通信公司CheckPoint VPN安全配置手册
checkpoint用户手册
8、自定义命令 (35)9、阻断入侵 (36)10、配置报警命令 (36)第一章使用向导一、从配置UTM开始1、登陆UTM2、配置网卡3、配置路由4、配置主机名5、调整时间二、步骤1-配置之前……一些有用的术语这里介绍一些有助于理解本章内容的相关信息。
Security Policy(安全策略)是由系统管理员创建的,用来管理进和出的网络通信连接。
Enforcement module(执行点模块)是可以执行网络安全策略的FireWall的系统引擎。
SmartCenter Server(SmartCenter服务器)是系统管理员用来管理安全策略的服务器。
所有的数据库和策略信息都存储在SmartCenter服务器上,并且在需要的时候下载到执行点模块中。
SmartConsole Client(控制台)是一系列的GUI应用程序,能够管理安全策略的不同方面。
例如,SmartView Tracker就是一个管理日志的SmartConsole。
SmartDashboard是系统管理员用来创建和管理安全策略的SmartConsole。
独立的部署方式——示例独立的部署方式是一种简单的部署方式,所有安全策略的管理端和执行端的相关组件(分别指SmartCenter服务器和执行点模块)都安装在同一台计算机上。
图3-1 独立的部署方式组件包括:●Enforcement Module一般都安装在通向互联网的网关上;在网络中的位置是保护本地局域网。
●SmartCenter Server。
●SmartDashboard。
在独立部署方式中执行点模块和SmartCenter服务器都必须安装在同一台计算机中。
SmartDashboard以及其他的SmartConsole客户端可以安装在任何一台没有操作系统限制的计算机上。
可以参考最新版本的Release Note获得更多信息。
三、步骤2-安装和配置安装之前的介绍安装SmartCenter和执行点模块的机器需要安装有TCP/IP协议。
Checkpoint安全配置规范
CheckPoint安全配置规范1.概述1.1. 目的本规范明确了CHECKPOINT防火墙安全配置方面的基本要求。
为了提高CHECKPOINT防火墙的安全性而提出的。
1.2. 范围本规范适用于XXXX使用的CHECKPOINT防火墙。
2.配置规范2.1. 加固基础安装2.1.1.操作系统补丁【说明】下载和安装最新的Checkpoint升级和补丁。
非常有必要经常跟踪厂商发布的升级和补丁,而且必须更新防火墙系统的每一个模块。
当厂商发现安全漏洞时会及时发布补丁,但用户必须手动到网站下载和更新这些补丁。
防火墙系统的一些应用提供了方便的升级接口。
如下图所示的在SmartDashboard中升级SmartDefense服务。
Content Inspection服务同理。
也可以使用SmartUpdate本身检查系统的更新,如下图所示:也可以使用“patch add”命令更新补丁。
补丁可以从CD安装或者使用TFTP 或SCP工具远程获取,推荐使用SCP加密传输通道。
所有的补丁应该验证MD5完整性。
下图展示了从CD升级补丁的命令行操作。
2.1.2.加固防火墙所有组件的安全设置【说明】除了防火墙系统本身,应当安全设置管理服务器和管理员工作站。
2.1.3.更改所有的缺省账户和口令【说明】安装Checkpoint产品是必须更改所有的默认密码。
2.1.4.保证安全地进行组件加载和配置拷贝【说明】如果Checkpoint设备配置通过网络加载组件,使用类似Trip Wire的产品,以保证没有人在组件加载前向需要加载的组件中注入后门。
最好将设备离线加载软件后再接入网络。
尤其当通过TFTP导出配置文件时更加注意,TFTP协议没有验证机制,使得入侵者容易得到防火墙的配置文件。
当可行的时候,采用Secure Copy(SCP)或其他数据传输方式。
2.1.5.安装并设置加密连接【说明】1. 确保SecurePlatform运行和记录SSH。
Checkpoint防火墙安全配置指南
Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章安全配置要求 (2)2.1系统安全 (2)2.1.1用户账号分配 (2)2.1.2删除无关的账号 (3)2.1.3密码复杂度 (3)2.1.4配置用户所需的最小权限 (4)2.1.5安全登陆 (5)2.1.6配置NTP (6)2.1.7安全配置SNMP (6)第3章日志安全要求 (7)3.1日志安全 (7)3.1.1启用日志功能 (7)3.1.2记录管理日志 (8)3.1.3配置日志服务器 (9)3.1.4日志服务器磁盘空间 (10)第4章访问控制策略要求 (11)4.1访问控制策略安全 (11)4.1.1过滤所有与业务不相关的流量 (11)4.1.2透明桥模式须关闭状态检测有关项 (12)4.1.3账号与IP绑定 (13)4.1.4双机架构采用VRRP模式部署 (14)4.1.5打开防御DDOS攻击功能 (15)4.1.6开启攻击防御功能 (15)第5章评审与修订 (16)第1章概述1.1 目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。
1.2 适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。
1.3 适用版本CheckPoint防火墙;1.4 实施本标准的解释权和修改权属于中国联通集团信息化事业部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
CheckPoint基本操作手册-中文
CheckPoint基本操作⼿册-中⽂1. CheckPoint架构 (2)2. 设置系统配置 (2)2.1 设置IP地址 (2)2.2 设置路由 (3)2.3 配置备份 (4)2.4 下载SmartConsole(GUI Client) (6)2.5 命令⾏(Console/SSH)登陆专家模式 (6)3. 配置防⽕墙策略 (6)3.1 安装SmartConsole,登录策略配置管理 (7)3.2 创建对象 (7)3.2.1 创建主机对象 (7)3.2.2 创建⽹络对象 (8)3.2.3 创建组对象 (9)3.3 创建策略 (10)3.3.1 策略分组 (13)3.4 创建地址转换(NAT) (14)3.4.1 ⾃动地址转换(Static) (15)3.4.2 ⾃动地址转换(Hide) (15)3.4.3 ⼿动地址转换 (16)3.5 Install Policy (18)4. ⽤户识别及控制 (18)4.1 启⽤⽤户识别及控制 (18)4.2 创建AD Query策略 (22)4.3 创建Browser-Based Authentication策略 (24)5. 创建应⽤及⽹址(URL)控制策略 (25)5.1 启⽤应⽤或⽹址(URL)控制功能 (25)5.2 创建应⽤及⽹址(URL)对象 (25)5.3 创建应⽤及⽹址(URL)组对象 (27)5.4 创建应⽤及⽹址(URL)控制策略 (29)6. 创建防数据泄露(DLP)策略 (31)6.1 启⽤防数据泄露(DLP)功能 (31)6.2 创建防数据泄露(DLP)对象 (31)6.2.1 创建防数据泄露(DLP)⽹络对象 (31)6.2.2 创建防数据泄露(DLP)分析内容对象 (31)6.2.3 创建防数据泄露(DLP)分析内容组对象 (31)6.3 创建防数据泄露(DLP)控制策略 (31)7. ⽣成报表(SmartReporter) (31)7.1 启⽤报表功能 (32)7.2 ⽣成报表前参数调整 (32)7.3 ⽣成报表 (35)8. 事件分析(SmartEvent) (36)8.1 启⽤事件分析功能 (36)8.2 查看事件分析 (37)1. CheckPoint 架构CheckPoint 分为三层架构,GUI 客户端(SmartConsole )是⼀个可视化的管理配置客户端,⽤于连接到管理服务器(SmartCenter ),管理服务器(SmartCenter )是⼀个集中管理平台,⽤于管理所有设备,将策略分发给执⾏点(Firewall )去执⾏,并收集所有执⾏点(Firewall )的⽇志⽤于集中管理查看,执⾏点(Firewall )具体执⾏策略,进⾏⽹络访问控制2. 设置系统配置设备的基本配置需要在WEB 下进⾏,如IP 、路由、DNS 、主机名、备份及恢复、时间⽇期、管理员账户,默认web 管理页⾯的连接地址为https://192.168.1.1:4434,如果已更改过IP ,将192.168.1.1替换为更改后的IP 2.1 设置IP 地址例:设置LAN2⼝的IP 为10.0.255.2 登录web 后选择Network Connections直接点击LAN2管理服务器 SmartCenterGUI ClientSmartConsole执⾏点 Firewall填⼊IP地址和掩码,点击Apply2.2设置路由例:设置默认路由为10.0.255.1登录web后选择Network→Routing点击New→Default Route,(如果设置普通路由,点击Route)填⼊默认路由,点击Apply2.3配置备份此备份包括系统配置和CheckPoint策略等所有配置例:将配置备份出来保存选择Applicance→Backup and Restore选择Backup→Start Backup输⼊备份的⽂件名,点击Apply(由于⽇志可能会较⼤,增加备份⽂件的⼤⼩,可考虑去掉Include Check Point Products log files in the backup前⾯的勾)选择Yes等待备份⽂件打包当弹出下载⽂件提⽰后,将⽂件保存⾄本地2.4下载SmartConsole(GUI Client)选择Product Configuration Download SmartConsole选择Start Download2.5命令⾏(Console/SSH)登陆专家模式登陆命令⾏(Console/SSH)默认模式下仅⽀持部分操作及命令,如需要执⾏更⾼权限的命令或操作时需登陆专家模式在命令⾏中输⼊expert回车,根据提⽰输⼊密码即可登陆,默认密码同web、console、SSH登陆密码相同# expertEnter expert password:You are in expert mode now.3.配置防⽕墙策略CheckPoint防⽕墙的策略执⾏顺序为⾃上⽽下执⾏,当满⾜某⼀条策略时将会执⾏该策略设定的操作,并且不再匹配后⾯的策略***如果策略中包含⽤户对象,即使匹配该策略,仍然会继续匹配后⾯的策略,只有当后⾯的策略没有匹配或者后⾯的策略中匹配的操作是drop时才会执⾏之前包含⽤户的策略通常CheckPoint策略配置的顺序依次为防⽕墙的管理策略、VPN策略、服务器(DMZ)策略、内⽹上⽹策略、全部Drop策略创建CheckPoint防⽕墙策略的步骤为创建对象、创建策略并在策略中引⽤对象、Install Policy***CheckPoint中配置的更改必须Install Policy之后才会⽣效3.1安装SmartConsole,登录策略配置管理直接运⾏下载的SmartConsole安装包进⾏安装,安装完成后登陆SmartDashboard例:打开策略管理运⾏SmartDashboard输⼊⽤户名、密码以及SmartCenter(管理服务器)的IP地址,点击OK登陆3.2创建对象CheckPoint配置策略的基本步骤为创建需要的对象、创建策略、在策略中引⽤对象、Install Policy 3.2.1创建主机对象例:创建IP为192.168.10.1的对象选择Nodes→Node→Host在Name处输⼊对象名(字母开头),在IP Address处输⼊对象的IP地址,如192.168.10.1,点击OK3.2.2创建⽹络对象例:创建⽹段为192.168.10.0,掩码为255.255.255.0的对象选择Networks Network…输⼊⽹段对象名,⽹段,掩码(由于是中⽂版系统的关系,部分字样可能显⽰不全),点击OK3.2.3创建组对象如果有多个对象需要在策略中引⽤,⽅便起见可将这些对象添加到⼀个组中,直接在策略中引⽤该组即可例:将⽹段192.168.10.0和192.168.11.0添加到⼀个组对象中选择Groups→Groups→Simple Group…输⼊组对象的名字,将⽹段对象192.168.10.0和192.168.11.0在左侧Not in Group窗⼝中双击移⼊到右侧的In Group窗⼝中,点击OK3.3创建策略创建策略前需根据需求先确定创建的位置例:在第6条和第7条之间创建1条允许192.168.10.0⽹段访问任何地⽅任何端⼝的策略,并记录⽇志选中第7条策略,单击右键,选择Add Rule Above添加后会出现⼀条默认策略,需要做的就是在这条策略上引⽤对象在Source对应的⼀栏中,右键点击Any,选择Network Object…找到192.168.10.0这个⽹段的对象后选中,并点击OK由于是访问任何地址的任何端⼝,所以在Destination、VPN、Service栏中保持Any不变在Action栏中点击右键选择Accept在Track栏中点击右键选择Log,这样凡是被这条策略匹配的连接都会记录下⽇志,⽤于在SmartView Tracker中查看完成后的策略如下图3.3.1策略分组当策略数⽬较多时,为了⽅便配置和查找,通常会对策略进⾏分组例:将7、8、9三条⽇志分为⼀个组选中第7条策略,点击右键,选择Add Section Title Above输⼊名字后点击OK如下图所⽰,7、8、9三条策略就分在⼀个组中了,点击前⾯的+-号可以打开或缩进3.4创建地址转换(NAT)在CheckPoint中地址转换分为⾃动和⼿动两种,其中⾃动⼜分为Static NAT和Hide NAT Static NATStatic是指将内部⽹络的私有IP地址转换为公有IP地址,IP地址对是⼀对⼀的,是⼀成不变的,某个私有IP地址只转换为某个公有IP地址。
Checkpoint防火墙安全配置指南
C h e c k p o i n t防火墙安全配置指南This model paper was revised by the Standardization Office on December 10, 2020Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述1.1目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。
1.3适用版本CheckPoint防火墙;1.4实施本标准的解释权和修改权属于中国联通集团信息化事业部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国联通集团信息化事业部进行审批备案。
第2章安全配置要求2.1系统安全2.1.1用户账号分配2.1.2删除无关的账号2.1.3密码复杂度2.1.4配置用户所需的最小权限2.1.5安全登陆2.1.6配置NTP安全配置SNMP2.1.7第3章日志安全要求3.1日志安全3.1.1启用日志功能3.1.2记录管理日志3.1.3配置日志服务器3.1.4日志服务器磁盘空间第4章访问控制策略要求4.1访问控制策略安全4.1.1过滤所有与业务不相关的流量4.1.2透明桥模式须关闭状态检测有关项4.1.3账号与IP绑定4.1.4双机架构采用VRRP模式部署4.1.5打开防御DDOS攻击功能4.1.6开启攻击防御功能第5章评审与修订本标准由中国联通集团信息化事业部定期进行审查,根据审视结果修订标准,并颁发执行。
CheckPoint SSLVPN 配置手册V1.0
rcctu l<J bú~: Ll ιAL
light:
r. 一川 d
Cl assification:
&.
[Cùnlidential
For (he(k Point usel - and 柳川 ed .hird parlies
固自四百回
立档悻 lT 记录
标题
:k墙 SeC lJr eRelDO te \'P可配置说明
二』 j
4槽如
f$
N巾 d 阳剧叩刷…酬捕Y 咱叫割
十…m l <;9$ and MðSle
Advanced
v 垒u. 酣回佣盼 3 细 0' 臼 51 阳 臼剪 d酬h c 抱 euV阳 c阳酣阳眩
C部鹤即 Optr.旭,.盼的
谧~组上所有配置 cli .ftl
ι C昭潮州 E r101c酬
可以边,摩 don' ‘ " k
·l
édd...
~
V巳J--.!旦斗
」旦J 主型巳」 二旦旦」
•
』
一 OK
第三步,定义 Office Mode 选项启用 Office Mode 模式 在 office mode 选项中选择支持 office mode 功能的 VPN 用户组
Cancel
I __ "巳」
在 Using one of the following 皿ethods 选项中选择 Manual (I P pool 选择一个 IP 地址池) 选择个地址段,用户在使用 SSL VPN 和 SecureCl ent VPN 时分配地址用
缸咖S阳d....
r
Eerfα m A<现 Spoofl!"lg
中国移动Checkpoint防火墙安全配置手册V0.1.doc
密级:文档编号:项目代号:中国移动Checkpoint防火墙安全配置手册Version *.*中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:Firewall 版本控制分发控制目录1 综述 (5)2 Checkpoint的几种典型配置 (6)2.1 checkpoint 初始化配置过程: (6)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (18)3 Checkpoint防火墙自身加固 (34)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。
同时也提供了Checkpoint防火墙自身的安全加固建议,防止针对防火墙的直接攻击。
通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。
2Checkpoint的几种典型配置2.1 checkpoint 初始化配置过程:在安装完Checkpoint软件之后,需要在命令行使用cpconfig命令来完成Checkpoint的配置。
如下图所示,SSH连接到防火墙,在命令行中输入以下命令:IP350[admin]# cpconfigWelcome to Check Point Configuration Program=================================================Please read the following license agreement.Hit 'ENTER' to continue...(显示Checkpoint License版权信息,敲回车继续,敲q可直接跳过该License提示信息)Do you accept all the terms of this license agreement (y/n) ?y(输入y同意该版权声明)Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式,Firewall-1/VPN-1主要包括三个模块:GUI:用户看到的图形化界面,用于配置安全策略,上面并不存储任何防火墙安全策略和对象,安装于一台PC机上;Management:存储为防火墙定义的各种安全策略和对象;Enforcement Module:起过滤数据包作用的过滤模块,它只与Managerment通信,其上的安全策略由管理模块下载;以上三个选项中如果Management与Enforcement Module安装于同一台设备上,则选择(1),如果Management与Enforcement Module分别安装于不同的设备上,则选择(2)或(3)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密级:文档编号:项目代号:A移动CheckPoint VPN 安全配置手册A移动通信有限公司拟制: 审核: 批准: 会签: 标准化:版本控制分发控制目录1CHECKPOINT VPN概述 (2)1.1简介 (2)1.2分类及其工作原理 (2)1.3功能与定位 (3)1.4特点与局限性 (4)2CHECKPOINT VPN适用环境及部署原则 (4)2.1适用环境 (4)2.2安全部署原则 (4)3CHECKPOINT VPN的安全管理与配置 (4)3.1服务器端设置 (4)3.2客户端设置 (18)3.3登陆过程 (23)3.4日志查询 (24)1Checkpoint VPN概述1.1 简介VPN(Virtual Private Network)虚拟专用网,是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接,可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道,所以VPN中使用的加密传输协议被称为隧道协议。
用户使用VPN使需要在PC机上安装一个客户端软件,该客户端和企业的VPN Server互相配合,能保证用户端到企业内部的数据是被加密,无法监听。
VPN的设计目标是保护流经Internet的通信的保密性和完整性,在数据在互联网上传输之前进行加密,在到达最终用户之前进行解密。
但尽管如此,VPN并不完备,许多用户在使用VPN时,密码经常被窃,使整个VPN系统失去安全。
这种密码盗窃是VPN中经常遭受的、最具危害性的攻击。
一般来说,大多数对用户身份的确认是通过用户名和固定的密码实现的,然而,固定密码容易被窃或被黑客随处可得的“Cracker”工具破译,某些软件可以自动完成猜测密码的工作,更糟糕的是,某些特定的单词,如“password”或“123456”等,经常被用做密码。
对密码保护的最好办法就是不要密码――不采用固定密码,采用动态密码,俗称一时一密,每个密码只能用一次,每次的有效时间只有很短的时间。
对VPN采用动态密码,很好解决了数据的传输安全和密码安全,是一个完美结合。
目前企业有的内部应用系统也采用了动态密码,但对一些来自外网的黑客而言,这些动态密码对他们毫无作用。
试想一下,他们一但进入了企业内部网,受攻的是主机、数据库和网络上传输的数据。
所以最稳妥的办法还是使用VPN+动态密码把黑客们挡在门外。
1.2 分类及其工作原理可以采用以下两种方式使用VPN连接远程局域网络。
1.使用专线连接分支机构和企业局域网。
不需要使用价格昂贵的长距离专用电路,分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通Internet。
VPN 软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。
2.使用拨号线路连接分支机构和企业局域网。
不同于传统的使用连接分支机构路由器的专线拨打长途或(1-800)电话连接企业NAS的方式,分支机构端的路由器可以通过拨号方式连接本地ISP。
VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。
应当注意在以上两种方式中,是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。
无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接,因此VPN可以大大节省连接的费用。
建议作为VPN服务器的企业端路由器使用专线连接本地ISP。
VPN 服务器必须一天24小时对VPN数据流进行监听。
1.3 功能与定位一般来说,企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制,所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接,不同分支机构之间的资源共享;又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此,最低限度,一个成功的VPN方案应当能够满足以下所有方面的要求:1.用户验证VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。
另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。
2.地址管理VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。
3.数据加密对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。
4.密钥管理VPN方案必须能够生成并更新客户端和服务器的加密密钥。
5.多协议支持VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP,IPX等。
以点对点隧道协议(PPTP)或第2层隧道协议(L2TP)为基础的VPN方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的Internet互联网络的优势。
1.4 特点与局限性VPN可以实现不同网络的组件和资源之间的相互连接。
VPN能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
VPN允许远程通讯方,销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。
VPN对用户端透明,用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。
但是VPN毕竟不是INTRANET,它只能通过TCP/IP协议,因此,许多INTRANET用的协议如NETBOIS、IPX协议等都无法通过VPN 传输。
2 Checkpoint VPN适用环境及部署原则2.1 适用环境Checkpoint VPN网关采用NOKIA防火墙,客户端采用RemoteClient 软件,可以安装在各种Windows操作系统上,包括PDA设备的Windows CE上。
NOKIA防火墙至少要一个固定公网IP地址,以方便客户端访问。
客户端必须能与NOKIA防火墙相通信。
否则VPN隧道将无法建立。
2.2 安全部署原则在VPN配置过程中,我们采用“安全高效、灵活多变”的部署原则。
2Checkpoint VPN的安全管理与配置3.1 服务器端设置1.打开防火墙配置界面。
在已安装防火墙GUI的计算机上点击“开始”→“程序”→“Check point SmartConsole R54”→“SmartDashboard”,打开防火墙的配置界面。
2.输入“用户名”/“密码”及防火墙地址“211.138.200.67”3.进入防火墙调试界面,双击防火墙“mobileoa”,打开如下界面。
防火墙名称、IP地址无需更改,选择防火墙类型为“VPN-1 Pro”4.点击左边列表“Topology”选项。
在“Topology”中,点击“Get”按钮,获取防火墙地址。
选取VPN DOMAIN为“Network_group”。
5.点击左边列表中“VPN”,展开,点击“VPN Advanced”,点击右边的“Traditional mode configuration”按钮6.在“Support key exchange encryption”选择加密方式为3DES,AES-256,DES,CAST;“Support data integrity with”选择MD5,SHA1;在“Support authentication methods:”选择认证方式Pre-Shared Secret,Public Key Signature,选择Exportable for SecuRemote/SecureClient,然后点击“Advanced”按钮;如下图如示。
7.,在“Support Diffie-Hellman groups for IKE(phase 1)”中选择Group 2(1024 bit),在“Rekeying”设置“Renegotiate IKE(phase 1)Security”为1440 Minutes,“Renegotiate IPsec(IKE phase 2) Security”为3600 Seconds,选中“Support aggressive me”;完成后点击“OK”按钮。
然后在“Traditional mode IKE properties”点击“确定”。
8.在“Check point GeteWay-mobileoa”的左边列表选择“Remote Access”,在右边属性中如择Remote Access 建立方式为Hub Mode和NAT模式,在NAT模式中选择地址分配方式为“VPN1_IPSEC_encapsulation”;如下图所示。
完成后点击“OK”按钮。
9.在防火墙左边“Nodes”中新建“Host Node”,命名为“radius01”,IP地址为Radius身份认证服务器的IP地址。
完成后点击“OK”按钮。
10.添加TCP应用协议。
分别是“Port_10914”,“Port_10915”, “Port_8000”,“Port_10913”, “Port_23153”, “Port_10916”, “Port_8080”,“Port_10917”,“Port_20917”,“Port_10910”11.新建RADIUS服务器,分别命名为Radius_service12, Radius_service13, Radius_service45, Radius_service4612.以下分别是四个RADIUS服务器的设置方式。
Radius_service12:Host:radius01,Service:UDP/radius1812,Shared:(由radius服务器提供),Version:RADIUS Ver. 2.0 Compatible,Priorit:1;Radius_service13:Host:radius01,Service:UDP/radius1813,Shared:(由radius服务器提供),Version:RADIUS Ver. 2.0 Compatible,Priorit:1;Radius_service45:Host:radius01,Service:UDP/radius,Shared:(由radius服务器提供),Version:RADIUS Ver. 1.0 Compatible,Priorit:1;Radius_service46:Host:radius01,Service:UDP/radius46,Shared:(由radius服务器提供),Version:RADIUS Ver. 1.0 Compatible,Priorit:1;13.新建RADIUS GROUP,将新建的Radius服务器(Radius_service12, Radius_service13, Radius_service45, Radius_service46,)加入组。