IPSEC配置指的是IPSec在IP层通过加密与数据来源认证等方式,来保证数据包在网络上传输时的私有性、真实性、数据完整性和抗重放。今天河姆渡小编向大家介绍有关防火墙配置中“基于路由动态IPSEC”的内容
一、网络拓扑
二、需求描述
防火墙FW-A具有合法的静态IP地址,防火墙FW-B外网为PPPOE动态获取IP地址 其中防火墙FW-A的内部保护子网为192.168.10.0/24,防火墙FW-B的内部保护子网为192.168.100.0/24。要求在FW-A与FW-B之间创建IPSec VPN,使两端的保护子网能通过VPN隧道互相访问。
三、配置步骤
首先看下FW-A防火墙的配置
第一步:创建IKE第一阶段提议
点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数,两台防火墙的IKE第一阶段协商内容需要一致。
第二步:创建IKE第二阶段提议
点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容,两台防火墙的第二 阶段协商内容需要一致。
第三步:创建对等体(peer)
在网络/IPSECVPN处,在VPN对端列表中新建对端,并定义相关参数。
第四步:创建隧道
点击网络/IPSECVPN处,IPSECVPN中创建到防火墙FW-B的VPN隧道,并定义相关参数。首先要导入创建好的对端。
第五步:创建隧道接口并与ipsec绑定
在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。
第六步:添加隧道路由
在网络/路由/目的路由中新建一条路由,目的地址是对端加密保护子网,网关为创建的tunnel口。
第七步:添加安全策略
在创建安全策略前首先要创建本地网段和对端网段的地址簿,如下图:
在安全/策略中新建策略,允许本地VPN保护子网访问对端VPN保护子网。
允许对端VPN保护子网访问本地VPN保护子网。
关于FW-B防火墙的配置步骤与FW-A相似,以下是配置步骤:
第一步,创建IKE第一阶段提议
第二步,创建IKE第二阶段提议
第三步,创建VPN对端
第四步,创建IPSEC隧道
第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口
第六步,添加隧道路由
第七步,添加安全策略
1、创建IKE第一阶段提议
点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数,两台防火墙的IKE第一阶段协商内容需要一致。
2、创建IKE第二阶段提议
点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容,两台防火墙的第二 阶段协商内容需要一致。
3、创建对等体(peer)
在网络/IPSECVPN处,在VPN对端列表中新建对端,并定义相关参数。
4、创建隧道
点击网络/IPSECVPN处,IPSECVPN中创建到防火墙FW-B的VPN隧道,并定义相关参数。首先要导入创建好的对端。
5、创建隧道接口并与ipsec绑定
在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。
6、添加隧道路由
在网络/路由/目的路由中新建一条路由,目的地址是对端加密保护子网,网关为创建的tunnel口。
7、添加安全策略
在创建安全策略前首先要创建本地网段和对端网段的地址簿,如下图:
在安全/策略中新建策略,允许本地VPN保护子网访问对端VPN保护子网。
允许对端VPN保护子网访问本地VPN保护子网。
8、验证测试
查看防火墙FW-A上的IPSecVPN状态:
查看防火墙FW-B上的IPSecVPN状态:
注意事项:
1、需要ipsec隧道建立的条件必须要动态获取地址端触发。
2、tunnel接口地址设置,如果未设置,从一端局域网无法ping通另外一端防火墙内网口地 址;另外如果设置了tunnel地址,可以通过在防火墙A上ping防火墙B 的tunnel地址 来实现触发。
3、在IPSECVPN隧道中关于代理ID的概念,这个代理ID是指本地加密子网和对端加密 子网。如果两端都为神州数码多核防火墙该ID可以设置为自动;如果只是其中一端为多核墙,那必须要设置成手工。
4、如果防火墙一端为动态获取IP地址,设置VPN对端中使用野蛮模式。