检查点和Microsoft对R80.10实验室进行了测试驱动器。该实验室已经设计得非常良好,以了解检查点架构和功能总结我所拥有的内容,我在笔记本电脑上录制了实验室视频并将它们放在一起。

1.登录Azure
– //youtu.be/MInifWUg2H8

此实验室正在Microsoft Azure公共云基础架构中运行。
5 VMs:
1.内部客户端:Win-Predar:Windows Server,SmartConsole客户端,Chrome,
2.门户&MGMT Server:独立R80.10网关和MGMT服务器在同一VM上
3. Web服务器:ububtu用于Web测试
4.积极导演:Win-DC
钢笔试验工具:Kali

2. RDP进入服务器以安装SmartConsole
 – //youtu.be/XJ820_Kr8GQ

屏幕录制如何将RDP进入Azure服务器以安装SmartConsole R80.10

1.从内部客户端主机运行R80.10 SmartConsole -C:\ R8010Console.exe的安装
2.对于安装SmartConsole,请接受所有Defauls和执行完整安装

3.登录SmartDashboard并安装策略
 – //youtu.be/QizN9YHlE8g

3.1从“开始”菜单中,中国体育彩票开奖“所有程序” - 查看点SmartConsole R80.10 -
SmartDashboard和系统显示登录窗口:

使用以下信息
配置登录窗口:
用户名:admin
密码:checkpoint1234!
ManagementServer:192.168.101.254

中国体育彩票开奖“确定”按钮,系统显示指纹。
中国体育彩票开奖“批准”按钮,批准指纹。

3.2编辑网关对象选择平台门户
Change the port for the GAIA portal to 4434. The URL is //192.168.101.254:4434

3.3编辑HE Gateway对象选择UserCheck
The URL is //192.168.101.254/UserCheck

3.4中国体育彩票开奖“安装策略”以安装安全策略。



4.符合刀片
 – //youtu.be/r7OERY9o2KE

在MGMT服务器上启用R80.10 SmartEvent和符合性刀片
在SmartDashboard中编辑“R80-GWMGMT对象
勾选Smartevent项目的框& Compliance
中国体育彩票开奖“确定”
中国体育彩票开奖发布(注:您无需安装到网关)
现在将开始该过程。

1.如何启用
转到“管理和设置”
•在左侧选择“刀片”
•中国体育彩票开奖“合规性”下的设置
•您将看到管理服务器已启动最佳实践扫描
•扫描完成后,您将看到以下内容
•从现在开始,将验证对安装的任何更改都将针对此刀片验证
•要查看合规状态GOTO“日志和监视器”
•中国体育彩票开奖“新标签”,然后中国体育彩票开奖“打开合规性视图”
•从此处您可以查看安装基础的状态
•在培训过程中,我们可以重新审视此页面,看看事情的变化。



5. HTTPS检查
 – //youtu.be/L_mH6X14zRE

HTTPS实验室需要应用程序控制&要启用的URLF刀片。
•在WinVictim上打开SmartDashboard,登录到192.168.101.254
•双击安全网关对象
•选中“应用程序控件和URLF”复选框,然后安装策略

• Access the following URL (from Win-Victim using Chrome). ̶ //www.facebook.com
•按CTL + Shift + I打开开发人员控制台
•中国体育彩票开奖安全性
•中国体育彩票开奖“查看证书”。
•验证已发出的证书是否有效

•编辑网关对象并选择HTTPS检查。
•中国体育彩票开奖步骤1:创建和CA创建对话框窗口将显示

步骤1:
- 客户需要相信新的CA证书。
- 我们可以导出自签名的CA证书(仅包含公钥)以供以后使用。
第2步:中国体育彩票开奖导出证书并将证书保存为Gateway.Cer上的Win-Protfect
桌面。
第3步:启用HTTPS检查,然后中国体育彩票开奖“确定”。

中国体育彩票开奖“管理和设置” - 刀片 - 在HTTPS检查下中国体育彩票开奖“在SmartDashboard中配置”
确保策略在视频中看起来像
•保存策略并关闭HTTPS策略窗口
•安装策略

•关闭和打开铬
•证书信任错误页现在应显示在www.facebook.com选项卡中。

•URL和证书错误消息下的红色栏,指示出现问题。中国体育彩票开奖证书信息并查看认证路径。这将显示新创建的证书是
证书路径的根CA和它不值得信任。
•打开日志和监视并搜索“https”。查看日志并验证网关是否可以检测到客户端不相信网关CA证书。

•这样做的一种方法是手动导入证书。
•在Win-Protfect Desktop上找到导出的.cer文件。
•中国体育彩票开奖CA证书和查看证书。
•现在通过中国体育彩票开奖“安装证书”启动证书导入向导

•重新启动浏览器以使用新的CA
•退出浏览器,然后重新启动它
•再次访问www.facebook.com
•中国体育彩票开奖绿色锁定图标,并验证管理服务器还发出证书但是
现在由浏览器信任。
再次检查认证路径。
•尝试访问其他基于HTTPS的网站,以检查是否发生了同样的事情。
•在后续实验室中,您可以看到CA列表更新可用。
•安装此自动更新以保持CA列表最新。

HTTPS最佳实践指南:SecureKnowledge SK108202



6.身份意识
 – //youtu.be/9zGaRUymea0

启用安全网关上的身份感知。
•来自SmartDashboard,编辑安全网关对象。
•在“网络安全”选项卡中,验证是否选择了防火墙选项。
•选择身份感知刀片选项
•在向导中启用AD查询,基于浏览器的身份验证和终端服务器中国体育彩票开奖“下一步”。
•如果尚未填充这些字段,则创建一个新域“test.ad”,具有凭据“cpadmin”,
和“cpwins1!”。中国体育彩票开奖“连接”。

• Ensure the Main URL is set to //192.168.101.254/connect
• 点击下一步。身份意识现在活跃!出现。
•中国体育彩票开奖“完成”。中国体育彩票开奖确定。安装策略。

•编辑网关对象。中国体育彩票开奖身份感知分支并检查基于浏览器的身份验证(AKA俘虏门户),Active Directory查询和终端服务器的设置
•注意其他设置。除了身份感知之外,在本练习中不使用其他设置
•用户计算机上安装的Identity代理 - 轻量级代理。
•终端服务器 - 身份感知支持终端服务器的使用
•RADIUS计费 - 从RADIUS计费请求获取身份数据。
•远程访问 - IPSec VPN用户的身份感知支持使用 - 端点VPN

•通过运行c:\ r8010-terminalseRverAgent.exe开始安装过程
•首次安装您将看到此 -
•中国体育彩票开奖“多用户主机设置”
•从GW输入共享秘密(您的钥匙将不同)
•中国体育彩票开奖“保存”,然后中国体育彩票开奖“更改设置”
•在“连接到服务器”下输入网关的IP I.E.192.168.101.254
•中国体育彩票开奖“确定”。请注意,中国体育彩票开奖“查看并信任证书”。代理现在设置

通过浏览到Facebook.com来检查连接。
•在日志和监视器中,使用搜索查询“刀片:”身份感知“。
•使用Identity Invarention Blade收藏夹简化排序和搜索记录详细信息。

•俘虏门户方案:这是一个简单的方法,用于使用Web界面验证用户。当用户尝试访问受保护的资源时,它们以浏览器中显示的形式输入身份验证信息。
•在具有访问角色的规则中,您可以在操作字段中添加属性以将流量重定向到俘虏门户。如果添加此属性,则当源标识未知并且流量是HTTP时,用户被重定向到
俘虏门户。如果已知源标识,则立即强制执行规则(允许或块)中的操作,并且用户不会发送到俘虏门户。

•打开防火墙策略并右键中国体育彩票开奖Internet访问规则的操作字段
•右键中国体育彩票开奖“接受”,然后选择“更多”。
•中国体育彩票开奖“启用Identity Compative Portal”
•中国体育彩票开奖“确定”。
•在“源”列中右键中国体育彩票开奖并删除Net_192.168.101.0对象。
•中国体育彩票开奖“源”字段右上角的“加符号”。
•创建新的访问角色

•命名访问角色已知用户。
•在“网络”选项卡中,选择特定网络:Net_192.168.101.0
•在“用户和机器”选项卡中,选择任何•中国体育彩票开奖“确定”。 •安装政策

•测试封印门户以验证配置。
•通过SSH登录网关,Putty在C:\受害者的C:\
•来自CLI,类型:“PDP监视器全部|更多“获取IP地址 [电子邮件 protected]

•现在我们必须停止TS代理,启动应用程序,然后中国体育彩票开奖“断开网关”
•如果从上一个幻灯片命令显示任何反馈,请发出以下命令
̶#PDP控制Revoke_IP 192.168.101.100
•这将撤消网关上的CPADMIN的标识映射。
注意 - 您可能需要禁用服务器管理器中的Windows IE增强安全性
•在日志记录中,从左侧导航“身份感知刀片全部”中选择并识别并查看俘虏门户的重定向日志
•从专家模式,键入以下命令,然后按Enter:
#PDP监视器全部|更多的
•注意客户端类型已更改为Portal

•编辑Internet访问规则以禁用蜂窝页面。我们将在其余实验室使用AD查询以获取用户身份。
•右键中国体育彩票开奖“操作”字段。
•选择“编辑属性”。
•禁用蜂扣式门户。
•将源字段从访问角色更改为网络对象,net_192.168.101.0。
•安装策略。
•在TS代理中,中国体育彩票开奖“修复连接”



7.1 Smartlog和Smartevent
 – //youtu.be/tcfdPWmgRCQ
启动R80.10 SmartConsole.
•选择“开始 - 所有程序 - 检查点SmartConsole。
•中国体育彩票开奖“登录”。
•转到日志和监视器
•在搜索栏中键入https。
•按ENTER。中国体育彩票开奖返回箭头以清除条目
•在查询顶端结果中,扩展顶部操作。
•选择HTTPS检查。请注意查询栏中的语法。
•将另一个查询顶部结果展开,如您所喜欢的顶端目的地,并注意查询更改
•按返回箭头以取消选择上次查询
•按向前箭头返回查询
•将查询添加为收藏夹
•在菜单中,选择收藏夹 - 添加到收藏夹

•接受默认名称
•中国体育彩票开奖查询
•展开我的最爱

Smartlog实验室
  - 使用字段创建查询
•中国体育彩票开奖查询栏内部。
•选择“操作”。
•选择询问用户。
•按ENTER键以显示查询结果。
•双击日志以查看更多详细信息。
•完成后关闭Smartlog。

启用S​​martEvent.
•编辑管理服务器对象。
•在“常规属性”中,“管理”选项卡,启用SmartEvent。
•启用SmartEvent Server& Correlation Unit
•安装策略。
•通过选择“日志和监视器”启动报告视图
•中国体育彩票开奖屏幕顶部的“新标签”或+符号
•中国体育彩票开奖默认的“访问控制”报告。
•现在通过中国体育彩票开奖选项编辑此报告,然后编辑
•完成编辑后,中国体育彩票开奖“完成”
•中国体育彩票开奖左侧的“视图”
•在这里,您将看到所有预定义视图。 “重要攻击”
•您可以双击任何这些项目以查看实时数据。

7.2 Smartevent,报告,SmartView和Gateway Portal
  – //youtu.be/d-ey9YSggNA

它展示了如何访问Smartevent,如何生成报表以及如何访问检查点R80.10网关门户。

8.1安全互联网使用
– //youtu.be/lCn6OSqW5pY

该实验室将创建公司政策:
•以CPADMIN登录到WINVICTIM虚拟机。
•通过浏览到以下站点测试Internet连接:
•www.cnn.com.

从SmartDashboard,编辑网关对象。
•验证已启用以下内容的“网络安全”选项卡
̶应用控制
̶url过滤

数据库更新
•应用程序和URL过滤数据库已自动更新。
•选择“安全策略”然后“更新”
•验证管理服务器最新的消息和操作。

政策创造
•您的组织已识别您要防止公司员工访问的URL类别和常用应用程序。大多数这些都很容易决定备份常识规则,就像没有赌博或匿名者一样。
•中国体育彩票开奖“安全策略”,查看安全策略。
̶查找规则6.3,此规则允许来自LAN的所有出站流量

•在6.3以上添加新规则:
•中国体育彩票开奖新规则服务和应用程序列中显示的加符号,系统显示搜索助手。

•另一种方法是创建一个新的应用程序/站点组。
•在“搜索助手”窗口的右上角,中国体育彩票开奖“新建”按钮。
•选择新的应用程序/站点组,系统显示以下组对象:

•使用以下信息:
̶名称:非常_bad_things
̶评论:危险网站和应用程序
•中国体育彩票开奖“添加”。

•在助理的搜索字段中,类型:间谍软件
•在可用窗格中,选择间谍软件/恶意站点类别。

•现在,搜索并选择以下附加站点和应用程序以阻止用户访问:
•网络钓鱼•僵尸网络•匿名器•P2P文件共享

•中国体育彩票开奖“确定”,将组添加到应用程序/站点字段
将动作字段留成掉落。
•在“操作”列中,右键中国体育彩票开奖“已阻止的消息”图标,选择“更多”,然后中国体育彩票开奖邮件旁边的“编辑”图标以查看userCheck交互设置:
中国体育彩票开奖“添加徽标”按钮,然后选择“检查点”图标。

•中国体育彩票开奖“确定”,系统现在显示所选的徽标:
•中国体育彩票开奖浏览器按钮中的预览以查看用户的示例
将看到此规则应用于其Web浏览尝试时:
•关闭浏览器,然后中国体育彩票开奖“userCheck交互”窗口中的“确定”。
•将配置为日志的曲目类别留下,以便您可以在SmartLog Tracker中看到此流量。
•验证新配置的规则是否显示为视频显示:
•添加下面的新规则以将带宽限制为媒体流。
•使用以下信息配置高风险规则:
̶名称:媒体流
̶来源:受害者
̶目的地:互联网
̶站点:媒体流,媒体共享
̶行动:允许,限制......下载_10Mbps
̶轨道:日志
•使用以下信息通知用户不合适的内容:
̶名称:文件存储& Sharing
̶来源:任何
̶目的地:互联网
̶应用程序/站点:文件存储和共享
̶行动:允许,询问,公司政策
̶轨道:日志
•使用以下信息通知用户不合适的内容:
̶名称:社交网络
̶来源:任何
̶目的地:互联网
̶应用/站点:Facebook
̶操作:允许,通知,访问通知
̶轨道:日志
•使用以下信息
名称:不当内容
̶来源:任何
̶目的地:互联网
̶应用/网站:类别:潜在的责任和争议(如您所相址 - 包括酒精)
̶动作:删除,被阻止的消息
̶轨道:日志
•与防火墙策略一样,规则顺序很重要。假设我们想要允许访问
www.budweiser.com并阻止访问其他酒精相关的网站。
•添加以下规则的规则。
在“添加应用程序/站点”窗口中,中国体育彩票开奖“新建 - 应用程序/网站”。
输入名称允许-UPWEISER,中国体育彩票开奖“下一步”。
输入网址www.budweiser.com,中国体育彩票开奖“添加”和“下一步”。选择下一步,完成和确定

政策验证
•是时候测试新用户体验了。是时候看到了
应用&URL筛选在操作中。
•通过浏览到以下内容测试互联网连接
网站:
̶•www.cnn.com.
̶•www.budweiser.com.
•验证用户可以访问BudWeiser站点,但不是饮酒类别中的其他网站。

8.2安全互联网使用(DLP)
 – //youtu.be/1TaLuOhKkpI

9.内容意识
//youtu.be/9eCGSVxHln4
启用内容意识
•从仪表板,编辑网关对象
•启用“内容感知”刀片
•启用“URL过滤”刀片
•启用“应用程序控制”刀片
•中国体育彩票开奖“确定”并安装策略
•修改“内部网络”层和
启用“内容意识”
•右键中国体育彩票开奖“内部网络”下
行动
•选择内联图层 - 编辑图层
•勾选“内容意识”
•中国体育彩票开奖“确定”
•中国体育彩票开奖“发布”

创建政策:
•在“内部”策略层下,创建两个新规则以匹配以下任何一个图像。
•如果您有Dropbox帐户,请使用这些规则。如果没有,则使用DMZ-WebServer规则

测试内容意识:
•如果您有Dropbox帐户,请登录您的帐户和
尝试从C:\ DLP文件上传Word文档
•如果您没有Dropbox帐户,请使用Unknown300
地点。
•打开Internet Explorer
• Goto http://unknown300.com from the VICTIM
•转到“下载”
•尝试下载“Clean.doc”,这将是工作
•转到上传
•尝试从C:\ DLP文件中载一个文档文件。受保护的file.doc.
•您发现内容意识将阻止上传。
注意记录以下内容
• 应用
•会话细节
•Web资源
•HTTPS检查状态
• 文件名
• 文件类型
• 文件大小

10.预防威胁IPS
//youtu.be/i6T2KzCuciU
启用IP:
•编辑网关对象
•一般属性使能IPS刀片
•选择左侧树中的IP。
•确保激活模式设置为此
•中国体育彩票开奖“确定”
•转到威胁政策并更改
“my_profile”政策的行动
•安装策略

测试IPS:

•对于此测试,我们将使用Metasploit来利用Firefox 17.0
•安装C:\ firefoxsetup17.0.exe(接受所有默认值选项),

11.威胁预防抗病毒和抗选
//youtu.be/WUnWHb5Yfno
启用防病毒& Anti-Bot:
•编辑网关对象。
•禁用内容感知
•启用抗机组,防病毒。
•接受默认值以使用反BOT和防病毒策略。
•选择反机BOT和防病毒分支,并验证下面的设置匹配
•安装策略,您现在免受已知威胁的保护。
•注意网络安全和威胁预防政策是
单独安装。
•选择“威胁防范策略”,选择“策略”。
•在“操作”列中,右键中国体育彩票开奖“策略名称”,然后中国体育彩票开奖“查看”以展开“My_profile配置文件”。
•请注意,对于抗BOT,防病毒和威胁仿真,默认设置设置为防止除了低信心
•虽然仍处于威胁预防选项卡,请选择保护。
•用户界面的本节仅是信息性,并描述了用于检测的保护机制
威胁。

测试防病毒& Anti-Bot
•如果您没有Live病毒或机器人,那么您如何测试Anti-Bot和Antivirus?
• From the Win-Victim VM visit //threatwiki.checkpoint.com
•中国体育彩票开奖“威胁防范资源” - 在“页面”上的“威胁Wiki”链接。

12.安全管理API基础知识
//youtu.be/cNV1ZBnhc18

在此实验室中,我们将通过API创建一个基本主机对象和规则。
这些变化将通过仪表板实时观看
管理API.
[机密]为指定的团体和个人
•从仪表板中,中国体育彩票开奖“管理”& Settings”
•中国体育彩票开奖管理API下的“高级设置”
•确保访问设置如下所示
•从受害者开放SSH会话到R80.10 MGMT服务器
•从这里我们将运行API命令来创建对象和规则

•通过PuTty会话运行以下一组命令到管理服务器
•MGMT_CLI登录用户管理员密码CPWins1! - port 4434 - id.txt
•mgmt_cli添加地址范围名称“badisp”ip-address-first“1.2.4.0”IP-address-last“1.2.4.255”-s id.txt
•mgmt_cli将访问规则层网络位置1名称“块到已知的坏IP的”操作删除目标Badisp -s id.txt
•mgmt_cli添加访问规则层网络位置1名称“来自已知的坏IP的”动作丢弃源Badisp -s id.txt
•mgmt_cli publish -s id.txt
•mgmt_cli logout -s id.txt

•您现在将在策略的顶部看到两个新规则,这些规则将如下所示

经过 Jon.

发表评论