Checkpoint的安裝流程

·安裝流程：

Firewall-1提供的Check Point管理軟件不能在Linux系統上運行。目前的版本僅支持 Windows NT、Windows 2000和一些UNIX系統（例如Solaris）。因此，要使用Firewall-1， 需要另增一臺計算機作為管理工作站。Firewall-1 for Solaris管理軟件工作得并不好，所 以我個人推薦使用基于Windows NT或Windows 2000版本的管理軟件。雖然Firewall-1管理軟 件包含在同一張光盤上，但它必須與Firewall網關軟件分開獨立安裝。
快速提示：我幾乎對我所有的Red Hat Linux系統安裝都使用kickstart build。kickstart 安裝讓我能夠從一個包含了所有升級更新的Red Hat安裝目錄進行快速安裝，而且不需要參 與到安裝過程－－所有安裝問題的回答都已在kickstart的配置文件中了。關于kickstart的 更多信息請訪問以下鏈接文檔：


通常說來，安裝Firewall-1的Linux系統的分區需求如下：
* /（根分區），根分區包含了基本的系統結構?？臻g大約為100－200MB。
* swap（交換分區）。這應該和系統內存大小差不多。
* 建議設置獨立的/usr分區。/usr是Red Hat Linux系統安裝大多數應用程序的目錄。為 /usr分區大約需預留1GB的空間。
* 設置獨立的/var分區也有一定幫助。大多數的動態數據，例如spool文件、日志文件等， 都存放在這里。但是在Linux系統中安裝Firewall-1時，Firewall-1的日志文件是存放到 /opt，而不是/var目錄下。因此為/var分區預留200MB或稍大一些的空間就基本足夠了。
* 由于Firewall-1缺省被安裝到/opt目錄下。該目錄包含了Firewall-1軟件程序、配置文件 和日志文件等。對于Firewall-1機器，應為其分配盡可能大的分區。
如果是從CD（或其它手工安裝方式）安裝系統，則以上所有分區都能夠手工創建。我測試安 裝Firewall-1系統時用的kickstart配置文件（ks.cfg）文件中定義了如下分區：
part / --size 200
part swap --size 128
part /usr --size 1000
part /var --size 200
part /opt --size 1
--grow 注意在定義/opt分區時"--grow"參數的使用，它使該分區使用磁盤的所有剩余空間。

安裝Firewall-1前做一下配置：
* 編輯/etc/.netd.conf文件，禁用所有不需要的服務。通常我是把該文件中所有的服務都 禁用。對于telnet，可用OpenSSH替代。
* 運行ntsysv關閉任何不需要的服務。特別地，Firewall-1系統不應該運行大多數的標準服 務。例如我把除了crond、network、random、sshd和syslog以外的其它服務都關閉了。
* 重啟系統，運行"netstat -a"命令查看該機器還打開了什么端口。如果發現你不期望或不 清楚的開放端口，就應該仔細分析研究了。
* 確保所有網卡都被安裝且正常工作（可使用"netconf"程序），和路由表設置正確。在這 里，通?？梢酝ㄟ^"ping"命令來確保系統的網絡功能正常。這樣使后面可能的問題調試更加 簡單些。


安裝Firewall-1
cd /cdrom/cdrom0
./InstallU
* 讀取和接受許可協議。
* 選擇安裝方式?？蛇x項為(1) VPN-1 & FireWall-1 Stand Alone Installation（統一安 裝）和 (2) VPN-1 & FireWall-1 Distributed Installation（單獨安裝）。對于單一型 的防火墻，應該選擇選項(1)。如果采用分布式防火墻并由防火墻管理控制臺管理，可以 選擇選項(2)。請確保你擁有足夠的Firewall-1許可證！
* 選擇一個Firewall-1模塊?？蛇x項為(1) VPN-1 & FireWall-1 - Limited hosts (25, 50, 100, 250)、(2) VPN-1 & FireWall-1 - Unlimited hosts 和 (3) VPN-1 & FireWall-1 - SecureServer。如果你有無限制IP地址的許可證，應該選擇選項(2)。如果 你的許可證是有IP地址限制的，請選擇選項(1)。
* Do you wish to start VPN-1 & FireWall-1 automatically from /etc/rc.d/rc3.d and /etc/rc.d/rc5.d (y/n) [y] ? 此處應回答y（yes）。 * 配置許可證。不要在這里增加任何許可證，而應該使用"fw putlic"命令。 * 設置系統管理員。在這里應該增加至少一名系統管理員（例如"fwadmin"用戶）及其口 令。另外應該為該系統管理員賦予寫（"W"）權限。
* 配置GUI客戶。在這里應該增加至少一個GUI客戶，即Firewall-1管理工作站的IP地址。
* 配置SMTP服務順。Firewall-1提供發送報警電子郵件的功能。如果希望使用該功能，就需 要在這里進行相應配置。
* 配置SNMP extension。出于安全方面的考慮，不推薦在Firewall-1激活SNMP extension。 然而在可管理網絡環境中也許需要該功能支持。
* 配置用戶組。它允許設置除root外該組中的用戶能夠啟動或停止Firewall-1軟件。不推薦。
* 配置IP轉發。它允許在啟動時禁止IP轉發選項。推薦使用該選項。
* 配置缺省過濾器。它允許在啟動時使Firewall安裝缺省的過濾器。建議選擇(N)，因為該 功能似乎會對網絡堆棧的正常工作有影響。
* 配置隨機數池(Random Pool)。Firewall-1使用在這里輸入的隨機字符串來對隨機數池進 行初始化。
* 啟動Firewall-1。此時可能會出現一條錯誤消息：“FW-1: only 25 internal hosts allowed”，因為此時還未安裝Firewall-1許可證。

在Firewall-1安裝后，應該執行如下任務：
* 立刻退出登錄并再次登錄。Firewall-1的安裝程序會在/etc/profile.d中安裝一些額外的 腳本，以使缺省路徑中包含Firewall-1可執行程序（/etc/fw/bin）的路徑。退出登錄并 再次登錄就能正確設置缺省路徑了。
* 安裝Firewall-1許可證。使用Firewall-1許可證書電子郵件中的命令。
* 登錄到管理工作站上，安裝Check Point管理客戶，運行策略編輯器，然后連接到防火墻。
* 創建網絡對象和規則！

Firewall-1具有從單個管理模塊控制多臺防火墻的功能。在討論之前，先解釋幾個概念：
* 管理工作站。這是運行Check Point管理軟件的Windows NT或Windows 2000工作站。它允 許用戶瀏覽、編輯和刪除防火墻規則，和與Firewall-1管理模塊通訊。
* Firewall-1管理模塊。這是一個運行在一臺或多臺Firewall-1系統中的"fwm"守護進程。 它接受來自管理工作站的連接，接受規則的更新，和在一個或多個執行模塊中進行分發。
* 執行模塊。這是用于執行規則集的"fwd"守護進程和"fwmod.2.2.x"內核模塊。它運行于互 聯網網關上。

通常都是在同一臺機器（互聯網網關）上運行Firewall-1管理模塊(fwm)和執行模塊。然而 這卻不是必須的，特別在有多臺互聯網網關，或者多個信任網絡之間的多臺網關的情況下。
在安裝過程中會提示兩種安裝方式，它們是：
* VPN-1 & FireWall-1 Stand Alone Installation（統一安裝）
* VPN-1 & FireWall-1 Distributed Installation（單獨安裝）

Firewall-1統一安裝方式在同一臺機器上統一安裝管理模塊和執行模塊。單獨安裝則允許指 定其中之一模塊，或兩模塊都安裝。
例如，X公司在美國擁有一個廣域網絡。WAN中大多數的網站通過幀中繼連接，而在San Francisco和New York的兩個節點各有互聯網連接。此時就可能需要單獨安裝方式：在New York節點安裝管理模塊和執行模塊；在San Francisco節點僅安裝執行模塊。這樣可從中央 管理控制臺控制這兩臺防火墻，且僅能連接到New York防火墻來同時更新防火墻規則集。
一定要確保在安裝Firewall-1前選擇正確的安裝方式。如果選擇了統一安裝方式，則當試圖 在多個執行模塊中應用一個規則集時會產生錯誤！因此事前必須對網絡的結構和互聯網連接 方式有足夠的了解。

在Linux安裝防火墻模塊之前（或剛安裝完之后），應在Windows系統安裝Firewall-1 GUI。 只需將光盤插入光盤驅動器中，根據自動運行的安裝程序的指示操作即可。 如果安裝程序沒有自動啟動，則可手工運行它。（位于光盤的\windows\CPMgmtClnt-41目錄 下的SETUP.EXE程序。）
文字
,

原文轉自：http://www.kjueaiud.com