https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/54287#M503 <P>HI All,</P><P>&nbsp;</P><P>不知大大們有沒有<SPAN>Bridge&nbsp;的步驟可以提供一下? 現時我在 LAN Port 3 &amp; 4 做了一個 Bridge不過不通。後面測試的 SonicWall 不能上網。不知道我是不是有東西沒設好，因為沒用過CP。 當初的想法是把上網的ISP線接到 LAN Port 3 之後 LAN Port 4 的就接到 SonicWall，然後用Bridge 連在一起為的就是不用改 SonicWall 的設定但前面又有多一台 Firewall 可以做隔阻。</SPAN></P><P>先感謝大大的答複</P><P>&nbsp;</P> Fri, 24 May 2019 01:49:22 GMT bear410hk 2019-05-24T01:49:22Z https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52083#M492 <P>Hi All,</P><P>我是checkpoint 的新手也是 network 上的新手，對於 bridge mode 的設定不太懂想請教一下各位。</P><P>公司想增加現在 web service security. 所以買了 Check Point 730, 打算放到現時的 web server firewall 前。想在不影響原本的網絡架構及設定上做到增加一層 firewall。但在 bridge 的設定我不太明白。</P><P>ISP IP: 123.123.123.100</P><P>SonicWall Wan:&nbsp;123.123.123.100</P><P>SonicWall 有2台隨時做自動轉換 failover.&nbsp;</P><P><FONT color="#FF6600">現在的網絡架構 (Web Service);</FONT></P><P>Internet modem &gt; Cisco Giga Switch (8 port, 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) &gt; SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) &gt; VM&nbsp;</P><P><FONT color="#FF6600"><STRONG>希望轉為 :</STRONG></FONT></P><P>Internet modem &gt; Cisco Giga Switch &gt; Check Point ( 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) &gt; SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) &gt; VM&nbsp;</P><P>問題:</P><P>1. 如果這樣 Bridge mode 是最好嗎?</P><P>2. 如果這樣設定，我 SioneWall 的 WAN IP 需要轉移到 Checkpoint 上? 但我看過網上的文件說可以不用更改也可以不用在 CheckPoint 的 Bridge 設定 IP ，但是在設定時發現 Br0 一定要鍵入一個 IP ，內網又不對，外網我又不知道是不是現在的外網 IP.</P><P>Thanks for your help.&nbsp;&nbsp;</P><P>Bear</P> Mon, 29 Apr 2019 04:06:19 GMT https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52083#M492 bear410hk 2019-04-29T04:06:19Z https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52163#M493 Hi Bear,<BR /><BR />如果你的730只有一台沒有HA，我會建議擺放在Web Services前面做Bridge Mode並開啟進階的防禦功能，也就是：<BR /><BR />Internet modem &gt; Cisco Giga Switch (8 port, 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) &gt; SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) &gt; Check Point 730 &gt; VM <BR /><BR />依照你的敘述，目前對外你已經有一對SonicWall HA當做外層L4防火牆，以資安架構的角度來說CP-730可以補足進階攻擊防護的這一塊。 Mon, 29 Apr 2019 16:38:09 GMT https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52163#M493 Sung-Lun_Yang1 2019-04-29T16:38:09Z https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52214#M494 <P>已經有高手回應,建議您採用他的架構做法。</P><P>1.SMB model Bridge 一定要有個IP,它只是管理用,什麼網段不重要,連得到就好,它也沒有路由功能。</P><P>2.如果您是用LAN port來做bridge,記得把SMB的wan port設定好,讓它開啟進階功能的更新服務,要不然bridge interface看不到default route設定:</P><P><span class="lia-inline-image-display-wrapper lia-image-align-inline" image-alt="bridge.JPG" style="width: 586px;"><img src="https://community.checkpoint.com/t5/image/serverpage/image-id/1021iC297F2A5ABFFC961/image-dimensions/586x189?v=v2" width="586" height="189" role="button" title="bridge.JPG" alt="bridge.JPG" /></span></P><P>3.或者...許多人不知道你可以讓LAN和Wan直接做一個bridge,這時就可以直接上網更新了。</P> Tue, 30 Apr 2019 02:44:24 GMT https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52214#M494 Neville_Kuo 2019-04-30T02:44:24Z https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52221#M495 <P>HI Sung-Lun &amp; Neville,</P><P>感謝2位大大的回覆!!</P><P>還有一些問題想請教的，由於 Sonicwall 的部份是由 Vendor 負責而且VM後有幾台不同的 server 用了5個 LAN port 所以就不能把 CP-730 擺放到 SonicWall 後面了，所以要擺放到 SonicWall 前面。</P><P>1.&nbsp; 把CP-730 放到 SonicWall前面，我簡單的<SPAN>敘述請大大們幫看一下有沒有問題。</SPAN></P><P><SPAN>Internet modem &gt;&nbsp;</SPAN><SPAN>Cisco Giga Switch ( 8 port, 2 條線分別插到 CP-730 的 LAN 3 inbound &amp; LAN 4 outbound [br0] 及 LAN&nbsp; 5 inbound &amp; LAN 6&nbsp;outbound [br1] ) &gt; SonicWall Firewall 1號 WAN 及 SonicWall Firewall 2號 WAN ( 2台 SonicWall 有 HA 功能 ) &gt; VM&nbsp;</SPAN></P><P><SPAN>另外 LAN 1 設定內網獨立 IP 作Management 用~</SPAN></P><P><SPAN>2. 另外有關&nbsp;Neville 大大提到的要把 CP-730 的 WAN port 設好做 OS&nbsp;更新服務。這部份我會在 WAN 設定一個獨立外網 IP 定期插線上網更新。</SPAN></P><P><SPAN>大概是這樣的設定，剛好我找到有個舊的 SonicWall 正好可以測試一下我這樣的設計有沒有問題。</SPAN></P><P>感謝2位大大的回覆!!</P><P>&nbsp;</P><P>&nbsp;</P><P>&nbsp;</P><P>&nbsp;</P><P>&nbsp;</P> Tue, 30 Apr 2019 06:28:34 GMT https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52221#M495 bear410hk 2019-04-30T06:28:34Z https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52634#M496 <P>Hi,</P><P>不確定您這樣接是否會影響Sonicwall failover, 理論上它Failover時也是利用發送G-arp的機制,不知道會不會過不了CP730,要測試看看,如果不行,中間還要再隔Switch。</P><P>你這樣在同一台CP上切兩個Bridge group還要小心Double inspection的問題,請確定流量兩邊都要切開。</P> Mon, 06 May 2019 01:50:13 GMT https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/52634#M496 Neville_Kuo 2019-05-06T01:50:13Z https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/54287#M503 <P>HI All,</P><P>&nbsp;</P><P>不知大大們有沒有<SPAN>Bridge&nbsp;的步驟可以提供一下? 現時我在 LAN Port 3 &amp; 4 做了一個 Bridge不過不通。後面測試的 SonicWall 不能上網。不知道我是不是有東西沒設好，因為沒用過CP。 當初的想法是把上網的ISP線接到 LAN Port 3 之後 LAN Port 4 的就接到 SonicWall，然後用Bridge 連在一起為的就是不用改 SonicWall 的設定但前面又有多一台 Firewall 可以做隔阻。</SPAN></P><P>先感謝大大的答複</P><P>&nbsp;</P> Fri, 24 May 2019 01:49:22 GMT https://community.checkpoint.com/t5/Chinese-%E4%B8%AD%E6%96%87/Check-Point-730-%E6%8E%A5%E6%A9%8B%E8%A8%AD%E5%AE%9A/m-p/54287#M503 bear410hk 2019-05-24T01:49:22Z