最近,我們接到了某客戶的一起故障——BlueCoat代理服務器因為斷電故障無法啟動�,導致用戶無法訪問互聯(lián)網(wǎng)�,客戶無Bluecoat的備機�,讓我們來看看能否借一臺備機臨時抵用��,BlueCoat的備機一時半會兒協(xié)調(diào)不到,正好我們在研究CheckPoint的一些新功能����,Checkpoint是可以當作代理服務器使用�����,于是��,經(jīng)過一番設置���,我們就用CheckPoint實現(xiàn)了代理服務器的功能,解決了用戶的燃眉之急�。下面就來詳細看看CheckPoint的代理服務器功能如何部署。
一��、部署場景
CheckPoint 代理服務可以使用兩種方式進行部署:串接模式和旁路模式���。
1.
>>>互聯(lián)網(wǎng)出口<<<
防火墻串接在互聯(lián)網(wǎng)出口�,可以當作防火墻進行安全防護��,同時充當代理服務器���。
2.
>>>旁路部署<<<
使用單臂模式��,不影響現(xiàn)網(wǎng)環(huán)境���,靈活部署���。
二、Checkpoint 代理配置
1�、登錄SmartConsole雙擊打開防火墻對象
2、切換到HTTP/HTTPS Proxy配置面版進行操作
3���、勾選Use this gateway as an HTTP/HTTPS Proxy打開代理開關(guān)
4����、proxy mode代理模式包含兩種�,透明模式和非透明模式。
透明:
指定端口和接口上的所有HTTP流量都由安全網(wǎng)關(guān)中的代理攔截和處理��?��?蛻舳藷o需配置。
非透明:
指定端口和接口上的所有HTTP / HTTPS流量都由安全網(wǎng)關(guān)中的代理攔截和處理�。客戶端計算機上需要配置代理地址和端口一般配置選擇非透明模式���。
5���、設置訪問控制���,從哪些接口接受HTTP請求
所有內(nèi)部接口:
來自所有內(nèi)部接口的HTTP / HTTPS流量由安全網(wǎng)關(guān)中的代理處理。
特定接口:
來自列表中指定的接口的 HTTP / HTTPS流量由安全網(wǎng)關(guān)中的代理處理��。
6��、端口設置
默認情況下���,僅在端口8080上攔截流量����?���?梢愿鶕?jù)需要添加或編輯端口。
7����、高級設置
X-Forward-For heade:
在http報文中插入實際的源地址信息,對于需要溯源的應用必須開啟�。
Proxy related headers:
默認情況下,HTTP標頭包含“ Via ”代理相關(guān)標頭����。如果不想包含此信息���,可以清除此復選框。
8�����、防火墻策略
需要放行被代理的網(wǎng)段或者主機到防火墻代理IP的指定端口的流量(8080)��,如
192.168.1.0/24 --> 192.168.2.254:8080
其中�����,192.168.1.0/24是需要代理的網(wǎng)段��,192.168.2.254是防火墻接受代理的內(nèi)網(wǎng)口�����,8080是代理端口���。
9、安全防護
CheckPoint威脅防御提供了一種多層級感染前��,感染后的防御方式,以及進行安全檢測并攔截惡意軟件的統(tǒng)一安全威脅防御平臺�,提供了相應的威脅防御軟件刀片:
應用控制(APP Control)和URL過濾(URL Filter)
應用程序控制軟件刀片為各種規(guī)模的組織提供應用程序安全性和身份控制。它使IT團隊能夠輕松地基于用戶或組創(chuàng)建精細策略���,以識別��、阻止或限制Web應用程序�、網(wǎng)絡協(xié)議和其他非標準應用程序的使用����。
入侵防御系統(tǒng)(IPS)
Check Point入侵防御系統(tǒng)(IPS)軟件刀片將業(yè)界領(lǐng)先的IPS保護與突破性性能相結(jié)合,成本低于傳統(tǒng)的獨立IPS解決方案���。 IPS軟件刀片提供完整��、主動的入侵防護���,具有統(tǒng)一和可擴展的下一代防火墻解決方案的部署和管理優(yōu)勢。
防僵尸(Anti-Bot)和防病毒(AV)
今天的企業(yè)正面臨來自先進和復雜惡意軟件的安全威脅的多樣性和數(shù)量的前所未有的增長����。這些惡意攻擊可能會集中于竊取數(shù)據(jù),破壞業(yè)務連續(xù)性以及破壞企業(yè)的聲譽����。為了幫助保持領(lǐng)先于現(xiàn)代惡意軟件���,早期檢測和快速響應至關(guān)重要。安全團隊應積極尋求在感染環(huán)境之前識別和確認感染��。這種主動方法有助于節(jié)省企業(yè)資源并最大限度地減少惡意軟件損壞����。Check Point全面的威脅防御解決方案有助于保護網(wǎng)絡免受當今復雜的惡意軟件和網(wǎng)絡攻擊。Check Point引入了多層防御����,包括Anti-Bot和Anti-Bot軟件刀片。此刀片提供了一種感染后解決方案�����,可通過阻止僵尸網(wǎng)絡通信渠道來檢測和預防機器人威脅���。
10���、日志
安全網(wǎng)關(guān)打開兩個連接(一個與客戶端的連接和一個與實際目標服務器的連接),但只有防火墻模塊可以記錄兩個連接。
其他刀片(如IPS��,AV��,AB)僅顯示客戶端與安全網(wǎng)關(guān)之間的連接���。
日志的“目標”字段僅顯示安全網(wǎng)關(guān),而不顯示實際的目標服務器����,“資源”字段顯示實際目的地。
三�����、客戶端設置
1 網(wǎng)絡設置
對于客戶端的網(wǎng)絡����,正常配置IP、掩碼����、網(wǎng)關(guān)和DNS,如果代理服務器和客戶端在同一個網(wǎng)段里�,網(wǎng)關(guān)都不需要設置,當然設置網(wǎng)關(guān)也方便訪問內(nèi)網(wǎng)其他網(wǎng)段。DNS可以設置內(nèi)網(wǎng)的一個DNS服務器�,也可以設置為代理服務器。
2 瀏覽器設置
以主流的Chorme����、Firefox和IE瀏覽器為例:
2.1、Chrome和IE瀏覽器
在Chrome或IE瀏覽器設置中找到代理設置,下圖以chorme示例
在打開的界面中���,選擇連接-局域網(wǎng)設置,這一步IE和Chorme設置一樣�����。
在局域網(wǎng)設置里��,勾選“在局域網(wǎng)中使用代理服務器”���,輸入checkpoint防火墻上代理的IP和端口,192.168.1.100和8080�。
2.2、Firefox瀏覽器
在設置項中找到網(wǎng)絡設置�。
打開settings,選擇手工代理配置��,在http proxy,輸入代理IP和端口�����。
