2、 该页面用于对Primary Management Server 与本机(GUI)之间的一次连
接(one-time link)通讯进行加密。Primary Management Server沿着这条链路把认证分发到本机上,一旦认证到达本机,那么本机就可以与其他的CP通讯组件之间进行通讯。
3、 为了初始化一个Module 的通讯,在Policy Editor上输入同样的one-time
口令。
4、 在GUI Client上连接到Management Server,并打开Policy Editor,创建一
个Module对象,设置一个NAME,和一个IP地址
5、 在General Propeties页面,选择 Check Point Gateway ,点击“Communication”
6、 输入口令。
7、 在进行下一步以前必须确保在Module上已经启动 SVN Foundation服务和 VPN-1/FW-1 服务,并且保证 Module和Management Server能够进行IP通讯
8、 点击“Intalize”按钮,开始 Module 的初始化进程。此时,签名认证
被加密传输到Module上。
9、 Trust State栏会报告Module 的状态:
在Management Server上的ICA(Internernal Certificate Authority)发出认证Certificate ,并且已发送到Module上之后,就算建立起了Trust State信任状态
10、 如果Module 被初始化或者 RESET,那么,cpconfig 中报告的Module的信任状态将和 Policy Editor 中报告的不同。 11、 cpconfig 中报告的Module的信任状态有以下三种: A、 Uninitialized
—Module没有被初始化,因此也就不能进行通讯,因为它没有收到Management Server.上的ICA发来的认证certificate B、 Initialized but trust not established
—在cpconfig中的Secure Internal Communication页面显示Module的这个状态表示一次one-time口令已经输入,但是Module还没有收到Management Server.上的ICA发来的认证certificate C、 Trust established
—Module和 Management Server之间的认证已经建立,并且Module可以进行加密通讯。
十六、 Fingerprint(指纹)
1、 指纹是一个字符串,由Management Server的认证分发,用于校验GUI 所连接的Management Server是不是真实身份。 2、 当你通过GUI 第一次连接到Management Server时,你应该比较一下该指纹内容和Policy Editor 中的指纹内容是否相同。
3、 如何用指纹来验证Management Server的真实身份: A、 在以上页面,点击“Export to file”,来保存成一个文件。 B、 把这个文件通过非网络手段(例如,软盘、优盘、电话、传真)传到GUI Client端,来比较验证GUI所连接的Management Server是否真实的身份。 4、 在GUI Client端,当第一次连接到Management Server时,Management Server的指纹会显示出来:
5、 确保刚才通过非网络手段传来的Management Server的指纹跟上图显示的一样。
十七、 高可用性HA(High Availability)
1、 在下图中指定这个网关是否是一个High Availability Gateway Cluster 的一个成员。
