将基于 IBM 策略的 VPN 连接到 Check Point Security Gateway 同级

以下是如何将 IBM 策略v之 VPN 连接到 Check Point Security Gateway 同级的示例:

1. 要配置内部管理的安全网关，请执行以下步骤:

   • 转至 SmartConsole > 网关和服务，然后单击 Security Gateway 的名称以打开 Security Gateway 配置页面。
   • 转至“网络管理”页面以定义拓扑。
   • 转至 网络管理> VPN 域 页面以定义 VPN 域。

2. 要在检查点 SmartConsole上创建可互操作的设备，请执行以下步骤:

   • 转至“对象资源管理器”，然后单击 新建> 更多> 网络对象> 更多> 可互操作设备 以打开新的可互操作设备页面。
   • 转至“常规属性”页面，然后输入 IBM VPN 网关名称和公共 IP 地址。
   • 转至“拓扑”页面，并添加 IBM VPN 网关公共 IP 地址和 IBM VPC 子网。 将 IBM VPN 公共 IP 地址添加为具有网络掩码 255.255.255.255 的外部网络。 将 IBM VPC 子网添加为内部网络。

3. 要添加 VPN 社区，请执行以下步骤。

   这些指示信息基于 Star Community 类型，但 Meshed Community 类型也是一个选项。

   • 转至 SmartConsole > 安全策略> 访问工具> VPN 社区，单击 Star Community 以打开新的 VPN 社区页面。
   • 输入新的社区名称。
   • 转至“网关> 中心网关”页面，单击 + 图标，然后添加检查点安全网关。
   • 转至 网关> Satellite 网关 页面，单击 + 图标，然后添加 IBM VPN 网关。
   • 转至“加密”页面，并使用缺省值 Encryption Method 和 Encryption Suite。
   • 转至“隧道管理”页面，然后选择 One VPN tunnel per subnet pair。
   • 转至“共享密钥”页面并设置预共享密钥。
   • 单击 确定 并发布更改。

4. 要在“安全策略”页面中添加相关访问规则，请执行以下步骤:

   • 在 VPN 列中添加社区，在“服务和应用程序”列中添加服务，需要的操作以及相应的跟踪选项。
   • 安装访问控制策略。

将基于 IBM 路由的 VPN 连接到 Check Point Security Gateway 同级

CheckPoint 管理指南 中引用了这些示例步骤

要将基于 IBM 路由的 VPN 连接到 Check Point Security Gateway 同级，请执行以下步骤:

1. 要启用 IPsec VPN，请选择 SmartConsole > 网关和服务，然后单击 Security Gateway 的名称以打开 Security Gateway 配置页面。 在“常规属性”选项卡式视图中，单击 IPsec VPN。

   

2. 要启用基于路由的 VPN，请执行以下步骤:

   • 选择 SmartConsole > 网关和服务，然后单击 Security Gateway 的名称以打开 Security Gateway 配置页面。
   • 单击 网络管理> VPN 域。
   • 选择 用户定义。
   • 单击 [...] 按钮。
   • 单击 新建> 组> 简单组 并输入名称。
   • 单击 确定 (将 Group 对象保留为空)。

   

3. 要将 IBM VPN 网关添加为可互操作设备，请转至“对象资源管理器”。 然后，单击 新建> 更多> 网络对象> 更多> 可互操作设备 以打开新的可互操作设备页面。 在 IPv4 地址字段中输入基于 IBM 路由的 VPN 网关的小型公共 IP 地址。

   有关小型公共 IP 的更多信息，请参阅此 重要声明。

   

4. 要创建 VPN 社区，请选择 SmartConsole > 安全策略> 访问工具> VPN 社区。 然后，单击 星型社区 以打开新的 VPN 社区页面。 添加 CheckPoint 网关和基于 IBM 路由的 VPN 网关。

   

5. 要配置加密流量，请在 VPN 社区上单击 加密流量，然后选择 接受所有加密流量。

   

6. 要配置 IKE 和 IPsec 建议，请在 VPN 社区上单击 加密。 然后，选择加密方法，适合和完美的正向保密。 这些值必须与基于 IBM 路由的 VPN 配置相匹配。

   

7. 要配置隧道管理，请在 VPN 社区上单击 隧道管理。 然后，选择 在社区中的所有隧道上 和 每个网关对一个 VPN 隧道。

   

8. 要配置预共享密钥，请在 VPN 社区上单击 共享密钥。 设置与基于 IBM VPN 路由的网关相同的预先共享密钥。

   

9. 要启用定向匹配，请选择 菜单> 全局属性> VPN> 高级，然后单击 在 VPN 列中启用 VPN 定向匹配。

   

10. 要添加定向匹配 VPN 规则，请选择 SmartConsole > 安全策略> 访问控制> 策略，然后添加新的 VPN 规则。 定向规则必须包含以下定向匹配条件:

    • 您的 VPN 社区> 您的 VPN 社区
    • 您的 VPN 社区> Internal_Clear
    • Internal_Clear> 您的 VPN 社区

    

11. 要安装策略，请选择 SmartConsole > 安全策略，然后单击 安装策略。

    

12. 要添加虚拟隧道接口 (VTI)，请选择 Gaia Portal> 网络管理> 网络接口，然后单击 添加> VPN 隧道。

    

13. 要添加静态路由，请选择 Gaia Portal> 网络管理> IPv4 静态路由，然后单击 添加。 目标 CIDR 是 IBM VPC 子网。

    

14. 要刷新网络拓扑，请执行以下步骤:

    • 选择 SmartConsole > 网关和服务，然后单击 Security Gateway 的名称以打开 Security Gateway 配置页面。
    • 选择 网络管理，然后单击 获取接口> 获取与拓扑的接口。

    

为 Check Point Security Gateway 创建定制 IKE 策略

缺省情况下，Check Point Security Gateway 使用 IKEv1; 因此，您必须创建定制 IKE 策略以替换 VPC 中 VPN 的缺省策略。 在以下策略示例中，必须使用匹配的 IKE 和 IPsec 策略。

要在 VPN for VPC中使用定制 IKE 策略:

1. 在 IBM Cloud 控制台中的 VPN for VPC 页面上，选择 IKE 策略 选项卡。
2. 单击 新建 IKE 策略 并指定以下值:
   • 对于 IKE 版本 字段，选择 1。
   • 对于 认证 字段，选择 sha256。
   • 对于 加密 字段，选择 aes256。
   • 对于 DH 组 字段，选择 19。
   • 对于 密钥生存期 字段，指定 86400。
3. 在 VPC 中创建 VPN 连接时，请选择此定制 IKE 策略。

为 Check Point Security Gateway 创建定制 IPsec 策略

要在 VPN for VPC中使用定制 IPsec 策略:

1. 在 IBM Cloud 控制台中的 VPN for VPC 页面上，选择 IPsec 策略 选项卡。
2. 单击 新建 IPsec 策略 并指定以下值:
   • 对于 认证 字段，选择 sha256。
   • 对于 加密 字段，选择 aes256。
   • 对于 密钥生存期 字段，指定 3600。
3. 在 VPC 中创建 VPN 连接时，请选择此定制 IPsec 策略。

确保 NAT-T 始终处于开启

确保在本地 VPN 设备上启用 NAT-T 功能。 以下列表显示了缺省行为:

• 当检测到 NAT 设备时，将启用 NAT-T。
• offer_nat_t_initator 设置为 false (发起方发送 NAT-T 流量)。
• offer_nat_t_responder_for_known_gw 设置为 true (响应程序接受来自已知网关的 NAT-T 流量)。
• force_nat_t 设置为 false (强制 NAT-T，即使没有 NAT-T 设备)。

建议将这些缺省设置更改为以下内容:

• 启用 NAT-T。
• 将 offer_nat_t_initator 设置为 true。
• 如果您知道环境中没有 NAT 设备，请将 force_nat_t 设置为 true。

您可以使用 GuiDBedit 工具来查看和更改这些变量。 请参阅特定版本的 Check Point 文档以确认这些步骤。

1. 在左上方窗格中，单击 TABLE> Network Objects> network_objects。
2. 在右上方窗格中，选择适用的 Security Gateway 对象。
3. 在下窗格中，请参阅 VPN 部分。
4. 要保存更改，请单击 文件> 全部保存。
5. 在 SmartConsole中，在此 Security Gateway 对象上安装访问控制策略。

有关更多信息，请参阅 NAT-T 与检查点设备的兼容性。