IPSec主模式(Main mode)--Vigor到CheckPoint Firewall


 一、 Vigor的配置:

1.基本设置(Common Settings):
   a.输入Profile Name.
   b. 选择 "Enable this Profile".
   c. 选择 Dial-Out,Idle Timeout 选项设为0,这样可以始终维持IPSec隧道的开通直到远端拨入端发出终止命令。如果选择Always on, 那只要连接一中断路由器就会自动重拨。

2. 拨出设置(Dial-Out Settings):
   a. 选择IPSec 模式。
   b. 输入远端VPN server的IP地址/主机名字。
   c. 输入IKE Pre-shared 值。
   d. 选择IPSec 安全模式: 高(ESP)。
 
4. TCP/IP网络设置(TCP/IP Network Settings):
   输入远端局域网内网IP地址及其网关。







二、Check Point settings:

1.
定义 Network Objects,输入VPN的IP地址,子网掩码。





2.两边的VPN都要进行上述操作。





3.为每一个
VPN gateway 创建或修改Workstation Network Objects 添加VPN 配制参数。





4.单击VPN tab ,修改 VPN的定义
单击
" Other "修改 Encryption Domain 并为此gateway的 encryption domain.添加 Network Object。





5.单击
" IKE " 来编辑Encryption Scheme,选择3DES (或 DES ) SHA1、 MD5、 Pre-Shared Secret. 取消对 " Supports Aggressive Mode "的选定。






6.编辑其他的VPN gateway 。





7.单击VPN tab来修改 VPN定义。
单击
" Other "来修改Encryption Domain,并为此 gateway的encryption domain添加 Network Object





8.
单击 " IKE " 来编辑Encryption Scheme,选择3DES (或 DES ) SHA1、 MD5、 Pre-Shared Secret. 取消对 "Supports Aggressive Mode"的选定。





9.单击 Edit Secrets 来添加 Pre-Shared Secret.






10.单击 " Edit ". 输入 secret然后单击 " Set "






11.两个主机之间的 Pre-Shared Secret将不再被改动 ,你仍然需要在Vigot2900V VPN配制里设置相关参数。






12.配制 Firewall Rules,允许 IPSec encryption.
定义firewall policies:允许
encryption domains之间的 IPSec encryption 。你需要定义encryption domain network rules,选择action to Encrypt。 在本例中,我们开启encryption domains中的所有服务。






13.双击Encrypt Action来编辑IPSec rules.






14.单击IKE 、 "Edit"来编辑 IPSec rules.选择 ESP, 3DES (或 DES) , SHA1.
On " Allowed Peer Gateway " 最后一个选项填Vigor_Gateway.







15.重复以上步骤来编辑其它的 IPSec/encrypt rules.
修改 Security Association Timeframe,在进行
IKE Security Association与Check Point VPN-1以及 IKE Security Association与 Vigor Gateways的重新协商时,timeframes的默认设置是不一样的。这些参数已不需要修改也不用被禁止。为了安全起见还是将这些参数设置为和 timeframes一致。在本例中,我们将Check Point的设置改为和 Vigor的一样。 在Check Point Policy编辑器重,选择 Encryption tab of the Policy / Properties Setup.修改 the IKE Security Association time为 480 minutes (8 hours) 使其与 Nokia的设置一致,  IPSec timeframes 的默认之为 (3600 seconds, 即 1 hour)。







到此 完成了Check Point VPN gateway的设置。
 

已读次数:4322