Как подключиться к checkpoint по qr

Обновлено: 04.07.2024

В этой статье данная статья позволяет решить проблему, из-за которой современные приложения не могут подключаться к Интернету после подключения к корпоративной сети с помощью VPN-программного обеспечения Check Point.

Применяется к: Windows 8
Исходный номер КБ: 2855849

Симптомы

Рассмотрим следующий сценарий.

• Вы используете версию VPN удаленного доступа к конечным точкам Check Point, которая является более ранней, чем E80.50.
• Успешно запущены Windows 8 (Store Apps) и классические настольные приложения.
• Подключение к корпоративной сети с помощью клиентского программного обеспечения Check Point VPN в "концентраторном режиме" (то есть весь трафик проходит через виртуальный сетевой адаптер).
• После подключения индикатор состояния сети показывает, что подключение к Интернету полностью доступно.

В этом сценарии классические приложения могут успешно подключаться к Интернету. Однако современные приложения не могут подключаться. Кроме того, компьютерная версия Windows Internet Explorer 10 не может подключиться, если включен режим расширенной безопасности.

Причина

Эта проблема возникает из-за того, что установленный брандмауэр не может устанавливать правила, позволяющие современным приложениям общаться через виртуальную частную сеть.

Решение

Чтобы устранить эту проблему, установите check Point VPN E80.50 (ожидается, что она будет доступна осенью 2013 г.) на следующем веб-сайте Центра поддержки контрольных точек:

Обходной путь

Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы решить эту проблему, запустите следующий Windows PowerShell, чтобы изменить скрытое свойство для виртуального сетевого интерфейса в реестре:

Этот сценарий также задокументирован на следующем веб-сайте Check Point: Microsoft Store (Windows 8) приложение не удается связаться с помощью VPN-туннеля.

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не гарантирует точность этих сторонних контактных данных.

Знакомимся с Check Point — как развернуть тестовую среду, где взять дистрибутив для образовательных целей, начальная настройка, использование SmartConsole.

Хотя уже некоторое время занимаюсь сетями, постоянно встречаюсь с устройствами и технологиями, с которыми раньше не работал. В основном из-за большого числа вендоров и самих технологий.

Сегодня очередь немношк разобраться с Check Point Security Gateway (CP). В нете полно статей, все они мало помогут без возможности пощупать технологию руками. Эта же статья поможет быстро развернуть стенд и дальше уже свобода творчества для каждого. Каких-то супер примеров не будет, но если раньше не работал с CP, думаю хорошо поможет.

Место CP FW в корпоративной сети

Чтобы было понятно чего я там собрался настраивать, сначала обозначим где располагается CP в нашей сети. Это конечно же не единственный вариант, но рабочая схема, применяемая в продакшене.

Предположим что есть большая корпоративная сеть, подключенная к нескольким провайдерам (ISPs). Непосредственно к ISPs подключён граничный маршрутизатор/маршрутизаторы компании (CE, Customer Edge). Этот маршрутизатор анонсирует по BGP IPv4 PI-блок адресов (Provider Independent) в сторону роутера ISP (PE, Provider Edge).

На линке между CE и PE используются транспортные адреса, выданные провайдером. Обычно это публичные IPv4 адреса. То есть эти адреса не из нашего PI-блока. Просто какие-то адреса чтобы заработала связь между CE и PE. Таким образом, между нами и ISP одни адреса, а анонсируем мы ему совсем другие. Это важно.

CP FW стоит во внутренней сети сразу за CE. И фильтрует пакеты между внутренней сетью (LAN), группой серверов доступных с интернета (DMZ), внешней сетью (Internet). Кроме этого, при прохождении пакетов из LAN в сторону Internet нужно выполнить NAT (динамический NAT и/или NAT с перегрузкой) и заменить приватные адреса на адрес/адреса из нашего PI-блока. А для серверов из DMZ нужен статический NAT. Для всего этого на CE нужен маршрут для PI-блока в сторону CP.

Создание виртуальной среды

Образы Check Point поддерживаются EVE-NG:

В качестве тестовой среды возьмём виртуальную машину EVE-NG от проекта PNETLab. Теперь образ Check Point. Берём тут. На выбор есть R77.30, R80.10 и R80.20.M1.

Релиз 77.30 хотя и сертифицированный, но староват. Возможно он заинтересует кого-то именно по причине своей сертифицированности. Релиз R80.20.M1 это Management Release и:

Поэтому остановился на релизе 80.10. Называется он cpsg-R80-10-T497.tar.gz. Кроме этого взял образ win-7-x86-IPCC.tar.gz для машин, подключенных к Check Point.

Образы закидываются в EVE-NG с помощью WinSCP, распаковка через SSH:

И далее скрипт настройки прав:

Установка довольно проста, но если возникли сложности, то велкам в статью Установка EVE-NG.

Создание лабы

Лаба будет предельно упрощённая, чтобы проверить некоторые возможности только самого CP. Схема следующая:

Тут Win1 это сервер из DMZ, а Win2 сразу и CE, и PE, и компьютер из интернета. Net тут только для закачки необходимых файлов на Win1.

Интерфейс e1 Win1 подключен к Net Manadgement(Cloud0) и получает настройки автоматически вместе с доступом к интернету от VMware Player.

Пароли для доступа в файлике EVE_image_login_credentials.csv, который нужно скачать вместе с образами. Для Win-машин user/Test123, CP admin/Test123 (для CP в файле ошибка).

Подсоединяемся к CP через консоль EVE-NG:

Поэтому на интерфейсе e0 Win1 настраиваю 192.168.1.2/24, пока без шлюза.

Начальная настройка Check Point

и выполнить первоначальную инициализацию:

Это обязательное действо, при этом можно:

• Обновить версию из Check Point Cloud/с флешки или запустить Recovery — пропускаю;
• Настроить интерфейсы;

• Хостнейм, DNS, Proxy — пропускаю;
• Время вручную или через NTP — пропускаю;
• Выполняемую роль: Security Gateway/Security Management/Multi-Domain Server — Security Gateway + Security Management;
• Кластер — пропускаю;
• Дополнительного админа — пропускаю;
• Откуда можно подключаться к Security Management — пропускаю

Инициализация занимает некоторое время и завершается рестартом CP.

После инициализации заходим через браузер на CP ещё раз, будет предложено скачать SmartConsole сразу со ссылкой.

Запускаю SmartConsole, при первом подключении нужно установить Fingerprint:

Наконец попадаю в привычную и удобную среду:

Настройка лабы

Настраиваю на e0 Win1 шлюз 192.168.1.1, на Win2 1.1.1.2/30 шлюз 1.1.1.1. Сначала на CP есть единственное правило, которое запрещает любой трафик:

Пингую с Win1 1.1.1.2, пингуется, и 1.1.1.3, и 1.1.1.4.. Забыл выключить интерфейс e1, через него пакеты уходят в реальный интернет, а там такие адреса есть 🙂 Всё, интерфейс выключен, ничего и ниоткуда не пингуется, как и должно быть.

Настраиваем чтобы пакеты от Win1 проходили через FW. Поскольку FW у нас stateful, обратный трафик автоматически разрешён и значит нужно только 1 правило:

Но пока созданное правило не работает. Нужно выполнить Publish (желтым горит количество изменений), затем Install Policy (тоже будет показано количество изменений). Вот такой механизм в CP. Если несколько нод, то надо указать на какую ноду накатываем политику.

Проверяем, c Win1 всё пингуется. Дальше добавляем правило, чтобы с Win2 можно было пинговать интерфейс eth1 CP:

Проверяем, с Win2 интерфейс CP 1.1.1.1 запинговался.

Теперь допустим, мы анонсируем ISP PI-блок 187.187.197.0/24 (адресация взята с потолка). Тут важный момент, что блок менее чем /24 ISP не примет. Поэтому нельзя анонсировать ISP, скажем, хост (/32). Фильтры такой анонс откинут.

Нам надо чтобы наш сервер DMZ единообразно транслировался в 187.187.197.240. Добавляем 2 правила NAT:

В первом правиле у нас пакеты с сурсом 192.168.1.2 преобразуются в пакеты с сурсом 187.187.197.240. Во втором пакеты, предназначенные 187.187.197.240 перенаправляются на 192.168.1.2. Буква s рядом c хостнейм означает статический NAT (static).

Ну и предположим что с внешнего ресурса Win2 мы хотим попадать на 192.168.1.2 через RDP. Плохой пример, в продакшене порты будут 80, 443 либо какие-то специфические. Почему взял RDP? Это протокол, работу которого легко проверить именно в этой лабе. Значит нужно разрешить запросы извне на 187.187.197.240, указав порты:

Теперь проверяем с Win2:

Вводим реквизиты, на Win2 RDP сессия к Win1 установилась, а на EVE-NG отключилась. Под одним пользователем доступна только одна сессия по умолчанию.

Ни для кого не секрет, что использование удаленного доступа к важным корпоративным данным носит в себе и пользу, и вред одновременно.

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

• Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
• Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:

• VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
• Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
• WAF: Barracuda WAF;
• DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

• Системы резервного копирования - Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
• Системы хранения данных с функциями зеркалирования, резервирования - NetApp (25xx, 85xx, 9xxx);
• Реализация любых других решений: AlienVault (SIEM).

Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца!

Ни для кого не секрет, что использование удаленного доступа к важным корпоративным данным носит в себе и пользу, и вред одновременно.

Удобство такого доступа отмечают все, но мало кто заботится при этом о безопасности. Ведь таким образом открывается широкое поле для действий злоумышленников, которые наравне с сотрудниками организации, могут получить доступ к данным при неправильной настройке аутентификации.

Данная статья рассмотрит настройку аутентификации на основе шлюза безопасности Check Point с использованием электронных ключей. Основываться будем на решении от российских разработчиков. С этого и стоит начать.

Программное обеспечение

JaCarta Client – программное решение, которое гарантирует защищенную передачу данных, используя при этом открытые ключи.

Дополнительно данная разработка способна обеспечить защищенный вход в используемые системы с использованием шифрования данных.

Для контроля жизненного цикла ключей используется Система Управления JaCarta (JMS). Вообще, вся работа с сертификатами, ключами, привязкой ключей – перекладывается на JMS.

А что насчет шлюза от Check Point? Он должен быть априори настроен на использование пароля при аутентификации пользователя. Также благодаря данному шлюзу настраивается внешняя и внутренняя безопасность, используя целый набор блейдов (об этом писали ранее). То есть, ПО JaCarta – дополнительный механизм защиты при работе с удаленным доступ, а не панацея от всего. И это важно понимать.

Пора переходить к настройкам JaCarta.

Схема настройки

Сама реализация устроена достаточно просто с точки зрения пользователя. Используя токен/смарт-карту, клиент подключается к шлюзу Check Point (при входе нужно ввести PIN токена с его сертификатом). Если PIN верен, пользователь получает необходимый доступ к необходимым ресурсам.

Со стороны использования все действительно выглядит достаточно радужно, а как все обстоит на этапе настройки?

Требования

Во-первых, необходимы приготовления самой системы для работы JaCarta PKI.

1. Предустановленный Центр Сертификации. В данном примере будет рассмотрен центр от Microsoft.

2. Должны быть созданы токены с сертификатами и розданы клиентам, которым они должны принадлежать.

3. На каждом ПК необходимо установить JaCarta PKI Client от версии 6.30 (и выше)

Немного подробнее стоит поговорить о самих токенах, каким требованиям они должны отвечать, и что необходимо для их корректного использования в системе.

К поддерживаемые USB-токенам относятся JaCarta PKI/Flash/ГОСТ и их вариации. Смарт карты – JaCartaPKI/ГОСТ.

Стоит иметь в виду, что для использования токенов необходим USB-считыватель ASEDrive IIIE.

И снова вернемся к требованиям, выдвигаемым для Check Point. Шлюз, первым делом, должен создавать учетные записи для пользователей, а также выпускать для них регистрационные ключи. Для более полного удобства необходимо создание групп пользователей.

VPN-клиенты должны получить разрешение на аутентификацию. Про политики и сертификаты, кажется, и говорить не стоит – они априори должны быть при настройке безопасности. И, что самое главное – должна существовать возможность извлечения смарт-карт, а также контроль данного действия.

Первые этапы

Итак, каким образом происходит регистрация учетной записи и создание всех сертификатов?

Используя Check Point SmartDashboard R77, необходимо войти в систему.

Создание пользователя происходит следующим образом:

Здесь вводятся данные пользователя. Но после этого также необходимо разобраться со сертификатом для данного пользователя.

Необходимо выбрать первый пункт «регистрация ключа для создания сертификата». Генерируется ключ, который необходимо сохранить для дальнейшей работы.

Сертификат уже ожидает своей установки:

С созданием учеток разобрались, вернемся к группам пользователей. Это необходимо для работы с политиками безопасности, так как позволяет применить ряд правил целой группе устройств сразу.

Возвращаемся к настройкам:

Затем необходимо определить наименование группы, а также добавить её участников.

Допустим, группа создана, теперь ей необходимо получить разрешение на аутентификацию.

В том же главном окне выбираем наше устройству и переходим к его редактированию.

Далее – этапы настройки для VPN-клиентов

Выбираем первый пункт и сохраняемся.

Теперь перейдем к фильтрации и политикам. Они могут применяться для сетевых устройств, рассматривая их как источник или конечный пункт.

В основном меню необходимо перейти во вкладку FireWall. Далее – создание политики.

Создаем наименование правила:

Пункт назначения – сетевой объект:

Добавляем объект – корпоративную сеть.

Редактируем окно с VPN.

В окошке выбора группы для применения политики выбираем удаленный доступ.

Политика безопасности в итоге должна выглядеть так:

Установка

Чтобы установить политику, необходимо выбрать «Install»:

Когда установка подойдет к концу, вы получите следующее окно:

С политиками и работой со шлюзом более-менее разобрались. Пора переходить к основной теме статьи: аутентификации посредством JaCarta.

Сертификаты

Перед тем, как получить полноправный пользовательский доступ на основе использования сертификатов, предварительно их устанавливают на токен, используя ключ регистрации.

Вставляем токен в USB-порт. Далее необходимо открыть приложение Check Point Endpoint Security.

Данные для авторизации – те же, что и ранее.

Необходимо нажать на ссылку внизу. В открывшемся окне:

Ключ – тот самый, что мы просили ранее сохранить. Далее в выпадающем окне с токенами необходимо ввести PIN от используемой карты. Далее – соглашаемся установить собственный сертификат от Check Point.

После завершения установки необходимо перейти в JaCarta Client и убедиться в успешности всех вышеперечисленных действий.

Извлечение

Ранее мы говорили о важности контролирования удаления смарт-карты, и теперь пора провести настройку для данного контроля.

Первым делом, необходимо найти и отредактировать файл на шлюзе: $FWDIR/conf/trac_client_1.ttm.

В данной строке могут быть параметры:

true – разрешение на обнаружение извлечения смарт-карты.

false – соответственно, запрет.

client_decide – клиент сам вправе решать, оповещать ли об удалении смарт-карты.

Сохраняемся. Используя Smart DashBoard, необходимо провести установку политики.

На клиентском устройстве при этом необходимо зайти в настройки Endpoint Security и установить следующие параметры:

Итог работы

Снова возвращаемся к Check Point ES, используя токен.

Выбираем сертификат, подключаемся и набираем PIN. После пройденной аутентификации вы увидите следующее:

Таким образом, теперь вы можете провести подобные действия для всех необходимых устройств в сети. Это значительно повысит безопасность всей вашей сети, а затраты на использование JaCarta PKI – окупят себя со временем, поскольку утечка информации снизится до минимума.

Доброго времени суток, в этой короткой статье будут приведены примеры команд, которые можно выполнять на операционной системе Check Point'a Gaia через CLI.

1) Настройка RADIUS:

//добавление radius сервера, пользователя и группы соответственно

//вывод информации о radius серверах, пользователях и группах соответственно

//удаление radius сервера, пользователя и группы соответственно

Чтобы настроить RADIUS сервер, мы разберем пример. Исходные данные возьмем следующие:
- адрес первичного RADIUS сервера: 10.100.100.31
- адрес вторичного RADIUS сервера: 10.100.100.32
- пароль: passwd
- имя пользователя: john
- группа сервера RADIUS: cp-admin-user
- RADIUS порт по умолчанию: 1812

//добавление первичного и вторичного radius сервера

//добавление общей radius группы

//добавление пользователя john

2) Листинг портов Check Point

Найти все порты и их краткое описание можете найти в таблице Excel Check Point Port List - NG/NGX, в первом столбце указан номер порта, во втором протокол транспортного уровня, который используется с тем или иным протоколом, а в третьем – описание.

§ Порты, используемые NG и NGX релизами (первый лист Excel)

§ Общие порты Check Point (General Common Ports) (второй лист Excel)

§ SIC (security internal communication) порты Check Point (третий лист Excel)

§ Порты аутентификации Check Point (четвертый лист Excel)

3) Команда просмотра ARP таблицы через CLI

4) Команда просмотра и анализа статистики фаэрвола через CLI

Команда "fw ctl pstat" помогает просмотреть и проанализировать статистику фаэрвола: общую емкость системы, статистику хэш-памяти kernel(hmem), статистику памяти системы kernel (smem), статистику памяти kernel (kmem), куки-файлы, соединения, фрагменты, NAT и синхронизацию. Команду можно вводить из обоих режимов: пользовательского и экспертного.

Firewall-1> fw ctl pstat
System Capacity Summary:
Memory used: 10% (906 MB out of 8995 MB) - below watermark
Concurrent Connections: 14711 (Unlimited)
Aggressive Aging is not active
Hash kernel memory (hmem) statistics:
Total memory allocated: 939524096 bytes in 229376 (4096 bytes) blocks using 1 pool
Total memory bytes used: 110964304 unused: 828559792 (88.19%) peak: 275797876
Total memory blocks used: 29754 unused: 199622 (87%) peak: 69041
Allocations: 2973292326 alloc, 0 failed alloc, 2972371604 free
System kernel memory (smem) statistics:
Total memory bytes used: 1562014700 peak: 1637268168
Total memory bytes wasted: 19268533
Blocking memory bytes used: 9323456 peak: 10206048
Non-Blocking memory bytes used: 1552691244 peak: 1627062120
Allocations: 3531743 alloc, 0 failed alloc, 3522718 free, 0 failed free
vmalloc bytes used: 1535613668 expensive: no
Kernel memory (kmem) statistics:
Total memory bytes used: 730416708 peak: 903400200
Allocations: 2976731264 alloc, 0 failed alloc
2975804540 free, 0 failed free
External Allocations: 0 for packets, 87249934 for SXL
Cookies:
616785959 total, 0 alloc, 0 free,
159 dup, 1858687205 get, 970255 put,
620791859 len, 666 cached len, 0 chain alloc,
0 chain free
Connections:
1104181 total, 136685 TCP, 967119 UDP, 94 ICMP,
283 other, 0 anticipated, 0 recovered, 14711 concurrent,
24758 peak concurrent
Fragments:
2268 fragments, 1068 packets, 0 expired, 0 short,
0 large, 0 duplicates, 0 failures
NAT:
36620/0 forw, 1/0 bckw, 1 tcpudp,
0 icmp, 9407-22585774 alloc
Sync:
Version: new
Status: Able to Send/Receive sync packets
Sync packets sent:
total : 23536733, retransmitted : 7941, retrans reqs : 4806, acks : 10007
Sync packets received:
total : -461197207, were queued : 13052, dropped by net : 8667
retrans reqs : 3578, received 64567 acks
retrans reqs for illegal seq : 0
dropped updates as a result of sync overload: 3044

5) Просмотр статуса Agressive Aging через CLI

Aggressive Aging вызывает окончание тайм-аута намного быстрее, например 60 секунд, вместо 60 минут. Статус Aggressive Aging можно посмотреть, используя команду fw ctl pstat. Устройство может войти в Aggressive Aging, когда память на исходе.

Пример 1(Aggressive Aging не активен):

CheckPoint-Firewall-1> fw ctl pstat
System Capacity Summary:
Memory used: 10% (906 MB out of 8995 MB) - below watermark
Concurrent Connections: 14711 (Unlimited)
Aggressive Aging is not active

Пример 2(Aggressive Aging активен):

CheckPoint-Firewall-1> fw ctl pstat
System Capacity Summary:
Memory used: 90% (900 MB out of 1000 MB) - below watermark
Concurrent Connections: 2000 (Unlimited)
Aggressive Aging is active

6) Просмотр версии и статуса SecureXL/Acceleration через CLI

SecureXL – это программное обеспечение, которое базируется на ускорении и улучшении производительности всего, что связано со словом Network. SecureXL будет ускорять передачу пакетов от интерфейса к интерфейсу для известного трафика, следовательно это сократит использование CPU.

Версия и статус SecureXL/acceleration могут быть отображены через командную строку (CLI) с помощью команд "fwaccel ver" и "fwaccel stat", введенных как в clish, так и в expert mode.

Синтаксис:
fwaccel ver
fwaccel stat

CP-Firewall> fwaccel ver
Firewall version: R71.30 - Build 036
Acceleration Device: Performance Pack
Accelerator Version 2.1
Firewall API version: 2.85NG (19/7/2009)
Accelerator API version: 2.85NG (19/7/2009)

CP-Firewall> fwaccel stat
Accelerator Status : on
Accept Templates : enabled
Drop Templates : disabled
Accelerator Features : Accounting, NAT, Cryptography, Routing,
HasClock, Templates, Synchronous, IdleDetection,
Sequencing, TcpStateDetect, AutoExpire,
DelayedNotif, TcpStateDetectV2, CPLS, WireMode,
DropTemplates, Streaming, MultiFW, AntiSpoofing,
DoS Defender
Cryptography Features : Tunnel, UDPEncapsulation, MD5, SHA1, NULL,
3DES, DES, CAST, CAST-40, AES-128, AES-256,
ESP, LinkSelection, DynamicVPN, NatTraversal,
EncRouting

7) Просмотр статистики ускоренных пакетов и соединений SecureXL/Acceleration через CLI

Статистика ускорения SecureXL, а именно: ускоренные подключения, ускоренные пакеты, F2F и PXL пакеты - может быть отображена с помощью команды "fwaccel stats -s", введенной как в clish, так и в expert mode.

Синтаксис:
fwaccel stats –s

CP-Firewall> fwaccel stats -s
Accelerated conns/Total conns : 3273/3339 (98%)
Accelerated pkts/Total pkts : 582654303/600318668 (97%)
F2Fed pkts/Total pkts : 17664365/600318668 (2%)
PXL pkts/Total pkts : 0/600318668 (0%)

8) Просмотр Active Chain на шлюзе безопасности через CL, код INSPECT

Check Point kernel инспектирует пакеты в обоих направлениях: входящем (Inbound) и исходящем (Outbound). Модули и порядок инспекции могут варьироваться для каждого направления.

Код INSPECT иначе называется handler (обработчик), ибо он решает какие модули будут инспектировать пакет.

Каждый модуль инспекционных операций делится на цепи. Количество цепей на шлюзе безопасности варьируется исходя из включенных блейдов/фич. Все активные цепи могут быть отображены с помощью команды "fw ctl chain".

Синтаксис:
fw ctl chain

9) Просмотр лицензий и контрактов через CLI

Благодаря команде "cplic" можно через командную строку посмотреть всю информацию, относящуюся к лицензиям и контрактам.

Синтаксис:
cplic
для Локального Лицензирования:
cplic –d

// команда запускается в режиме дебага
cplic put <options>

//устанавливает и прикрепляет лицензию
cplic del [-F <output file>] <signature>

//удаляет файл лицензии
cplic print [-h help] [-n noheader] [-x print signatures] [-t type]
[-F <output file>] [-i <input file>] [-p preatures] [-D print only Domain licenses]

//позволяет вам посмотреть установленную лицензию с желаемыми функциями
cplic check [-p <product name>] [-v <product version>] [-c | -count] [-t <date>] [-r | -routers] [-S | -SRusers] <feature>

//проверяет есть ли лицензия на локальной машине и другие параметры
cplic contract <options>

//управление (удаление и установка) контрактами

для Удаленного Лицензирования (применимо только к SMS):

// команда запускается в режиме дебага
cplic put <object name> <options>

//устанавливает и прикрепляет лицензию
cplic del <object name> <options>

//удаление лицензии на хосте, включая нежелательные evaluation, истекших лицензий
cplic get <object name | -all>

//извлекает все лицензии со шлюза в репозиторий лицензий на менеджмент сервер
cplic upgrade -l input file

Операции, связанные с базами данных лицензий (применимо только к SMS):

//команда запускается в режиме дебага
cplic db_add <options>

//добавляется лицензия в репозиторий лицензий
cplic db_rm <options>

//удаляется лицензия из репозиторий лицензий
cplic db_print <options>

//выводит детали о лицензиях, хранящихся в репозитории лицензий на SMS

В качестве примера, мы рассмотрим ситуацию, когда вам нужно через командную строку прикрепить лицензии и контракты на ваш Check Point. Можно прикреплять лицензии и контракты двумя способами: из файла или из Product Center (онлайн режим).

Прикрепление лицензии из файла:

Прикрепление лицензии из Product Center:

Прикрепление контракта из файла:

Контракты, как и лицензии можно прикрепить через Smart Update – это более простой и удобный способ, однако бывают случаи, когда Smart Console не дает подключиться к менеджмент серверу из-за истекших лицензий, тут на помощь и приходят, описанные ранее, консольные команды.

P.S.: в случае, когда Smart Console отказывает в подключении из-за истекших лицензий, можно подключиться к Smart Update с помощью программы Smart Distributor, которая находится в папке с установленной Smart Console.

10) Просмотр статуса и деталей прикрепленных лицензий через CLI

Статус прикрепленных лицензий на устройствах Check Point и другие детали можно посмотреть с помощью команды "cplic print". Вы можете увидеть ip-адреса устройств, на которых есть лицензии, сигнатуры лицензий и даты истечения лицензий.

Синтаксис:
cplic print

11) Просмотр настроек и сертификатов VPN (IKE SA и IPSEC SA) через CLI

SA - Security Association, по сути является набором параметров, характеризующим соединение. Например, используемые алгоритм шифрования и хэш-функция, секретные ключи, номер пакета и др.

Утилита VPN tunnelutil может быть использована для просмотра или удаления всех IKE SAs, всех IPSec SAs, всех IKE SAs для данного шлюза или клиента и всех IPSec SAs для данного шлюза или клиента.

Иногда VPN соединение напрочь отказывается сотрудничать и устанавливаться, одним из методов его починки является сброс сертификатов ключей (IKE) и IPSec сертификатов.

Синтаксис:
vpn tunnelutil
или
vpn tu

CheckPoint-GW> vpn tu
********** Select Option **********
(1) List all IKE SAs
(2) List all IPsec SAs
(3) List all IKE SAs for a given peer (GW) or user (Client)
(4) List all IPsec SAs for a given peer (GW) or user (Client)
(5) Delete all IPsec SAs for a given peer (GW)
(6) Delete all IPsec SAs for a given User (Client)
(7) Delete all IPsec+IKE SAs for a given peer (GW)
(8) Delete all IPsec+IKE SAs for a given User (Client)
(9) Delete all IPsec SAs for ALL peers and users
(0) Delete all IPsec+IKE SAs for ALL peers and users
(Q) Quit
*******************************************

Надеемся, статья была полезной, и вы нашли какие-то новые для себя команды.

Читайте также:

  
• Какого стиля не существует в autocad
  
• Как добавить фото в инстаграм через фейсбук с компьютера
  
• Как установить lic файл kaspersky 2021
  
• Как преобразовать один тип узла в другой в coreldraw
  
• К какой категории относится ноутбук на авито