H:\精品资料\建筑精品网原稿ok（删除公文）\建筑精品网5未上传百度密级:文档编号:项目代号:中国移动IBMVPN安全配置手册Version1.0中国移动通信有限公司二零零四年十二月拟制:审核:批准:会签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创立、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取目录TOC\o"1-3"\h\zHYPERLINK\l"_Toc88225988"1IBMVPN概述PAGEREF_Toc88225988\h5HYPERLINK\l"_Toc88225989"1.1简介PAGEREF_Toc88225989\h5HYPERLINK\l"_Toc88225990"1.2分类及其工作原理PAGEREF_Toc88225990\h5HYPERLINK\l"_Toc88225991"1.3功能与定位PAGEREF_Toc88225991\h6HYPERLINK\l"_Toc88225992"1.4特点与局限性PAGEREF_Toc88225992\h7HYPERLINK\l"_Toc88225993"2IBMVPN部署原则及适用环境PAGEREF_Toc88225993\h8HYPERLINK\l"_Toc88225994"2.1适用环境PAGEREF_Toc88225994\h8HYPERLINK\l"_Toc88225995"2.2安全部署原则PAGEREF_Toc88225995\h8HYPERLINK\l"_Toc88225996"3IBMVPN的安全管理与配置PAGEREF_Toc88225996\h10HYPERLINK\l"_Toc88225997"3.1服务器安全策略PAGEREF_Toc88225997\h10HYPERLINK\l"_Toc88225998"3.2日志审计及监控PAGEREF_Toc88225998\h10HYPERLINK\l"_Toc88225999"3.3密码策略管理PAGEREF_Toc88225999\h13HYPERLINK\l"_Toc88226000"3.4过滤器管理与配置PAGEREF_Toc88226000\h15HYPERLINK\l"_Toc88226001"3.4.1建立过滤器PAGEREF_Toc88226001\h15HYPERLINK\l"_Toc88226002"3.4.2设置mni使用过滤器PAGEREF_Toc88226002\h22HYPERLINK\l"_Toc88226003"3.5认证方式和隧道协议PAGEREF_Toc88226003\h23IBMVPN概述简介支持多平台环境的IBMWebSphereEveryplaceConnectionManager(WECM)无线网关是一个分布式、可扩展的、高可靠性、多用途的UNIX通讯平台。它能够经过无线网络、局域网(LAN)或广域网(WAN)为IP、短消息(SMS)和无线应用协议(WAP)的客户端提供优化、安全的数据访问功能。分类及其工作原理WECM方案是一个客户端/服务器的架构,WECM的客户端软件wirelessclient需要安装在无线终端设备,如笔记本电脑或PDA上。Wirelessclient软件当前支持Win98/Me//XP/NT、WinCE、PocketPC和PalmOS等操作系统。WECM的服务器软件wirelessgateway可运行在IBMRS/6000的AIX平台上。用户鉴权信息保存在同一台RS/6000的LDAP(LightwayDirectoryAccessProtocol)数据库上。无线终端设备连接到GPRS后,启动wirelessclient客户端软件,经过UDP8889端口,穿过GMCC防火墙,连接GMCC机房的WECMwirelessgateway,wirelessgateway向LDAP请求用户鉴权,成功后,wirelessclient和wirelessgateway建立一条VPN通道。所有终端设备上的应用都能够经这条VPN通道访问企业现有的系统。在wirelessclient和wirelessgateway建立VPN通道时,wi