本文详细介绍CheckPoint防火墙的IPSO系统系列。
部分通过个人多年调试CheckPoint防火墙的总结,部分从手册翻译过来。
目录
一、简介
Check point IPSO 是Check Point防火墙设备和其他安全设备的操作系统,基于FreeBSD,并集成了多种硬件功能。
IPSO中的“IP”就是Ipision networks(老虎网络),专门从事ip switch的公司,这个公司在1997年被诺基亚收购。
在2009年,Check Point 收购了诺基亚安全设备产业,包括IPSO。
IPSO,现在是6.2,是FreeBSD 6的一个分支。还有两个其他系统,分别是IPSO-SX和IPSO-LX,都是基于linux的。
- IPSO-SX是IPSO基于linux的第一款系统,精简之后叫“诺基亚打造家电版”,短暂存在之后收购Eizel。它有一个分区结构有点儿让人们想起IPSO SB,一个LILO和启动管理器也有点儿受IPSO SB的启发。
- IPSO-LX是一个没有什么创新的linux系统,实际上部署了一个完整的Voyager和数据库
Check Point提供了三条安全产品线,一个是基于IPSO 6.x,一个是基于一个叫SecurePlatform的操作系统的,还有一个基于最新的Gaia 平台(基于在RHEL4)。
Check Point防火墙IP Appliance平台是由几个软件共同协作运作的:
- 操作系统:Check Point IPSO是一个基于FreeBSD的像unix的系统。IPSO定制了增强路由能力和Firewall-1防火墙功能,并且强化了网络安全。没必要的功能都被删除掉了,用来简化unix系统管理员的需要。
- 老虎路由进程(IPSRD):IPSRD是一个Check Point路由软件。路由策略被IPSRD部署在数据库里面。Voyager配置和维护路由软件和数据库。
- Check Point FireWall-1:FireWall-1有两个主要组件组成,a安全网关,用来部署安全策略。b安全管理服务器,可以单独运行在一个设备上,也可以可安全网关运行在一台机器上。使用安全管理服务器来定义和维护安全策略。
- Network Voyager:Voyager和路由软件通讯用来配置接口和路由,管理路由策略监控流量和性能。同时还提供了在线文档。
1.1 IPSO显著的优势和特征
- 有效的防火墙负载均衡(和Check Point一起同步),采取网络化的群集技术,其中还自主开发了Check Point的clusterXL。
- 第一个商业化的ipv6路由器外β测试(在思科和juniper之前)
- 遵循Check Point安全规则的防火墙流量,在传输过程中被专门的网络处理器电路处理。(虽然这个技术现在很大程度的演化成了Check Point的SecureXL)
- IPSO SB最初是由老虎网络从FreeBSD 2.1-STABLE和在FreeBSD 2.2.6-RELEASE和3.5-RELEASE平台上的交叉编译。
1.2 主要组件
- “xpand”进程将一个配置数据库保存在内存中,数据传输的过程中在/etc中创建传统的UNIX配置
- 一个分区架构,这个分区架构位于一个mini-IPSO在一个分离的启动管理器分区,目的是为了恢复
- 分区分层方案隔离只读和只写内容
- 一个软件包的架构,要求所有的软件包都搁置在/opt目录下的单独的位置
- 一个网络接口、voyager,和数据库紧密集成(现在有点不同了)
最初IPSO版本到2.x为止都被老虎网络作为ATM标记交换解决方案的一部分出售。IPSO 3.0起被设计到Check Point Firewall-1和其他第三方包里面。
IPSO 3.0到3.9是从1999年跨越到2005年的,增加了许多功能和显著的性能和硬件的改进,被公认为像管理员一样。
IPSO 4.0并不是作为一个主要的更新版本
IPSO 5.0 build 056在2009年被发布,适用于VSX R65支持IP Applicance。
IPSO 6.0由诺基亚发布关联到硬件:IP2450和IP690,基于FreeBSD6.x,其主要优势是利用IPSO 4.x 提高了内存管理,性能,架构,攻防,POSIX-compliance和其他系统的功能。IPSO 6.0.7在2009年发布适用于IP690和IP2450,支持CoreXL多核技术。IPSO 6.1包含了来自FreeBSD 6.x其他增强功能,但是不包括CoreXL多核处理技术。由于步骤变更,诺基亚发布的IPSO 4.2,6.07,和6.1将在一起运行一段时间,Check Point收购诺基亚IP appliance业务的时候6.07和6.1合并到了6.2里面。
最新的版本是2015年9月份发布的IPSO 6.2MR5
有一段时间诺基亚开发出了IPSO 7,实际上就是IPSO LX,不过在2008的7.2就终止了
在收购了诺基亚IP Appliance业务之后,Check Point宣布项目Gaia将IPSO和SecurePlatform合并。第一个版本预计在2011年发布。
二、系统配置
2.1 常用命令集合
| Ipsctl –a |
查看硬件信息(cli shell) 查看硬件信息(cli shell) |
| uname -ra ver fw ver fwm ver |
查看操作系统完整信息(cli shell) 查看IPSO的image版本(ipso shell) 查看防火墙的版本(cli shell) 查看SmartCenter的版本(cli shell) 查看软件版本和产品型号 |
| top –p |
查看CPU利用率(cli shell) |
| fw ctl pstat show useful-states |
查看内存(cli shell) 查看活动路由、包转发、VRRP、真实内存使用、硬盘性能(ipso shell) |
| cpstat os -f cpu –o 2 cpstat os –f multi_cpu os fw ctl multik stat cpstat os -f memory cpstat os -f disk cpstat os -f all |
查看CPU利用率,以及CPU个数(cli shell);-o 2表示2秒钟查询一次 查看所有cpu的利用率 查看所有cpu的状态 查看内存利用率(cli shell) 查看硬盘使用率(cli shell) 查看所有信息(cli shell) |
| df -hak |
查看磁盘利用率(cli shell) |
| Show sysenv all |
查看系统组件状态(风扇,电源,cpu……) |
| ps -aux |
显示进程(cli shell) |
| date time show date show clock uptime |
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
