通信公司CheckPoint VPN安全配置手册

密级：

文档编号：

项目代号：

A移动CheckPoint VPN 安全配置手册

A移动通信有限公司

拟制: 审核: 批准: 会签: 标准化:

版本控制

分发控制

目录

1CHECKPOINT VPN概述 (2)

1.1简介 (2)

1.2分类及其工作原理 (2)

1.3功能与定位 (3)

1.4特点与局限性 (4)

2CHECKPOINT VPN适用环境及部署原则 (4)

2.1适用环境 (4)

2.2安全部署原则 (4)

3CHECKPOINT VPN的安全管理与配置 (4)

3.1服务器端设置 (4)

3.2客户端设置 (18)

3.3登陆过程 (23)

3.4日志查询 (24)

1Checkpoint VPN概述

1.1 简介

VPN（Virtual Private Network）虚拟专用网，是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接，可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道，所以VPN中使用的加密传输协议被称为隧道协议。

用户使用VPN使需要在PC机上安装一个客户端软件，该客户端和企业的VPN Server互相配合，能保证用户端到企业内部的数据是被加密，无法监听。

VPN的设计目标是保护流经Internet的通信的保密性和完整性，在数据在互联网上传输之前进行加密，在到达最终用户之前进行解密。但尽管如此，VPN并不完备，许多用户在使用VPN时，密码经常被窃，使整个VPN系统失去安全。这种密码盗窃是VPN中经常遭受的、最具危害性的攻击。

一般来说，大多数对用户身份的确认是通过用户名和固定的密码实现的，然而，固定密码容易被窃或被黑客随处可得的“Cracker”工具破译，某些软件可以自动完成猜测密码的工作，更糟糕的是，某些特定的单词，如“password”或“123456”等，经常被用做密码。

对密码保护的最好办法就是不要密码――不采用固定密码，采用动态密码，俗称一时一密，每个密码只能用一次，每次的有效时间只有很短的时间。对VPN采用动态密码，很好解决了数据的传输安全和密码安全，是一个完美结合。

目前企业有的内部应用系统也采用了动态密码，但对一些来自外网的黑客而言，这些动态密码对他们毫无作用。试想一下，他们一但进入了企业内部网，受攻的是主机、数据库和网络上传输的数据。所以最稳妥的办法还是使用VPN+动态密码把黑客们挡在门外。

1.2 分类及其工作原理

可以采用以下两种方式使用VPN连接远程局域网络。

1.使用专线连接分支机构和企业局域网。

不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通Internet。VPN 软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。

2.使用拨号线路连接分支机构和企业局域网。

不同于传统的使用连接分支机构路由器的专线拨打长途或（1-800）电话连接企业NAS的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。

应当注意在以上两种方式中，是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接，因此VPN可以大大节省连接的费

用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP。VPN 服务器必须一天24小时对VPN数据流进行监听。

1.3 功能与定位

一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有方面的要求：

1.用户验证

VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。

2.地址管理

VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。

3.数据加密

对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。

4.密钥管理

VPN方案必须能够生成并更新客户端和服务器的加密密钥。

5.多协议支持

VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。

1.4 特点与局限性

VPN可以实现不同网络的组件和资源之间的相互连接。VPN能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

VPN允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。VPN对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。

但是VPN毕竟不是INTRANET，它只能通过TCP/IP协议，因此，许多INTRANET用的协议如NETBOIS、IPX协议等都无法通过VPN 传输。

2 Checkpoint VPN适用环境及部署原则2.1 适用环境

Checkpoint VPN网关采用NOKIA防火墙，客户端采用RemoteClient 软件，可以安装在各种Windows操作系统上，包括PDA设备的Windows CE上。

NOKIA防火墙至少要一个固定公网IP地址，以方便客户端访问。客户端必须能与NOKIA防火墙相通信。否则VPN隧道将无法建立。

2.2 安全部署原则