最近�,我們接到了某客戶的一起故障——BlueCoat代理服務(wù)器因?yàn)閿嚯姽收蠠o法啟動(dòng)�,導(dǎo)致用戶無法訪問互聯(lián)網(wǎng)�����,客戶無Bluecoat的備機(jī)�����,讓我們來看看能否借一臺備機(jī)臨時(shí)抵用��,BlueCoat的備機(jī)一時(shí)半會(huì)兒協(xié)調(diào)不到����,正好我們在研究CheckPoint的一些新功能,Checkpoint是可以當(dāng)作代理服務(wù)器使用�����,于是�����,經(jīng)過一番設(shè)置���,我們就用CheckPoint實(shí)現(xiàn)了代理服務(wù)器的功能����,解決了用戶的燃眉之急。下面就來詳細(xì)看看CheckPoint的代理服務(wù)器功能如何部署�����。
一�、部署場景
CheckPoint 代理服務(wù)可以使用兩種方式進(jìn)行部署:串接模式和旁路模式。
1.
>>>互聯(lián)網(wǎng)出口<<<
防火墻串接在互聯(lián)網(wǎng)出口�����,可以當(dāng)作防火墻進(jìn)行安全防護(hù)�����,同時(shí)充當(dāng)代理服務(wù)器�����。
2.
>>>旁路部署<<<
使用單臂模式�,不影響現(xiàn)網(wǎng)環(huán)境,靈活部署�。
二�����、Checkpoint 代理配置
1��、登錄SmartConsole雙擊打開防火墻對象
2、切換到HTTP/HTTPS Proxy配置面版進(jìn)行操作
3����、勾選Use this gateway as an HTTP/HTTPS Proxy打開代理開關(guān)
4、proxy mode代理模式包含兩種�����,透明模式和非透明模式�。
透明:
指定端口和接口上的所有HTTP流量都由安全網(wǎng)關(guān)中的代理攔截和處理?�?蛻舳藷o需配置���。
非透明:
指定端口和接口上的所有HTTP / HTTPS流量都由安全網(wǎng)關(guān)中的代理攔截和處理�����?����?蛻舳擞?jì)算機(jī)上需要配置代理地址和端口一般配置選擇非透明模式����。
5、設(shè)置訪問控制����,從哪些接口接受HTTP請求
所有內(nèi)部接口:
來自所有內(nèi)部接口的HTTP / HTTPS流量由安全網(wǎng)關(guān)中的代理處理。
特定接口:
來自列表中指定的接口的 HTTP / HTTPS流量由安全網(wǎng)關(guān)中的代理處理�。
6、端口設(shè)置
默認(rèn)情況下��,僅在端口8080上攔截流量��?��?梢愿鶕?jù)需要添加或編輯端口��。
7���、高級設(shè)置
X-Forward-For heade:
在http報(bào)文中插入實(shí)際的源地址信息,對于需要溯源的應(yīng)用必須開啟。
Proxy related headers:
默認(rèn)情況下��,HTTP標(biāo)頭包含“ Via ”代理相關(guān)標(biāo)頭�。如果不想包含此信息,可以清除此復(fù)選框����。
8、防火墻策略
需要放行被代理的網(wǎng)段或者主機(jī)到防火墻代理IP的指定端口的流量(8080)��,如
192.168.1.0/24 --> 192.168.2.254:8080
其中����,192.168.1.0/24是需要代理的網(wǎng)段�����,192.168.2.254是防火墻接受代理的內(nèi)網(wǎng)口����,8080是代理端口。
9�����、安全防護(hù)
CheckPoint威脅防御提供了一種多層級感染前,感染后的防御方式�,以及進(jìn)行安全檢測并攔截惡意軟件的統(tǒng)一安全威脅防御平臺,提供了相應(yīng)的威脅防御軟件刀片:
應(yīng)用控制(APP Control)和URL過濾(URL Filter)
應(yīng)用程序控制軟件刀片為各種規(guī)模的組織提供應(yīng)用程序安全性和身份控制����。它使IT團(tuán)隊(duì)能夠輕松地基于用戶或組創(chuàng)建精細(xì)策略,以識別��、阻止或限制Web應(yīng)用程序���、網(wǎng)絡(luò)協(xié)議和其他非標(biāo)準(zhǔn)應(yīng)用程序的使用�。
入侵防御系統(tǒng)(IPS)
Check Point入侵防御系統(tǒng)(IPS)軟件刀片將業(yè)界領(lǐng)先的IPS保護(hù)與突破性性能相結(jié)合���,成本低于傳統(tǒng)的獨(dú)立IPS解決方案���。 IPS軟件刀片提供完整、主動(dòng)的入侵防護(hù)��,具有統(tǒng)一和可擴(kuò)展的下一代防火墻解決方案的部署和管理優(yōu)勢�。
防僵尸(Anti-Bot)和防病毒(AV)
今天的企業(yè)正面臨來自先進(jìn)和復(fù)雜惡意軟件的安全威脅的多樣性和數(shù)量的前所未有的增長。這些惡意攻擊可能會(huì)集中于竊取數(shù)據(jù)����,破壞業(yè)務(wù)連續(xù)性以及破壞企業(yè)的聲譽(yù)。為了幫助保持領(lǐng)先于現(xiàn)代惡意軟件,早期檢測和快速響應(yīng)至關(guān)重要���。安全團(tuán)隊(duì)?wèi)?yīng)積極尋求在感染環(huán)境之前識別和確認(rèn)感染��。這種主動(dòng)方法有助于節(jié)省企業(yè)資源并最大限度地減少惡意軟件損壞�。Check Point全面的威脅防御解決方案有助于保護(hù)網(wǎng)絡(luò)免受當(dāng)今復(fù)雜的惡意軟件和網(wǎng)絡(luò)攻擊����。Check Point引入了多層防御,包括Anti-Bot和Anti-Bot軟件刀片�����。此刀片提供了一種感染后解決方案��,可通過阻止僵尸網(wǎng)絡(luò)通信渠道來檢測和預(yù)防機(jī)器人威脅�����。
10�、日志
安全網(wǎng)關(guān)打開兩個(gè)連接(一個(gè)與客戶端的連接和一個(gè)與實(shí)際目標(biāo)服務(wù)器的連接)����,但只有防火墻模塊可以記錄兩個(gè)連接。
其他刀片(如IPS,AV����,AB)僅顯示客戶端與安全網(wǎng)關(guān)之間的連接。
日志的“目標(biāo)”字段僅顯示安全網(wǎng)關(guān)����,而不顯示實(shí)際的目標(biāo)服務(wù)器,“資源”字段顯示實(shí)際目的地�。
三、客戶端設(shè)置
1 網(wǎng)絡(luò)設(shè)置
對于客戶端的網(wǎng)絡(luò)����,正常配置IP、掩碼����、網(wǎng)關(guān)和DNS,如果代理服務(wù)器和客戶端在同一個(gè)網(wǎng)段里����,網(wǎng)關(guān)都不需要設(shè)置,當(dāng)然設(shè)置網(wǎng)關(guān)也方便訪問內(nèi)網(wǎng)其他網(wǎng)段����。DNS可以設(shè)置內(nèi)網(wǎng)的一個(gè)DNS服務(wù)器��,也可以設(shè)置為代理服務(wù)器�。
2 瀏覽器設(shè)置
以主流的Chorme����、Firefox和IE瀏覽器為例:
2.1、Chrome和IE瀏覽器
在Chrome或IE瀏覽器設(shè)置中找到代理設(shè)置,下圖以chorme示例
在打開的界面中����,選擇連接-局域網(wǎng)設(shè)置,這一步IE和Chorme設(shè)置一樣。
在局域網(wǎng)設(shè)置里�����,勾選“在局域網(wǎng)中使用代理服務(wù)器”�,輸入checkpoint防火墻上代理的IP和端口,192.168.1.100和8080�����。
2.2�、Firefox瀏覽器
在設(shè)置項(xiàng)中找到網(wǎng)絡(luò)設(shè)置��。
打開settings��,選擇手工代理配置,在http proxy,輸入代理IP和端口����。
