中国移动CheckPointVPN安全配置手册

密级：文档编号：项目代号：中国移动CheckPointVPN安全配置手册Version1.0中国移动通信有限公司二零零四年十二月拟制:审核:批准:会签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取目录1CHECKPOINTVPN概述....................................51.1简介.....................................................................................................51.2分类及其工作原理................................................................................61.3功能与定位...........................................................................................71.4特点与局限性.......................................................................................82CHECKPOINTVPN适用环境及部署原则......................82.1适用环境..............................................................................................82.2安全部署原则.......................................................................................83CHECKPOINTVPN的安全管理与配置........................93.1服务器端设置.......................................................................................93.2客户端设置.........................................................................................233.3登陆过程............................................................................................283.4日志查询............................................................................................281CheckpointVPN概述1.1简介VPN（VirtualPrivateNetwork）虚拟专用网，是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接，可以形象地看做是一条穿过混乱的公用网络的安全、稳定的隧道，所以VPN中使用的加密传输协议被称为隧道协议。用户使用VPN使需要在PC机上安装一个客户端软件，该客户端和企业的VPNServer互相配合，能保证用户端到企业内部的数据是被加密，无法监听。VPN的设计目标是保护流经Internet的通信的保密性和完整性，在数据在互联网上传输之前进行加密，在到达最终用户之前进行解密。但尽管如此，VPN并不完备，许多用户在使用VPN时，密码经常被窃，使整个VPN系统失去安全。这种密码盗窃是VPN中经常遭受的、最具危害性的攻击。一般来说，大多数对用户身份的确认是通过用户名和固定的密码实现的，然而，固定密码容易被窃或被黑客随处可得的“Cracker”工具破译，某些软件可以自动完成猜测密码的工作，更糟糕的是，某些特定的单词，如“password”或“123456”等，经常被用做密码。对密码保护的最好办法就是不要密码――不采用固定密码，采用动态密码，俗称一时一密，每个密码只能用一次，每次的有效时间只有很短的时间。对VPN采用动态密码，很好解决了数据的传输安全和密码安全，是一个完美结合。目前企业有的内部应用系统也采用了动态密码，但对一些来自外网的黑客而言，这些动态密码对他们毫无作用。试想一下，他们一但进入了企业内部网，受攻的是主机、数据库和网络上传输的数据。所以最稳妥的办法还是使用VPN+动态密码把黑客们挡在门外。1.2分类及其工作原理可以采用以下两种方式使用VPN连接远程局域网络。1.使用专线连接分支机构和企业局域网。不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通Internet。VPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。2.使用拨号线路连接分支机构和企业局域网。不同于传统的使用连接分支机构路由器的专线拨打长途或（1-800）电话连接企业NAS的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。应当注意在以上两种方式中，是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接，因此VPN可以大大节省连接的费用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP。VPN服务器必须一天24小时对VPN数据流进行监听。1.3功能与定位一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有方面的要求：1.用户验证VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。2.地址管理VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。3.数据加密对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。4.密钥管理VPN方案必须能够生成并更新客户端和服务器的加密密钥。5.多协议支持VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。1.4特点与局限性VPN可以实现不同网络的组件和资源之间的相互连接。VPN能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。VPN允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。VPN对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。但是VPN毕竟不是INTRANET，它只能通过TCP/IP协议，因此，许多INTRANET用的协议如NETBOIS、IPX协议等都无法通过VPN传输。2CheckpointVPN适用环境及部署原则2.1适用环境CheckpointVPN网关采用NOKIA防火墙，客户端采用RemoteClient软件，可以安装在各种Windows操作系统上，包括PDA设备的WindowsCE上。NOKIA防火墙至少要一个固定公网IP地址，以方便客户端访问。客户端必须能与NOKIA防火墙相通信。否则VPN隧道将无法建立。2.2安全部署原则在VPN配置过程中，我们采用“安全高效、灵活多变”的部署原则。2CheckpointVPN的安全管理与配置3.1服务器端设置1．打开防火墙配置界面。在已安装防火墙GUI的计算机上点击“开始”→“程序”→“CheckpointSmartConsoleR54”→“SmartDashboard”,打开防火墙的配置界面。2．输入“用户名”/“密码”及防火墙地址“211.138.200.67”3．进入防火墙调试界面，双击防火墙“mobileoa”，打开如下界面。防火墙名称、IP地址无需更改，选择防火墙类型为“VPN-1Pro”4.点击左边列表“Topology”选项。在“Topology”中，点击“Get”按钮，获取防火墙地址。选取VPNDOMAIN为“Network_group”。5．点击左边列表中“VPN”，展开，点击“VPNAdvanced”,点击右边的“Traditionalmodeconfiguration”按钮6．在“Supportkeyexchangeencryption”选择加密方式为3DES,AES-256,DES,CAST；“Supportdataintegritywith”选择MD5，SHA1；在“Supportauthenticationmethods:”选择认证方式Pre-SharedSecret，PublicKeySignature,选择ExportableforSecuRemote/SecureClient，然后点击“Advanced”按钮；如下图如示。7．，在“SupportDiffie-HellmangroupsforIKE(phase1)”中选择Group2(1024bit),在“Rekeying”设置“RenegotiateIKE(phase1)Security”为1440Minutes,“RenegotiateIPsec(IKEphase2)Security”为3600Seconds,选中“Supportaggressiveme”；完成后点击“OK”按钮。然后在“TraditionalmodeIKEproperties”点击“确定”。8．在“CheckpointGeteWay-mobileoa”的左边列表选择“RemoteAccess”，在右边属性中如择RemoteAccess建立方式为HubMode和NAT模式，在NAT模式中选择地址分配方式为“VPN1_IPSEC_encapsulation”；如下图所示。完成后点击“OK”按钮。9．在防火墙左边“Nodes”中新建“HostNode”，命名为“radius01”，IP地址为Radius身份认证服务器的IP地址。完成后点击“OK”按钮。10．添加TCP应用协议。分别是“Port_10914”,“Port_10915”,“Port_8000”,“Port_10913”,“Port_23153”,“Port_10916”,“Port_8080”,“Port_10917”,“Port_20917”,“Port_10910”11．新建RADIUS服务器，分别命名为Radius_service12,Radius_service13,Radius_service45,Radius_service4612.以下分别是四个RADIUS服务器的设置方式。Radius_service12:Host:radius01,Service:UDP/radius1812,Shared:(由radius服务器提供)，Version:RADIUSVer.2.0Compatible,Priorit:1；Radius_service13:Host:radius01,Service:UD