《计算机科学与技术》专业毕业论文.doc

1、江南大学网络学院毕 业 论 文 (设 计) 姓 名学习中心学 号W2140115证 件 号批 次层 次高起本专 业计算机科学与技术指导教师课题名称利用防火墙构建VPN设计和应用（终稿）指导教师评 语刘老师，因为我希望能拿到学士学位，所以想请教您，我的这篇论文能不能达到拿学位的分数要求，论文的不足之处还望刘老师指正。谢谢！指导教师签名：年 月 日2013届计算机科学与技术专业毕业生论文(设计) 课题名称：利用防火墙构建VPN设计和应用 学生姓名： 指导教师： 江南大学网络学院2005年4月内容摘要目前，越来越多的企业正在寻求灵活安全的广域通信方式。在Internet连接和基于IP网络错综复杂的环

2、境下，这些新的通信需求已经超出了传统网络解决方案的处理能力。基于IP的虚拟专用网(VPN)解决方案成为希望在全球连通的公司的自然之选。VPN定义为“采用加密和认证技术，在公共网络上建立安全专用隧道的网络”。随着IP安全标准的问世和无所不在的IP网，VPN现在已经成为大多数企业可行的备选方案VPN的好处：省钱（减少网络费用3060）：消除长途电话费用，减少专线网络费用；增加业务扩展的速度和灵活性：internet能通过很多技术在任何地方连接，internet带宽可按照需要而申请得到； 提高竞争能力：分支机构和合作伙伴可以以很低的费用共享和分发信息，个人可以在世界的任何一个角落以本地电话费用访问其

3、公司的局域网； 改善了安全性：强大的身份认证，数据的私密性和完整性得到了保证； 使用现存的应用、平台和用户环境：不必改变路由器和防火墙，现存的应用继续使用，最终用户感觉不到任何不同。本论文以利用防火墙构建VPN设计和应用为题，从构建和通过研究VPN基本算法方面进行了对VPN技术的简要分析，并通过构建实例和实际应用中遇到的问题及问题的解决加以必要的阐述。在第一章中简述了VPN技术及防火墙技术的基本概念及其主要的功能；第二章中通过对各项技术的分析进行了利用Check Point Firewall-1构建VPN的体系结构设计；第三章中列举了利用Check Point Firewall-1构建VPN实

4、例的步骤；第四章中对在构建和实际应用中用到的主要技术进行了详细的分析和比较各项技术的优缺点，从而对现有实例进行改进完善；第五章从VPN技术在实际应用中所遇到的问题进行分析，重点从NAT不能和IPSec VPN 很好的配合方面进行论述，并从中寻找出解决的方案；第六章是对VPN技术发展的看法。由于我的知识浅薄，经验不足及阅历颇浅，因此，算法分析方面还有很多不足，我会在以后的使用过程中，根据实际的情况不断完善，对该技术的分析和运用慢慢趋向完美。【关键词】：虚拟专用网、隧道技术、数据加密、防火墙、IPSec、安全性、协议目 录第一章 绪 论31.1 VPN技术以及防火墙技术概述31.1.1 VPN技术

5、概述.41.1.2 防火墙技术概述.61.1.2.1什么是防火墙?.61.1.1.2 防火墙能做什么?.61.1.3 利用防火墙构建VPN技术概述.7第二章 利用防火墙构建VPN设计.72.1 体系结构设计72.1.1 安全传输平面（STP）.82.1.1.1 安全隧道代理（STA）.82.1.1.2 VPN管理中心（MC）82.1.2 公共功能平面（CFP）.82.1.2.1 认证管理中心（UAAC）.92.1.2.2 密钥分配中心（KDC）.92.2 设计环境介绍.92.3 运行环境介绍.92.4 利用的软件的介绍.9第三章 实现利用防火墙构建VPN实例步骤.93.1 定义Check Po

6、int FireWall-1 VPN网络对象93.2 为Check Point FireWall-1VPN定义一个加密域103.3 定义远程网关和配置身份验证103.4 创建VPN规则.10第四章 实例模型实现技术分析.114.1 建立VPN通道的协议：IPSEC.114.2 有效数据加密技术134.3 认证技术14第五章 实际使用的VPN中的遇到的问题NAT不能和IPSec VPN 很好的配合.155.1 NAT技术155.2 NAT 与IPSec VPN 的裂痕.165.3 如何解决16第六章VPN技术实际应用及发展前景.17第七章 结论.17第八章 致谢.18参考文献.18 利用防火墙构

7、建VPN设计和应用第一章绪论1.1 VPN技术以及防火墙技术概述 Internet的发展给政府结构、企事业单位、个人用户带来了革命性的改革和开放。他们正努力通过利用Internet来提高办事效率和反应速度，以便更具竞争力。通过Internet，用户可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险：通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的“隧道”使客户、销售商、移动用户、远程用户和内部用户的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的“战壕”和“隧道”，而这个战壕就是防火墙，“隧道

8、”就是VPN（虚拟专用网）。根据国际著名的网络安全研究公司Hurwitz Group的结论，在考虑网络安全问题的过程中 ，有五个方面的问题：网络的安全问题，操作系统的安全问题，用户的安全问题，应用程序的安全问题，以及数据的安全问题。 网络层的安全性（Network Integrity） 网络层的安全性问题即对网络的控制，即对进入网络的用户的地址进行检查和控制。每一个用户都会通过一个独立的IP地址对网络进行访问，这一IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析，便能够初步判断来自这一IP的数据是否安全。 防火墙产品和VPN虚拟专用网就是用于解决网络层安全性问题的

9、。防火墙的主要目的在于判断来源IP，阻止危险或未经授权的IP的访问和交换数据。 VPN主要解决的是数据传输的安全问题，其目的在于内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。后面将对VPN作具体的介绍。 操作系统的安全性（System Integrity） 在系统安全性问题中，主要防止：一、病毒的威胁；二、黑客的破坏和侵入。 用户的安全性（User Integrity） 对于用户的安全性问题，考虑的是用户的合法性。认证和密码就是用于这个问题的。通常根据不同的安全等级对用户进行分组管理。不同等级的用户只能访问与其等级相对应的系统资源和数据。然后采用强有力的身份认证，并确保密码难以被他人

10、猜测到。 应用程序的安全性（Application Integrity） 即只有合法的用户才能够对特定的数据进行合法的操作。包括应用程序对数据的合法权限和应用程序对用户的合法权限。 数据的安全性（Application Confidentiality） 既用加密的方法保护机密数据。在数据的保存过程中，机密的数据即使处于安全的空间，也要对其进行加密处理，以保证万一数据失窃，他人也读不懂其中的内容。这是一种比较被动的安全手段，但往往能够收到最好的效果。 上述的五层安全体系并非孤立分散，它们是互相影响，互有关联的。尤其是加密和认证技术，在各个层次都有所应用，是网络安全的基础之一。下面就应用了许多这些

11、技术的网络层的安全技术VNP虚拟专用网络及防火墙技术做具体的讨论。 1.1.1 VPN技术概述以前，要想实现两个远地网络的互联，主要是采用专线连接方式。这种方式虽然安全性 高，也有一定的效率，成本太高。随着Internet的兴起，产生了利用Internet网络模拟安全性较好的局域网的技术虚拟专用网技术。这种技术具有成本低的优势，还克服了 Internet 不安全的弱点。其实，简单来说就是在数据传送过程中加上了加密和认证的网络安全技术。 在VPN网络中，位于Internet两端的网络在Internet上传输信息时，其信息都是经过RSA 非对称加密算法的Private/Public Key加密处理

12、的，它的密钥（Key）则是通过Diffie-Hellman算法计算得出。如，假设、在Internet网络的两端，在端得到一个随机数，由VPN通过Diffie-Hellman算法算出一组密钥值，将这组密钥值存储在硬盘上，并发送随机数到B端，B端收到后，向A端确认，如果验证无误则在B端再由此产生一组密钥值，并将这组值送回A端，注册到Novell的目录服务中。这样，双方在传递信息时便会依据约定的密钥随机数产生的密钥来加密数据。 确切来说，虚拟专用网络(Virtual Private Network ,VPN)是利用不可靠的公用互联网络 作为信息传输媒介，通过附加的安全隧道、用户认证和访问控制等技术实

13、现与专用网络 相类似的安全性能，从而实现对重要信息的安全传输。根据技术应用环境的特点，VPN大致包括三种典型的应用环境，即Intranet VPN， Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提供虚拟子 网和用户管理认证功能；Remote Access VPN侧重远程用户接入访问过程中对信息资源的保护；而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。这三种方式中 Extranet VPN应用的功能最完善，而其他两种均可在它的基础上生成，这里主要是针对Extranet VPN来谈。 VPN技术的优点主要有

14、： (1) 信息的安全性。虚拟专用网络采用安全隧道(Secure Tunnel)技术安全的端到端的连接服务，确保信息资源的安全。 (2) 方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(Private Network)，实现异地业务人员的远程接入。 (3) 方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现，从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性，也便于用户进行网络管理。 (4) 显著的成本效益。利用现有互联网络发达的网络构架组建企业内部专用网络，从而 节省了大量的投资成

15、本及后续的运营维护成本。 实现VPN的关键技术有： (1) 安全隧道技术(Secure Tunneling Technology)。通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输.经过这样的处理，只有源端和目标端的用户对隧道中的嵌套信息能进行解释和处理，而对于其他用户而言只是无意义的信息。 隧道技术的基本过程是在源局域网与 公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑

16、路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5，它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次，无所谓谁更有优势。但我们应该注意，不同的网络环境适合不同的协议，在选择VPN产品时，应该注意选择。1点到点隧道协议PPTPPPTP协议将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE V2协议中。目前，PPTP协议基本已被淘汰，不再使用在VPN产品中。2第二层隧道协

17、议L2TP L2TP是国际标准隧道协议，它结合了PPTP协议以及第二层转发L2F协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。3IPSec协议IPSec协议是一个范围广泛、开放的VPN安全协议，工作在OSI模型中的第三层网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，不会隐藏路由信息。1999年底，IETF

18、安全工作组完成了IPSec的扩展，在IPSec协议中加上了ISAKMP协议，其中还包括密钥分配协议IKE和Oakley。 一种趋势是将L2TP和IPSec结合起来: 用L2TP作为隧道协议，用IPSec协议保护数据。目前，市场上大部分VPN采用这类技术。 优点：它定义了一套用于保护私有性和完整性的标准协议，可确保运行在TCP/IP协议上的VPN之间的互操作性。 缺点：除了包过滤外，它没有指定其他访问控制方法，对于采用NAT方式访问公共网络的情况难以处理。 适用场合：最适合可信LAN到LAN之间的VPN。4SOCKS v5协议 SOCKS v5工作在OSI模型中的第五层会话层，可作为建立高度安全

19、的VPN的基础。SOCKS v5协议的优势在访问控制，因此适用于安全性较高的VPN。 SOCKS v5现在被IETF建议作为建立VPN的标准。优点：非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过，在会话层控制手段更多一些；由于工作在会话层，能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服务器可隐藏网络地址结构；能为认证、加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术。SOCKS v5可根据规则过滤数据流，包括Java Applet和Actives控制。缺点：其性能比低层次协议差，必须制定更复杂的安全管理策略。适用场合

20、：最适合用于客户机到服务器的连接模式，适用于外部网VPN和远程访问VPN。(2) 用户认证技术(User Authentication Technology)。在正式的隧道连接开始之前需 要确认用户的身份，以便系统进一步实施资源访问控制或用户授权。 (3) 访问控制技术(Access Control Technology)。由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，以此实现基于用户的访问 控制，以实现对信息资源的最大限度的保护。1.1.2 防火墙技术概述 Internet 的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用 I

21、nternet 来提高办事效率和市场反应速度，以便更具竞争力。通过 Internet ，企业可以从异地取回重要数据，同时又要面对 Internet 开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的 战壕 ，而这个 战壕 就是防火墙。 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入 Internet 网络为最甚。 1.1.2.1什么是防火墙？ 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的

22、公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 Internet 之间的任何活动，保证了内部网络的安全。 1.1.2.2 防火墙能做什么？ 防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

23、如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 对网络

24、存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄： 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部

25、网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 Finger ， DNS 等服务。 Finger 显示了主机的所有用户的注册名、真名，最后登录时间和使用 shell 类型等。但是 Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的 DNS 信息，这样一台主机的域名和 IP 地址就不会被外界所了解。除了安全作用，防火墙还支持具有 Internet 服务特性的企

26、业内部网络技术体系 VPN 。通过 VPN ，将企事业单位在地域上分布在全世界各地的 LAN 或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。 1.1.3 利用防火墙构建VPN技术概述VPN连接两个独立的局域网，加密技术是VPN的一个集成部分用来完成两种任务：a) 加密能够让防火墙确定试图连接到VPN网络的用户是不是确实被授予了相关的权限。b) 加密可以用来加密信息中的有效负载，从而保证其隐密性。VPN是防火墙的一类复杂而重要的功能。第二章利用防火墙构建VPN设计2.1 体系结构设计VPN系统的结构如下： VPN用户代理(User Agent, UA)向安

27、全隧道代理(Secure Tunnel Agent, STA)请求建立安全隧道，安全隧道代理接受后，在VPN管理中心(Management Center ,MC)的控制和管理下在公用互联网络上建立安全隧道，然后进行用户端信息的透明传输。用户认证管理中心和VPN密钥分配中心向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理，VPN用户代理又包括安全隧道终端功能(Secure Tunnel Function ,STF)、用户认证功能(User Authentication Function ,UAF)和访问控制功能(Access Control Function ,ACF)三个部分，

28、它们共同向用户高层应用提供完整的VPN服务. 安全隧道代理(Secure Tunnel Agent, STA)和VPN管理中心(Management Center ,MC)组成 了VPN安全传输平面(Secure Transmission Plane , STP)，实现在公用互联网络基础上实现信息的安全传输和系统的管理功能。公共功能平面(Common Function Plane ,CFP)是安全传输平面的辅助平面，由用户认证管 理中心(User Authentication & Administration Center ,UAAC)和VPN密钥分配中心(Key Distribution C

29、enter ,KDC)组成。其主要功能是向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理。 用户认证管理中心（UAAC）与VPN用户代理直接联系，向安全隧道代理提供VPN用户代理的身份认证，必要时也可以同时与安全隧道代理（STA）联系，向VPN用户代理和安全隧道代理提供双向的身份认证。 下面分别对安全传输平面STP和公共功能平面CFP作详细的讨论： 2.1.1 安全传输平面（STP） 2.1.1.1 安全隧道代理（STA） 安全隧道代理在管理中心组织下将多段点到点的安全通路连接成端到端的安全隧道，是 VPN的主体，它主要的作用是： (1) 安全隧道的建立与释放(Secure T

30、unnel Connection & Release)。按照用户代理（UA）的的请求，在UA与STA之间建立点到点的安全通道(Secure Channel)，然后在此安全通道中进行用户身份验证和服务等级协商的必要交互，然后在管理中心（MC）的控制下建立发送端到目的端之间由若干点到点的安全通道依次连接组成的端到端的安全隧道。将初始化过程置于安全通道中进行，可以保护用户身份验证等重要信息的安全。在信息传输结束之后，由通信双方的任一方代理提出释放隧道连接请求. (2) 用户身份的验证(User Authentication)。在安全隧道建立的初始化过程中，STA要求UA提交用户认证中心提供的证书，通

31、过证书验证以确认用户代理身份。必要时还可进行UA对STA的反向认证以进一步提高系统的安全性。 (3) 服务等级的协商(Service Level Negotiation)。用户身份验证通过之后，安全隧道代理与VPN用户代理进行服务等级的协商，根据其要求与VPN系统的资源现状确定可能提供的服务等级并报告至VPN管理中心。 (4) 信息的透明传输(Transparent Information Transmission)。安全隧道建立之后，安全隧道代理负责通信双方之间信息的透明传输，并根据商定的服务参数进行相应的控制. (5) 远程拨号接入(Remote & Dial Access)。为了实现异地

32、接入功能，STA还需要与远程、拨号用户的用户代理进行必要的接口适配工作，进行协议的转换等处理。这是远程接入VPN所特有的功能。 (6) 安全隧道的控制与管理(Secure Tunnel Control & Management)。在安全隧道连接维持期间，安全隧道代理还要按照管理中心（MC）发出的VPN网络性能及服务等级有关的管理命令并对已经建立的安全隧道进行管理。 2.1.1.2 VPN管理中心（MC） VPN管理中心只与安全隧道代理（STA）直接联系，负责协调安全传输平面上的各STA之间的工作，是整个VPN的核心部分。其主要功能包括： (1) 安全隧道的管理与控制。 确定最佳路由，并向该路由

33、上包含的所有STA发出命令，建立连接。隧道建立以后，VPN管理中心继续监视各隧道连接的工作状态，对出错的安全通道，VPN管理中心负责重新选择路由并将该连接更换到替代路由。在信息传输过程中用户要求改变服务等级或者为了对整个网络性能优化的需要对已建立的隧道服务等级进行变更时，VPN管理中心向相应隧道连接上的STA发出更改服务等级命令。 (2) 网络性能的监视与管理(VPN Performance Supervision & Administration)。VPN管理中心不断监视各STA的工作状态，收集各种VPN性能参数，并根据收集到的信息对VPN网络进行故障排除、性能优化的工作。同时，VPN管理中

34、心还负责完成对各种VPN网络事件进行日志记录、用户计费、追踪审计、故障报告等常用的网络管理功能. 2.1.2 公共功能平面（CFP） 公共功能平面(Common Function Plane ,CFP)作为安全传输平面的辅助平面，向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理，分别由用户认证管理中心 ( UAAC)和VPN密钥分配中心( KDC)完成。 2.1.2.1 认证管理中心（UAAC） 这里的功能是提供用户认证和用户管理。 用户认证(User Authentication)。就是以第三者的客观身份向VPN用户代理和安全隧道 代理（STA）之中的一方或双方提供用户身份的

35、认证，以便服务使用者和服务提供者之间能够确认对方的身份. 用户管理(User Administration)。这是与用户身份认证功能直接相联系的用户管理部分，即对各用户(包括VPN用户代理、安全隧道代理（STA）及认证管理中心（UAAC）)的信用程度和认证情况进行日志记录，并可在VPN管理层向建立安全隧道双方进行服务等级的协商时参考。这里的管理是面向服务的(ServiceOriented)，有关用户权限与访问控制等方面的用户管理功能则不在这里实现 2.1.2.2 密钥分配中心（KDC） VPN密钥分配中心向需要进行身份验证和信息加密的双方提供使用密钥的分配、回收与管理. 在VPN系统里，VPN

36、用户代理(UA)、安全隧道代理(STA)、认证管理中心(UAAC) 都是密钥分配中心的用户。 2.2 设计环境介绍Windows2000 server2.3 运行环境介绍Windows2000 server2.4 利用的软件的介绍Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墙，是市场上老资格的软件防火墙产品。Check Point Firewall-1可以基于Unix、WinNT、Win2K等系统平台上工作，属状态检测型，综合性能比较优秀。兼容的平台较多是它的优点第三章实现利用防火墙构建VPN实例步骤3.1 定义Check Point Fire

37、Wall-1 VPN网络对象1单击“开始”，指向“程序”，再指向Check Point Management Clients，然后单击Policy Editor NG FP2来打开Check Point Policy Editor窗口，输入口令，单击OK。2单击Manage，然后单击Network Objects来打开Network Object对话框。3单击New，然后单击Network，打开Network Properties对话框。4在General属性页的Name文本框中输入名字Local_Network，以创建自己的网络对象。5在Network Address文本框中，输入网络中的恶

38、第一个IP地址（我的地址为范围为192.168.18.00/254，则我输入192.168.18.0。）6单击Net Mask文本框中，输入自己的子网掩码：如255.255.255.07单击OK。8重复第3步。9为VPN中的远程网络输入名称Remote_Network。10重复57步，但输入域远程网络相关的信息，因为是在为它定义网络对象。11完成后，单击Close关闭Network Object对话框 3.2 为Check Point FireWall-1VPN定义一个加密域FireWall-1使用术语加密域来描述位于网关之后受加密保护的区域，在VPN中。两个网关使用加密来保护两个网络，我们已

39、经定义了两个网络对象Local_Network和Remote_Network那么接下来：1单击“开始”，指向“程序”，再指向Check Point Management Clients，然后单击Policy Editor NG FP2来打开Check Point Policy Editor窗口，输入口令，单击OK。2单击Network Object旁边的+。3双击Local_Network。4在Check Point Gateway左侧categories(General PropertiesTopologyNATVPN)列表中，单击VPN。5选中IKE复选框，然后单击Edit，显示IKE P

40、roperties对话框出现。6确保DES和3DES复选框被选中，另外还需确认MD5和SHA1复选框选中。7选中Pre-Shared Secret复选框。8单击OK关闭IKE Properties对话框。9在Workstation Properties左侧的categories列表中单击Topology。10单击VPN Domain下面的Manually Defined。11从下拉列表中单击All_Intranet_Gateway。12单击OK关闭Check Point Gateway对话框，然后再单击OK关闭Network Object对话框。3.3 定义远程网关和配置身份验证在定义了 si

41、te-to-site型VPN的本地网关后，还需要定义远程网关1单击“开始”，指向“程序”，再指向Check Point Management Clients，然后单击Policy Editor NG FP2来打开Check Point Policy Editor窗口，输入口令，单击OK。2单击Network Object旁边的+3双击Remote_Network4在IKE Properties对话框中，单击Pre-Shared Secret。5单击Edit Secrets6在Shared Secret对话框中，在Peer Name列下单击Local_Gateway。7如果出现对话框，单击ok，

42、在Edit Secret对话框中的文本框中如入口令、状态、代码。8单击Set9单击OK关闭Shared Secret对话框，再次单击OK。10单击Topology11单击Manually Defined，在下拉列表中单击All_Intranet_Gateway。12单击OK关闭Check Point Gateway对话框，然后再单击OK关闭Network Object对话框。若出现一个对话框说还没有配置anti-spoofing,单击OK3.4 创建VPN规则在FireWall-1中，可以将规则加入到Policy Editor的规则集中，以覆盖所有的VPN操作。只需要加入两条规则就能启用密钥的

43、交换，以便在两个网络之间建立加密通信。还需要即将Encrypt加入规则集的Action列。1单击“开始”，指向“程序”，再指向Check Point Management Clients，然后单击Policy Editor NG FP2来打开Check Point Policy Editor窗口，输入口令，单击OK。2单击Rules，指向Add Rule，单击Below,再在Policy Editor的Rule Base面板中单击Desktop Security | Standard。3在Inbound Rules，右击Action，选择Query Column4在Rule Base Query Clause对话框中，在Not in list栏单击Encrypt，但后单击Add将Encrypt移动到In List栏中。5单击Close6对于Outbound Rules重复3和4步7单击Rules，指向Add Rule，选择Below8在Inbound R