Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
bear410hk
Explorer

Check Point 730 接橋設定

Hi All,

我是checkpoint 的新手也是 network 上的新手,對於 bridge mode 的設定不太懂想請教一下各位。

公司想增加現在 web service security. 所以買了 Check Point 730, 打算放到現時的 web server firewall 前。想在不影響原本的網絡架構及設定上做到增加一層 firewall。但在 bridge 的設定我不太明白。

ISP IP: 123.123.123.100

SonicWall Wan: 123.123.123.100

SonicWall 有2台隨時做自動轉換 failover. 

現在的網絡架構 (Web Service);

Internet modem > Cisco Giga Switch (8 port, 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) > SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) > VM 

希望轉為 :

Internet modem > Cisco Giga Switch > Check Point ( 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) > SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) > VM 

問題:

1. 如果這樣 Bridge mode 是最好嗎?

2. 如果這樣設定,我 SioneWall 的 WAN IP 需要轉移到 Checkpoint 上? 但我看過網上的文件說可以不用更改也可以不用在 CheckPoint 的 Bridge 設定 IP ,但是在設定時發現 Br0 一定要鍵入一個 IP ,內網又不對,外網我又不知道是不是現在的外網 IP.

Thanks for your help.  

Bear

0 Kudos
5 Replies
Sung-Lun_Yang1
Employee Alumnus
Employee Alumnus

Hi Bear,

如果你的730只有一台沒有HA,我會建議擺放在Web Services前面做Bridge Mode並開啟進階的防禦功能,也就是:

Internet modem > Cisco Giga Switch (8 port, 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) > SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) > Check Point 730 > VM

依照你的敘述,目前對外你已經有一對SonicWall HA當做外層L4防火牆,以資安架構的角度來說CP-730可以補足進階攻擊防護的這一塊。
bear410hk
Explorer

HI Sung-Lun & Neville,

感謝2位大大的回覆!!

還有一些問題想請教的,由於 Sonicwall 的部份是由 Vendor 負責而且VM後有幾台不同的 server 用了5個 LAN port 所以就不能把 CP-730 擺放到 SonicWall 後面了,所以要擺放到 SonicWall 前面。

1.  把CP-730 放到 SonicWall前面,我簡單的敘述請大大們幫看一下有沒有問題。

Internet modem > Cisco Giga Switch ( 8 port, 2 條線分別插到 CP-730 的 LAN 3 inbound & LAN 4 outbound [br0] 及 LAN  5 inbound & LAN 6 outbound [br1] ) > SonicWall Firewall 1號 WAN 及 SonicWall Firewall 2號 WAN ( 2台 SonicWall 有 HA 功能 ) > VM 

另外 LAN 1 設定內網獨立 IP 作Management 用~

2. 另外有關 Neville 大大提到的要把 CP-730 的 WAN port 設好做 OS 更新服務。這部份我會在 WAN 設定一個獨立外網 IP 定期插線上網更新。

大概是這樣的設定,剛好我找到有個舊的 SonicWall 正好可以測試一下我這樣的設計有沒有問題。

感謝2位大大的回覆!!

 

 

 

 

 

0 Kudos
Neville_Kuo
Advisor

Hi,

不確定您這樣接是否會影響Sonicwall failover, 理論上它Failover時也是利用發送G-arp的機制,不知道會不會過不了CP730,要測試看看,如果不行,中間還要再隔Switch。

你這樣在同一台CP上切兩個Bridge group還要小心Double inspection的問題,請確定流量兩邊都要切開。

0 Kudos
bear410hk
Explorer

HI All,

 

不知大大們有沒有Bridge 的步驟可以提供一下? 現時我在 LAN Port 3 & 4 做了一個 Bridge不過不通。後面測試的 SonicWall 不能上網。不知道我是不是有東西沒設好,因為沒用過CP。 當初的想法是把上網的ISP線接到 LAN Port 3 之後 LAN Port 4 的就接到 SonicWall,然後用Bridge 連在一起為的就是不用改 SonicWall 的設定但前面又有多一台 Firewall 可以做隔阻。

先感謝大大的答複

 

0 Kudos
Neville_Kuo
Advisor

已經有高手回應,建議您採用他的架構做法。

1.SMB model Bridge 一定要有個IP,它只是管理用,什麼網段不重要,連得到就好,它也沒有路由功能。

2.如果您是用LAN port來做bridge,記得把SMB的wan port設定好,讓它開啟進階功能的更新服務,要不然bridge interface看不到default route設定:

bridge.JPG

3.或者...許多人不知道你可以讓LAN和Wan直接做一個bridge,這時就可以直接上網更新了。

Upcoming Events

    CheckMates Events