Checkpoint防火墙安全配置手册V11 下载本文

的主界面。除了防火墙对象自动成生以外,其它对象还未定义。策略还是处于空白状态。

4、首先定义防火墙对象,双击Network Objects — Checkpoint — IP350(防火墙名字)对象,出现下面的窗口,在General Properties中将FloodGate-1 勾掉(Disable)。FloodGate-1是用于带宽管理的软件,在此处不需要。如果用户没有VPN应用,可以将VPN-1 pro和VPN-1 net都勾掉(Disable)。见下图

5、在左边点击Topology,定义防火墙的拓扑结构和Anti-Spoofing(地址欺骗),首先点击Get Topology按钮,使Checkpoint Firewall-1自动获取到防火墙上所有已定义出的网卡。

6、获取的网卡地址将显示在下列的窗口中,点击Accept确认。

7、双击每块网卡,并点出弹出窗口中的Topology标签项,定义网卡的Anti-Spoofing,对于防火墙连接内部的网卡,选择Internal (Leads to the local),IP Addresses behind this中选择 Network defined by the interface IP and Net Mask。Anti-Spoofing中将Perform Anti-Spoofing base on interface勾上(Enable)。这样定义以后,所有来自非内部网卡所有网段的数据包都将被防火墙内部网卡丢弃掉。

注意:如果防火墙内部有多个网段,建议用户使用以下方法定义Anti-Spoofing:

1、 在防火墙Network Objects — Network中定义各个网段;

2、 在防火墙Network Objects — Group中定义一个组,将各个网段加入这个组

中;

3、 双击防火墙的的内部网卡,定义Topology时,IP Addresses behind this中选

择Specified,在下拉条中选择刚才定义的Group。