將 IBM 原則型 VPN 連接至 Check Point Security Gateway 對等節點

以下是如何將 IBM 原則 vased VPN 連接至 Check Point Security Gateway 對等節點的範例:

1. 若要配置內部管理的安全閘道，請遵循下列步驟:

   • 移至 SmartConsole > 閘道與服務，然後按一下安全閘道的名稱，以開啟「安全閘道」配置頁面。
   • 移至 網路管理 頁面，以定義拓蹼。
   • 移至 網路管理> VPN 網域 頁面，以定義 VPN 網域。

2. 若要在「檢查點 SmartConsole」上建立可交互作業的裝置，請遵循下列步驟:

   • 移至「物件瀏覽器」，然後按一下 新建> 其他> 網路物件> 其他> 可交互作業的裝置，以開啟新的可交互作業裝置頁面。
   • 移至「一般內容」頁面，並輸入 IBM VPN 閘道名稱及公用 IP 位址。
   • 移至 拓蹼 頁面，並新增 IBM VPN 閘道公用 IP 位址及 IBM VPC 子網路。 使用網路遮罩 255.255.255.255 將 IBM VPN 公用 IP 位址新增為外部網路。 新增 IBM VPC 子網路作為內部網路。

3. 若要新增 VPN 社群，請遵循下列步驟。

   這些指示基於 Star Community 類型，但 Meshed Community 類型也是一個選項。

   • 移至 SmartConsole > 安全原則> 存取工具> VPN 社群，按一下 Star Community 以開啟新的 VPN 社群頁面。
   • 輸入新的社群名稱。
   • 移至「閘道> 中心閘道」頁面，按一下 + 圖示，然後新增「檢查點安全閘道」。
   • 移至 閘道> Satellite 閘道 頁面，按一下 + 圖示，然後新增 IBM VPN 閘道。
   • 移至 加密 頁面，並使用預設 Encryption Method 和 Encryption Suite。
   • 移至「通道管理」頁面，然後選取 One VPN tunnel per subnet pair。
   • 移至 共用密碼 頁面，並設定預先共用金鑰。
   • 按一下 確定，並發佈變更。

4. 若要在「安全原則」頁面中新增相關存取規則，請遵循下列步驟:

   • 在 VPN 直欄中新增社群，在服務及應用程式直欄中新增服務，想要的動作，以及適當的追蹤選項。
   • 安裝存取控制原則。

將 IBM 路由型 VPN 連接至 Check Point Security Gateway 對等節點

這些範例步驟在 CheckPoint 管理手冊 中參照

若要將 IBM 路由型 VPN 連接至 Check Point Security Gateway 對等節點，請遵循下列步驟:

1. 若要啟用 IPsec VPN，請選取 SmartConsole > 閘道及服務，然後按一下安全閘道的名稱以開啟「安全閘道」配置頁面。 在「一般內容」標籤式視圖中，按一下 IPsec VPN。

   

2. 若要啟用路由型 VPN，請遵循下列步驟:

   • 選取 SmartConsole > 閘道及服務，然後按一下安全閘道的名稱，以開啟「安全閘道」配置頁面。
   • 按一下 網路管理> VPN 網域。
   • 選取 使用者定義。
   • 按一下 [...] 按鈕。
   • 按一下 新建> 群組> 簡式群組，然後輸入名稱。
   • 按一下 確定 (將「群組」物件保留空白)。

   

3. 若要新增 IBM VPN 閘道作為可交互作業的裝置，請跳至「物件瀏覽器」。 然後，按一下 新建> 其他> 網路物件> 其他> 可交互作業的裝置，以開啟新的可交互作業裝置頁面。 在 IPv4 位址欄位中輸入 IBM 路由型 VPN 閘道的小型公用 IP 位址。

   如需小型公用 IP 的相關資訊，請參閱此 重要注意事項。

   

4. 若要建立 VPN 社群，請選取 SmartConsole > 安全原則> 存取工具> VPN 社群。 然後，按一下 星狀社群，以開啟新的 VPN 社群頁面。 新增 CheckPoint 閘道及 IBM 路由型 VPN 閘道。

   

5. 若要配置加密資料流量，請按一下 VPN 社群上的 加密資料流量，然後選取 接受所有加密資料流量。

   

6. 若要配置 IKE 及 IPsec 提案，請在 VPN 社群上按一下 加密。 然後，選取加密方法、適合及完全轉遞保密。 這些值必須符合 IBM 路由型 VPN 配置。

   

7. 若要配置通道管理，請在 VPN 社群上按一下 通道管理。 然後，選取 在社群中的所有通道上 及 每個閘道配對一個 VPN 通道。

   

8. 若要配置預先共用金鑰，請在 VPN 社群上按一下 共用密碼。 設定與 IBM VPN 路由型閘道相同的預先共用金鑰。

   

9. 若要啟用方向性相符，請選取 功能表> 廣域內容> VPN> 進階，然後按一下 在 VPN 直欄中啟用 VPN 方向比對。

   

10. 若要新增有方向性的相符 VPN 規則，請選取 SmartConsole > 安全原則> 存取控制> 原則，然後新增 VPN 規則。 方向規則必須包含下列方向相符條件:

    • 您的 VPN 社群> 您的 VPN 社群
    • 您的 VPN 社群> Internal_Clear
    • 內部 _ 清除> 您的 VPN 社群

    

11. 若要安裝原則，請選取 SmartConsole > 安全原則，然後按一下 安裝原則。

    

12. 若要新增「虛擬通道介面 (VTI)」，請選取 Gaia 入口網站> 網路管理> 網路介面，然後按一下 新增> VPN 通道。

    

13. 若要新增靜態路徑，請選取 Gaia 入口網站> 網路管理> IPv4 靜態路徑，然後按一下 新增。 目的地 CIDR 是 IBM VPC 子網路。

    

14. 若要重新整理網路拓蹼，請遵循下列步驟:

    • 選取 SmartConsole > 閘道及服務，然後按一下安全閘道的名稱，以開啟「安全閘道」配置頁面。
    • 選取 網路管理，然後按一下 取得介面> 取得具有拓蹼的介面。

    

建立檢查點安全閘道的自訂 IKE 原則

依預設，「檢查點安全閘道」會使用 IKEv1;，因此您必須建立自訂 IKE 原則，以取代 VPC 中 VPN 的預設原則。 在下列原則範例中，您必須使用相符的 IKE 及 IPsec 原則。

若要在 VPN for VPC中使用自訂 IKE 原則:

1. 在 IBM Cloud 主控台的 VPN for VPC 頁面上，選取 IKE 原則 標籤。
2. 按一下 新建 IKE 原則，並指定下列值:
   • 針對 IKE 版本 欄位，選取 1。
   • 針對 鑑別 欄位，選取 sha256。
   • 對於 加密 欄位，選取 aes256。
   • 針對 DH 群組 欄位，選取 19。
   • 在 金鑰生命期限 欄位中，指定 86400。
3. 在 VPC 中建立 VPN 連線時，請選取此自訂 IKE 原則。

建立檢查點安全閘道的自訂 IPsec 原則

若要在 VPN for VPC中使用自訂 IPsec 原則:

1. 在 IBM Cloud 主控台的 VPN for VPC 頁面上，選取 IPsec 原則 標籤。
2. 按一下 新建 IPsec 原則，並指定下列值:
   • 針對 鑑別 欄位，選取 sha256。
   • 對於 加密 欄位，選取 aes256。
   • 在 金鑰生命期限 欄位中，指定 3600。
3. 在 VPC 中建立 VPN 連線時，請選取此自訂 IPsec 原則。

確保 NAT-T 一律開啟

請確定已在內部部署 VPN 裝置上啟用 NAT-T 特性。 下列清單顯示預設行為:

• 當偵測到 NAT 裝置時，即會啟用 NAT-T。
• offer_nat_t_inator 設為 false (起始器傳送 NAT-T 資料流量)。
• offer_nat_t_responder_for_known_gw 設為 true (回應者接受來自已知閘道的 NAT-T 資料流量)。
• force_nat_t 設為 false (強制 NAT-T，即使沒有 NAT-T 裝置)。

建議將這些預設值變更為下列:

• 啟用 NAT-T。
• 將 offer_nat_t_inaport 設為 true。
• 如果您知道環境中沒有 NAT 裝置，請將 force_nat_t 設為 true。

您可以使用 GuiDBedit 工具來檢視及變更這些變數。 請參閱特定版本的 Check Point 文件，以確認這些步驟。

1. 在左上窗格中，按一下 TABLE> 網路物件> network_objects。
2. 在右上方窗格中，選取適用的 Security Gateway 物件。
3. 在下方窗格中，請參閱 VPN 區段。
4. 若要儲存變更，請按一下 檔案> 全部儲存。
5. 在 SmartConsole中，在此 Security Gateway 物件上安裝「存取控制原則」。

如需相關資訊，請參閱 NAT-T 與檢查點裝置的相容性。