MT20

 –  Checkpoint:  Different  SOURCE  files  FORMAT  

Rev  1.0,  15/10/2013  

Overview  (  version  supported  MT2.1.1)  

 
Today  we  can  find  3  different  types  of  the  files  containing  the  information  about  the  
Objects   and   Rules   in   Checkpoint   depending   on   several   things   like   if   it’s   a   new  
configuration   from   version   higher   than   R75.40,   or   was   an   old   configuration  
migrated  to  version  higher  than  R75.40  for  example.  
 
We   will   try   to   explain   the   differences   between   them   to   understand   what   options  
must  be  enabled  in  the  MT20  to  accomplish  the  migration.  
 
Case  1:  
 
Old  configurations  prior  to  R75.40  
 
Usually   we   need   3   files   from   older   versions   called   “objects_5_0.C”,  
“rulebases_5_0.fws”   and   a   file   with   extension   “.W”,   the   filename   takes   the   policy’s  
name   (by   default   Standard.W).   Those   files   are   stored   in   the   SmartCenter  
(Management)  under  “$FWDIR/conf”  
 
This  is  how  looks  inside  the  files:  
 
Objects:  
 
(  
               :anyobj  (Any  
                               :color  (Blue)  
               )  
               :superanyobj  (  
                               :  (Any  
                                               :color  (Blue)  
                               )  
               )  
               :serverobj  (serverobj)  
               :translations  (translations)  
               :servgen  ()  
               :log-­‐props  ()  
               :state-­‐act  (  
                               :comannd_notinst2inst  ()  
                               :command_notinst2dis  ()  
                               :command_ins2notinst  (status_alert)  
                               :command_inst2dis  (status_alert)  
                               :command_dis2inst  ()  
                               :command_dis2notinst  ()  
               )  
               :SPIobj  ()  
               :version  (8.03)  
               :globals  (  
 
PolicyName.W  
 
("##Standard"  
               :AdminInfo  (  
                               :chkpf_uid  ("{C538DEB2-­‐5437-­‐4CEA-­‐B7C5-­‐B613D58ACC8B}")  
                               :ClassName  (firewall_policy)  
                               :table  (fw_policies)  
                               :LastModified  (  
                                               :Time  ("Thu  Jun    6  20:24:12  2013")  
                                               :last_modified_utc  (1370550252)  
                                               :By  (vmende5)  
                                               :From  (LH7U0CNU1394CBC)  
                               )  
                               :icon  ("Applications/application_fw1")  
               )  
               :default  (0)  
               :globally_enforced  (true)  
               :queries  ()  
               :queries_adtr  ()  
               :collection  (ReferenceObject  
                               :Name  (Standard)  
                               :Table  (policies_collections)  
                               :Uid  ("{5797BA8C-­‐BAC2-­‐4304-­‐BC6E-­‐CF1C25F2758B}")  
               )  
               :use_VPN_communities  (true)  
               :rule  (  
 
 
To   migrate   this   configuration   create   a   new   Project   in   the   MT20   and   select  
CHECKPOINT  and  assign  the  files  to  the  fields.  Don’t  check  any  other  option.  
 
 
Case  2:  
 
Configurations   in   R75.40   when   the   Security   Rules   are   inside   the  
rulebases_5_0.fws  
 
If   you   don’t   have   any   “.W”   file   in   your   SmartCenter   but   you   have   the  
rulebases_5_0.fws  check  if  inside  the  file  are  located  all  the  security  policies  like  this:  
 
Rulebases_5_0.fws  
 
(  
               :rule-­‐base  ("##Global_Rules_Container"  
                               :AdminInfo  (  
                                               :chkpf_uid  ("{6BF621F9-­‐A0E2-­‐49bb-­‐A86B-­‐3DE4750954F4}")  
                                               :ClassName  (firewall_policy)  
                                               :table  (fw_policies)  
                                               :LastModified  (  
                                                               :Time  ("Sun  Apr    1  15:24:49  2012")  
                                                               :last_modified_utc  (1333293889)  
                                                               :By  ("Check  Point  Security  Management  Server  Update  Process")  
                                                               :From  (localhost)  
                                               )  
                                                :icon  ("Applications/application_fw1")  
                                               :Deleteable  (false)  
                               )  
                               :queries  ()  
                               :queries_adtr  ()  
                               :collection  ()  
                               :default  (0)  
                               :globally_enforced  (true)  
                               :use_VPN_communities  (true)  
               )  
               :rule-­‐base  ("##Standard"  
         
 
In  this  case  we  have  to  copy  the  text  between  our  Rulebase  in  this  case  “Standard”  
and  the  “)”  at  the  end  of  this  section.  Create  a  new  file  called  PolicyName.W  and  
paste  the  content  inside,  save  it.  Now  use  this  file  in  the  MT20  in  the  field  called  
“policyName.W”  and  don’t  use  the  rulebases_5_0.fws  in  the  migration  process,  Check  
the  box  called  “Option  A:  R75.40  and  higher:  If  policy  comes  from  
rulebases_5_0.fws”.  
 

 
 
 
 
 
 
 
 
 
 
Case  3:  
 
Configurations   in   R75.40   or   higher   and   the   objects   are   called   “objects.C”   and  
“rules.C”  
 
In  this  case  you  have  to  load  those  files  in  the  MT20  and  select  the  option  B  called  
“Option  B:  R75.40  and  Higher:  If  rules  comes  from  rules.C  (new  Format  ).  
 

 
This  is  how  looks  the  rules.C  internally  
 
(  
               :auth  ()  
               :crypt  ()  
               :logic  ()  
               :proxy  ()  
               :nac  ()  
               :rules  (  
                               :  (rule-­‐1  
 
 
 
 
Hope  with  this  information  will  help  you  to  decide  what  options  enable  to  migrate  your  Checkpoint  
Firewall  depending  on  the  files  format.