中国移动CheckPointVPN安全配置手册模板.doc

1、密 级： 文档编号： 项目代号： 中国移动CheckPoint VPN 安全配置手册 Version 1.0 中国移动通信 二零零四年十二月 拟 制: 审 核: 批 准: 会 签: 标准化: 版本控制 版本号 日期 参与人员 更新说明 分发控制 编号 读者 文档权限 和文档关键关系 1 创建、修改、读取 负责编制、修改、审核 2 同意 负责本文档同意程序 3

2、 标准化审核 作为本项目标标准化责任人，负责对本文档进行标准化审核 4 读取 5 读取 目 录 1 CHECKPOINT VPN概述 2 1.1 介绍 2 1.2 分类及其工作原理 2 1.3 功效和定位 3 1.4 特点和不足 4 2 CHECKPOINT VPN适用环境及布署标准 4 2.1 适用环境 4 2.2 安全布署标准 4 3 CHECKPOINT VPN安全管理和配置 4 3.1 服务器端设置 4 3.2 用户端设置 18 3.3 登陆过程 23 3.4 日志查询 24 1 Checkpoint VPN概述

3、 1.1 介绍 VPN（Virtual Private Network）虚拟专用网，是企业网在因特网等公共网络上延伸，经过一个私有通道在公共网络上创建一个安全私有连接，能够形象地看做是一条穿过混乱公用网络安全、稳定隧道，所以VPN中使用加密传输协议被称为隧道协议。 用户使用VPN使需要在PC机上安装一个用户端软件，该用户端和企业VPN Server相互配合，能确保用户端到企业内部数据是被加密，无法监听。 VPN设计目标是保护流经Internet通信保密性和完整性，在数据在互联网上传输之前进行加密，在抵达最终用户之前进行解密。但尽管如此，VPN并不完备，很多用户在使

4、用VPN时，密码常常被窃，使整个VPN系统失去安全。这种密码偷窃是VPN中常常遭受、最具危害性攻击。 通常来说，大多数对用户身份确实定是经过用户名和固定密码实现，然而，固定密码轻易被窃或被黑客随地可得“Cracker”工具破译，一些软件能够自动完成猜测密码工作，更糟糕是，一些特定单词，如“password”或“123456”等，常常被用做密码。 对密码保护最好措施就是不要密码――不采取固定密码，采取动态密码，俗称一时一密，每个密码只能用一次，每次有效时间只有很短时间。对VPN采取动态密码，很好处理了数据传输安全和密码安全，是一个完美结合。 现在企业有内部应用系统也采取了动态密码，但对部

5、分来自外网黑客而言，这些动态密码对她们毫无作用。试想一下，她们一但进入了企业内部网，受攻是主机、数据库和网络上传输数据。所以最稳妥措施还是使用VPN+动态密码把黑客们挡在门外。 1.2 分类及其工作原理 能够采取以下两种方法使用VPN连接远程局域网络。 1.使用专线连接分支机构和企业局域网。 　　不需要使用价格昂贵长距离专用电路，分支机构和企业端路由器能够使用各自当地专用线路经过当地ISP连通Internet。VPN软件使用和当当地ISP建立连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。 2.使用拨号线路连接分支机构和企业局域网。 　　不一样

6、于传统使用连接分支机构路由器专线拨打长途或（1-800）电话连接企业NAS方法，分支机构端路由器能够经过拨号方法连接当地ISP。VPN软件使用和当地ISP建立起连接在分支机构和企业端路由器之间创建一个跨越Internet虚拟专用网络。 　　应该注意在以上两种方法中，是经过使用当地设备在分支机构和企业部门和Internet之间建立连接。不管是在用户端还是服务器端全部是经过拨打当地接入电话建立连接，所以VPN能够大大节省连接费用。提议作为VPN服务器企业端路由器使用专线连接当地ISP。VPN服务器必需一天二十四小时对VPN数据流进行监听。 1.3 功效和定位 　　通常来说，企业在选择

7、一个远程网络互联方案时全部期望能够对访问企业资源和信息要求加以控制，所选择方案应该既能够实现授权用户和企业局域网资源自由连接，不一样分支机构之间资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.所以，最低程度，一个成功VPN方案应该能够满足以下全部方面要求： 1.用户验证 　　VPN方案必需能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必需能够提供审计和记费功效，显示何人在何时访问了何种信息。 2.地址管理 　　VPN方案必需能够为用户分配专用网络上地址并确保地址安全性。 3.数据加密 　　对经过公共互联网络传输数据必需经过加密，确

8、保网络其它未授权用户无法读取该信息。 4.密钥管理 　　VPN方案必需能够生成并更新用户端和服务器加密密钥。 5.多协议支持 　　VPN方案必需支持公共互联网络上普遍使用基础协议，包含IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础VPN方案既能够满足以上全部基础要求，又能够充足利用遍布世界各地Internet互联网络优势。 1.4 特点和不足 VPN能够实现不一样网络组件和资源之间相互连接。VPN能够利用Internet或其它公共互联网络基础设施为用户创建隧道，并提供和专用网络一样安全和功效保障。 VPN许可远程通讯方，销售人员或企业分支机构

9、使用Internet等公共互联网络路由基础设施以安全方法和在企业局域网端企业服务器建立连接。VPN对用户端透明，用户好象使用一条专用线路在用户计算机和企业服务器之间建立点对点连接，进行数据传输。 不过VPN毕竟不是INTRANET，它只能经过TCP/IP协议，所以，很多INTRANET用协议如NETBOIS、IPX协议等全部无法经过VPN传输。 2 Checkpoint VPN适用环境及布署标准 2.1 适用环境 Checkpoint VPN网关采取NOKIA防火墙，用户端采取RemoteClient软件，能够安装在多种Windows操作系统上，包含PDA设备Window

10、s CE上。 NOKIA防火墙最少要一个固定公网IP地址，以方便用户端访问。用户端必需能和NOKIA防火墙相通信。不然VPN隧道将无法建立。 2.2 安全布署标准 在VPN配置过程中，我们采取“安全高效、灵活多变”布署标准。 2 Checkpoint VPN安全管理和配置 3.1 服务器端设置 1．打开防火墙配置界面。 在已安装防火墙GUI计算机上点击“开始”→“程序”→“Check point SmartConsole R54” →“SmartDashboard”,打开防火墙配置界面。 2．输入“用户名”/“密码”及防火墙地址“211.138.200

11、67” 3．进入防火墙调试界面，双击防火墙“mobileoa”，打开以下界面。防火墙名称、IP地址无需更改，选择防火墙类型为“VPN-1 Pro” 4.点击左边列表“Topology”选项。在“Topology”中，点击“Get”按钮，获取防火墙地址。选择VPN DOMAIN为“Network_group”。 5．点击左边列表中“VPN”，展开，点击“VPN Advanced”,点击右边“Traditional mode configuration”按钮 6．在“Support key exchange encryption”选择加密方法为3DES,AES-2

12、56,DES,CAST；“Support data integrity with”选择MD5，SHA1；在“Support authentication methods:”选择认证方法Pre-Shared Secret，Public Key Signature,选择Exportable for SecuRemote/SecureClient，然后点击“Advanced”按钮；以下图如示。 7．，在“Support Diffie-Hellman groups for IKE(phase 1)”中选择Group 2(1024 bit),在“Rekeying”设置“Renegotiate IK

13、E(phase 1)Security”为1440 Minutes,“Renegotiate IPsec(IKE phase 2) Security”为3600 Seconds,选中“Support aggressive me”；完成后点击“OK”按钮。然后在“Traditional mode IKE properties” 点击“确定”。 8．在“Check point GeteWay-mobileoa”左边列表选择“Remote Access”，在右边属性中如择Remote Access 建立方法为Hub Mode和NAT模式，在NAT模式中选择地址分配方法为“VPN1_IPSEC_e

14、ncapsulation”；以下图所表示。完成后点击“OK”按钮。 9．在防火墙左边“Nodes”中新建“Host Node”，命名为“radius01”，IP地址为Radius身份认证服务器IP地址。完成后点击“OK”按钮。 10．添加TCP应用协议。分别是“Port_10914”,“Port_10915”, “Port_8000”,“Port_10913”, “Port_23153”, “Port_10916”, “Port_8080”,“Port_10917”,“Port_20917”,“Port_10910” 11．新建RADIUS服务器，分别命名为Radius_s

15、ervice12, Radius_service13, Radius_service45, Radius_service46 12.以下分别是四个RADIUS服务器设置方法。 Radius_service12: Host:radius01,Service:UDP/radius1812,Shared:(由radius服务器提供)，Version:RADIUS Ver. 2.0 Compatible,Priorit:1； Radius_service13: Host:radius01,Service:UDP/radius1813,Shared:(由radius服务器提供)，Ver

16、sion:RADIUS Ver. 2.0 Compatible,Priorit:1； Radius_service45: Host:radius01,Service:UDP/radius,Shared:(由radius服务器提供)，Version:RADIUS Ver. 1.0 Compatible,Priorit:1； Radius_service46: Host:radius01,Service:UDP/radius46,Shared:(由radius服务器提供)，Version:RADIUS Ver. 1.0 Compatible,Priorit:

17、1； 13．新建RADIUS GROUP，将新建Radius服务器(Radius_service12, Radius_service13, Radius_service45, Radius_service46,)加入组。 14．在“Users and Administrators”中填加一通用用户，用户名是“generic*” 15.选择用户认证方法:Radius,Radius Server是 Radius_Group。完成后点击“确定”按钮。 16．新建User Groups，命名为“Radius_user”，把“generic*”加入该用户组。 17．新建一条策略

18、位置为NO1，SOURCE:Radius_user@Any；DESTINATION:Any；SERVICE:port_10914, port_10915, port_8000, port_10913, port_23153, port_10916, port_8080, port_10917, port_20917, port_10910, http,ssh；ACTION:Client Encrypt；TRACK:Log；INSTALL ON:policy Targets；TIME：Any. 18.加载策略。点击工具栏Policy INSTALL按钮。就能够加载策略，策略加载完成后

19、即可起效。 3.2 用户端设置 1．在用户端安装SecuRemote/ SecuClient NG 选择安装类型为“Install VPN-1 SecureClient” 选择网卡类型为“Install on all network adapters” 安装完成后，需要重新开启！ 重新开启后，能够在计算机屏幕右下角看到以下图标。 2．点击屏幕右下角VPN-1 SecureClient图标。打开VPN-1 SecureClient设置窗口。 3．点击菜单“Tools”中“Advanced IKE Settings” 4．选中NAT tr

20、aversal中两个选项Force UDP encapsulation,Support IKE over。 5．点击新建按钮。新建VPN隧道。选择“Nickname:”输入mobileoa，在Name /中输入211.138.200.67，点击“OK”按钮。 6．在VPN-1 SecureClient Authentication中，输入您用户名/密码。 7．在下面窗口点击“OK”按钮。 8．出现认证成功信息。 9．点击“Create new site”中“OK”按钮，“mobileoa”隧道建立成功。点击右上角x关闭此窗口。 3.3 登陆过程 用户端能够直接访问OA SERVER，在计算机开启后第一次登陆时，要求输入用户名/密码。接着能够自由访问。 3.4 日志查询 1． 在已安装防火墙GUI计算机上点击“开始”→“程序”→“Check point SmartConsole R54” →“SmartView Tracker”,打开防火墙日志界面。 2．输入用户名/密码及防火墙IP地址：211.138.200.67 3．左边列表框是日志分类，右边是具体日志。 4．点击左迦列表中VPN-1，右边出现全部VPN链接日志。