问题[checkpoint](server)

系统管理员早就知道快照，或者现在称为“检查点”，非常适合开发/测试，但不适合在生产中使用，因为它们需要一系列 VHDX 文件，从而使服务器更慢且更容易受到影响到腐败。并且可能出于其他原因。

但是我想知道在实验室环境中设置一些虚拟机（运行 2016 服务器），安装 AD 和其他一些服务，同时检查所有这些是否明智，然后当我对配置通过删除应合并 VHDX 文件的先前检查点将这些部署到生产中。

我想知道这样做是否会有效地消除具有检查点的机器可能存在的所有可能的性能问题。

我在网上没有找到讨论这个问题的文章。

这是针对刚刚将教室搬到新站点上的新建筑物的学校（出于紧急原因），我们有暑假将他们的域迁移到我从头开始设置的新域，所以我想要在将其投入生产之前花一些时间使配置变得完美。他们已经经历了足够多的动荡，而没有糟糕地实施新的 AD 域！

笔记

• 我知道 Server 2016 的新“生产”检查点，它使用 VSS 并允许应用程序一致的检查点。老实说，我并不完全理解这意味着什么，但我认为它甚至可以让回滚 SQL 或 Exchange 服务器成为可能。

• 我也知道微软已经建议不要在 Active Directory 域控制器的生产中使用检查点，尽管我身体里的每一根骨头都对这个建议持怀疑态度。2007 年，我根据所有最佳实践建议在 VMWare 虚拟机上为 150 个用户运行了一个 Exchange 服务器，并且由于硬件由它决定，所以多年来它运行起来就像一个梦想。

我有一个检查点防火墙（R75，Splat），它发布了一个启用了自动 NAT 的服务器，但是我无法连接到外部网站。

流量正常离开防火墙，但 Internet 路由器正在 ARPing 以查找已发布服务器的 MAC 地址。这导致来自网站的返回流量永远不会到达防火墙。

关于为什么会发生这种情况的任何想法，在 TCPDump 中我没有看到防火墙响应？

我需要检查/控制许多 CheckPoint FW1 上的所有系统事件 - 不要误解 - 不是规则触发，而是管理员登录、规则更改等事件。

我发现我可以使用 2 种方法进行日志导出：

1. 抓取日志
2. 使用将检查点日志条目重定向到 syslog 的特殊脚本 ，FW1-Loggrabber

但我不清楚这些日志是否还包含我需要的信息（管理员登录、规则更改）？如果是，是否可以过滤事件？

我还假设，如果系统基于 *nix 平台，它必须是一种策略——使用系统的基于功能来做我想做的事。不幸的是，我不知道在哪里“挖掘”。可能你知道吗？

更新：新信息“FW-1 可以通过 Unix 的命令将其日志通过管道传输到 syslog logger，并且有第三方日志读取实用程序”

所以，主要问题是如何以最好的方式完成我的任务？有没有人已经解决了这样的问题？

PS 我是 CheckPoint 的新手，所以所有信息都会对我有用。谢谢你。

我现在有大量远程用户使用 Check Point Secure Client VPN 连接进入办公室。这些用户还需要访问连接到本地路由器/集线器（网络存储和网络打印机）的网络资源。有什么方法可以将客户端（Windows 7 或 XP）配置为绕过本地地址的 VPN（192.*）

我们的内部网络中有一个代理服务器，我想将所有 Internet http 请求重定向到本地网络中的 Web 服务器。它就像一个网络广告牌，上面写着“没有可用的直接连接。设置您的代理等。” 例如：

• 用户启动计算机
• 打开浏览器
• 尝试打开 www.google.com
• 应该在本地网络上看到 Web 服务器输出
• 尝试互联网上的另一个网站
• 应该在本地网络上看到 Web 服务器输出
• 设置代理
• 尝试连接到网站
• 应该加载网站

我添加了一个简单的手动 NAT 规则来解决检查点防火墙中的地址转换，但它根本不起作用。这是我的地址翻译规则

Source Destination Service T.Source T.Destination T.Service
MY_PC  A_GOOGLE_IP ALL     ORIGINAL INT_WEB_SRV   ORIGINAL

然后当我 ping 时A_GOOGLE_IP，回复来自INT_WEB_SRV，正如我所料。但是，当我尝试A_GOOGLE_IP 从浏览器 ( http://A_GOOGLE_IP ) 进行连接时，SYN_SENT 没有回复并陷入超时。当我查看防火墙日志时INT_WEB_SRV，我可以看到来自 MY_PC 的传入连接请求被接受并且没有拒绝。顺便说一句，从浏览器中查看INT_WEB_SRV（http://INT_WEB_SRV ）没有问题。

我的理解是，我在检查点 NGX R60 的 NAT 规则不包括返回数据包。我肯定需要一些帮助。

日志填满了管理节点的磁盘。这会导致防火墙节点开始本地记录。删除一些旧日志后，重新启动管理节点日志记录仍在防火墙节点本地完成。我已经在所有防火墙节点上完成了 fw fetchlogs 以获取本地日志条目。

我如何告诉防火墙节点它们应该再次连接到管理节点？

我的 syslog_servers 节目没有显示任何 syslog 服务器。但是文档提到这是用于附加日志记录，而不是用于防火墙节点和管理节点之间的日志记录。

我是这种东西的新手，我通常只配置VPN客户端连接到服务器，但这次我必须制作Site to Site VPN网关，我对此一无所知。有人知道我在哪里可以学习这种东西吗？也可以在检查点 r60 和 openvpn 之间连接站点到站点 vpn 吗？

谢谢

我曾经在我的 Mac OS X (Leopard) 上使用 CheckPoint 的 VPN 客户端，但最近我升级到 Snow Leopard，我的 VPN 客户端在那之后立即停止工作，所以我下载了 IPSecuritas，过了一段时间我就可以使用 VPN。问题是不是我断开了连接，因为我通过 ssh 工作，所以很烦人。有什么想法我可以在哪里看？

我无法在我的中心办公室 (Checkpoint R65) 和我的远程办公室 (Cisco ASA 5505) 之间建立 S2S 连接。目前处于测试阶段，思科盒子也在我的办公室，但连接到我的 DSL。

我已经创建了隧道，但它一直在 Cisco 框中告诉我“缺少标头，SA 过载”。任何人都可以帮忙吗？

这是我用作参考的：

http://netl33ts.blogspot.com/2009/02/checkpoint-to-cisco-asa-vpn-example.html

谢谢，广告

有没有办法使用仪表板将防火墙策略从受管设备复制到管理机器？我意识到您可以在任何托管设备上查看策略，但似乎没有办法在查看后保存它。