连接到 Check Point Security Gateway 同级
您可以使用 IBM Cloud VPN for VPC 通过 VPN 隧道将 VPC 安全地连接到内部部署网络。 本主题提供有关如何配置 Check Point Security Gateway 以连接到 VPN for VPC的指导。
这些指示信息基于 Check Point Security Gateway,Software Release [R81.10]。 不支持较早版本的 Check Point 软件。
在继续连接到内部部署同级之前,请阅读 VPN 网关限制。
由于 Check Point Security Gateway 在缺省情况下使用 IKEv1,因此必须创建定制 IKE 和 IPsec 策略以替换 VPC 中 VPN 的缺省自动协商策略。
要支持这些功能,必须在 Check Point Security Gateway 上执行以下常规配置步骤。
将基于 IBM 策略的 VPN 连接到 Check Point Security Gateway 同级
以下是如何将 IBM 策略v之 VPN 连接到 Check Point Security Gateway 同级的示例:
-
要配置内部管理的安全网关,请执行以下步骤:
- 转至 SmartConsole > 网关和服务,然后单击 Security Gateway 的名称以打开 Security Gateway 配置页面。
- 转至“网络管理”页面以定义拓扑。
- 转至 网络管理> VPN 域 页面以定义 VPN 域。
-
要在检查点 SmartConsole上创建可互操作的设备,请执行以下步骤:
- 转至“对象资源管理器”,然后单击 新建> 更多> 网络对象> 更多> 可互操作设备 以打开新的可互操作设备页面。
- 转至“常规属性”页面,然后输入 IBM VPN 网关名称和公共 IP 地址。
- 转至“拓扑”页面,并添加 IBM VPN 网关公共 IP 地址和 IBM VPC 子网。 将 IBM VPN 公共 IP 地址添加为具有网络掩码
255.255.255.255
的外部网络。 将 IBM VPC 子网添加为内部网络。
-
要添加 VPN 社区,请执行以下步骤。
这些指示信息基于
Star Community
类型,但Meshed Community
类型也是一个选项。- 转至 SmartConsole > 安全策略> 访问工具> VPN 社区,单击
Star Community
以打开新的 VPN 社区页面。 - 输入新的社区名称。
- 转至“网关> 中心网关”页面,单击
+
图标,然后添加检查点安全网关。 - 转至 网关> Satellite 网关 页面,单击
+
图标,然后添加 IBM VPN 网关。 - 转至“加密”页面,并使用缺省值
Encryption Method
和Encryption Suite
。 - 转至“隧道管理”页面,然后选择
One VPN tunnel per subnet pair
。 - 转至“共享密钥”页面并设置预共享密钥。
- 单击 确定 并发布更改。
- 转至 SmartConsole > 安全策略> 访问工具> VPN 社区,单击
-
要在“安全策略”页面中添加相关访问规则,请执行以下步骤:
- 在 VPN 列中添加社区,在“服务和应用程序”列中添加服务,需要的操作以及相应的跟踪选项。
- 安装访问控制策略。
将基于 IBM 路由的 VPN 连接到 Check Point Security Gateway 同级
CheckPoint 管理指南 中引用了这些示例步骤
要将基于 IBM 路由的 VPN 连接到 Check Point Security Gateway 同级,请执行以下步骤:
-
要启用 IPsec VPN,请选择 SmartConsole > 网关和服务,然后单击 Security Gateway 的名称以打开 Security Gateway 配置页面。 在“常规属性”选项卡式视图中,单击 IPsec VPN。
图 1: CheckPoint 连接启用 IPsec -
要启用基于路由的 VPN,请执行以下步骤:
- 选择 SmartConsole > 网关和服务,然后单击 Security Gateway 的名称以打开 Security Gateway 配置页面。
- 单击 网络管理> VPN 域。
- 选择 用户定义。
- 单击 [...] 按钮。
- 单击 新建> 组> 简单组 并输入名称。
- 单击 确定 (将 Group 对象保留为空)。
图 2: CheckPoint 连接启用 IPsec -
要将 IBM VPN 网关添加为可互操作设备,请转至“对象资源管理器”。 然后,单击 新建> 更多> 网络对象> 更多> 可互操作设备 以打开新的可互操作设备页面。 在 IPv4 地址字段中输入基于 IBM 路由的 VPN 网关的小型公共 IP 地址。
有关小型公共 IP 的更多信息,请参阅此 重要声明。
图 3: CheckPoint 连接添加可互操作设备 -
要创建 VPN 社区,请选择 SmartConsole > 安全策略> 访问工具> VPN 社区。 然后,单击 星型社区 以打开新的 VPN 社区页面。 添加 CheckPoint 网关和基于 IBM 路由的 VPN 网关。
图 4: CheckPoint 连接创建 VPN 社区 -
要配置加密流量,请在 VPN 社区上单击 加密流量,然后选择 接受所有加密流量。
图 5: CheckPoint 连接配置加密流量 -
要配置 IKE 和 IPsec 建议,请在 VPN 社区上单击 加密。 然后,选择加密方法,适合和完美的正向保密。 这些值必须与基于 IBM 路由的 VPN 配置相匹配。
图 6: CheckPoint 连接配置 IKE 和 IPsec 建议 -
要配置隧道管理,请在 VPN 社区上单击 隧道管理。 然后,选择 在社区中的所有隧道上 和 每个网关对一个 VPN 隧道。
图 7: CheckPoint 连接配置隧道管理 -
要配置预共享密钥,请在 VPN 社区上单击 共享密钥。 设置与基于 IBM VPN 路由的网关相同的预先共享密钥。
图 8: CheckPoint 连接配置预共享密钥 -
要启用定向匹配,请选择 菜单> 全局属性> VPN> 高级,然后单击 在 VPN 列中启用 VPN 定向匹配。
图 9: CheckPoint 连接启用方向匹配 -
要添加定向匹配 VPN 规则,请选择 SmartConsole > 安全策略> 访问控制> 策略,然后添加新的 VPN 规则。 定向规则必须包含以下定向匹配条件:
- 您的 VPN 社区> 您的 VPN 社区
- 您的 VPN 社区> Internal_Clear
- Internal_Clear> 您的 VPN 社区
图 10: CheckPoint 连接添加方向匹配 VPN 规则 -
要安装策略,请选择 SmartConsole > 安全策略,然后单击 安装策略。
图 11: CheckPoint 连接安装策略 -
要添加虚拟隧道接口 (VTI),请选择 Gaia Portal> 网络管理> 网络接口,然后单击 添加> VPN 隧道。
图 12: CheckPoint 连接添加 VPN 隧道 -
要添加静态路由,请选择 Gaia Portal> 网络管理> IPv4 静态路由,然后单击 添加。 目标 CIDR 是 IBM VPC 子网。
图 13: CheckPoint 连接添加静态路由 -
要刷新网络拓扑,请执行以下步骤:
- 选择 SmartConsole > 网关和服务,然后单击 Security Gateway 的名称以打开 Security Gateway 配置页面。
- 选择 网络管理,然后单击 获取接口> 获取与拓扑的接口。
图 14: CheckPoint 连接刷新网络拓扑
为 Check Point Security Gateway 创建定制 IKE 策略
缺省情况下,Check Point Security Gateway 使用 IKEv1; 因此,您必须创建定制 IKE 策略以替换 VPC 中 VPN 的缺省策略。 在以下策略示例中,必须使用匹配的 IKE 和 IPsec 策略。
要在 VPN for VPC中使用定制 IKE 策略:
- 在 IBM Cloud 控制台中的 VPN for VPC 页面上,选择 IKE 策略 选项卡。
- 单击 新建 IKE 策略 并指定以下值:
- 对于 IKE 版本 字段,选择 1。
- 对于 认证 字段,选择 sha256。
- 对于 加密 字段,选择 aes256。
- 对于 DH 组 字段,选择 19。
- 对于 密钥生存期 字段,指定 86400。
- 在 VPC 中创建 VPN 连接时,请选择此定制 IKE 策略。
为 Check Point Security Gateway 创建定制 IPsec 策略
要在 VPN for VPC中使用定制 IPsec 策略:
- 在 IBM Cloud 控制台中的 VPN for VPC 页面上,选择 IPsec 策略 选项卡。
- 单击 新建 IPsec 策略 并指定以下值:
- 对于 认证 字段,选择 sha256。
- 对于 加密 字段,选择 aes256。
- 对于 密钥生存期 字段,指定 3600。
- 在 VPC 中创建 VPN 连接时,请选择此定制 IPsec 策略。
确保 NAT-T 始终处于开启
确保在本地 VPN 设备上启用 NAT-T 功能。 以下列表显示了缺省行为:
- 当检测到 NAT 设备时,将启用 NAT-T。
- offer_nat_t_initator 设置为
false
(发起方发送 NAT-T 流量)。 - offer_nat_t_responder_for_known_gw 设置为
true
(响应程序接受来自已知网关的 NAT-T 流量)。 - force_nat_t 设置为
false
(强制 NAT-T,即使没有 NAT-T 设备)。
建议将这些缺省设置更改为以下内容:
- 启用 NAT-T。
- 将 offer_nat_t_initator 设置为
true
。 - 如果您知道环境中没有 NAT 设备,请将 force_nat_t 设置为
true
。
您可以使用 GuiDBedit 工具来查看和更改这些变量。 请参阅特定版本的 Check Point 文档以确认这些步骤。
- 在左上方窗格中,单击 TABLE> Network Objects> network_objects。
- 在右上方窗格中,选择适用的 Security Gateway 对象。
- 在下窗格中,请参阅 VPN 部分。
- 要保存更改,请单击 文件> 全部保存。
- 在 SmartConsole中,在此 Security Gateway 对象上安装访问控制策略。
有关更多信息,请参阅 NAT-T 与检查点设备的兼容性。