-
密
级
:
文
p>
档
编
号
:
项
目
代
号
:
CheckPoint VPN
安全配置手册
Version
1.0
中国移动通信有限公司
二零零四年十二月
中国移动
拟
制
:
审
核
:
批
准
:
会
签
:
标准化
:
版本控制
版
本
号
日
期
参
p>
与
人
员
p>
更
新
说
明
分发控制
编
号
1
2
3
读
者
p>
文
档
权
限
创
建
、
修
改
、
读
< br>取
批
准
标
p>
准
化
审
核
与
文
档
的
主
要
关
< br>系
负
责
编
制
、
修
改
、
审
核
p>
负
责
本
文
档
的
批
准
程
序
作
< br>为
本
项
目
的
标
准
化
负
责
人
,
负
p>
责
对
本
文
档
进
行
标
准
化
审
核
< br>
4
5
读
取
读
取
目
录
1
CHECKPOINT
VPN
概
述
....................................
5
1.1
1.2
1.3
1.4
简
介
..............
..................................................
..................................... 5
分
类
及
其
工
作
原
理
..
..................................................
............................ 6
功
能
与
定
位
.
........................
..................................................
................ 7
特
点
与
局
限
性
............................................... ........................................ 8
2
CHECKPOINT VPN<
/p>
适
用
环
境
及
部
署
原
则
......................
8
2.1
2.2
适
用
环
境
.........................
..................................................
................... 8
安
全
部
署
原
则
............................................
........................................... 8
3
CHECKPOINT VPN<
/p>
的
安
全
管
理
与
配
置
........................
9
3.1
3.2
3.3
3.4
服
务
器
端
设
置
.....................
..................................................
................ 9
客
户
端
设
置
.
....................................
..................................................
.. 23
登
陆
过
< br>程
..................................
..................................................
........ 28
日
志
查
p>
询
............................
..................................................
.............. 28
1
Checkpoint
VPN
概述
1.1
简介
VPN
(
Virtual
Private Network
)
虚
拟
专
用
网
,<
/p>
是
企
业
网
在
因
特
网
等
公
共
网
络
上
的
延
伸
,
通
过
一
个
私
有
的<
/p>
通
道
在
公
共
网
络
上
创
建
一
个
安
全
的
私
有
连
接
,
可
以
形
象
地<
/p>
看
做
是
一
条
穿
过
混
乱
的
公
用
网
络
的
安
全
、
稳
定
的
隧
道
,
所<
/p>
以
VPN
中
使<
/p>
用
的
加
密
传
输
协
议
被
称
为
隧
道
协
议
。
用
户
使
用
VPN
使
需
要
在
PC
机
上
安
装
p>
一
个
客
户
端
软
件
,
该
客
户
端
< br>和
企
业
的
VPN Server
互
相
配
合
,能
保
证
用
户
端
到
企
业
内
部
< br>的
数
据
是
被
加
密
,
无
法
监
听
。
p>
VPN
的
p>
设
计
目
标
是
保
护
流
经
Internet
的
通<
/p>
信
的
保
密
性
和
完
整
性
,
在
数
据
在
互
联
网
上
传
输
之
前
进
行
加<
/p>
密
,
在
到
达
最
终
用
户
之
前
进
行
解
密
。但
< br>尽
管
如
此
,
VPN
并
不
完
备
,许
多
用
户
在
使
用<
/p>
VPN
时
,密
码
经
常
被
窃
p>
,使
整
个
VPN<
/p>
系
统
失
去
安
全
。这
种
密
码
盗
窃
是
VPN
中
经
常
遭
受
的
< br>、
最
具
危
害
性
的
攻
击
。
一
般<
/p>
来
说
,
大
多
数
对
用
户
身
份
的
确
认
是
通
过
用
户
名
和
固
定
的
密<
/p>
码
实
现
的
,然
而
,固
定
密
码
容
易
被
窃
或
被
黑
客
随
处
可
得
的
“
Cracker”
工
具
破
译
,
某
些
< br>软
件
可
以
自
动
完
成
猜
测
密
码
的
p>
工
作
,
更
糟
糕
的
是
,
某
些
特
< br>定
的
单
词
,
如
“
password”
或
“
123456
”<
/p>
等
,
经
常
被
用
做
密
码
。
对
密
码
保
护
的
最
好
办
法
就
是
不
要<
/p>
密
码
―
―
不
采
用
固
定
密
码
,
采
用
动
态
密
码
,
俗
称
一
时
一
密<
/p>
,
每
个
密
码
只
能
用
一
次
,
每
次
的
有
效
时
间
只
有
很
短
的
时
间<
/p>
。
对
VPN
采<
/p>
用
动
态
密
码
,
很
好
解
决
了
数
据
的
传
输
安
全
和
密
码
安
全
,
是<
/p>
一
个
完
美
结
合
。
目
前
企
业
有
的
内
部
应
用
系
统
也
采
用
了
动<
/p>
态
密
码
,
但
对
一
些
来
自
外
网
的
黑
客
而
言
,
这
些
动
态
密
码
对<
/p>
他
们
毫
无
作
用
。
试
想
一
下
,
他
们
一
但
进
入
了
企
业
内
部
网
,<
/p>
受
攻
的
是
主
机
、
数
据
库
和
网
络
上
传
输
的
数
据
。
所
以
最
稳
妥<
/p>
的
办
法
还
是
使
用
VPN+
p>
动
态
密
码
把
黑
客
们
挡
在
门
外
< br>。
1.2
分类及其工作原理
可
以
采
p>
用
以
下
两
种
方
式
使
用
VPN
连
接
远
程
局
域
< br>网
络
。
1.
使
用
专
线
连
接
分
支<
/p>
机
构
和
企
业
局
域
网
。
不
需
要
使
用
价
格
昂
贵
的
长
距
离<
/p>
专
用
电
路
,
分
支
机
构
和
企
业
端
路
由
器
可
以
使
用
各
自
本
地
的<
/p>
专
用
线
路
通
过
本
地
的
ISP
连
通
Internet
。
VPN
软
件
使
用
与
当
本
地
ISP
建
立
的
连
p>
接
和
Internet
网
络
在
分
支
机
构
和
企<
/p>
业
端
路
由
器
之
间
创
建
一
个
虚
拟
专
用
网
络
。
2.
使
用
拨
号
线
路
连
接
p>
分
支
机
构
和
企
业
局
域
网
。
不
同
p>
于
传
统
的
使
用
连
接
分
支
机
构
< br>路
由
器
的
专
线
拨
打
长
途
或
(
1-8
00
)电
话
连
接
企
业
NAS
的
方
式
,分
支
机
构
端
的
p>
路
由
器
可
以
通
过
拨
号
方
式
连
< br>接
本
地
ISP
< br>。
VPN
软
件
< br>使
用
与
本
地
ISP
建
立
起
的
连
接
在
分
支
机
构
p>
和
企
业
端
路
由
器
之
间
创
建
一
< br>个
跨
越
Internet
的
虚
拟
专
用
网
络
。
应
当
注
意
在
以
上
两
种<
/p>
方
式
中
,
是
通
过
使
用
本
地
设
备
在
分
支
机
构
和
企
业
部
门
与
In
ternet
之
间
建
< br>立
连
接
。无
论
是
在
客
户
端
还
是
服<
/p>
务
器
端
都
是
通
过
拨
打
本
地
接
入
电
话
建
立
连
接
,
因
此
VPN
可
以
大
大
节
省<
/p>
连
接
的
费
用
。
建
议
作
为
VPN
服
务
器
的
企
业
端
路
由
器
使
用
专
线
连
接
本
地<
/p>
ISP
。
VPN
服
务
器
必
须<
/p>
一
天
24
小
p>
时
对
VPN
数
p>
据
流
进
行
监
听
。
1.3
功能与定位
一
p>
般
来
说
,
企
业
在
选
用
一
种
远
< br>程
网
络
互
联
方
案
时
都
希
望
能
够
p>
对
访
问
企
业
资
源
和
信
息
的
要
< br>求
加
以
控
制
,
所
选
用
的
方
案
应
p>
当
既
能
够
实
现
授
权
用
户
与
企
< br>业
局
域
网
资
源
的
自
由
连
接
,不
同<
/p>
分
支
机
构
之
间
的
资
源
共
享
;
又
能
够
确
保
企
业
数
据
在
公
共
互<
/p>
联
网
络
或
企
业
内
部
网
络
上
传
输
时
安
全
性
不
受
破
坏
.
因
此
,最
低
限
度
,一<
/p>
个
成
功
的
VPN
方
案
应
当
能
够
满
足
以
下
所
有
方
面
的
要
求
:
1.
用
户
验
证
VPN
方
案
必
须
p>
能
够
验
证
用
户
身
份
并
严
格
控
< br>制
只
有
授
权
用
户
才
能
访
问
VPN
。
另
外
,
方
p>
案
还
必
须
能
够
提
供
审
计
和
记
< br>费
功
能
,
显
示
何
人
在
何
时
访
问
p>
了
何
种
信
息
。
2.
地
址
管
理
VPN
方
案
必
须
能
够
为
用
户
分
配
专
用<
/p>
网
络
上
的
地
址
并
确
保
地
址
的
安
全
性
。
3.
数
据
加
密
对
通
过
公
p>
共
互
联
网
络
传
递
的
数
据
必
须
< br>经
过
加
密
,
确
保
网
络
其
他
未
授
p>
权
的
用
户
无
法
读
取
该
信
息
。
< br>
4.
密
钥
管
理
VPN
方
案
必
须
能
够
生
p>
成
并
更
新
客
户
端
和
服
务
器
的
< br>加
密
密
钥
。
5.
多
协
议
支
持
VPN
方
案
必
须
支
p>
持
公
共
互
联
网
络
上
普
遍
使
用
< br>的
基
本
协
议
,
包
括
I
P
,
IPX
等
。
以
点
对
点<
/p>
隧
道
协
议
(
PPTP
)
或
p>
第
2
层
隧
道
协
议
(
L2TP
)
为
基
础
的
VPN
方
案
既
能
够
满
足
以
上
所
有
的
基
本
要
求
,又
能
够
充
分
利
p>
用
遍
及
世
界
各
地
的
Internet
互
联
网<
/p>
络
的
优
势
。
1.4
特点与局限性
VPN
可
以
实
现
不
同
p>
网
络
的
组
件
和
资
源
之
间
的
相
< br>互
连
接
。
VPN
能
够
利
用
Internet
或
其
它
公
共
互
联
网
络
的
基
础
设
施
为
用
户
创
建<
/p>
隧
道
,
并
提
供
与
专
用
网
络
一
样
的
安
全
和
功
能
保
障
。
VPN
允
许
远
程
通<
/p>
讯
方
,
销
售
人
员
或
企
业
分
支
机
构
使
用
Internet
等
公
共
互
联
网
络
的
路
由
基
< br>础
设
施
以
安
全
的
方
式
与
位
于
企
p>
业
局
域
网
端
的
企
业
服
务
器
建
< br>立
连
接
。
VPN
对
用
户
端
透
明
,
用
户
好
象
使
p>
用
一
条
专
用
线
路
在
客
户
计
算
< br>机
和
企
业
服
务
器
之
间
建
立
点
对
p>
点
连
接
,
进
行
数
据
的
传
输
。
< br>
但
是
VPN
< br>毕
竟
不
是
INTRANET
,
它
只
能
通
过
TCP/IP
p>
协
议
,
因
此
,
许
多
INTRANET
用
的
协<
/p>
议
如
NETBOIS
、
IPX
协
议
等
都
无
法
通
过
VPN
传
输
。
2
Checkpoint VPN
适用环境及部署原则
2.1
适用环境
Checkpoint VPN
网
关<
/p>
采
用
NOKIA
防
火
墙
,客
户
端
采
用
Rem
oteClient
软
件
,
可
以
安
装
在
各
种
Windows
操
作
系
统
上
,
包
括
PDA
设
备
的
Windows
CE
上
。
<
/p>
NOKIA
防
火
墙
至
少
要
一<
/p>
个
固
定
公
网
IP
地
址
,以
方
便
客
户
端
访
问
。客
户
端
必
< br>须
能
与
NOKIA
防
火
墙
相
< br>通
信
。
否
则
VPN
隧
道
将
无
法
建
立
。
2.2
安全部署原则
在
VPN
配
置
过
程
中
p>
,我
们
采
用“
p>
安
全
高
效
、灵
活
多
变
”的
部
署
原
则
。
2
Checkpoint
VPN
的安全管理与配置
3.1
服务器端设置
1
.
打
p>
开
防
火
墙
配
置
界
面
。
在
已
< br>安
装
防
火
墙
GUI
的
计
算
机
上
点
击
“
开
始
”→“
程
序
”→“
Check
point SmartConsole
R54
”
→
“
SmartDashboard
”
,
打
开
防
火
p>
墙
的
配
置
界
面
。
2
.
输
p>
入
“
用
户
名
”
/
“
密
码
”
及
< br>防
火
墙
地
址
“
211.138.200.67
”
3
.<
/p>
进
入
防
火
墙
调
试
界
面
,
双
击
防
火
墙
“
mobileoa
”
,
打
开
如
下
界
面
。
防
火
< br>墙
名
称
、
IP
地
址
无
需
更
改
,
选<
/p>
择
防
火
墙
类
型
为
“
VPN-1 Pro
”
4.
点
击
左<
/p>
边
列
表“
Top
ology
”选
项
。在“
Topology
”中
,点
击“
Get
”
按
钮
,
获
取
防
火
墙
地
址
p>
。
选
取
VPN D
OMAIN
为
“
Network_gr
oup
”
。
5
.点
击<
/p>
左
边
列
表
中“
VPN
”
,展<
/p>
开
,点
击“
VP
N
Advanced
”
,
点
击
右
边
的
“
Traditional mode confi
guration
”
按
钮
6
< br>.
在
“
Support
key
exchange
encr
yption
”
选
择
< br>加
密
方
式
为
3DES,AES-256,DES,CAST
;
“
Support data integrity with
”
选
择
MD5
,
SHA1
;
在
“
Support
authentication
methods:
”
选
择
认
证
方
式
Pre-Shared
Secret
,
Public
Key
Signature,
选
p>
择
Exportable
for
SecuRemote/SecureClient
,然
后
点
击“
Advanced
”按
钮
;如
下
图
如
示
。
p>
7
.
,
在
“
Support
Diffie-Hellman groups for IKE(phase 1)
”
中
选
择
Gro
up 2(1024 bit),
在
“
Rekeying
”
设
置
“
Renegotiate IKE(phase
1)Security
”
为
1440
Minutes,
“
Renegotiate
IPsec(IKE phase 2)
Security
”
为
3600 Seconds,
选
p>
中
“
Support
aggressive me
”
;
完<
/p>
成
后
点
击
“
OK
”
按
钮
。
然
后
在
“
Traditional mode IKE
properties
”
点
击
“
确
定
”
。
< br>8
.
在
“
Check point GeteWay-mobileoa
”
的
左
边
列
表
选
择
“
Re
mote
Access
”
,
在
右
边
属
性
中
如
择
< br>Remote Access
建
立
方
式
为
Hub Mode
和
NAT
模
式
,
在
NAT
模
式
中
选
择
地
址
分
配
< br>方
式
为
“
VPN1_IPSEC_encapsulation
”
;如
下
图
所
示
p>
。完
成
后
点
击“
OK
”按
钮
p>
。
9
.在
防
火
墙
左
边“
Nodes
”中<
/p>
新
建“
Host
Node
”
,命
名
< br>为“
radius01
”
,
p>
IP
地
址
为
Radius
身
份
认
证
服
务
器
p>
的
IP
地
址
。完
成
后
点
击“
OK
”按
钮
。
10
.
添
加
TCP
应
用
协
议
。
分
别
是
< br>“
Port_10914
”
,<
/p>
“
Port_10915
”
,
“
Port_8000
”
,
“
Port_10913
”
,
“
Port_2
3153
”
,
“
Port_10916
”
,
“<
/p>
Port_8080
”
,
“
Port_10917
”
,
“
Port_20917
”
,
“
Port_10910
”
-
-
-
-
-
-
-
-
-
上一篇:浅析文化差异在商务英语翻译中的重要性
下一篇:英语社英语百科知识竞赛赛题.doc