Home אבטחת מידעFirewalls התקנת Checkpoint R80.40 עם הגדרת רשת DMZ וניתובים

התקנת Checkpoint R80.40 עם הגדרת רשת DMZ וניתובים

by Tal Ben Shushan 25/07/2020 0 comment
התקנת Checkpoint R80.40 עם הגדרת רשת DMZ וניתובים
נהנתם מהמאמר ? שתפו אותו!

על מנת לבצע את המאמר, יש לעבור תחילה על המאמרים הבאים:
CheckPoint R80.40


התקנה זו, נבצע התקנה מסוג Distributed Deployment נגדיר רשת אמצעית DMZ, רשת פנימית ורשת חיצונית שכבר קיימת וממנה אתם תבינו כיצד הטופולוגיה עובדת.

הכנה:

  • FW01 – התקינו בו CheckPoint GAiA R80.40
  • FW02 – התקינו בו CheckPoint GAiA R80.40
  • Windows 10 – מותקן בו כרום ו SmartDashboard R80.40 (הוא PC1 שלפי התרשים)

כרטיסי רשת:

  • FW01
  • eth0 – LAN
    eth1 – DMZ
  • FW02
    eth0 – DMZ
    eth1 – Bridged
  • Windows 10
    eth0 – LAN

אחרי שהתקנתם את הכל נתחיל בהגדרות ראשוניות:

Windows 10

נתחיל מה Windows 10 הנמצא בLAN1

נגדיר את הרשת במכונה

נגדיר כתובת IP

FW01

כרטיס הרשת הראשון הוא LAN ולכן הוא eth0

 

כרטיס הרשת השני הוא eth1 ולכן הוא DMZ

כעת נתקין את ה FW01

כעת נלחץ על OK

הבא

הבא

הגדירו סיסמא לAdmin

נבחר את הכרטיס רשת הראשון שהוא eth0

והוא נמצא ברשת LAN – ולכן נגדיר את הכתובת (חשוב להשתמש בטופולוגיה שהגדרתי)

 

כעת נתחבר אליו ממחשב PC1 , נפתח את הדפדפן (כרום)

נזין את כתובת הIP

https://172.16.1.1

כעת נתחבר עם שם המשתמש admin והסיסמא שהגדרתם

כעת נלחץ על הבא

הבא

נשאיר את הכתובת אייפי כמו שהגדרנו בהתקנה ונלחץ על הבא

נגדיר את ה IP של eth1 שלפי התרשים הוא 10.1.1.2/24

 

ניתן את השם FW01 והDNS נגדיר את גוגל

הבא

 

בגלל שבטופולוגיה זו אנו מגדירים שהFW הוא גם הניהול וגם ה Security Gateway אז נשאיר את שני ה V מסומנים

נשאיר את המשתמש admin והבא

כל כתובת IP יכולה לגשת לניהול – הבא

 

סיום

ההתקנה תתחיל ובסיום המתינו עד שיעלה ההתחברות לפאנל הניהול

 

כעת התחברו

בדקו בNetwork Interfaces שהכתובות מוגדרות כך:

כעת נגדיר את ה Default Gateway של FW01, זאת אומרת בכל פעם שהFW לא ידע איך להגיע לכתובת מסוימת, נאמר 8.8.8.8 הוא יפנה את התעבורה (ניתוב סטטי) אל הכתובת שנגיד לו.

לפי הסכמה , FW01 מחובר לרשת דרך FW02 בפורט 10.1.1.1, הסתכלו בסכמה
לכן נגדיר כעת את ה Default Gateway הFW01 לכתובת 10.1.1.1 למרות שעדיין לא יצרנו את FW02

עברו ללשונית IPv4 Static Routes ולחצו על Default (זה ה Default Gateway של FW01)

כעת לחצו על Add Gateway ואז Ip Address

נגדיר את הכתובת 10.1.1.1 ואז OK

כך זה צריך להיראות

כעת נתקין SmartConsole ב Windows 10

 

לאחר ההורדה הפעילו את ההתקנה והתקינו את הקונסול

בסיום FInish והקונסול יעלה

הזינו את שם המשתמש admin והסיסמא, הוסיפו את כתובת ה IP של ה CHKP שהתקנו

כעת נעבור ל Security Policies שם נוכל להבחין בחוק המפורסם ה Cleanup Rule , בשביל לחסוך לנו תקלות בהמשך וזו סביבת מעבדה, נהפוך את החוק כרגע ל Allow

על ידי קליק ימני על Drop ואז שנו ל Accept

כעת נתקין את החוק שהגדרנו

לחצו על Install

Publish & Install

Install

כעת נייבא את הטופולוגיה ונגדיר NAT, עברו ללשונית Gateways & Servers

לחצו פעמיים על FW01

כעת בלשונית Network Management נעבור ל Get Interfaces With Topolgy

כן

Accept

בגלל שלפי הטופולוגיה אנחנו יודעים שמכרטיס eth1 נוכל לצאת לאינטרנט, נגדיר אותו כעת כDefault Gateway שלנו ונהפוך אותו ל External

נלחץ עליו פעמיים ( על eth1)

ואז Modify

סמנו Internet External

אישור ואישור

כעת עברו לNAT

וסמנו בV את ההגדרה בה כל הכתובות מאחורי הכתובת החיצונית של הCHKP

שוב נבצע Install

 

FW02

כרטיס הרשת הראשון הוא DMZ ולכן הוא eth0

כרטיס הרשת הראשון הוא Bridge ולכן הוא eth0

 

כאן אחסוך לכם בתמונות, ההתקנה היא בדיוק כמו FW01 חוץ מכתובת ה IP של eth0

הכתובת של eth0 היא חלק מהכתובת של רשת DMZ ולפי הטופולוגיה שבניתי הכתובת היא 10.1.1.1

סיימו את ההתקנה והמתינו שהשרת יעלה

כעת נעבור ל Windows 10 ונפתח CMD נבדוק שיש לנו פינג ל 10.1.1.2 שהוא כתובת בתוך ה FW01 אבל הכתובת 10.1.1.2 היא כתובת בFW02 ונוודא שאנו מגיעים לכתובת זו

אם אתם לא מגיעים לכתובת 10.1.1.1 בדקו שלא פיספסתם שום הגדרה, פתחו את דפדפן כרום וכתבו

https://10.1.1.1

התחברו אל ה Webui

לחצו הבא הבא כמו בהתקנה של FW01 עד לכתובות IP את הכתובת  10.1.1.1, אין מה לשנות ולחצו על הבא

הגדירו כתובת שהיא ע”פ הטופולוגיה 192.168.1.254 כיוון שזו הכתובת של הרשת החיצונית שלי (המחשב הפיזי שלי) אתם במחשב הפיזי שלכם תבדקו מה הרשת שלכם ותתנו כתובת שלא תפוסה

למשל ברשת הפיזית שלי הכתובת 192.168.1.1 זה באמת ה Default Gateway של הראוטר של בזק ולכן נתתי את הכתובת 192.168.1.254

לחצו הבא ותנו את השם FW02 וDNS 8.8.8.8 והבא עד לסיום ההתקנה

בסיום ההתקנה המתינו שהמערכת תעלה

כעת נמתין שהWebUI יעלה, נתחבר אליו עם המשתמש admin והסיסמא

נזין שם משתמש וסיסמא

נעבור ללשונית Ipv4 Static Routes ושם נלחץ על Default

נלחץ על Add Gateway ונוסיף את הכתובת של ה Default Gateway של הראוטר האמיתי (של בזק לצורך העניין)

כדי לבדוק מה הכתובת המדוייקת יש לפתוח את ה CMD במחשב הפיזי שלכם, Ipconfig ולבדוק מה Default Gateway שלכם

כעת נלחץ על Add ואז נזין את הרשת שאנחנו רוצים ש FW02 יכיר, הרשת הזו היא 172.16.1.0

בגלל שאין לו חיבור ישיר לרשת זו, אנו צריכים “להגיד” לו איך להגיע לרשת הזו, לכן הזנתי את הרשת 172.16.1.0 ואז “אמרתי” לו שכדי להגיע לרשת זו יש לצאת דרך 10.1.1.2 , זכרו , בניתוב אתם לא אומרים לו מאיזה כתובת IP שלו לצאת, אלא איזה כתובת IP של הראוטר שמחובר אליו

לכן 10.1.1.2 זו הכתובת של FW01 והוא יודע להגיע לכתובת זו כי יש לו פורט עם הכתובת 10.1.1.1

כעת נפתח את ה Smart Console

נזין שם משתמש וסיסמא

נלחץ פעמיים על FW02

לחצו על Network Management ואז Get Intercaes with topology

כן

לחצו על eth1

Modify

הגדירו אותו כ Internet

אישור ואישור

עברו לNAT וסמנו Hide כמו בתמונה ואז לחצו אישור

כעת נחזור לSecurity Polices סמנו ל Cleanup שהוא Accept

ואז Install Policy

Install

 

כעת נעבור ל FW02 ונוודא שיש לו פינג לכתובת

172.16.1.10 שזו מכונת הווינדוס 10

8.8.8.8 , גוגל, שיש לנו יציאה לאינטרנט

 

מצויין, לאחר שלב זה, נבדוק בWindows 10 שיש פינג ל8.8.8.8 ויש לנו רשת

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

מאמרים קשורים

Leave a Comment