返回首页

网站导航
资讯首页> 网站公告 >产品资讯 > 防火墙设置值基于路由动态的IPSEC配置

    防火墙设置值基于路由动态的IPSEC配置

    产品资讯2019年05月29日
    分享
      IPSEC配置指的是IPSec在IP层通过加密与数据来源认证等方式,来保证数据包在网络上传输时的私有性、真实性、数据完整性和抗重放。今天河姆渡小编向大家介绍有关防火墙配置中“基于路由动态IPSEC”的内容

      一、网络拓扑
    防火墙设置值基于路由动态的IPSEC配置
      二、需求描述

      防火墙FW-A具有合法的静态IP地址,防火墙FW-B外网为PPPOE动态获取IP地址 其中防火墙FW-A的内部保护子网为192.168.10.0/24,防火墙FW-B的内部保护子网为192.168.100.0/24。要求在FW-A与FW-B之间创建IPSec VPN,使两端的保护子网能通过VPN隧道互相访问。
      三、配置步骤

      首先看下FW-A防火墙的配置 

      第一步:创建IKE第一阶段提议
    防火墙设置值基于路由动态的IPSEC配置
      点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数,两台防火墙的IKE第一阶段协商内容需要一致。

      第二步:创建IKE第二阶段提议
    防火墙设置值基于路由动态的IPSEC配置
      点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容,两台防火墙的第二 阶段协商内容需要一致。

      第三步:创建对等体(peer)
    防火墙设置值基于路由动态的IPSEC配置
      在网络/IPSECVPN处,在VPN对端列表中新建对端,并定义相关参数。

      第四步:创建隧道
    防火墙设置值基于路由动态的IPSEC配置
      点击网络/IPSECVPN处,IPSECVPN中创建到防火墙FW-B的VPN隧道,并定义相关参数。首先要导入创建好的对端。

      第五步:创建隧道接口并与ipsec绑定

      在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。

      第六步:添加隧道路由

      在网络/路由/目的路由中新建一条路由,目的地址是对端加密保护子网,网关为创建的tunnel口。

      第七步:添加安全策略 

      在创建安全策略前首先要创建本地网段和对端网段的地址簿,如下图:

      在安全/策略中新建策略,允许本地VPN保护子网访问对端VPN保护子网。

      允许对端VPN保护子网访问本地VPN保护子网。

      关于FW-B防火墙的配置步骤与FW-A相似,以下是配置步骤:

      第一步,创建IKE第一阶段提议

      第二步,创建IKE第二阶段提议

      第三步,创建VPN对端

      第四步,创建IPSEC隧道

      第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口

      第六步,添加隧道路由

      第七步,添加安全策略 

      1、创建IKE第一阶段提议

      点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数,两台防火墙的IKE第一阶段协商内容需要一致。

      2、创建IKE第二阶段提议

      点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容,两台防火墙的第二 阶段协商内容需要一致。

      3、创建对等体(peer)

      在网络/IPSECVPN处,在VPN对端列表中新建对端,并定义相关参数。

      4、创建隧道

      点击网络/IPSECVPN处,IPSECVPN中创建到防火墙FW-B的VPN隧道,并定义相关参数。首先要导入创建好的对端。

      5、创建隧道接口并与ipsec绑定

      在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。

      6、添加隧道路由

      在网络/路由/目的路由中新建一条路由,目的地址是对端加密保护子网,网关为创建的tunnel口。

      7、添加安全策略 

      在创建安全策略前首先要创建本地网段和对端网段的地址簿,如下图:
    防火墙设置值基于路由动态的IPSEC配置
      在安全/策略中新建策略,允许本地VPN保护子网访问对端VPN保护子网。

      允许对端VPN保护子网访问本地VPN保护子网。

      8、验证测试

      查看防火墙FW-A上的IPSecVPN状态:

      查看防火墙FW-B上的IPSecVPN状态:

      注意事项:

      1、需要ipsec隧道建立的条件必须要动态获取地址端触发。

      2、tunnel接口地址设置,如果未设置,从一端局域网无法ping通另外一端防火墙内网口地 址;另外如果设置了tunnel地址,可以通过在防火墙A上ping防火墙B 的tunnel地址 来实现触发。

      3、在IPSECVPN隧道中关于代理ID的概念,这个代理ID是指本地加密子网和对端加密 子网。如果两端都为神州数码多核防火墙该ID可以设置为自动;如果只是其中一端为多核墙,那必须要设置成手工。

      4、如果防火墙一端为动态获取IP地址,设置VPN对端中使用野蛮模式。

    相关阅读