Ortama Genel Bakış
Check Point kılavuzun oluşturulmasında kullanılan ekipman aşağıdaki gibidir:
- Satıcı: Kontrol Noktası
- Model: Kontrol Noktası vSec
- Yazılım Sürümü: R80.10
Check Point Topoloji
Bu kılavuz tarafından özetlenen topoloji, başvurulan cihazı kullanan temel bir siteden siteye IPsec VPN tüneli yapılandırmasıdır:
Başlamadan Önce Ön koşullar
Cloud VPN ile bir Check Point güvenlik ağ geçidi kullanmak için aşağıdaki ön koşulların karşılandığından emin olun:
- Check Point Security Gateway çevrimiçi ve herhangi bir arıza tespit edilmeden çalışıyor.
- Check Point güvenlik ağ geçidine kök erişimi var.
- En az bir yapılandırılmış ve doğrulanmış işlevsel dahili arayüz vardır.
- Bir yapılandırılmış ve doğrulanmış işlevsel harici arayüz vardır.
IPsec parametreleri
Bu kılavuzun amacı doğrultusunda Ağ Geçidinin IPSec yapılandırmasında aşağıdaki parametreler ve değerler kullanılmıştır. Cloud VPN , güvenlik ilkelerinize göre kullanılabilecek kapsamlı bir şifre listesini destekler.
Bunlar, bu kılavuzda kullanılan IKE aşama 1 ve aşama 2 için Şifre yapılandırma ayarlarıdır.
İlke tabanlı IPsec VPN’i yapılandırma
Aşağıda, politika tabanlı VPN kurulumunda size yol gösterecek örnek bir ortam verilmiştir. Örnek ortamdaki IP adreslerini kendi IP adreslerinizle değiştirdiğinizden emin olun.
Bulut VPN’i
Kontrol Noktası
Yapılandırma – Google Bulut
Cloud VPN’i Yapılandırma
Cloud VPN’i yapılandırmak için: 1. Bulut Konsolunda, Ağ Oluşturma > VPN bağlantısı oluştur öğesini seçin .
- VPN BAĞLANTISI OLUŞTUR’u tıklayın .
- Ağ geçidi ve tünel için alanları aşağıdaki tabloda gösterildiği gibi doldurun ve Oluştur’a tıklayın :
Statik bir rota yapılandırma
- Cloud Console’da Rotalar > Rota Oluştur’a gidin .
- Aşağıdaki tabloda gösterildiği gibi parametreleri girin ve Oluştur’a tıklayın .
Güvenlik politikanıza göre gelen ağ trafiğine izin vermek için giriş güvenlik duvarı kuralları ekleyin.
Yapılandırma – Kontrol Noktası güvenlik ağ geçidi
Check Point SmartConsole’da Cloud VPN için Birlikte Çalışabilir bir Cihaz oluşturmak için:
Adım 1 . SmartConsole > Yeni > Daha Fazla > Ağ Nesnesi > Daha Fazla > Birlikte Çalışabilir Cihaz’ı açın .
Adım 2 . Cloud VPN eşiyle (harici IP) ilişkili IP adresini yapılandırın.
Adım 3 . Git Genel Özellikleri > Topoloji ve elle Google bulut IP adreslerini ekleyin.
Adım 4 . Bir yıldız topluluğu oluşturun.
- SmartConsole > Güvenlik Politikaları > Erişim Araçları > VPN Toplulukları’nı açın .
- Yıldız Topluluğu’nu tıklayın . Yeni Yıldız Topluluğu penceresi açılır.
- VPN Topluluğu için bir Nesne Adı girin .
- In Merkezi Geçitleri alanı, tıklayın artı topluluğun merkezi için bir kontrol noktası Güvenlik Ağ Geçidi nesnesi eklemek için imzalar.
- In Uydu Geçitleri alanı, tıklayın artı Google Bulut geçidi nesnesi eklemek için imzalar.
Adım 5 . Bu şifreleri IKEv1 için yapılandırın.
Şifreleme’ye gidin ve Aşama 1 ve Aşama 2 özelliklerini, sayfa 3’teki Şifre yapılandırma ayarlarında belirtilenlere göre değiştirin.
Perfect Forward Secrecy (Aşama 2)’yi seçtiğinizden emin olun. Bu örnek, IKEv1’e atıfta bulunur. Bu senaryoda IKEv2’yi de kullanabilirsiniz.
Adım 6 . Git Gelişmiş sekmesi ve Yeniden ciro saati değiştirin.
- 1. Aşama için IKE : 610 dakika
- 2. Aşama için IKE : 10.800 saniye
Adım 7 . Erişim Denetimi Kural Tabanını ve Yükleme ilkesini yapılandırın.
Check Point Rota tabanlı bir IPsec VPN Tünelinin yapılandırılması
Daha fazla bilgi için, R80.10 Siteden Siteye VPN Yönetim Kılavuzu’na bakın .
Aşağıda, rota tabanlı VPN kurulumunda size yol gösterecek örnek bir ortam verilmiştir. Örnek ortamdaki IP adreslerini kendi IP adreslerinizle değiştirdiğinizden emin olun.
Google Bulut
Kontrol Noktası
Check Point Yapılandırma – Google Bulut
Rota tabanlı VPN ile hem statik hem de dinamik yönlendirme kullanılabilir. Bu örnek dinamik yönlendirmeyi kullanacaktır. Cloud Router , 2 eş arasında BGP oturumları oluşturmak için kullanılır.
Bulut yönlendiricisini yapılandırma
Adım 1 : Bulut Konsolunda, Ağ Oluşturma > Bulut Yönlendiricileri > Yönlendirici Oluştur öğesini seçin .
Adım 2 : Aşağıdaki tabloda gösterildiği gibi parametreleri girin ve Oluştur’a tıklayın .
Cloud VPN’i Yapılandırma
Adım 1 : Cloud Console’da Ağ İletişimi > Ara Bağlantı > VPN > VPN BAĞLANTISI OLUŞTUR’u seçin .
Adım 2 : Google Compute Engine VPN ağ geçidi için aşağıdaki tabloda gösterildiği gibi parametreleri girin:
Adım 3 : Tünel için aşağıdaki tabloda gösterildiği gibi parametreleri girin:
Adım 4 : BGP eşlemesi için aşağıdaki tabloda gösterildiği gibi parametreleri girin:
Tamamlamak için Kaydet ve Devam Et’e tıklayın .
Güvenlik politikanıza göre gelen ağ trafiğine izin vermek için giriş güvenlik duvarı kuralları ekleyin.
Yapılandırma – Check Point Security Gateway
Check Point SmartConsole’da Cloud VPN için birlikte çalışabilir bir cihaz oluşturun.
Adım 1 . SmartConsole > Yeni > Daha Fazla > Ağ Nesnesi > Daha Fazla > Birlikte Çalışabilir Cihaz’ı açın .
Adım 2 . Cloud VPN eşiyle (harici IP) ilişkili IP adresini yapılandırın.
Adım 3 . Rota tabanlı VPN’yi öncelik almaya zorlamak için boş (boş) bir grup oluşturun ve bunu VPN etki alanına atayın.
- VPN Etki Alanı bölümünde Topoloji’ye gidin . Elle tanımlı’yı seçin.
- İstenen nesneyi seçmek için sağa tıklayın.
- Yeni > Grup > Basit Grup öğesine tıklayın .
- Bir Enter nesne adı , tıklayın Tamam . Bu gruba herhangi bir nesne ATANMAYIN.
Adım 4 . içinde clish
, bir VPN Tünel Arayüzü (VTI) oluşturun.
Uzak eş adını tam olarak SmartConsole’daki ağ geçidi nesnesinde yazıldığı gibi yazın.
Adım 5 . Topolojiyi düzenleyin.
- Açık SmartConsole > Ağ Geçitleri ve Sunucular .
- Check Point Security Gateway’i seçin ve çift tıklayın.
- Gönderen Genel Özellikleri > Ağ Yönetimi > Al Arayüzler .
- VTI’lar topolojide gösterilir. Not : Topolojiyi Düzenle penceresi, bu kriterler eşleşirse aynı satırda bir VTI üyelerini listeler:
- Uzak eş adı
- Uzak IP adresi
- Arayüz adı
- VTI VIP’yi Topology sekmesinde yapılandırın. Tıklayın Tamam .
- Gönderen VPN Domain seçin Manuel Tanımlı > Empty_Group .
Adım 6 . Bir yıldız topluluğu oluşturun.
- Açık SmartConsole > Güvenlik Politikaları > Erişim Araçları > VPN Topluluklar .
- Yıldız Topluluğu’nu tıklayın .
- VPN Topluluğu için bir Nesne Adı girin .
- In Merkezi Geçitleri alanı, tıklayın artı topluluğun merkezi için bir kontrol noktası Güvenlik Ağ Geçidi nesnesi eklemek için imzalar.
- In Uydu Geçitleri alanı, tıklayın artı Google Bulut geçidi nesnesi eklemek için imzalar.
Adım 7 . Bu şifreleri IKEv2 için yapılandırın.
Şifreleme’ye gidin ve Aşama 1 ve Aşama 2 özelliklerini, sayfa 3’teki Şifre yapılandırma ayarlarında belirtilenlere göre değiştirin. Perfect Forward Secrecy (Aşama 2) seçmelisiniz.
Bu örnek, özellikle IKEv2’ye atıfta bulunur. Bu senaryoda IKEv1’i de kullanabilirsiniz.
Adım 8 . Git Gelişmiş sekmesine . Orada Aşama 1 Aşama 2 için daha gelişmiş ayarları değiştirebilirsiniz.
Adım 9 . BGP Dağıtımı için Kurulum.
Sanal tünel arayüzü ve ilk BGP Kurulumu
Güvenlik Ağ Geçidinize SSH ile bağlanın. Hiçbiri varsayılan kabuğu kullanıyorsanız, clish olarak değiştirin. Çalıştır: clish
{ } ile çevrelenen değişkenleri kendi değerlerinizle değiştirerek aşağıdaki komutları çalıştırın:
Adım 10 . Rota Tabanlı Senaryo için Yön Kurallarını Yapılandırın.
- SmartConsole > Global Properties > VPN > Advanced öğesini açın .
- VPN Sütununda VPN Yönlü Eşleşmeyi Etkinleştir’i seçin .
Bu, Politikaya Dayalı bir senaryo için geçerli değildir.
- VPN trafiğiyle ilgili her güvenlik duvarı kuralı için bu yönlü eşleşme kurallarını VPN sütununa ekleyin:
Adım 11 . İlke yükleyin.