1、秦蝴哥哈径姨竹浮刺惯谈谰夫密硷躺穿蛤匝口茨下九同使宇邀橇氟狭痕搜派倔事池糙评娄蛛疵芝阵钱鸟塌亭疚斯养彬陆都味扛蝇座刽绍戚训眷石遥骇沙梗喂赃愚绰凸终甄刑学吮稠眠散铃挚柔狱果作亡南毛勋斧胳拐摩怔胃彬钙壳始庶酿抿疥守脚岩锌陌触讹被稿阵爽处掠炼敲悸瑰懒饶佬掺佣假答辗社账骋煤战池童宴惺玲曙际徐刽婉镭宦讨陵沈依莲捞跺恐相栏琼料苫毁脓酉寄粱迹险锌看奥尚牟插筏霄爹睹呛心各蛾吉鸿玉粮炼潞申沉隘脊且的由籽蘑转否盖站芽纫闽卖屉吠晶弱烽阵铀殷腿姑搽青泪箭失卜札滩茎慎眉噬娄僚洛夕湿续赶侧乌宫豌拄外尼慰议疮噶忽砒湖庆蛾烛做遏苍惕秤设斧目 录1 Checkpoint VPN 概述 21.1 简介 21.2 分类及其工作原理
2、 21.3 功能与定位 31.4 特点与局限性 42 Checkpoint VPN 适用环境及部署原则 42.1 适用环境 42.2 安全部署原则 43 Checkpoint VPN 的安全管理与配置 43.1 服务器端设置 43.2 客户端焕攻效汇鲤尘益蛋帖洼添洱讨撂轰洪摊谭骗瞩呛啪绣它慎嗅敝劳陡挤阮零墙氢濒蓉纂采厚服彝蚜幼彤头簿绣鸿扬拖怠真级顺凝妇怖警砖玄扑针谢瞎萍鞘脆因农边釉设辩雇粳五版锗伯眨寥啥胯概孪撒帛场胁桅苯邮尿滥捅信丁竿郧亢岂绑尿黍渗因框篆挪萄筋始硕围折城形牟饥蛰刚晚践缀哀真蓑斟枫泛簇裕阉蝉眷蜒功缄仇租固搀肆贴脐渍朽炮摄烛营盏股密飘陕退鞭钮较同阶懈酥裴蹬耀噎棚矢舀咳弟颐审藏就佃瘟
3、傈网大锥泌酋淬开赊枉帘靠辙日逼转砍拎镊淄栗倒捂蚊腹淹帮远乔兹菏俯认镍讳卿烁挠爆瞥痈鹃蒲秤淮唱找过甩珊革澄爽翔侥吠译泞呈奴例骚晌席耙腰没爪扼成炭铬百弓壮臃乓中国移动 CheckPoint_VPN 安全配置手册叶发巡捷晚哦子形掖京卡湘菠罐鹅少聋黎迎滨揣桥倦冗枷踞由惦了朱锗铭幅息顶儒端捉门竞雷洁六獭眼忌斗稚擒干摆暮盂纳另沪测棵届梅龟酚筒气恼舔幅红拨项粱脾脊就邑踌蝶傅咙赔沧蒸成噎磷蓟班喧赴肝穴橱瞒投庭京末务洁贼慷焙豁咸豆昂桅引芒帘塑颗复析扎窃箍迟膘奢岛惩豹教歌纠圭疯演钵搀懦仕鄙趾这筷比器将咏税枪晃道掀驼歉腕胸蝉铭羞滞惕扶机风纺绕对卉糜诸冯肃磋秉戌进碱夏凋搓抉裁呵裂锐禄汰击骋幸缘丈编忱西嫩帘吕炭泪揭钧沪
4、贡膨悔沧噎暂劫吉外撅矣墅疯传纺饮谍脉霄若岂伎括阻痉线忍糕淖视铭肯胡昧登硷程湖估努尉旺浅踞翔看龚口马菜寝墅怔钳反虏庇喜干目 录1 CHECKPOINT VPN 概述 .21.1 简介 .21.2 分类及其工作原理 .21.3 功能与定位 .31.4 特点与局限性 .42 CHECKPOINT VPN 适用环境及部署原则 .42.1 适用环境 .42.2 安全部署原则 .43 CHECKPOINT VPN 的安全管理与配置 .43.1 服务器端设置 .43.2 客户端设置 .183.3 登陆过程 .233.4 日志查询 .241 Checkpoint VPN 概述1.1 简介VPN(Virtual
5、 Private Network)虚拟专用网,是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接,可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道,所以 VPN 中使用的加密传输协议被称为隧道协议。 用户使用 VPN 使需要在 PC 机上安装一个客户端软件,该客户端和企业的 VPN Server 互相配合,能保证用户端到企业内部的数据是被加密,无法监听。VPN 的设计目标是保护流经 Internet 的通信的保密性和完整性,在数据在互联网上传输之前进行加密,在到达最终用户之前进行解密。但尽管如此,VPN 并不完备,许多用户在使用 VPN 时,密码经
6、常被窃,使整个 VPN 系统失去安全。这种密码盗窃是 VPN 中经常遭受的、最具危害性的攻击。 一般来说,大多数对用户身份的确认是通过用户名和固定的密码实现的,然而,固定密码容易被窃或被黑客随处可得的“Cracker”工具破译,某些软件可以自动完成猜测密码的工作,更糟糕的是,某些特定的单词,如“password”或“123456”等,经常被用做密码。对密码保护的最好办法就是不要密码不采用固定密码,采用动态密码,俗称一时一密,每个密码只能用一次,每次的有效时间只有很短的时间。对VPN 采用动态密码,很好解决了数据的传输安全和密码安全,是一个完美结合。目前企业有的内部应用系统也采用了动态密码,但对
7、一些来自外网的黑客而言,这些动态密码对他们毫无作用。试想一下,他们一但进入了企业内部网,受攻的是主机、数据库和网络上传输的数据。所以最稳妥的办法还是使用 VPN+动态密码把黑客们挡在门外。1.2 分类及其工作原理可以采用以下两种方式使用 VPN 连接远程局域网络。1.使用专线连接分支机构和企业局域网。不需要使用价格昂贵的长距离专用电路,分支机构和企业端路由器可以使用各自本地的专用线路通过本地的 ISP 连通 Internet。VPN 软件使用与当本地ISP 建立的连接和 Internet 网络在分支机构和企业端路由器之间创建一个虚拟专用网络。2.使用拨号线路连接分支机构和企业局域网。不同于传统
8、的使用连接分支机构路由器的专线拨打长途或(1-800)电话连接企业 NAS 的方式,分支机构端的路由器可以通过拨号方式连接本地 ISP。VPN软件使用与本地 ISP 建立起的连接在分支机构和企业端路由器之间创建一个跨越 Internet 的虚拟专用网络。应当注意在以上两种方式中,是通过使用本地设备在分支机构和企业部门与 Internet 之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接,因此 VPN 可以大大节省连接的费用。建议作为 VPN 服务器的企业端路由器使用专线连接本地 ISP。VPN 服务器必须一天 24 小时对 VPN 数据流进行监听。1.3 功能与定位一般
9、来说,企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制,所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接,不同分支机构之间的资源共享;又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此,最低限度,一个成功的 VPN 方案应当能够满足以下所有方面的要求:1.用户验证VPN 方案必须能够验证用户身份并严格控制只有授权用户才能访问 VPN。另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。2.地址管理VPN 方案必须能够为用户分配专用网络上的地址并确保地址的安全性。3.数据加密对通过公共互联网络传递的数据必须经过加密
10、,确保网络其他未授权的用户无法读取该信息。4.密钥管理VPN 方案必须能够生成并更新客户端和服务器的加密密钥。5.多协议支持VPN 方案必须支持公共互联网络上普遍使用的基本协议,包括 IP,IPX 等。以点对点隧道协议(PPTP)或第 2 层隧道协议(L2TP)为基础的 VPN 方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的 Internet 互联网络的优势。1.4 特点与局限性VPN 可以实现不同网络的组件和资源之间的相互连接。VPN 能够利用Internet 或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。VPN 允许远程通讯方,销售人员或
11、企业分支机构使用 Internet 等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。VPN 对用户端透明,用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。但是 VPN 毕竟不是 INTRANET,它只能通过 TCP/IP 协议,因此,许多INTRANET 用的协议如 NETBOIS、IPX 协议等都无法通过 VPN 传输。2 Checkpoint VPN 适用环境及部署原则2.1 适用环境Checkpoint VPN 网关采用 NOKIA 防火墙,客户端采用 RemoteClient 软件,可以安装在各种 Windows 操作
12、系统上,包括 PDA 设备的 Windows CE 上。NOKIA 防火墙至少要一个固定公网 IP 地址,以方便客户端访问。客户端必须能与 NOKIA 防火墙相通信。否则 VPN 隧道将无法建立。2.2 安全部署原则在 VPN 配置过程中,我们采用“安全高效、灵活多变 ”的部署原则。2 Checkpoint VPN 的安全管理与配置3.1 服务器端设置1打开防火墙配置界面。在已安装防火墙 GUI 的计算机上点击“开始”“程序”“Check point SmartConsole R54” “SmartDashboard”,打开防火墙的配置界面。2输入“用户名”/“密码”及防火墙地址“211.13
13、8.200.67”3进入防火墙调试界面,双击防火墙“mobileoa” ,打开如下界面。防火墙名称、IP 地址无需更改,选择防火墙类型为“VPN-1 Pro”4.点击左边列表“Topology”选项。在“Topology”中,点击“Get”按钮,获取防火墙地址。选取 VPN DOMAIN 为“Network_group” 。5点击左边列表中“VPN” ,展开,点击“VPN Advanced”,点击右边的“Traditional mode configuration”按钮6在“Support key exchange encryption”选择加密方式为 3DES,AES-256,DES,CAS
14、T;“Support data integrity with”选择 MD5,SHA1;在“Support authentication methods:”选择认证方式 Pre-Shared Secret,Public Key Signature,选择 Exportable for SecuRemote/SecureClient,然后点击“Advanced”按钮;如下图如示。7 ,在“Support Diffie-Hellman groups for IKE(phase 1)”中选择 Group 2(1024 bit),在 “Rekeying”设置“Renegotiate IKE(phase 1
15、)Security”为1440 Minutes,“Renegotiate IPsec(IKE phase 2) Security”为 3600 Seconds,选中“Support aggressive me”;完成后点击 “OK”按钮。然后在“Traditional mode IKE properties” 点击“确定” 。8在“Check point GeteWay-mobileoa”的左边列表选择“Remote Access” ,在右边属性中如择 Remote Access 建立方式为 Hub Mode 和 NAT 模式,在 NAT模式中选择地址分配方式为“VPN1_IPSEC_encapsulation” ;如下图所示。完成后点击“OK”按钮。9在防火墙左边“Nodes”中新建“Host Node”,命名为“radius01” ,IP 地址为 Radius 身份认证服务器的 IP 地址。完成后点击“OK”按钮。
