中国移动CheckPoint VPN安全配置手册doc.docx
《中国移动CheckPoint VPN安全配置手册doc.docx》由会员分享,可在线阅读,更多相关《中国移动CheckPoint VPN安全配置手册doc.docx(29页珍藏版)》请在冰豆网上搜索。
中国移动CheckPointVPN安全配置手册doc
密级:
文档编号:
项目代号:
中国移动CheckPointVPN
安全配置手册
Version1.0
中国移动通信有限公司
二零零四年十二月
拟制:
审核:
批准:
会签:
标准化:
版本控制
版本号
日期
参与人员
更新说明
分发控制
编号
读者
文档权限
与文档的主要关系
1
创建、修改、读取
负责编制、修改、审核
2
批准
负责本文档的批准程序
3
标准化审核
作为本项目的标准化负责人,负责对本文档进行标准化审核
4
读取
5
读取
1CheckpointVPN概述
1.1简介
VPN(VirtualPrivateNetwork)虚拟专用网,是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接,可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道,所以VPN中使用的加密传输协议被称为隧道协议。
用户使用VPN使需要在PC机上安装一个客户端软件,该客户端和企业的VPNServer互相配合,能保证用户端到企业内部的数据是被加密,无法监听。
VPN的设计目标是保护流经Internet的通信的保密性和完整性,在数据在互联网上传输之前进行加密,在到达最终用户之前进行解密。
但尽管如此,VPN并不完备,许多用户在使用VPN时,密码经常被窃,使整个VPN系统失去安全。
这种密码盗窃是VPN中经常遭受的、最具危害性的攻击。
一般来说,大多数对用户身份的确认是通过用户名和固定的密码实现的,然而,固定密码容易被窃或被黑客随处可得的“Cracker”工具破译,某些软件可以自动完成猜测密码的工作,更糟糕的是,某些特定的单词,如“password”或“123456”等,经常被用做密码。
对密码保护的最好办法就是不要密码――不采用固定密码,采用动态密码,俗称一时一密,每个密码只能用一次,每次的有效时间只有很短的时间。
对VPN采用动态密码,很好解决了数据的传输安全和密码安全,是一个完美结合。
目前企业有的内部应用系统也采用了动态密码,但对一些来自外网的黑客而言,这些动态密码对他们毫无作用。
试想一下,他们一但进入了企业内部网,受攻的是主机、数据库和网络上传输的数据。
所以最稳妥的办法还是使用VPN+动态密码把黑客们挡在门外。
1.2分类及其工作原理
可以采用以下两种方式使用VPN连接远程局域网络。
1.使用专线连接分支机构和企业局域网。
不需要使用价格昂贵的长距离专用电路,分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通Internet。
VPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。
2.使用拨号线路连接分支机构和企业局域网。
不同于传统的使用连接分支机构路由器的专线拨打长途或(1-800)电话连接企业NAS的方式,分支机构端的路由器可以通过拨号方式连接本地ISP。
VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。
应当注意在以上两种方式中,是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。
无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接,因此VPN可以大大节省连接的费用。
建议作为VPN服务器的企业端路由器使用专线连接本地ISP。
VPN服务器必须一天24小时对VPN数据流进行监听。
1.3功能与定位
一般来说,企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制,所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接,不同分支机构之间的资源共享;又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此,最低限度,一个成功的VPN方案应当能够满足以下所有方面的要求:
1.用户验证
VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。
另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。
2.地址管理
VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。
3.数据加密
对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。
4.密钥管理
VPN方案必须能够生成并更新客户端和服务器的加密密钥。
5.多协议支持
VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP,IPX等。
以点对点隧道协议(PPTP)或第2层隧道协议(L2TP)为基础的VPN方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的Internet互联网络的优势。
1.4特点与局限性
VPN可以实现不同网络的组件和资源之间的相互连接。
VPN能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
VPN允许远程通讯方,销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。
VPN对用户端透明,用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。
但是VPN毕竟不是INTRANET,它只能通过TCP/IP协议,因此,许多INTRANET用的协议如NETBOIS、IPX协议等都无法通过VPN传输。
2CheckpointVPN适用环境及部署原则
2.1适用环境
CheckpointVPN网关采用NOKIA防火墙,客户端采用RemoteClient软件,可以安装在各种Windows操作系统上,包括PDA设备的WindowsCE上。
NOKIA防火墙至少要一个固定公网IP地址,以方便客户端访问。
客户端必须能与NOKIA防火墙相通信。
否则VPN隧道将无法建立。
2.2安全部署原则
在VPN配置过程中,我们采用“安全高效、灵活多变”的部署原则。
2CheckpointVPN的安全管理与配置
3.1服务器端设置
1.打开防火墙配置界面。
在已安装防火墙GUI的计算机上点击“开始”→“程序”→“CheckpointSmartConsoleR54”→“SmartDashboard”,打开防火墙的配置界面。
2.输入“用户名”/“密码”及防火墙地址“211.138.200.67”
3.进入防火墙调试界面,双击防火墙“mobileoa”,打开如下界面。
防火墙名称、IP地址无需更改,选择防火墙类型为“VPN-1Pro”
4.点击左边列表“Topology”选项。
在“Topology”中,点击“Get”按钮,获取防火墙地址。
选取VPNDOMAIN为“Network_group”。
5.点击左边列表中“VPN”,展开,点击“VPNAdvanced”,点击右边的“Traditionalmodeconfiguration”按钮
6.在“Supportkeyexchangeencryption”选择加密方式为3DES,AES-256,DES,CAST;“Supportdataintegritywith”选择MD5,SHA1;在“Supportauthenticationmethods:
”选择认证方式Pre-SharedSecret,PublicKeySignature,选择ExportableforSecuRemote/SecureClient,然后点击“Advanced”按钮;如下图如示。
7.,在“SupportDiffie-HellmangroupsforIKE(phase1)”中选择Group2(1024bit),在“Rekeying”设置“RenegotiateIKE(phase1)Security”为1440Minutes,“RenegotiateIPsec(IKEphase2)Security”为3600Seconds,选中“Supportaggressiveme”;完成后点击“OK”按钮。
然后在“TraditionalmodeIKEproperties”点击“确定”。
8.在“CheckpointGeteWay-mobileoa”的左边列表选择“RemoteAccess”,在右边属性中如择RemoteAccess建立方式为HubMode和NAT模式,在NAT模式中选择地址分配方式为“VPN1_IPSEC_encapsulation”;如下图所示。
完成后点击“OK”按钮。
9.在防火墙左边“Nodes”中新建“HostNode”,命名为“radius01”,IP地址为Radius身份认证服务器的IP地址。
完成后点击“OK”按钮。
10.添加TCP应用协议。
分别是“Port_10914”,“Port_10915”,“Port_8000”,“Port_10913”,“Port_23153”,“Port_10916”,“Port_8080”,“Port_10917”,“Port_20917”,“Port_10910”
11.新建RADIUS服务器,分别命名为Radius_service12,Radius_service13,Radius_service45,Radius_service46
12.以下分别是四个RADIUS服务器的设置方式。
Radius_service12:
Host:
radius01,Service:
UDP/radius1812,Shared:
(由radius服务器提供),Version:
RADIUSVer.2.0Compatible,Priorit:
1;
Radius_service13:
Host:
radius01,Service:
UDP/radius1813,Shared:
(由radius服务器提供),Version:
RADIUSVer.2.0Compatible,Priorit:
1;
Radius_service45:
Host:
radius01,Service:
UDP/radius,Shared:
(由radius服务器提供),Version:
RADIUSVer.1.0Compatible,Priorit:
1;
Radius_service46:
Host:
radius01,Service:
UDP/radius46,Shared:
(由radius服务器提供),Version:
RADIUSVer.1.0Compatible,Priorit:
1;
13.新建RADIUSGROUP,将新建的Radius服务器(Radius_service12,Radius_service13,Radius_service45,Radius_service46,)加入组。
14.在“UsersandAdministrators”中填加一通用用户,用户名是“generic*”
15.选择用户的认证方式:
Radius,RadiusServer是 Radius_Group。
完成后点击“确定”按钮。
16.新建UserGroups,命名为“Radius_user”,把“generic*”加入该用户组。
17.新建一条策略。
位置为NO1,SOURCE:
Radius_user@Any;DESTINATION:
Any;SERVICE:
port_10914,port_10915,port_8000,port_10913,port_23153,port_10916,port_8080,port_10917,port_20917,port_10910,http,ssh;ACTION:
ClientEncrypt;TRACK:
Log;INSTALLON:
policyTargets;TIME:
Any.
18.加载策略。
点击工具栏的PolicyINSTALL按钮。
就可以加载策略,策略加载完成后即可起效。
3.2客户端设置
1.在客户端安装SecuRemote/SecuClientNG
选择安装类型为“InstallVPN-1SecureClient”
选择网卡类型为“Installonallnetworkadapters”
安装完成后,需要重新启动!
重新启动后,可以在计算机屏幕右下角的看到如下图标。
2.点击屏幕右下角的VPN-1SecureClient图标。
打开VPN-1SecureClient设置窗口。
3.点击菜单“Tools”中“AdvancedIKESettings”
4.选中NATtraversal中两个选项ForceUDPencapsulation,SupportIKEover。
5.点击新建按钮。
新建VPN隧道。
选择“Nickname:
”输入mobileoa,在Name/中输入211.138.200.67,点击“OK”按钮。
6.在VPN-1SecureClientAuthentication中,输入您的用户名/密码。
7.在下面窗口点击“OK”按钮。
8.出现认证成功信息。
9.点击“Createnewsite”中“OK”按钮,“mobileoa”隧道建立成功。
点击右上角的关闭此窗口。
3.3登陆过程
客户端可以直接访问OASERVER,在计算机启动后第一次登陆时,要求输入用户名/密码。
接着可以自由访问。
3.4日志查询
1.在已安装防火墙GUI的计算机上点击“开始”→“程序”→“CheckpointSmartConsoleR54”→“SmartViewTracker”,打开防火墙的日志界面。
2.输入用户名/密码及防火墙IP地址:
211.138.200.67
3.左边列表框是日志分类,右边是详细日志。
4.点击左迦列表中的VPN-1,右边出现所有VPN链接日志。
美文欣赏
1、走过春的田野,趟过夏的激流,来到秋天就是安静祥和的世界。
秋天,虽没有玫瑰的芳香,却有秋菊的淡雅,没有繁花似锦,却有硕果累累。
秋天,没有夏日的激情,却有浪漫的温情,没有春的奔放,却有收获的喜悦。
清风落叶舞秋韵,枝头硕果醉秋容。
秋天是甘美的酒,秋天是壮丽的诗,秋天是动人的歌。
2、人的一生就是一个储蓄的过程,在奋斗的时候储存了希望;在耕耘的时候储存了一粒种子;在旅行的时候储存了风景;在微笑的时候储存了快乐。
聪明的人善于储蓄,在漫长而短暂的人生旅途中,学会储蓄每一个闪光的瞬间,然后用它们酿成一杯美好的回忆,在四季的变幻与交替之间,散发浓香,珍藏一生!
3、春天来了,我要把心灵放回萦绕柔肠的远方。
让心灵长出北归大雁的翅膀,乘着吹动彩云的熏风,捧着湿润江南的霡霂,唱着荡漾晨舟的渔歌,沾着充盈夜窗的芬芳,回到久别的家乡。
我翻开解冻的泥土,挖出埋藏在这里的梦,让她沐浴灿烂的阳光,期待她慢慢长出枝蔓,结下向往已久的真爱的果实。
4、好好享受生活吧,每个人都是幸福的。
人生山一程,水一程,轻握一份懂得,将牵挂折叠,将幸福尽收,带着明媚,温暖前行,只要心是温润的,再遥远的路也会走的安然,回眸处,愿阳光时时明媚,愿生活处处晴好。
5、漂然月色,时光随风远逝,悄然又到雨季,花,依旧美;心,依旧静。
月的柔情,夜懂;心的清澈,雨懂;你的深情,我懂。
人生没有绝美,曾经习惯漂浮的你我,曾几何时,向往一种平实的安定,风雨共度,淡然在心,凡尘远路,彼此守护着心的旅程。
沧桑不是自然,而是经历;幸福不是状态,而是感受。
6、疏疏篱落,酒意消,惆怅多。
阑珊灯火,映照旧阁。
红粉朱唇,腔板欲与谁歌?
画脸粉色,凝眸着世间因果;未央歌舞,轮回着缘起缘落。
舞袖舒广青衣薄,何似院落寂寞。
风起,谁人轻叩我柴扉小门,执我之手,听我戏说?
7、经年,未染流殇漠漠清殇。
流年为祭。
琴瑟曲中倦红妆,霓裳舞中残娇靥。
冗长红尘中,一曲浅吟轻诵描绘半世薄凉寂寞,清殇如水。
寂寞琉璃,荒城繁心。
流逝的痕迹深深印骨。
如烟流年中,一抹曼妙娇羞舞尽半世清冷傲然,花祭唯美。
邂逅的情劫,淡淡刻心。
那些碎时光,用来祭奠流年,可好?
8、缘分不是擦肩而过,而是彼此拥抱。
你踮起脚尖,彼此的心就会贴得更近。
生活总不完美,总有辛酸的泪,总有失足的悔,总有幽深的怨,总有抱憾的恨。
生活亦很完美,总让我们泪中带笑,悔中顿悟,怨中藏喜,恨中生爱。
9、海浪在沙滩上一层一层地漫涌上来,又一层一层地徐徐退去。
我与你一起在海水中尽情的戏嬉,海浪翻滚,碧海蓝天,一同感受海的胸怀,一同去领略海的温情。
这无边的海,就如同我们俩无尽的爱,重重的将我们包裹。
10、寂寞的严冬里,到处是单调的枯黄色。
四处一片萧瑟,连往日明净的小河也失去了光彩,黯然无神地躲在冰面下恹恹欲睡。
有母女俩,在散发着丝丝暖意的阳光下,母亲在为女儿梳头。
她温和的把头发理顺。
又轻柔的一缕缕编织着麻花辫。
她脸上写满笑意,似乎满心的慈爱永远装不下,溢到嘴边。
流到眼角,纺织进长长的。
麻花辫。
阳光亲吻着长发,像散上了金粉,闪着飘忽的光辉。
女儿乖巧地依偎在母亲怀里,不停地说着什么,不时把母亲逗出会心的微笑,甜美的亲情融化了冬的寒冷,使萧索的冬景旋转出春天的美丽。
11、太阳终于伸出纤纤玉指,将青山的柔纱轻轻褪去。
青山那坚实的肌胸,挺拔的脊梁坦露在人们的面前,沉静而坚毅。
不时有云雾从它的怀中涌起,散开,成为最美丽的语言。
那阳光下显得凝重的松柏,那苍茫中显现出的点点殷红,那散落在群山峰顶神秘的吻痕,却又增添了青山另外的神秘。
12、原野里那郁郁葱葱的植物,叫我们丝毫感受不到秋天的萧索,勃勃生机与活力仍在田间高山涌动。
谷子的叶是墨绿的,长而大的谷穗沉甸甸地压弯了昨日挺拔的脊梁;高粱仍旧那么苗条,满头漂亮的红缨挥洒出秋的风韵;那纵横原野的林带,编织着深绿浅黄的锦绣,抒写出比之春夏更加丰富的生命色彩。
13、终于,心痛,心碎,心成灰。
终于选择,在月光下,被遗忘。
百转千回,早已物是人非;欲说还休,终于咫尺天涯;此去经年,你我终成陌路。
爱你,终是一朵花开至荼糜的悲伤,一只娥飞奔扑火的悲哀。
14、世界这么大,能遇见,不容易。
心若向阳,何惧忧伤。
人只要生活在这个世界上,就有很多烦恼,痛苦或是快乐,取决于你的内心。
人不是战胜痛苦的强者,便是屈服于痛苦的弱者。
再重的担子,笑着也是挑,哭着也是挑。
再不顺的生活,微笑着撑过去了,就是胜利。
15、孤独与喧嚣无关,摩肩接踵的人群,演绎着身外的花开花谢,没谁陪你挥别走远的流年。
孤独与忙碌迥异,滚滚红尘湮没了心境,可少了终点的奔波,人生终究一样的苍白。
当一个人成长以后,在他已经了解了世界不是由鲜花和掌声构成之后,还能坚持自己的梦想,多么可贵。
16、生活除却一份过往和爱情外,还是需要几多的遐思。
人生并不是单单的由过往和爱情符号所组成的,过往是人生对所有走过岁月的见证;因为简单,才深悟生命之轻,轻若飞花,轻似落霞,轻如雨丝;因为简单,才洞悉心灵之静,静若夜空,静似幽谷,静如小溪。
升级会员 