IPSec主模式(Main mode)--Vigor到CheckPoint Firewall
一、 Vigor的配置:
1.基本设置(Common Settings):
a.输入Profile Name.
b. 选择 "Enable this Profile".
c. 选择 Dial-Out,Idle Timeout 选项设为0,这样可以始终维持IPSec隧道的开通直到远端拨入端发出终止命令。如果选择Always on, 那只要连接一中断路由器就会自动重拨。
2. 拨出设置(Dial-Out Settings):
a. 选择IPSec 模式。
b. 输入远端VPN server的IP地址/主机名字。
c. 输入IKE Pre-shared 值。
d. 选择IPSec 安全模式: 高(ESP)。
4. TCP/IP网络设置(TCP/IP Network Settings):
输入远端局域网内网IP地址及其网关。
二、Check Point settings:
1.定义 Network Objects,输入VPN的IP地址,子网掩码。
2.两边的VPN都要进行上述操作。
3.为每一个VPN gateway 创建或修改Workstation Network Objects 添加VPN 配制参数。
4.单击VPN tab ,修改 VPN的定义
单击 " Other "修改 Encryption Domain 并为此gateway的 encryption domain.添加 Network Object。
5.单击 " IKE " 来编辑Encryption Scheme,选择3DES (或 DES ) SHA1、 MD5、 Pre-Shared Secret. 取消对 " Supports Aggressive Mode "的选定。
6.编辑其他的VPN gateway 。
7.单击VPN tab来修改 VPN定义。
单击" Other "来修改Encryption Domain,并为此 gateway的encryption domain添加 Network Object。
8.单击 " IKE " 来编辑Encryption Scheme,选择3DES (或 DES ) SHA1、 MD5、 Pre-Shared Secret. 取消对 "Supports Aggressive Mode"的选定。
9.单击 Edit Secrets 来添加 Pre-Shared Secret.
10.单击 " Edit ". 输入 secret然后单击 " Set "
11.两个主机之间的 Pre-Shared Secret将不再被改动 ,你仍然需要在Vigot2900V VPN配制里设置相关参数。
12.配制 Firewall Rules,允许 IPSec encryption.
定义firewall policies:允许 encryption domains之间的 IPSec encryption 。你需要定义encryption domain network rules,选择action to Encrypt。 在本例中,我们开启encryption domains中的所有服务。
13.双击Encrypt Action来编辑IPSec rules.
14.单击IKE 、 "Edit"来编辑 IPSec rules.选择 ESP, 3DES (或 DES) , SHA1.
On " Allowed Peer Gateway " 最后一个选项填Vigor_Gateway.
15.重复以上步骤来编辑其它的 IPSec/encrypt rules.
修改 Security Association Timeframe,在进行 IKE Security Association与Check Point VPN-1以及 IKE Security Association与 Vigor Gateways的重新协商时,timeframes的默认设置是不一样的。这些参数已不需要修改也不用被禁止。为了安全起见还是将这些参数设置为和 timeframes一致。在本例中,我们将Check Point的设置改为和 Vigor的一样。 在Check Point Policy编辑器重,选择 Encryption tab of the Policy / Properties Setup.修改 the IKE Security Association time为 480 minutes (8 hours) 使其与 Nokia的设置一致, IPSec timeframes 的默认之为 (3600 seconds, 即 1 hour)。
到此 完成了Check Point VPN gateway的设置。