CheckPoint替换Bluecoat案例一则

2019-06-14

最近，我们接到了某客户的一起故障——BlueCoat代理服务器因为断电故障无法启动，导致用户无法访问互联网，客户无Bluecoat的备机，让我们来看看能否借一台备机临时抵用，BlueCoat的备机一时半会儿协调不到，正好我们在研究CheckPoint的一些新功能，Checkpoint是可以当作代理服务器使用，于是，经过一番设置，我们就用CheckPoint实现了代理服务器的功能，解决了用户的燃眉之急。下面就来详细看看CheckPoint的代理服务器功能如何部署。

一、部署场景

CheckPoint 代理服务可以使用两种方式进行部署：串接模式和旁路模式。

>>>互联网出口<<<

防火墙串接在互联网出口，可以当作防火墙进行安全防护，同时充当代理服务器。

>>>旁路部署<<<

使用单臂模式，不影响现网环境，灵活部署。

二、Checkpoint 代理配置

1、登录SmartConsole双击打开防火墙对象

2、切换到HTTP/HTTPS Proxy配置面版进行操作

3、勾选Use this gateway as an HTTP/HTTPS Proxy打开代理开关

4、proxy mode代理模式包含两种，透明模式和非透明模式。

透明：

指定端口和接口上的所有HTTP流量都由安全网关中的代理拦截和处理。客户端无需配置。

非透明：

指定端口和接口上的所有HTTP / HTTPS流量都由安全网关中的代理拦截和处理。客户端计算机上需要配置代理地址和端口一般配置选择非透明模式。

5、设置访问控制，从哪些接口接受HTTP请求

所有内部接口：

来自所有内部接口的HTTP / HTTPS流量由安全网关中的代理处理。

特定接口：

来自列表中指定的接口的 HTTP / HTTPS流量由安全网关中的代理处理。

6、端口设置

默认情况下，仅在端口8080上拦截流量。可以根据需要添加或编辑端口。

7、高级设置

X-Forward-For heade：

在http报文中插入实际的源地址信息，对于需要溯源的应用必须开启。

Proxy related headers：

默认情况下，HTTP标头包含“ Via ”代理相关标头。如果不想包含此信息，可以清除此复选框。

8、防火墙策略

需要放行被代理的网段或者主机到防火墙代理IP的指定端口的流量（8080），如

192.168.1.0/24 --> 192.168.2.254:8080

其中，192.168.1.0/24是需要代理的网段，192.168.2.254是防火墙接受代理的内网口，8080是代理端口。

9、安全防护

CheckPoint威胁防御提供了一种多层级感染前，感染后的防御方式，以及进行安全检测并拦截恶意软件的统一安全威胁防御平台，提供了相应的威胁防御软件刀片：

应用控制(APP Control)和URL过滤(URL Filter)

应用程序控制软件刀片为各种规模的组织提供应用程序安全性和身份控制。它使IT团队能够轻松地基于用户或组创建精细策略，以识别、阻止或限制Web应用程序、网络协议和其他非标准应用程序的使用。

入侵防御系统（IPS）

Check Point入侵防御系统（IPS）软件刀片将业界领先的IPS保护与突破性性能相结合，成本低于传统的独立IPS解决方案。 IPS软件刀片提供完整、主动的入侵防护，具有统一和可扩展的下一代防火墙解决方案的部署和管理优势。

防僵尸（Anti-Bot）和防病毒（AV）

今天的企业正面临来自先进和复杂恶意软件的安全威胁的多样性和数量的前所未有的增长。这些恶意攻击可能会集中于窃取数据，破坏业务连续性以及破坏企业的声誉。为了帮助保持领先于现代恶意软件，早期检测和快速响应至关重要。安全团队应积极寻求在感染环境之前识别和确认感染。这种主动方法有助于节省企业资源并最大限度地减少恶意软件损坏。Check Point全面的威胁防御解决方案有助于保护网络免受当今复杂的恶意软件和网络攻击。Check Point引入了多层防御，包括Anti-Bot和Anti-Bot软件刀片。此刀片提供了一种感染后解决方案，可通过阻止僵尸网络通信渠道来检测和预防机器人威胁。

10、日志

安全网关打开两个连接（一个与客户端的连接和一个与实际目标服务器的连接），但只有防火墙模块可以记录两个连接。

其他刀片（如IPS，AV，AB）仅显示客户端与安全网关之间的连接。

日志的“目标”字段仅显示安全网关，而不显示实际的目标服务器，“资源”字段显示实际目的地。