跳轉到

Policy Package 概念

在 Check Point,你不是「一條一條規則丟到防火牆」,而是編輯一個 Policy Package,再整包安裝到指定的 Gateway。理解這個流程,是用 SmartConsole 的核心。

什麼是 Policy Package

Policy Package(策略套件) 是一組策略的集合,存在 Management 上。一個 Package 可以包含多種策略類型:

  • Access Control:存取控制(含 Firewall、Application Control、URL Filtering、Content Awareness、NAT 等)。
  • Threat Prevention:威脅防護(IPS、Anti-Bot、Anti-Virus、Threat Emulation)。
  • HTTPS InspectionDesktop(Endpoint)等視授權而定。

你可以為不同據點 / 不同 Gateway 建立不同的 Package,集中在一個 Management 管理。

從編輯到生效:Install Policy

graph LR
    A[SmartConsole<br/>編輯規則] --> B[Publish<br/>存進資料庫]
    B --> C[Install Policy<br/>編譯並下發]
    C --> D[Gateway<br/>套用新策略]
  1. 編輯:在 SmartConsole 拉規則、改物件。
  2. Publish(發布):把你的修改存進 Management 資料庫,其他管理者才看得到(這是 R80 之後的並行管理機制)。
  3. Install Policy(安裝策略):Management 把策略編譯後推送給目標 Gateway,Gateway 套用後新規則才真正生效。

Publish ≠ 生效

Publish 只是「存檔 + 讓改動可被安裝」,Gateway 還拿不到。一定要再 Install Policy,規則才會在防火牆上作用。這是新手最常踩的雷。

Publish 與 Sessions(並行管理)

R80 起,多位管理者可同時登入同一個 Management。每個人的修改在自己的 Session 裡,互不干擾,直到 Publish 才合併進共用資料庫。

  • 還沒 Publish 的改動:只有你自己看得到。
  • Discard:丟棄目前 session 未發布的修改。
  • 可看到誰正在改哪些物件(lock 機制),避免衝突。

安裝策略的目標與驗證

安裝時可選擇要裝到哪些 Gateway / Cluster。Management 會先做 Verification(驗證),有錯誤(例如規則衝突、物件缺失)會擋下不讓裝。

# Gateway 端確認目前實際安裝的策略與時間
fw stat
#   HOST       POLICY        DATE              介面方向
#   localhost  Standard      12Jun2026 ...     [>eth0] [<eth0]
#   欄位:HOST=主機、POLICY=已安裝策略名、DATE=最後安裝時間

fw stat -l        # 長格式:每介面分行,含 TOTAL / REJECT / DROP / ACCEPT / LOG 統計
fw stat -s        # 短格式:每介面分行
fw stat -b AMW    # 看 Threat Prevention(AMW)策略

看到 <default filter> 要注意

fw stat 的 POLICY 欄顯示 <default filter>,代表 Gateway 尚未安裝正式策略(或被開了 default filter),這時它用的是預設保護規則,不是你的策略。

裝錯了想退回?

SmartConsole 的 Install Policy 視窗有歷史紀錄,可重新安裝舊版本的 Revision;搭配 Management 的 Database Revisions 能回溯設定。重大變更前,先做好 Backup & Snapshot

版本演進

R81.10 → R82.10

  • 並行管理(Sessions / Publish)自 R80 起就是標準流程,R81.10 ~ R82.10 一致。
  • Policy Installation 在新版持續優化編譯與推送速度;大型環境(多 Gateway / Maestro)感受最明顯。
  • R82 起 Access Control 與 Threat Prevention 的整合與 API 操作更完整,但「編輯 → Publish → Install」三步驟不變。

小結

  • Policy Package = 一整包策略,集中在 Management 編輯。
  • 流程:編輯 → Publish(存檔)→ Install Policy(下發生效)
  • Publish 不等於生效,務必再 Install。
  • fw stat 確認 Gateway 實際裝了哪個策略、何時裝的。