中国移动CheckPoint-VPN安全配置手册.doc

密 级：文档编号：项目代号：中国移动CheckPoint VPN安全配置手册Version 1.0中国移动通信有限公司十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的重要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取目 录1 CHECKPOINT VPN概述 21.1 简介 21.2 分类及其工作原理 21.3 功能与定位 31.4 特点与局限性 42 CHECKPOINT VPN合用环境及部署原则 42.1 合用环境 42.2 安所有署原则 43 CHECKPOINT VPN的安全管理与配置 43.1 服务器端设立 43.2 客户端设立 183.3 登陆过程 233.4 日记查询 241 Checkpoint VPN概述 1.1 简介 VPN（Virtual Private Network）虚拟专用网，是公司网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接，可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道，所以VPN中使用的加密传输协议被称为隧道协议。

用户使用VPN使需要在PC机上安装一个客户端软件，该客户端和公司的VPN Server互相配合，能保证用户端到公司内部的数据是被加密，无法监听 VPN的设计目的是保护流经Internet的通信的保密性和完整性，在数据在互联网上传输之前进行加密，在到达最终用户之前进行解密但尽管如此，VPN并不完备，许多用户在使用VPN时，密码经常被窃，使整个VPN系统失去安全这种密码盗窃是VPN中经常遭受的、最具危害性的袭击 一般来说，大多数对用户身份的确认是通过用户名和固定的密码实现的，然而，固定密码容易被窃或被黑客随处可得的“Cracker”工具破译，某些软件可以自动完毕猜测密码的工作，更糟糕的是，某些特定的单词，如“password”或“123456”等，经常被用做密码对密码保护的最佳办法就是不要密码――不采用固定密码，采用动态密码，俗称一时一密，每个密码只能用一次，每次的有效时间只有很短的时间对VPN采用动态密码，很好解决了数据的传输安全和密码安全，是一个完美结合目前公司有的内部应用系统也采用了动态密码，但对一些来自外网的黑客而言，这些动态密码对他们毫无作用试想一下，他们一但进入了公司内部网，受攻的是主机、数据库和网络上传输的数据。

所以最稳妥的办法还是使用VPN+动态密码把黑客们挡在门外1.2 分类及其工作原理 可以采用以下两种方式使用VPN连接远程局域网络1.使用专线连接分支机构和公司局域网　　不需要使用价格昂贵的长距离专用电路，分支机构和公司端路由器可以使用各自本地的专用线路通过本地的ISP连通InternetVPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和公司端路由器之间创建一个虚拟专用网络2.使用拨号线路连接分支机构和公司局域网　　不同于传统的使用连接分支机构路由器的专线拨打长途或（1-800）连接公司NAS的方式，分支机构端的路由器可以通过拨号方式连接本地ISPVPN软件使用与本地ISP建立起的连接在分支机构和公司端路由器之间创建一个跨越Internet的虚拟专用网络　　应当注旨在以上两种方式中，是通过使用本地设备在分支机构和公司部门与Internet之间建立连接无论是在客户端还是服务器端都是通过拨打本地接入建立连接，因此VPN可以大大节省连接的费用建议作为VPN服务器的公司端路由器使用专线连接本地ISPVPN服务器必须一天24小时对VPN数据流进行监听1.3 功能与定位　　一般来说，公司在选用一种远程网络互联方案时都希望可以对访问公司资源和信息的规定加以控制，所选用的方案应当既可以实现授权用户与公司局域网资源的自由连接，不同分支机构之间的资源共享；又可以保证公司数据在公共互联网络或公司内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当可以满足以下所有方面的规定：1.用户验证　　VPN方案必须可以验证用户身份并严格控制只有授权用户才干访问VPN。

此外，方案还必须可以提供审计和记费功能，显示何人在何时访问了何种信息2.地址管理　　VPN方案必须可认为用户分派专用网络上的地址并保证地址的安全性3.数据加密　　对通过公共互联网络传递的数据必须通过加密，保证网络其他未授权的用户无法读取该信息4.密钥管理　　VPN方案必须可以生成并更新客户端和服务器的加密密钥5.多协议支持　　VPN方案必须支持公共互联网络上普遍使用的基本协议，涉及IP，IPX等以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既可以满足以上所有的基本规定，又可以充足运用遍及世界各地的Internet互联网络的优势1.4 特点与局限性 VPN可以实现不同网络的组件和资源之间的互相连接VPN可以运用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络同样的安全和功能保障VPN允许远程通讯方，销售人员或公司分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于公司局域网端的公司服务器建立连接VPN对用户端透明，用户好象使用一条专用线路在客户计算机和公司服务器之间建立点对点连接，进行数据的传输但是VPN毕竟不是INTRANET，它只能通过TCP/IP协议，因此，许多INTRANET用的协议如NETBOIS、IPX协议等都无法通过VPN传输。

2 Checkpoint VPN合用环境及部署原则2.1 合用环境 Checkpoint VPN网关采用NOKIA防火墙，客户端采用RemoteClient软件，可以安装在各种Windows操作系统上，涉及PDA设备的Windows CE上NOKIA防火墙至少要一个固定公网IP地址，以方便客户端访问客户端必须能与NOKIA防火墙相通信否则VPN隧道将无法建立2.2 安所有署原则 在VPN配置过程中，我们采用“安全高效、灵活多变”的部署原则2 Checkpoint VPN的安全管理与配置 3.1 服务器端设立 1．打开防火墙配置界面在已安装防火墙GUI的计算机上点击“开始”→“程序”→“Check point SmartConsole R54” →“SmartDashboard”,打开防火墙的配置界面2．输入“用户名”/“密码”及防火墙地址“211.138.200.67”3．进入防火墙调试界面，双击防火墙“mobileoa”，打开如下界面防火墙名称、IP地址无需更改，选择防火墙类型为“VPN-1 Pro”4.点击左边列表“Topology”选项在“Topology”中，点击“Get”按钮，获取防火墙地址。

选取VPN DOMAIN为“Network_group”5．点击左边列表中“VPN”，展开，点击“VPN Advanced”,点击右边的“Traditional mode configuration”按钮6．在“Support key exchange encryption”选择加密方式为3DES,AES-256,DES,CAST；“Support data integrity with”选择MD5，SHA1；在“Support authentication methods:”选择认证方式Pre-Shared Secret，Public Key Signature,选择Exportable for SecuRemote/SecureClient，然后点击“Advanced”按钮；如下图如示7．，在“Support Diffie-Hellman groups for IKE(phase 1)”中选择Group 2(1024 bit),在“Rekeying”设立“Renegotiate IKE(phase 1)Security”为1440 Minutes,“Renegotiate IPsec(IKE phase 2) Security”为3600 Seconds,选中“Support aggressive me”；完毕后点击“OK”按钮。

然后在“Traditional mode IKE properties” 点击“拟定”8．在“Check point GeteWay-mobileoa”的左边列表选择“Remote Access”，在右边属性中如择Remote Access 建立方式为Hub Mode和NAT模式，在NAT模式中选择地址分派方式为“VPN1_IPSEC_encapsulation”；如下图所示完毕后点击“OK”按钮9．在防火墙左边“Nodes”中新建“Host Node”，命名为“radius01”，IP地址为Radius身份认证服务器的IP地址完毕后点击“OK”按钮10．添加TCP应用协议分别是“Port_10914”,“Port_10915”, “Port_8000”,“Port_10913”, “Port_23153”, “Port_10916”, “Port_8080”,“Port_10917”,“Port_20917”,“Port_10910” 11．新建RADIUS服务器，分别命名为Radius_service12, Radius_service13, Radius_service45, Radius_service4612.以下分别是四个RADIUS服务器的设立方式。

Radius_service12:Host:radius01,Service:UDP/radius1812,Shared:(由radius服务器提供)，Version:RADIUS Ver. 2.0 Compatible,Priorit:1；Radius_service13:Host:radius01,Service:UDP/radius1813,Shared:(由radius服务器提供)，Version:RADIUS Ver. 2.0 Compatible,Priorit:1；Radius_service45:Host:radius01,Service:UDP/radius,Shared:(由radius服务器提供)，Version:RADIUS Ver. 1.0 Compatible,Priorit:1；Radius_service46:Host:radius01,Service:UDP/radius46,Shared:(由radius服务器提供)，Version:RADIUS Ver. 1.0 Compatible,Priorit:1；13．新建RADIUS GROUP，将新建的Radius服务器(Radius_service12, Radius_service13, Radius_service45, Radius_service46,)加入组。