三層式架構¶

Three-Tier Architecture — 第一次碰 Check Point，最容易搞混的就是「到底誰是誰」。把這三層的角色分清楚，後面所有設定與排錯都會順很多。

一句話總覽¶

Check Point 把「管理」「防護」「操作介面」拆成三個獨立角色，這就是所謂的 三層式架構（Three-Tier Architecture）：

graph LR
    A[SmartConsole<br/>操作介面] <-->|管理連線| B[Management Server<br/>大腦：策略 / 物件 / Log]
    B <-->|Install Policy| C[Security Gateway<br/>執法者：擋封包]

SmartConsole：安裝在管理者電腦上的 GUI，用來編輯策略、看 Log。它不儲存任何設定。
Security Management Server（SMS）：中央大腦。策略、物件、憑證、Log 都存在這。
Security Gateway（SGW）：站在網路路徑上的防火牆本體，真正執行 Inspection 與擋封包。

為什麼要拆三層？

一台 Management 可以同時管理「很多台」Gateway。策略集中編輯、一次下發到多個據點，這就是 Check Point 跟「單機防火牆」最大的差異。

各層的角色¶

① SmartConsole（操作介面）¶

Windows 上的應用程式，連到 Management Server 之後才能工作。你在這裡拉規則、建物件、按下 Install Policy，但這些動作本身都是「請 Management 幫你做事」。關掉 SmartConsole，防火牆照常運作 —— 因為它只是介面。

② Management Server（大腦）¶

負責保存整個環境的設定資料庫、簽發與管理 SIC 憑證、收集所有 Gateway 送來的 Log。當你按下 Install Policy，是 Management 把編譯好的策略推送給 Gateway。

③ Security Gateway（執法者）¶

實際串接在網路上的設備（實體 appliance、VM 或開放伺服器）。它根據 Management 下發的策略，對每個封包做檢查、放行或丟棄，並把事件回報給 Management。

Standalone 與 Distributed

學習與小環境常見 Standalone：Management 與 Gateway 裝在同一台。正式環境多採 Distributed：兩者分開部署，效能與安全性都更好。架構觀念一樣，差別只在「裝在幾台機器上」。

它們之間怎麼溝通？SIC¶

三層之間的信任，是靠 SIC（Secure Internal Communication） 建立的 —— 用憑證做雙向認證 + 加密通道。第一次把 Gateway 納管時，你會在兩邊輸入一組 One-time Activation Key，完成後就建立了永久信任。詳見 SIC 安全內部通訊。

角色	存放設定？	處理流量？	典型對象
SmartConsole	否	否	管理者 PC
Management Server	是	否	中央伺服器
Security Gateway	快取策略	是	網路邊界設備

實機上常用的確認指令¶

在 Gateway 或 Management 的 expert shell 確認狀態：

# 看 Check Point 各程序（WatchDog）狀態：FW、Management 服務等
cpwd_admin list

# 看版本與已安裝的 JHF Take
cpinfo -y all

# Gateway 上確認目前「已安裝的策略」名稱與安裝時間
fw stat

# 重置 SIC（納管出問題時，在 Gateway 端執行）
cpconfig   # → Secure Internal Communication → Reset

新手最常見誤會

「我在 SmartConsole 改了規則，怎麼沒生效？」—— 因為你還沒按 Install Policy。改動只存在 Management 的資料庫，要安裝策略，Gateway 才會拿到新規則。

深入：核心程序與通訊埠¶

三層之間靠幾個關鍵 daemon 溝通（cpwd_admin list 看得到）：

程序	跑在哪	作用
`cpd`	Management + Gateway	泛用 daemon：SIC / 憑證、授權、policy 推送
`fwd`	Management + Gateway	傳送 Log；Gateway 上是 security server 的父程序
`fwm`	只在 Management	SmartConsole 連線、policy 的 Verification 與 Compilation、Management HA
`cpca`	只在 Management	ICA（內建憑證機構），簽發 / 管理憑證
`cpwd`	兩端	WatchDog，監看上述程序，異常時重啟

管理用的主要 TCP 埠（sk52421，被防火牆擋到會出現納管 / Log 問題）：

埠	用途
18190	CPMI — SmartConsole 連 Management
18191	CPD — policy 安裝 / SIC 控制
18209 / 18210 / 18211	Gateway ↔ ICA 憑證（status / pull / push）
257	fwd — Gateway 送 Log 到 Management

Policy 安裝內部流程

按下 Install Policy 後：fwm 在 Management 端做 Verification（驗證規則衝突 / 錯誤）→ Compilation（編譯成 inspection code）→ 透過 cpd 推送到 Gateway 套用。驗證沒過就擋下不讓裝。

版本小提醒

三層式架構的觀念在 R81.10 / R81.20 / R82 / R82.10 完全一致。R82 起 SmartConsole 介面與 Management API 持續強化，但「介面 / 大腦 / 執法者」的分工不變。

小結¶

SmartConsole = 介面、Management = 大腦、Gateway = 執法者。
設定集中存在 Management，靠 Install Policy 下發到 Gateway。
三者之間用 SIC 建立加密信任。
記住這三個角色，之後學 Policy、VPN、排錯都會更直覺。