配置USG12000系列防火墙和华为USG6000E系列防火墙在NAT穿越场景下建立IPSec隧道

于 2025-01-21 09:27:22 发布
阅读量924 收藏 11
点赞数 23
文章标签: 华为 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ducanwang/article/details/145275430
版权

组网需求

图2-66所示,USG6000E系列防火墙为企业总部网关,USG12000系列防火墙为企业分支网关,网络出口部署有NAT设备。现分支需要穿越NAT设备与总部建立IPSec隧道,实现分支和总部业务安全互通。

图2-66 配置USG12000系列防火墙和USG6000E系列防火墙在NAT穿越场景下建立IPSec隧道组网图

数据规划

配置项

USG6000E系列防火墙

USG12000系列防火墙

IPSec安全提议

封装模式

隧道模式

隧道模式

安全协议

ESP

ESP

ESP协议验证算法

SHA2-256

SHA2-256

ESP协议加密算法

AES-256

AES-256

IKE安全提议

认证方法

预共享密钥

预共享密钥

加密算法

AES-256

AES-256

认证算法

SHA2-256

SHA2-256

DH组

Group14

Group14

IKE对等体

IKE版本

V2

V2

预共享密钥

YsHsjx_202206

YsHsjx_202206

身份类型

IP

IP

配置思路

  1. 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

    防火墙还需要配置接口加入安全区域、域间安全策略。

  2. 配置ACL,以定义需要IPSec保护的数据流。
  3. 配置IPSec安全提议,定义IPSec的保护方法。
  4. 配置IKE安全提议,定义IKE协商的参数。
  5. 配置IKE对等体,定义对等体间IKE协商时的属性。
  6. 配置IPSec安全策略,确定对何种数据流采取何种保护方法。
  7. 在接口上应用IPSec安全策略,使接口具有IPSec的保护功能。
最低0.47元/天 解锁文章
企业分支与总部配置GRE over IPSec双链路综合实验(设备:USG6000、AR2240)并配置策略路由实现不同网段通过不同的供应商上网
A soul tortured by desire
12-09 2393
实验背景: 企业总部分支机构之间要可以相互访问内网,现在一般采用在总部分支的出口设备上建立隧道的方式,这种方式需要在公网上传输总部与分支之间的数据流。 IPSec仅支持单播,如果采用IPSec 只能传输单播报文,那么当两地的网络较庞大时,相互的一条一条互指静态路由,是非常麻烦,且容易出错的;若要使用路由,由于路由协议是组播报文,而GRE支持单播、组播、广播,可以完美的解决IPSec不支持组播,从而不能动态的使用动态路由来发现总部与分支之间的内网。 由于GRE隧道不提供安全性保障,传输明文在公网..
华为防火墙初始化配置与高级配置
悦分享
07-18 1667
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。...
华为USG6000E防火墙使用及配置
hX_sunmer的博客
07-25 1万+
本次使用的硬件为:华为USG6000E防火墙
USG6000V通过IKE方式协商IPSec(采用预共享秘钥认证)
友人A的博客
03-09 2693
网络拓扑: 操作步骤 一、配置FW1 1、配置接口IP地址 <USG6000V1>system-view [USG6000V1]sysname FW1 [FW1]interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1]ip address 1.1.1.1 24 [FW1-GigabitEthernet1/0/1]q [FW1]interface GigabitEthernet 1/0/3 [FW1-Gigabi
华为USG6000防火墙基础配置简介
热门推荐
永远是少年
07-25 2万+
今天继续给大家介绍华为USG6000系列防火墙。本文主要介绍华为防火墙的基本配置,主要包括时钟配置、Liscense配置文件管理相关配置 一、防火墙时钟配置 在生产环境使用防火墙时,最好先对防火墙的时钟进行配置,使其与目前的时间相对应。这样做有以下好处: ①便于查看日志 ②便于排错 ③如果防火墙使用了PKI系列的证书,则必须配置好时间。 防火墙时钟配置有两种方式:一种是手工配置,一种是配置与NTP服务器同步。 手工配置相关命令如下所示: clock timezone beijing add 8 clock
华为安全网关 HUAWEI USG6000E 手册.zip
04-14
华为USG6000E安全网关的使用手册,讲解很详细
华为---登录USG6000V防火墙---console、web、telnet、ssh方式登录
lehe99的专栏
12-22 2万+
USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0 //将GigabitEthernet 1/0/0端口添加到信任区域。[USG6000V1-aaa-manager-user-sshuser]service-type ssh web terminal //服务类型为ssh、web、terminal。[USG6000V1-GigabitEthernet0/0/0]service-manage ping permit //启用ping。
USG6000E配置
10-18
NAT视图下,使用以下命令配置USG6000E的NAT: ``` nat address-group 1 192.168.1.2 192.168.1.254 nat policy 1 source zone trust destination zone untrust nat policy 1 action group-id 1 ```***``` ipsec...
深信服 华为路由器 ipsce对接
weixin_44047677的博客
12-22 3113
深信服 华为路由器 ipsce对接前言一、深信服设置1、在深信服,完成设置后得到以下参数: 前言 公司总部是深信服服路由器,有固定ip,项目上没有固定IP。 在其他项目上实现总部互联互通,在分部加一台深信服预算不允许。华为的路由器 网关+ac 无线控制器功能的 AR 系列就很棒, 在网上类似的贴子都太老了,刚尝试实现链接的时候踩了不少坑,这个帖子稍微汇总一下。 一、深信服设置 1、在深信服, 导航菜单 - >VPN配置 -> 第三方对接 -> 第一段对接 在此新增 完成设置后得到
当GRE遇上IPSec后,安全性终于有了保障
最新发布
网络之路Blog(其他平台同名)
09-23 1313
实际配置就是GRE+IPSec配置,ACL与封装模式这里有点区别注意下GRE over IPSec标准情况下,双方之间都是需要公网地址建立的,而且建议使用传输模式注意分片问题,建议把GRE的tunnel隧道MTU减少在1380~1400之间,尽量减少分片如果分支之间不需要互访,又跑动态路由协议,建议使用多个进程进行区分分支少的场景可以直接使用静态路由协议GRE over IPSec 只要tunnel隧道不在NAT范围内,比如案例里面在GRE区域,则不需要做NONAT策略。pwd=y22m。
L2TP_OVER_IPSEC功能
08-18
H3C L2TP_OVER_IPSEC功能
USG6000V防火墙基础配置实验
qq_58187222的博客
03-17 2078
防火墙是一种计算机网络安全系统,可限制进出专用网络或专用网络内的互联网流量。此类软件防火墙或专用的软硬件防火墙的主要功能是选择性地阻止或允许数据包。防火墙通常用于帮助阻止恶意活动并防止专用网络内外的任何人进行未经授权的 Web 活动。防火墙可以被视为门控边界或网关,用于管理被允许被禁止的 Web 活动在专用网络中的传播。该术语源于物理墙的概念,即在紧急救援人员将其扑灭之前用于减缓火势蔓延的屏障。而网络安全领域的防火墙用于 Web 流量管理,通常旨在减缓Web 威胁的传播。
华为防火墙USG6000通过WEB图形界面配置案例
wangyuxiang946的博客
11-19 1万+
华为防火墙USG6000NATNAT Server配置案例 网络拓扑图通过WEB方式登录到防火墙登录成功配置防火墙使内网用户通过PAT方式上网配置防火墙使得外网用户能访问企业DMZ区域的FTP服务器(双向nat)内网用户与FTP-Server配置配置代码...
2024年华为防火墙USG6000通过WEB图形界面配置案例(2),面试阿里的时候一定会问到的
2401_84413092的博客
05-07 543
我可以将最近整理的前端面试题分享出来,其中包含HTML、CSS、JavaScript、服务端与网络、Vue、浏览器、数据结构与算法等等,还在持续整理更新中,希望大家都能找到心仪的工作。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】salocationmode patmode patdescription 外网访问FTP的安全策略nat-policypcp-policyreturn12345678910111213141516。
Linux常用命令01(防火墙、目录、创建目录文件、解压)
weixin_47735032的博客
01-10 925
功能描述: 查看文件的前几行 head -num [文件名]范例:$ head -20 /etc/issue05、Tail -f 动态显示文件的内容例: tail -f test.txt。
等级保护 总结2
qq_25467441的博客
07-24 844
FireHunter 6000华为公司推出的高性能APT威胁检测系统,利用多引擎虚拟检测技术以及传统的安全检测技术,基于行为特征检测,识别网络中传输的恶意文件C&C攻击,有效避免未知威胁攻击的扩散企业核心信息资产损失。AntiDDoS管理等功能,支持安全功能服务化、可视化,协同网络、安全设备大数据智能分析系统形成全面威胁感知、分析响应的整网主动安全防护体系。安全态势感知系统协同网络安全实现威胁自动近源处置,提升威胁处置效率,缩小威胁横向扩散的范围,降低威胁对业务的影响。
1、华为防火墙上网设置步骤
qq_59307353的博客
09-06 919
华为防火墙上网设置步骤
MPLS-VPN-扩展案例
m0_62452465的博客
08-12 1417
MPLS骨干网采用单区域OSPF实现路由互通,所有PEP互联接口均使能MPLS LDP功能。客户X有2个站点,现需要通过MPLS VPN实现站点之间的互联,对应VPNX,互联接口、AS号及IP地址信息如图。客户X站点A与BRAS之间采用OSPF交互路由信息,客户X站点B与BRAS之间采用静态交互路由信息。1.3 MP-BGP配置(PE与P),建立后续传递VPNv4路由的MP-BGP对等体关系。1.2 MPLS与MPLS LDP配置建立MPLS LSP公网隧道,传输VPN数据。2. VPN用户接入配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数字化信息化智能化解决方案

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值