Check Point和Microsoft为R80.10实验室提供了一个测试驱动器。实验室的设计非常好,可以理解Check Point的体系结构和功能为了总结我所得到的,我在笔记本电脑上录制了实验室视频并将它们放在一起。

1.登录到Azure
– //youtu.be/MInifWUg2H8

该实验室正在Microsoft Azure公共云基础架构中运行。
5 VMs:
1.内部客户端:Win-Victim:Windows服务器,smartconsole客户端,chrome,
2.网关&Mgmt服务器:同一台VM上的独立R80.10网关和Mgmt服务器
3. Web服务器:Ububtu 用于进行网络测试
4.现任导演:Win-DC
5.笔测试工具:Kali

2.将RDP插入服务器以安装SmartConsole
 – //youtu.be/XJ820_Kr8GQ

有关如何将RDP导入Azure服务器以安装SmartConsole R80.10的屏幕录像

1.从内部客户端主机运行R80.10 SmartConsole –c:\ R8010console.exe的安装
2.对于SmartConsole的安装,请接受所有默认设置并执行完整安装

3.登录到SmartDashboard并安装策略
 – //youtu.be/QizN9YHlE8g

3.1在“开始”菜单中,中国体育彩票开奖“所有程序” – Check Point SmartConsole R80.10 –
SmartDashboard,系统显示登录窗口:

使用以下信息
配置登录窗口:
用户名:admin
密码:CheckPoint1234!
管理服务器:192.168.101.254

中国体育彩票开奖确定按钮,系统显示指纹。
中国体育彩票开奖批准按钮,以批准指纹。

3.2编辑网关对象,选择“平台门户”
Change the port for the GAIA portal to 4434. The URL is //192.168.101.254:4434

3.3编辑网关对象选择UserCheck
The URL is //192.168.101.254/UserCheck

3.4中国体育彩票开奖“安装策略”以安装安全策略。



4.合规性刀片
 – //youtu.be/r7OERY9o2KE

在Mgmt Server上启用R80.10 SmartEvent和合规性刀片
在SmartDashboard中编辑“ R80-GWMGMT对象”
选中两个SmartEvent项目的复选框& Compliance
中国体育彩票开奖确定
中国体育彩票开奖发布 (注意–您不需要安装到网关)
现在将开始处理。

1.如何启用
转到“管理和设置”
•选择左侧的“刀片”
•中国体育彩票开奖“合规性”下的设置
•您将看到管理服务器已开始最佳实践扫描
•扫描完成后,您将看到以下内容
•从现在开始,将根据此刀片来验证对安装所做的任何更改
•要查看合规性状态,请转到“日志和监视器”
•中国体育彩票开奖“新建选项卡”,然后中国体育彩票开奖“打开合规性视图”
•从这里您可以查看安装基础的状态
•在培训过程中,我们可以重新访问该页面并查看情况如何变化。



5. HTTPS检查
 – //youtu.be/L_mH6X14zRE

HTTPS实验室需要应用程序控制&启用URLF刀片。
•在WinVictim上打开SmartDashboard并登录到192.168.101.254
•双击安全网关对象
•选中“应用程序控制”和“ URLF”复选框,然后安装策略

• Access the following URL (from Win-Victim using Chrome). ̶ //www.facebook.com
•按CTL + Shift + I打开开发人员控制台
•中国体育彩票开奖安全性
•中国体育彩票开奖“查看证书”。
•验证证书是否在  issued is valid

•编辑网关对象,然后选择HTTPS检查。
•中国体育彩票开奖“步骤1:创建”,将出现“ CA创建”对话框窗口

步骤1:
–客户将需要信任新的CA证书。
–我们可以导出自签名的CA证书(仅包含公共密钥)供以后使用。
步骤2:中国体育彩票开奖“导出证书”,然后将证书另存为Win-Victim上的gateway.cer。
桌面。
步骤3:启用HTTPS检查,然后中国体育彩票开奖“确定”。

中国体育彩票开奖“管理和设置” –刀片–在“ HTTPS检查”下,中国体育彩票开奖“在SmartDashboard中配置”
确保政策看起来像视频中的
•保存该策略并关闭HTTPS策略窗口
•安装策略

•关闭并打开Chrome
•证书信任错误页面现在应该出现在www.facebook.com选项卡中。

•URL和证书错误消息下方的红色条表示有问题。中国体育彩票开奖证书信息,然后查看证书路径。这将显示新创建的证书是
证书路径的根CA,并且它是不受信任的。
•打开“日志和监控”,然后搜索“ https”。查看日志,并验证网关是否可以检测到客户端不信任网关CA证书。

•一种方法是手动导入证书。
•在Win-Victim桌面上找到导出的.cer文件。
•中国体育彩票开奖CA证书并查看证书。
•现在通过中国体育彩票开奖安装证书启动证书导入向导。

•重新启动浏览器以使用新的CA
•退出浏览器,然后重新启动
•再次访问www.facebook.com
•中国体育彩票开奖绿色锁定图标,并验证证书仍由管理服务器颁发,但
现在被浏览器信任。
再次检查认证路径。
•尝试访问其他基于HTTPS的网站,以检查是否发生了相同的事情。
•在随后的实验中,您可能会看到可用的CA列表更新。
•安装此自动更新以使您的CA列表保持最新。

HTTPS最佳实践指南:SecureKnowledge sk108202



6.身份意识
 – //youtu.be/9zGaRUymea0

在安全网关上启用身份意识。
•在SmartDashboard中,编辑Security Gateway对象。
•在“网络安全”选项卡中,确认已选择“防火墙”选项。
•选择“身份意识”刀片服务器选项
•在向导中启用AD查询,基于浏览器的身份验证和终端服务器,然后中国体育彩票开奖“下一步”。
•如果尚未填充这些字段,则创建一个新域“ test.ad”,其凭据为“ cpadmin”,
和“ Cpwins1!”。中国体育彩票开奖连接。

• Ensure the Main URL is set to //192.168.101.254/connect
• 点击下一步。身份意识现已启用!出现。
•中国体育彩票开奖完成。中国体育彩票开奖确定。安装策略。

•编辑网关对象。中国体育彩票开奖“身份意识”分支,然后检查基于浏览器的身份验证(又名Captive Portal),Active Directory查询和终端服务器的设置
•注意其他设置。除身份意识外,本练习中未使用其他设置
•身份代理–用户计算机上安装的轻量级代理。
•终端服务器–身份意识支持终端服务器的使用
•RADIUS记帐–从RADIUS记帐请求中获取身份数据。
•远程访问– IPSEC 虚拟专用网 用户的身份意识支持使用–端点VPN

•通过运行c:\ R8010-TerminalServerAgent.exe开始安装过程。
•首次安装时,您将看到-
•中国体育彩票开奖“多用户主机设置”
•从gw输入共享密钥(您的密钥将有所不同)
•中国体育彩票开奖保存,然后中国体育彩票开奖“更改设置”
•在“连接到服务器”下,输入网关的IP,即192.168.101.254
•中国体育彩票开奖确定。请注意,中国体育彩票开奖“查看并信任证书”。现在已设置代理

通过浏览到facebook.com检查连接性。
•在“日志和监视器”中,使用搜索查询“刀片:“身份意识”。
•使用“身份意识刀片常用”来简化排序和搜索记录详细信息。

•强制门户场景:这是一种通过Web界面对用户进行身份验证的简单方法。用户尝试访问受保护的资源时,会以浏览器中显示的形式输入身份验证信息。
•在具有访问角色的规则中,您可以在“操作”字段中添加属性,以将流量重定向到强制门户。如果添加了此属性,则当源身份未知且流量为HTTP时,用户将被重定向到
俘虏门户。如果知道源身份,则将立即执行规则(允许或阻止)中的操作,并且不会将用户发送到强制门户。

•打开防火墙策略,然后右键中国体育彩票开奖Internet访问规则的“操作”字段。
•右键中国体育彩票开奖“接受”,然后选择“更多”。
•中国体育彩票开奖“启用身份验证门户”
•中国体育彩票开奖确定。
•在“源”列中,右键中国体育彩票开奖并删除Net_192.168.101.0对象。
•中国体育彩票开奖源字段右上方的加号。
•创建一个新的访问角色

•将访问角色命名为knownusers。
•在“网络”选项卡中,选择特定的网络:Net_192.168.101.0
•在“用户和计算机”选项卡中,选择“任意”•中国体育彩票开奖“确定”。 •安装政策

•测试强制门户以验证配置。
•通过SSH登录到网关,腻子位于受害者的c:\上
•在cli中,键入:“ pdp monitor all |更多”以获得IP地址 [电子邮件 protected]

•现在,我们必须停止TS代理,启动应用程序,然后中国体育彩票开奖“从网关断开连接”
•如果从上一个幻灯片命令显示了任何反馈,请发出以下命令
̶#pdp控制revoke_ip 192.168.101.100
•这将撤消cpadmin在网关上的身份映射。
注–您可能需要在服务器管理器中禁用Windows IE增强的安全性
•在“日志记录”中,从左侧导航中选择“身份意识刀片” 全部”,并识别并查看Captive Portal的重定向日志
•在专家模式下,键入以下命令,然后按Enter:
#pdp monitor all |更多
•注意客户端类型已更改为门户

•编辑Internet访问规则以禁用Captive Portal。在其余的实验中,我们将使用AD Query来获取用户身份。
•右键中国体育彩票开奖“操作”字段。
•选择编辑属性。
•禁用强制门户。
•将源字段从访问角色更改为网络对象Net_192.168.101.0。
•安装策略。
•在TS代理中,中国体育彩票开奖“修复连接”



7.1 SmartLog和SmartEvent
 – //youtu.be/tcfdPWmgRCQ
启动R80.10 SmartConsole
•选择开始–所有程序– Check Point SmartConsole。
•中国体育彩票开奖登录。
•转到日志和监控
•在搜索栏中输入https。
•按Enter。中国体育彩票开奖后退箭头以清除条目
•在“查询热门结果”中,展开“热门操作”。
•选择“ HTTPS检查”。注意查询栏中的语法。
•展开另一个查询,如“最佳目的地”中的“最佳结果”。根据需要选择,并注意查询会发生变化
•按后退箭头取消选择上一个查询
•按前进箭头返回查询
•将查询添加为收藏夹
•在菜单中选择收藏夹-添加到收藏夹

•接受默认名称
•中国体育彩票开奖查询
•展开我的收藏夹

SmartLog实验室
 –使用字段创建查询
•在查询栏中中国体育彩票开奖。
•选择操作。
•选择询问用户。
•按Enter显示查询结果。
•双击日志以查看更多详细信息。
•完成后关闭SmartLog。

启用S​​martEvent
•编辑管理服务器对象。
•在“常规”属性的“管理”选项卡中,启用“ SmartEvent”。
•启用SmartEvent服务器& Correlation Unit
•安装策略。
•通过选择“日志和监视器”启动报告视图
•中国体育彩票开奖“新建选项卡”或屏幕顶部的+符号
•中国体育彩票开奖默认的“访问控制”报告。
•现在,通过中国体育彩票开奖选项,然后根据需要编辑此报告
•完成编辑后,中国体育彩票开奖“完成”
•中国体育彩票开奖左侧的“视图”
•在这里,您将看到所有预定义的视图,例如“重要攻击”
•您可以双击任何这些项目以查看实时数据。

7.2 SmartEvent,报告,SmartView和网关门户
  – //youtu.be/d-ey9YSggNA

它显示了如何访问smartevent,如何生成报告以及如何访问Check Point R80.10网关门户。

8.1安全使用互联网
– //youtu.be/lCn6OSqW5pY

本实验室将创建公司政策:
•以cpadmin身份登录WinVictim虚拟机。
•通过浏览到以下站点来测试Internet连接:
•www.cnn.com

在SmartDashboard中,编辑网关对象。
•在“网络安全性”选项卡中验证是否启用了以下功能
̶应用控制
̶URL过滤

数据库更新
•“应用程序和URL过滤”数据库将自动更新。
•选择“安全策略”,然后选择“更新”
•在“消息和操作”中确认管理服务器是最新的。

政策制定
•您的组织已确定要防止公司员工访问的URL类别和常用应用程序。其中大多数都是支持常识规则的简单决定,例如禁止赌博或匿名。
•中国体育彩票开奖安全策略,以查看安全策略。
̶找到规则6.3,该规则允许来自LAN的所有出站流量

•在6.3以上添加新规则:
•中国体育彩票开奖新规则的“服务和应用程序”列中显示的加号,系统将显示搜索助手。

•另一种方法是创建一个新的应用程序/站点组。
•在“搜索助手”窗口的右上角,中国体育彩票开奖“新建”按钮。
•选择“新应用程序/站点”组,然后系统显示以下组对象:

•使用以下信息:
̶名称:Very_Bad_Things
̶评论:危险站点和应用程序
•中国体育彩票开奖添加。

•在助手的搜索字段中,键入:间谍软件
•在可用窗格中,选择“间谍软件/恶意站点”类别。

•现在,搜索并选择以下其他站点和应用程序以阻止用户访问:
•网络钓鱼•僵尸网络•匿名器•P2P文件共享

•中国体育彩票开奖确定,将该组添加到“应用程序/站点”字段中
将“操作”字段保留为“丢弃”。
•在“操作”列中,右键中国体育彩票开奖“阻止的邮件”图标,选择“更多”,然后中国体育彩票开奖邮件旁边的编辑图标以查看UserCheck交互设置:
中国体育彩票开奖添加徽标按钮,然后选择检查点图标。

•中国体育彩票开奖确定,系统现在显示选定的徽标:
•中国体育彩票开奖“在浏览器中预览”按钮以查看用户的示例
将看到何时将此规则应用于他们的Web浏览尝试:
•关闭浏览器,然后在“ UserCheck交互”窗口中中国体育彩票开奖“确定”。
•将“跟踪”类别配置为“日志”,以便您可以在SmartLog Tracker中查看此流量。
•验证新配置的规则是否如视频所示:
•在下面添加新规则以限制媒体流的带宽。
•使用以下信息来配置高风险规则:
̶名称:媒体流
̶资料来源:受害者
̶目的地:互联网
̶网站:媒体流,媒体共享
̶行动:允许,限制…Download_10Mbps
̶跟踪:日志
•使用以下信息通知用户有关不适当的内容:
̶名称:文件存储& Sharing
̶资料来源:任何
̶目的地:互联网
̶应用程序/站点:文件存储和共享
̶行动:允许,询问,公司政策
̶跟踪:日志
•使用以下信息通知用户有关不适当的内容:
̶名称:社交网络
̶资料来源:任何
̶目的地:互联网
̶应用程序/站点:Facebook
̶操作:允许,通知,访问通知
̶跟踪:日志
•使用以下信息
名称:不当内容
̶资料来源:任何
̶目的地:互联网
̶应用程序/站点:类别:潜在责任和争议(您可以随意添加–包括酒精)
̶操作:删除,阻止的消息
̶跟踪:日志
•与防火墙策略一样,规则顺序很重要。假设我们要允许访问
www.budweiser.com并禁止访问其他与酒精有关的网站。
•在此规则之上添加一个规则。
在添加应用程序/站点窗口中,中国体育彩票开奖新建–应用程序/站点。
输入名称Allow-Budweiser,然后中国体育彩票开奖Next。
输入URL www.budweiser.com,中国体育彩票开奖“添加”,然后中国体育彩票开奖“下一步”。选择下一步,完成并确定

政策验证
•是时候测试新的用户体验了。是时候看看
应用&进行URL过滤。
•通过浏览以下内容测试Internet连接
网站:
̶•www.cnn.com
̶•www.budweiser.com
•确认用户可以访问百威网站,但不能访问“酒精”类别中的其他网站。

8.2安全上网(DLP)
 – //youtu.be/1TaLuOhKkpI

9.内容意识
//youtu.be/9eCGSVxHln4
启用内容意识
•在仪表板上,编辑网关对象
•启用“内容意识”刀片
•启用“ URL过滤”刀片
•启用“应用程序控制”刀片
•中国体育彩票开奖确定并安装策略
•修改“内部网络”层并
启用“内容意识”
•右键点击“内部网络”
行动
•选择内联图层–编辑图层
•勾选“内容意识”
•中国体育彩票开奖确定
•中国体育彩票开奖发布

建立政策:
•在“内部”策略层下,创建两个新规则以匹配以下任一图像。
•如果您有一个保管箱帐户,请使用这些规则。如果没有,则使用DMZ-WebServer规则

测试内容意识:
•如果您有一个保管箱帐户,请登录到您的帐户,然后
尝试从c:\ dlp-files上传Word文档
•如果您没有保管箱帐户,请使用unknown300
现场。
•打开Internet Explorer
• Goto http://unknown300.com from the VICTIM
•转到“下载”
•尝试下载“ Clean.Doc”,它将起作用
•转到上传
•尝试从c:\ DLP文件上传文件文件,例如受保护的file.doc
•您发现“内容意识”将阻止上载。
请注意以下记录
•应用
•会议详情
•网络资源
•HTTPS检查状态
• 文件名
• 文件类型
• 文件大小

10.威胁防御IPS
//youtu.be/i6T2KzCuciU
启用IPS:
•编辑网关对象
•在“常规属性”中,启用IPS刀片
•在左侧树中选择“ IPS”。
•确保激活模式设置如下
•中国体育彩票开奖确定
•转到威胁策略并更改
对“ My_Profile”政策采取的行动
•安装策略

测试IPS:

•对于此测试,我们将使用metasploit来利用Firefox 17.0
•安装c:\ FirefoxSetup17.0.exe(接受所有默认选项),

11.威胁防护AntiVirus和AntiBot
//youtu.be/WUnWHb5Yfno
启用防病毒& Anti-Bot:
•编辑网关对象。
•禁用内容意识
•启用“防盗,防病毒”。
•接受默认设置以使用“防盗和防病毒”策略。
•选择“ Anti-Bot和Antivirus”分支并验证以下设置是否匹配
•安装该策略,现在可以保护您免受已知威胁的侵害。
•请注意,网络安全和威胁防护策略是
单独安装。
•选择“威胁防护”策略,然后选择“策略”。
•在“操作”列中,右键中国体育彩票开奖策略名称,然后中国体育彩票开奖视图以展开My_Profile配置文件。
•请注意,对于“防盗,防病毒和威胁模拟”,默认设置设置为“除低信任度以外,防止”。
•仍在“威胁防护”选项卡中,选择“保护”。
•用户界面的此部分仅提供信息,并描述了用于检测的保护机制
威胁。

测试防病毒& Anti-Bot
•如果您没有活病毒或僵尸程序,那么如何测试Anti-Bot和Antivirus?
• From the Win-Victim VM visit //threatwiki.checkpoint.com
•中国体育彩票开奖页面顶部的“威胁防护资源-威胁Wiki”链接。

12.安全管理API基础
//youtu.be/cNV1ZBnhc18

在本实验中,我们将通过api创建基本的宿主对象和规则。
这些更改将通过仪表板实时查看
管理API
[机密]对于指定的团体和个人
•在信息中心中,点击“管理& Settings”
•中国体育彩票开奖管理API下的“高级设置”
•确保访问设置如下所示
•从受害者到R80.10 mgmt服务器打开ssh会话
•从这里我们将运行API命令来创建对象和规则

•通过腻子会话向管理服务器运行以下命令集
•mgmt_cli登录用户admin密码Cpwins1! –端口4434 – id.txt
•mgmt_cli添加地址范围名称“ BadISP” ip-address-first“ 1.2.4.0” ip-address-last“ 1.2.4.255” -s id.txt
•mgmt_cli添加访问规则层网络位置1名称“阻止已知BAD IP的操作”删除目标BadISP -s id.txt
•mgmt_cli添加访问规则层网络位置1名称“阻止来自已知BAD IP的操作”删除源BadISP -s id.txt
•mgmt_cli发布-s id.txt
•mgmt_cli注销-s id.txt

•您现在将在策略顶部看到两个新规则,如下所示

通过 约翰

发表评论