华为防火墙IPSEC简单搭建

已于 2023-10-10 14:42:41 修改
阅读量3.7k 收藏 23
点赞数 1
分类专栏: 华为路由交换防火墙 文章标签: 华为 网络
于 2022-09-05 18:54:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41701694/article/details/126710709
版权

在这里插入图片描述
思路:防火墙FW1和FW2设置静态路由丢给AR1,公网部分就可以互通了。
剩下设置vlan和IPSEC

设置静态路由
FW1:ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
FW2:ip route-static 0.0.0.0 0.0.0.0 1.1.2.1

设置vlan
FW1:
interface GigabitEthernet1/0/1.10
 vlan-type dot1q 10
 ip address 192.168.10.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1.20
 vlan-type dot1q 20
 ip address 192.168.20.254 255.255.255.0
 service-manage ping permit
 
 LSW1:
 interface Ethernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 20

设置IPSEC主要有四个设置:IKE PROPOSAL  、IKE-PEER 、IPSEC PROPOSAL、 ACL感兴趣流

1-ike proposal +数字(1-31位),主要设置ike的封装算法与对端交互

在这里插入图片描述

ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

这里没有要求的话就默认,后面ipsec proposal 一样默认就行

2-设置ike peer,主要设置协商用的密码,应用ike-proposal 和设置对端IP
[FW2]ike peer ike
[FW2-ike-peer-ike]dis th
2022-09-05 11:07:06.070 
#
ike peer ike
 pre-shared-key 12345678
 ike-proposal 1
 remote-address 1.1.1.100

3-设置ipsec proposal
[FW2-ike-peer-ike]q
[FW2]ipsec 
[FW2]ipsec pr 
[FW2]ipsec proposal ipsec
[FW2-ipsec-proposal-ipsec]dis th
2022-09-05 11:11:01.370 
#
ipsec proposal ipsec
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#
4-设置ACL感兴趣流
FW2:
acl number 3000
 rule 5 permit ip source 10.126.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.25
5
 rule 10 permit ip source 10.126.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2
55

FW1:
acl number 3000
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 10.126.10.0 0.0.0.25
5
 rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 10.126.10.0 0.0.0.2
55


5-设置ipsec policy

[FW2]ipsec po 
[FW2]ipsec policy FW1 1 is 
[FW2]ipsec policy FW1 1 isakmp 
Info: The ISAKMP policy sequence number should be smaller than the template poli
cy sequence number in the policy group. Otherwise, the ISAKMP policy does not ta
ke effect.
[FW2-ipsec-policy-isakmp-FW1-1]dis th
2022-09-05 11:13:14.450 
#
 命令解释:ipsec policy +策略名+标识+手动/自动
 ipsec policy FW1 1 isakmp
 security acl 3000
 ike-peer ike
 proposal ipsec

6-将ipsec polic 应用到接口上,
FW2:
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 1.1.1.100 255.255.255.0
 service-manage ping permit
 ipsec policy FW1

对端同样这是即可

剩下的就是安全策略的匹配
ip service-set isakmp type object 16
 service 0 protocol udp source-port 500 destination-port 500
 这里是将isakmp协议新建了,这里抓包可以看到源目端口号都是500需要放通

在这里插入图片描述

名字basic开头是控制基础零流量进出,ipsec开头是控制ipsec的安全联盟流量建立。

FW1:
security-policy
 rule name basic
  source-zone trust
  source-address 192.168.10.0 24
  source-address 192.168.20.0 24
  destination-address 10.126.10.0 24
  destination-zone untrust
  action permit
 rule name basic_in
  source-zone untrust
  source-address 10.126.10.0 24
  destination-address 192.168.10.0 24
  destination-address 192.168.20.0 24
  destination-zone trust
  action permit
 rule name ipsec_out
  source-zone local
  destination-zone untrust
  source-address 1.1.1.0 mask 255.255.255.0
  destination-address 1.1.2.0 mask 255.255.255.0
  service esp
  service icmp
  service isakmp
  action permit
 rule name ipsec_in
  source-zone untrust
  destination-zone local
  source-address 1.1.2.0 mask 255.255.255.0
  destination-address 1.1.1.0 mask 255.255.255.0
  service esp
  service isakmp
  action permit

FW2:
security-policy
 rule name basic
 source-address 10.126.10.0 24
destination-address 192.168.10.0 24
destination-address 192.168.20.0 24
  source-zone trust
  destination-zone untrust
  action permit
 rule name basic_in
  source-zone untrust
  source-address 10.126.10.0 24
destination-address 192.168.10.0 24
destination-address 192.168.20.0 24
  destination-zone trust
  action permit
 rule name ipsec_in
  source-zone untrust
  destination-zone local
  source-address 1.1.1.0 mask 255.255.255.0
  destination-address 1.1.2.0 mask 255.255.255.0
  service esp
  service protocol udp source-port 500 destination-port 500
  action permit
 rule name ipsec_out
  source-zone local
  destination-zone untrust
  source-address 1.1.2.0 mask 255.255.255.0
  destination-address 1.1.1.0 mask 255.255.255.0
  service esp
  service icmp
  service protocol udp source-port 500 destination-port 500
  action permit

在这里插入图片描述在这里插入图片描述

IKEv2初始交换对应IKEv1的第一阶段,初始交换包含两次交换四条消息,如图所示。 消息属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。IKE_SA_INIT交换后生成一个共享密钥材料,通过这个共享密钥材料可以衍生出IPSec SA的所有密钥。 消息③和④属于第二次交换(称为IKE_AUTH交换),以加密方式完成身份认证、对前两条信息的认证和IPSec SA的参数协商。 创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。如果启用PFS,创建子SA交换需要额外进行一次DH交换,生成新的密钥材料。
 	生成密钥材料后,子SA的所有密钥都从这个密钥材料衍生出来。该交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。

在这里插入图片描述
在这里插入图片描述

注意:后面需要让内网访问外网设置了nat需要设置旁路否则会导致无法连接
rule move 将策略nat往上移动
FW1:
nat-policy
 rule name nat
  source-zone trust
  destination-zone untrust
  source-address 192.168.10.0 mask 255.255.255.0
  source-address 192.168.20.0 mask 255.255.255.0
  destination-address 10.126.10.0 mask 255.255.255.0
  action no-nat
 rule name internet
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip

FW2:
nat-policy
 rule name nat
  source-zone trust
  destination-zone untrust
  source-address 10.126.10.0 mask 255.255.255.0
  destination-address 192.168.10.0 mask 255.255.255.0
  destination-address 192.168.20.0 mask 255.255.255.0
  action no-nat
 rule name internet
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip
那么大一只
关注
  • 1
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为防火墙IPSec站点到站点实验配置
05-17
该实验使用华为防火墙USG6000v,在两个局域网的出口网关之间建立IPSec隧道,实现局域网之间通过IPSec隧道互访。
ENSP:防火墙IPSEC XXX
weixin_45921302的博客
11-19 2108
利用防火墙IPSECVPN实现总分部加密通信。值得一瞄。
华为防火墙ipsec vpn实例配置
最新发布
u012926781的博客
05-23 478
c、ike peer ,绑定ike proposal,指定ike交互模式与对端用于接收IPSEC报文地址,指定共享秘钥,还可以设定dpd消息(类似Keepalive报文)。3、当NAT和IPSEC同时配置在一台设备上,会先执行NAT再执行IPSEC,所以需要在NAT的ACL中deny掉IPSEC的感兴趣数据流。e、创建ipsec policy,绑定ipsec proposal、Ike peer、ACL感兴趣流、配置本地站点地址。1、双方站点使用的加密协议与算法要保持一致,否则协商不通过。
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
baimao__Ch的博客
04-19 1258
![image-20230314005459809](https://img- blog.csdnimg.cn/img_convert/ba1cb8bf075d5bd5a1bb67fbf06c7da6.png) 上网需求 服务器发布需求 VPN需求 攻击模拟 实验步骤 1、防火墙web页面管理配置![image-20230314010724217](https://img- blog.csdnimg.cn/img_convert/1110f333e2dbe068793fa2706fc
华为防火墙ipsec vp*实例配置
热门推荐
weixin_45457085的博客
03-22 1万+
拓扑介绍 FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口 通过在inter上搭建IPSec实现双方内网互通 配置思路 1、预配底层,VLAN10与VLAN20网关起在FW1与FW2上;FW1、AR2、FW3模拟Inter公网环境实现FW1与FW3出接口互通,此处配置省略。 2、IPSEC配置 a、ipsec proposal(ipsec安全提案),指定封装模式,使用的数据加密协议,协议的认证算法与加密算法。 b、ike proposal(ike提案),如果是通过IKE自动协商..
华为防火墙IPSec详解与配置实验
m0_68208233的博客
11-04 9699
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有限低于网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。
华为防火墙ipsec vpn nat穿越2种场景配置案例_nat映射ipsec
2401_84254133的博客
04-11 1167
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
【强强对接】H3C篇 H3C防火墙华为防火墙对接案例汇总集.rar
09-15
【强强对接】H3C篇 H3C网关以模板方式与NGFW建立IPSec隧道 【强强对接】H3C篇 NGFW与H3C网关在NAT穿越场景下建立IPSec隧道 【强强对接】H3C篇 NGFW与H3C网关建立GRE overIPSec隧道 【强强对接】H3C篇 NGFW以策略...
华为防火墙实战指南-14730681.pdf
12-03
华为防火墙实战指南-14730681.pdf
华为防火墙实现单点登录方式.docx
01-04
华为防火墙实现单点登录方式 单点登录是一种技术,以避免用户在多个地方进行多次认证。用户的身份信息通常记录在专门的服务器中,如微软的Active Directory、华为的Agile Controller、Radius、HWTACACS等。然后,...
华为防火墙ipsec vpn nat穿越2种场景配置案例
IT技术
11-09 2433
华为防火墙ipsec vpn nat穿越2种场景配置案例
华为防火墙IPSec
zzixwx的博客
10-11 1244
防火墙ipsec vpn
华为防火墙IPsec点对点配置解析
qq_47529104的博客
04-06 5968
一、完成基本互联 主机直连的接口为trust区域,防火墙之间互联的接口为untrust区域 二、左边的防火墙IPsec的配置 (1) Ike Proposal 的创建 ike proposal xx //首先创建ike proposal xx 这一步的作用就是创建协商ike SA的时候使用的相关安全套件,默认防火墙就会设置了一些默认的安全套件的组合。这一步设置的内容就是用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。如下所示: enc..
安全设备-华为防火墙NAT环境配置IPSec
qq_43381463的博客
11-03 3380
华为防火墙NAT环境下配置IPSec——NAT穿透
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行和web配置
IT技术
11-28 3545
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行和web配置
华为网络配置(IPSec
1风天云月的博客
12-17 7230
目录 前言 一、IPSec概述 1、IPSec介绍 2、IPSec的安全性 3、安全联盟 4、安全协议 5、封装模式 6、传输模式和隧道模式比较 7、加密和验证 8、密钥交换 9、IKE协议 10、IKE安全机制 11、IKE版本 二、IPSec配置 1、案例 2、配置过程 (1)AR1 (2)AR2 (3)AR3 (4)在总公司上搭建简单web服务 3、测试 (1)分公司访问总公司 (2)总公司访问分公司 (3)访问总公司web服务 结语
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙与华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙和华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙和华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值