIC כפי שנוכל לראות בצילום המסך : © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase הגדרת Site to Site את ההגדרה נבצע תחת לשונית VPNתחת המסך SITE TO SITEאשר נמצא בצד שמאל למטה כפי שניתן לראות: לאחר מכן נלחץ על NEWויופיע המסך הבא: 20 חשוב לציין כי את אותן ההגדרות יש להחיל בשני הצדדים של הטאנל. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase במסך הזה נגדיר את כתובת היעד של המכונה בצד שני ואת ה SECRETוגם את הרשת הפנימית בצד השני לאחר מכן נלחץ על לשונית ENCRYPTION 21 ההגדרות הנ"ל מתאימות לרוב המקרים למעט מקרים בהם יש צורך ב VOIPואז נגדיר בשני הפאזות DES/MD5 בסיום נלחץ APPLY © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase הגדרת חיבור CLIENT TO SITE VPN שלב ראשון הוא להתקין את התוכנה התואמת את מערכת ההפעלה במסך ובמסכים שלאחר מכן נלחץ על NEXT 22 לכשנגיע למסך : במסך זה נבחר ENDPOINT SECURITY VPN © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase בסיום ההתקנה נתבקש לבצע אתחול. לאחר עליית מערכת ההפעלה נלחץ על ,STARTלאחר מכן ALL PROGRAMSואז .CHECKPOINT שם נלחץ על CHECKPOINT ENDPOINT SECURITY VPN יפתח מנעול באזור השעון עליו נקיש עליו פעמיים לאחר מכן תופיע ההודעה : 23 כעת נלחץ YES במסך זה נלחץ NEXT © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase 24 . נזין את הכתובת בלבד ללא פורט.אם לא הוגדר פורט שונה מברירת המחדל NEXT לסיום נלחץ ואז USERNAME AND PASSWORD במסך זה נבחר FINISH ולאחר מכןNEXT ונלחץ All rights reserved to Atera Networks Ltd. © Proffesional Knowledgebase בסיום תופיע ההודעה: כאן נלחץ על YESעל מנת לוודא את תקינות החיבור 25 נזין את שם המשתמש והסיסמא שהוגדר במסך REMOTE ACCESS USERSתחת לשונית .VPN ונלחץ CONNECT © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase :בסיום החיבור יופיע המסך הבא 26 All rights reserved to Atera Networks Ltd. © Proffesional Knowledgebase הגדרת VOIP שלב ראשון הינו להגדיר את השירות הנחוץ לנו ,לאחר מכן ניצור אובייקט רשת לטובת השרת \ מרכזיה. נתחיל בליצור קבוצה אשר תכיל את השירותים הנחוצים לנו לטובת הטלפוניה. 27 תחת המסך USER & OBJECTSנוכל לראות בעמודה השמאלית SERVICE GROUPשם נלחץ על .NEW במסך זה נלחץ על NEW © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase כפי שניתן לראות צריך לבחור UDPולאחר מכן להגדיר את הפורטים שקיבלנו מהספק של המרכזייה רוב המרכזיות עובדות על ברירת מחדל של 5000-29900 UDPו 5161עד 5161לטובת הרישום של הטלפונים מול המרכזייה. 28 © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase ו 5161עד 5161לטובת הרישום של הטלפונים מול המרכזייה. 29 בסיום נוכל לראות כי נוספו שני השירותים לקבוצה ואז נלחץ APPLY בסיום נוכל לראות כי נוספו שני השירותים לקבוצה ואז נלחץ APPLY © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase השלב הבא ניצור אובייקט לטובת המרכזייה 30 במסך הנ"ל נלחץ שוב על NEW ויופיע המסך הבא: כאן נבחר בסוג , SINGLE IPנזין את כתובת השרת הפנימית בשם נכתוב MERKAZIYAאו .PBX © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase השלב הבא יהיה ליצור חוק NATשינתב את כלל התעבורה בפורטים של הטלפוניה לכיוון המרכזייה 31 במסך זה נלחץ על NEWהתחתון מבין השניים( .לא זה שכתוב ) NEW SERVER במסך זה נבחר ב THIS GATEWAYתחת ORIGINAL DESTINATIONוב ORIGINAL SERVICEנבחר בקבוצה שיצרנו בתחילת התהליך לאחר מכן נגדיר תחת TRANSLATED DESTINATIONאת האובייקט שהגדרנו לטובת המרכזייה. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase : ויופיע המסך הבאPOLICY נלחץ עלACCESS POLICY במסך הבא תחת הלשונית 32 NEW נלחץ עלINCOMING INTERNAL AND VPN TRAFFIC ואז תחת ACCEPT ולבסוףTHIS GATEWAY נבחרDESTINATION ותחתSERVICE במסך שיופיע נבחר את קבוצת השירותים שיצרנו תחת .בשלב זה השיחות צריכות לעבור All rights reserved to Atera Networks Ltd. © Proffesional Knowledgebase הגדרת רשת אלחוטית לאורחים 33 תחת הלשונית DEVICEנוכל למצוא WIRELESS NETWORK כפי שניתן לראות בצילום המסך. כאן נלחץ על NEWושם תהיה לנו אפשרות לבחור בין STANDARDל :GUEST במסך זה נבחר ב GUEST © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase :המסך הבא יפתח 34 "במסך זה נשאיר כפי שהוא המוגדר לאורחים כ"נקודת גישה חמה All rights reserved to Atera Networks Ltd. © Proffesional Knowledgebase נעבור ללשונית WIRELESS NETWORK 35 כאן נוכל לקבוע את טווח הכתובות אותן יקבלו אילו שיתחברו לרשת הזו ,או לחילופין לחבר אותה לרשת הפנימית ושהמשתמשים יקבלו כתובות מתוך ה . LAN במקרה כזה יהיה חשוב להגדיר אבטחה על הרשת. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase נעבור ללשונית ACCESS POLICY 36 במסך זה נוכל להגדיר האם יהיו רשאים לגשת ממנה לתוך הרשת הפנימית או לא והאם לדגום את התעבורה מהרשת הזו לכיוון הרשת הפנימית. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase DHCP נעבור ללשונית 37 כאן נוכל לקבוע הגדרות כגון . במידה ונרצה שיהיה שער יציאה שונה לרשת הזוDEFAULT GATEWAY ו,WINS , DNS שרתי All rights reserved to Atera Networks Ltd. © Proffesional Knowledgebase הגדרת URL filtering במסך זה נגדיר את השימוש בחסימת גישה לאתרים ,כפי שניתן לראות יש קבוצות סיכון קבועות מראש. ונוכל גם לחילופין להגדיר ידנית קבוצות משלנו תחת .USERS & OBJECTS 38 על ידי לחיצה על מקש ה NEW נוכל ליצור קבוצה שתכיל את השירותים אותם נרצה לחסום או URLספציפי. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase לצורך ההמחשה בחרנו ב APPLICATION GROUP 39 למשל אם נרצה לחסום כל מיני תוכנות הורדה למיניהן נציין את שם הקבוצה ונלחץ על ALL לאחר מכן בשורת החיפוש נקיש P2Pונסמן ב Vאת כל אותן תוכנות שנרצה לחסום. בסיום נקיש APPLY © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase לאחר מכן נצטרך להגדיר חוק יציאה שחוסם בדרך הבאה: נעבור ללשונית ACCESS POLICYולאחר מכן נלחץ על POLICY 40 במסך זה תחת OUTGOINGנלחץ על NEW בחרנו את ה APPLICATION GROUPכאשר המקור הוא ANYוהיעד הוא האינטרנט והגדרנו לחסום. © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase הגדרת ניתוב למודם שע"מ תחילה נגדיר את הפורט כרשת נפרדת .אם חיברנו את המודם ל 8 LANבצד הצ'קפוינט, ניגש ללשונית DEVICEולאחר מכן ל ,LOCAL NETWORKלאחר מכן נלחץ כפתור ימני על 8LANונלחץ על .EDIT 41 בחלון זה נקצה כתובת לנקודה אשר מאוחר יותר נוכל לנתב אליה את הפניות. את שאר ההגדרות נשאיר כפי שהן .ולסיום נלחץ .APPLY © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase לאחר מכן נעבור לחלון ROUTING בחלון זה נלחץ על NEW 42 במסך זה נגדיר את היעד שהוא ברוב מקרי השע"מ 11.2.2.21או 11.2.2.13 תחת MASKהיות ומדובר בכתובת ספציפית ולא רשת שלמה נקיש 255.255.255.255 ונלחץ OK © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase לאחר מכן נגדיר את הצעד הבא שהוא הכתובת אותה הקצינו לטובת הרגל שמול המודם כפי שנוכל לראות מטה: 43 לסיום נלחץ על OK ואז על .APPLY © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase הגדרת ניתוב ל WAN2 בחלון זה נלחץ על :NEW 44 בחלון זה נגדיר את ה SOURCEלכתובת של התחנה \ שרת אותו נרצה לנתב ליציאה מ WANספציפי. ואז נלחץ OK © All rights reserved to Atera Networks Ltd. Proffesional Knowledgebase NEXT HOP לאחר מכן נגדיר לו את ה 45 . אליו נרצה לנתב את היציאה של אותה תחנה \ שרתWAN שיהיה הכתובת החיצונית של הNEXT HOP ה All rights reserved to Atera Networks Ltd. © Proffesional Knowledgebase לינקים להורדה לחץ כאן399 גרסה- Latest firmware ווינדוס – לחץ כאןVPN client 46 All rights reserved to Atera Networks Ltd. ©
© Copyright 2024