על מנת לבצע את המאמר, יש לעבור תחילה על המאמרים הבאים:
CheckPoint R80.40
התקנת Checkpoint R80.40 עם הגדרת רשת DMZ וניתובים
הורידו את ההתקנה של Checkpoint R80.40
בהתקנה זו, נבצע התקנה מסוג Distributed Deployment נגדיר רשת אמצעית DMZ, רשת פנימית ורשת חיצונית שכבר קיימת וממנה אתם תבינו כיצד הטופולוגיה עובדת.
הכנה:
- FW01 – התקינו בו CheckPoint GAiA R80.40
- FW02 – התקינו בו CheckPoint GAiA R80.40
- Windows 10 – מותקן בו כרום ו SmartDashboard R80.40 (הוא PC1 שלפי התרשים)
כרטיסי רשת:
- FW01
- eth0 – LAN
eth1 – DMZ - FW02
eth0 – DMZ
eth1 – Bridged - Windows 10
eth0 – LAN
אחרי שהתקנתם את הכל נתחיל בהגדרות ראשוניות:
Windows 10
נתחיל מה Windows 10 הנמצא בLAN1
נגדיר את הרשת במכונה
נגדיר כתובת IP
FW01
כרטיס הרשת הראשון הוא LAN ולכן הוא eth0
כרטיס הרשת השני הוא eth1 ולכן הוא DMZ
כעת נתקין את ה FW01
כעת נלחץ על OK
הבא
הבא
הגדירו סיסמא לAdmin
נבחר את הכרטיס רשת הראשון שהוא eth0
והוא נמצא ברשת LAN – ולכן נגדיר את הכתובת (חשוב להשתמש בטופולוגיה שהגדרתי)
כעת נתחבר אליו ממחשב PC1 , נפתח את הדפדפן (כרום)
נזין את כתובת הIP
https://172.16.1.1
כעת נתחבר עם שם המשתמש admin והסיסמא שהגדרתם
כעת נלחץ על הבא
הבא
נשאיר את הכתובת אייפי כמו שהגדרנו בהתקנה ונלחץ על הבא
נגדיר את ה IP של eth1 שלפי התרשים הוא 10.1.1.2/24
ניתן את השם FW01 והDNS נגדיר את גוגל
הבא
בגלל שבטופולוגיה זו אנו מגדירים שהFW הוא גם הניהול וגם ה Security Gateway אז נשאיר את שני ה V מסומנים
נשאיר את המשתמש admin והבא
כל כתובת IP יכולה לגשת לניהול – הבא
סיום
ההתקנה תתחיל ובסיום המתינו עד שיעלה ההתחברות לפאנל הניהול
כעת התחברו
בדקו בNetwork Interfaces שהכתובות מוגדרות כך:
כעת נגדיר את ה Default Gateway של FW01, זאת אומרת בכל פעם שהFW לא ידע איך להגיע לכתובת מסוימת, נאמר 8.8.8.8 הוא יפנה את התעבורה (ניתוב סטטי) אל הכתובת שנגיד לו.
לפי הסכמה , FW01 מחובר לרשת דרך FW02 בפורט 10.1.1.1, הסתכלו בסכמה
לכן נגדיר כעת את ה Default Gateway הFW01 לכתובת 10.1.1.1 למרות שעדיין לא יצרנו את FW02
עברו ללשונית IPv4 Static Routes ולחצו על Default (זה ה Default Gateway של FW01)
כעת לחצו על Add Gateway ואז Ip Address
נגדיר את הכתובת 10.1.1.1 ואז OK
כך זה צריך להיראות
כעת נתקין SmartConsole ב Windows 10
לאחר ההורדה הפעילו את ההתקנה והתקינו את הקונסול
בסיום FInish והקונסול יעלה
הזינו את שם המשתמש admin והסיסמא, הוסיפו את כתובת ה IP של ה CHKP שהתקנו
כעת נעבור ל Security Policies שם נוכל להבחין בחוק המפורסם ה Cleanup Rule , בשביל לחסוך לנו תקלות בהמשך וזו סביבת מעבדה, נהפוך את החוק כרגע ל Allow
על ידי קליק ימני על Drop ואז שנו ל Accept
כעת נתקין את החוק שהגדרנו
לחצו על Install
Publish & Install
Install
כעת נייבא את הטופולוגיה ונגדיר NAT, עברו ללשונית Gateways & Servers
לחצו פעמיים על FW01
כעת בלשונית Network Management נעבור ל Get Interfaces With Topolgy
כן
Accept
בגלל שלפי הטופולוגיה אנחנו יודעים שמכרטיס eth1 נוכל לצאת לאינטרנט, נגדיר אותו כעת כDefault Gateway שלנו ונהפוך אותו ל External
נלחץ עליו פעמיים ( על eth1)
ואז Modify
סמנו Internet External
אישור ואישור
כעת עברו לNAT
וסמנו בV את ההגדרה בה כל הכתובות מאחורי הכתובת החיצונית של הCHKP
שוב נבצע Install
FW02
כרטיס הרשת הראשון הוא DMZ ולכן הוא eth0
כרטיס הרשת הראשון הוא Bridge ולכן הוא eth0
כאן אחסוך לכם בתמונות, ההתקנה היא בדיוק כמו FW01 חוץ מכתובת ה IP של eth0
הכתובת של eth0 היא חלק מהכתובת של רשת DMZ ולפי הטופולוגיה שבניתי הכתובת היא 10.1.1.1
סיימו את ההתקנה והמתינו שהשרת יעלה
כעת נעבור ל Windows 10 ונפתח CMD נבדוק שיש לנו פינג ל 10.1.1.2 שהוא כתובת בתוך ה FW01 אבל הכתובת 10.1.1.2 היא כתובת בFW02 ונוודא שאנו מגיעים לכתובת זו
אם אתם לא מגיעים לכתובת 10.1.1.1 בדקו שלא פיספסתם שום הגדרה, פתחו את דפדפן כרום וכתבו
https://10.1.1.1
התחברו אל ה Webui
לחצו הבא הבא כמו בהתקנה של FW01 עד לכתובות IP את הכתובת 10.1.1.1, אין מה לשנות ולחצו על הבא
הגדירו כתובת שהיא ע”פ הטופולוגיה 192.168.1.254 כיוון שזו הכתובת של הרשת החיצונית שלי (המחשב הפיזי שלי) אתם במחשב הפיזי שלכם תבדקו מה הרשת שלכם ותתנו כתובת שלא תפוסה
למשל ברשת הפיזית שלי הכתובת 192.168.1.1 זה באמת ה Default Gateway של הראוטר של בזק ולכן נתתי את הכתובת 192.168.1.254
לחצו הבא ותנו את השם FW02 וDNS 8.8.8.8 והבא עד לסיום ההתקנה
בסיום ההתקנה המתינו שהמערכת תעלה
כעת נמתין שהWebUI יעלה, נתחבר אליו עם המשתמש admin והסיסמא
נזין שם משתמש וסיסמא
נעבור ללשונית Ipv4 Static Routes ושם נלחץ על Default
נלחץ על Add Gateway ונוסיף את הכתובת של ה Default Gateway של הראוטר האמיתי (של בזק לצורך העניין)
כדי לבדוק מה הכתובת המדוייקת יש לפתוח את ה CMD במחשב הפיזי שלכם, Ipconfig ולבדוק מה Default Gateway שלכם
כעת נלחץ על Add ואז נזין את הרשת שאנחנו רוצים ש FW02 יכיר, הרשת הזו היא 172.16.1.0
בגלל שאין לו חיבור ישיר לרשת זו, אנו צריכים “להגיד” לו איך להגיע לרשת הזו, לכן הזנתי את הרשת 172.16.1.0 ואז “אמרתי” לו שכדי להגיע לרשת זו יש לצאת דרך 10.1.1.2 , זכרו , בניתוב אתם לא אומרים לו מאיזה כתובת IP שלו לצאת, אלא איזה כתובת IP של הראוטר שמחובר אליו
לכן 10.1.1.2 זו הכתובת של FW01 והוא יודע להגיע לכתובת זו כי יש לו פורט עם הכתובת 10.1.1.1
כעת נפתח את ה Smart Console
נזין שם משתמש וסיסמא
נלחץ פעמיים על FW02
לחצו על Network Management ואז Get Intercaes with topology
כן
לחצו על eth1
Modify
הגדירו אותו כ Internet
אישור ואישור
עברו לNAT וסמנו Hide כמו בתמונה ואז לחצו אישור
כעת נחזור לSecurity Polices סמנו ל Cleanup שהוא Accept
ואז Install Policy
Install
כעת נעבור ל FW02 ונוודא שיש לו פינג לכתובת
172.16.1.10 שזו מכונת הווינדוס 10
8.8.8.8 , גוגל, שיש לנו יציאה לאינטרנט
מצויין, לאחר שלב זה, נבדוק בWindows 10 שיש פינג ל8.8.8.8 ויש לנו רשת