CheckPoint的下一代防火墙

PC端可以访问

https://www.liuluanyi.cn

此篇文章目的为CheckPoint的下一代防火墙功能技术回顾，自我感觉CheckPoint的技术还是挺不错的，只不过它的操作和和部署挺麻烦的。在部署的过程如果一个环节出错了，都会给自己造成不小的困扰。

CheckPoint是一款软件化的防火墙，很像是在Linux上装一个软件一样。不过这也是多数防火墙的趋势，在一个自己集成的系统上进行部署。简单说几点它与其它厂商的防火墙的不同：

1. CheckPoint的在安装的时候并不是把所有的功能都开启，就拿和路由交换类的思科Nexus交换机来打个比方吧：如果你需要开启ospf功能，你需要使用feature命令进行启用。CheckPoint在安装的时候，就是根据自己的需要对功能进行勾选，选择性安装。（当然有的功能需要收费）
2. CheckPoint在部署策略的时候和别的厂商思想不太一样：如Juniper的SRX，PaloAlto等等是基于zone的形式进行放行，思科ASA有安全域，说白了是基于Security level的等级来放行的。而CheckPoint是Global Policy,在上图可以观察到。
3. 每个GW的接口都要建立详细的Network Object与之对应关联，且接口下默认开启防地址欺骗功能。
4. GW模式默认是无法Ping通，但是不会影响通信。后续SM会有策略放过，当然也可以卸载默认策略，或临时开启皆可。
5. CheckPoint的Policy有分层子选项卡功能。
6. V**实施部署待大家自己发现，它的部署方式也有所区别

下面演示一下环境安装部署（设备OS版本R80.10）过程：

上面的过程除了设置密码，可以一直进行下一步操作。如果需要更改可以在CLI下进行修改，也可以在GUI界面进行修改。

根据需要，小心勾选（如果是真机，默认有出厂恢复文件）

SIC key是为了后面与主SM进行关联进行管理

设备关联完成效果图：