SIC 安全內部通訊¶
SIC(Secure Internal Communication) 是 Check Point 各元件之間互相信任的基礎。Management 與 Gateway 能安全溝通,就是靠它。
SIC 解決什麼問題¶
Management 要把策略推給 Gateway、Gateway 要把 Log 回傳給 Management —— 這些連線必須確認對方身分且全程加密,不能被竄改或冒充。SIC 就是處理這件事:
- 身分認證:用憑證做雙向認證,確保「對方真的是我納管的那台」。
- 加密通道:元件之間的控制流量全程加密。
- 完整性:防止傳輸內容被竄改。
憑證怎麼來的:ICA¶
每台 Management Server 安裝時會建立一個內建的憑證機構 ICA(Internal Certificate Authority)。之後所有被納管的 Gateway,憑證都由這個 ICA 簽發。
graph TD
ICA[Management 上的 ICA<br/>內建憑證機構] -->|簽發憑證| GW1[Gateway A]
ICA -->|簽發憑證| GW2[Gateway B]
ICA -->|簽發憑證| GW3[Gateway C]第一次建立 SIC 的流程¶
- 在 Gateway 端(
cpconfig或首次設定精靈)設定一組 One-time Activation Key。 - 在 SmartConsole 建立該 Gateway 物件,輸入同一組 Activation Key。
- 按下 Initialize,兩邊交換並驗證憑證,建立永久信任。
- 成功後狀態顯示 Trust established / Communicating。
Activation Key 只用一次
這組 key 只用來「初始化」交換憑證,建立信任後就用不到了。之後雙方靠已交換的憑證互信,不再需要 key。
SIC 出問題時怎麼處理¶
最常見症狀:策略裝不上去、SmartConsole 顯示無法與 Gateway 通訊。
SIC 狀態值(官方):Communicating(已建立)、Unknown(無連線)、Not Communicating(連得到但 SIC 失敗)。
# Gateway 端:查目前 SIC 信任狀態
cp_conf sic state
# Gateway 端:重設一次性 activation key(重置 SIC)
cp_conf sic init <Activation Key> [norestart]
# norestart = 不自動重啟 Check Point 服務
# 或用互動式 cpconfig
cpconfig
# → Secure Internal Communication → 輸入並確認 activation key → Exit(服務自動重啟)
接著回 SmartConsole 的 Gateway 物件 → Communication → Reset,重新用相同 key 按 Initialize,再安裝策略以散布更新後的 CRL。
fwm sic_reset 千萬別亂用
Management 上的 fwm sic_reset 會摧毀 ICA 的所有憑證、破壞整個被管環境的 SIC 信任。官方明確警告:除非真正災難復原,否則完全不建議。執行前務必先做 Gaia snapshot 與完整備份。
重置 SIC 會中斷管理連線
重置期間 Management 暫時無法管理該 Gateway(但 Gateway 仍持續用「最後一次安裝的策略」過濾流量,不會斷網)。重新初始化完成、重裝策略後恢復正常。
常見排錯點¶
| 症狀 | 可能原因 |
|---|---|
| SIC 初始化失敗 | 兩邊 Activation Key 不一致 / 時間差太大 |
| Trust 一直建立不起來 | Management ↔ Gateway 之間 TCP 18209 / 18210 / 18211 被擋 |
| 憑證錯誤 | Gateway 曾被別台 Management 納管,殘留舊憑證 → 先 Reset |
時間同步很關鍵
憑證驗證對時間敏感。Management 與 Gateway 的時間(建議用 NTP)若差太多,SIC 會驗不過。這在 R81.10 ~ R82.10 都一樣。
小結¶
- SIC = 元件之間的加密信任,憑證由 Management 的 ICA 簽發。
- 用 One-time Activation Key 初始化,建立後即永久互信。
- 出問題先想:key 一致嗎?防火牆埠通嗎?時間同步嗎?殘留舊憑證嗎?
- 重置流程:Gateway
cpconfigReset → SmartConsole Reset → 重新初始化 → 裝策略。