华为防火墙与Hillstone防火墙以策略模板方式建立IPSec隧道

最新推荐文章于 2024-12-13 22:08:55 发布
最新推荐文章于 2024-12-13 22:08:55 发布
阅读量442 收藏
点赞数 1
文章标签: 服务器 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62306540/article/details/132354961
版权
本文详细描述了如何使用华为防火墙与Hillstone防火墙通过策略模板建立IPSec隧道,包括组网需求、数据规划、配置步骤、注意事项以及配置文件示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

华为防火墙与Hillstone防火墙以策略模板方式建立IPSec隧道

关于本章

组网需求

华为防火墙作为总部的企业网关,以模板方式与分支的Hillstone防火墙建立IPSec隧道,此时分支Hillstone防火墙的出口公网地址可以固定或不固定,下图以不固定的出口公网地址为例进行说明。在此场景中,只能是分支主动发起协商建立IPSec隧道,总部不能主动发起协商。

数据规划

 

配置项

华为防火墙

Hillstone防火墙

IKE SA

协商模式

NA

NA

加密算法

AES256

AES256

认证算法

SHA256

SHA256

预共享密钥

Key@123

Key@123

身份类型

无需配置

对端地址

IKE版本

V2

V2

DH

Group5

Group5

IPSec SA

封装模式

隧道模式

隧道模式

安全协议

ESP

ESP

加密算法

AES256
最低0.47元/天 解锁文章
geform440
关注
针对防火墙IPSec业务不通或业务丢包问题,防火墙如何做流量统计、远程抓包、报文示踪
ICT系统集成阿祥
08-22 478
针对防火墙IPSec业务不通或业务丢包问题,防火墙如何做流量统计、远程抓包、报文示踪。
IPSec高级配置故障排查
悦分享
10-10 606
当本发起IPSec隧道协商的IP地址实际应用IPSec策略的接口IP地址不同时,需要配置local-address为本发起协商的IP地址,且该地址需要和对使用remote-address命令设置的目的地址一致。查看IPSec处理报文的统计信息,如受安全保护的进出报文统计信息、加解密报文统计信息、被丢弃的受安全保护的详细统计信息以及IKE协商相关的报文统计信息等,这有助于IPSec故障诊断和维护。当在防火墙B的公网接口增加了sub地址并修改了IPSec配置后,发现隧道建立不成功。
华为防火墙智能简介
qq_32044265的博客
11-15 887
通过部署智能功能,可以通过不同的智能方式,动态择最优链,并根据各链实时状态动态调整分配结果,以此提高链资源的利用率和用户体验。
Hillstone FW_06、安全策略
dengnuo9001的博客
08-07 378
转载于:https://www.cnblogs.com/eccom/p/11314813.html
华为防火墙——多出口智能
HappyAston的博客
02-04 3821
流量进转发时,查询由的先后顺序是策略由、明细由、缺省由。策略智能发生在流量命中策略由时,如果有多个出接口则需要进行。全局智能发生在流量命中缺省由时,如果有多条缺省由则需要进行。ISP智能发生在流量命中明细由时,如果有多条明细由则需要进行
山石网科-Hillstone-由模式的IPSEC-***之配置终结篇
weixin_34306446的博客
07-29 3001
首先,当然第一件事情,是要理清思了,这一点对一个工程师来讲是必须且非常重要的一步。第一步,新建IPsec-***。第二步,配置第一阶段相关参数。(高级可参数,DPD对存活检测/NAT穿越都可以勾上,这个不是协商参数)第三步,配置第二阶段相关参数。注意(如果俩都是山石设备,即可以不用配置代理ID,择自动即可,若不是,请填写代理ID。PS:代理ID只是协商让IPsec...
山石网科-Hillstone-策略模式的IPSEC-***之配置终结篇
weixin_34415923的博客
03-26 2696
ipsec不作多介绍,直接上配置步骤。前面文章中由模式的ipsec不一样,其实个人理解来看,通俗理解如下:策略模式的***,方便,步骤简单。快!不易于扩展,比如那种多分支site的访问等等。由模式的***,步骤稍复杂,基于tunnel做。受制于设备的参数支持,扩展性好。经历了不下于50台山石网科的防火墙应用组网和设备运维后,俩者均有特点,还是要视客户的具体网络需求去定...
思科由器和山石网科防火墙做GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科由器和思科防火墙、神码由器和神码防火墙华为由器和华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
在EVE-NG中安装华为WAF5000防火墙(保姆级教程)
ghhghgf的博客
12-13 1873
在EVE-NG中安装华为WAF5000防火墙
山石网科PPPOE+IPsecVPN配置注意事项
normanhere的博客
04-27 1374
隧道 有2种配置方法,一种是不配置IP地址,另外一种是配置IP地址 ,特别需要注意,如果配置IP地址(跑由)那么隧道绑定这里也需要填写对隧道口的由信息(就是截图里面的网关必须写)其次分支机构因为是PPPOE拨号 ,所以 需要将自己指定为发起者 并且关闭对存活检测(由于PPPOE分配到IP一来会发生变化,而来可能不是公网。同样的,如果隧道配置了IP地址 则写静态由的时候需要指定下一跳,如果不写隧道IP地址,下一跳空着。通过排查,首先排除隧道内NAT 详见图片1-2。最后安全策略放行,流量就通了。
山石飞塔建立ipsec时候在Phase2丢包处理
weixin_41903258的博客
03-20 575
注意:IPSec 隧道建立后如果 1800 秒的时间内持续有数据传输,阶段 2 将到期执行密钥协商过程;如果 1800 秒的时间内没有数据传输,阶段 2 将停止密钥协商过程,同时 IPSec 隧道也会 down。keylifekbsPhase2流量的关键生命周期字节数(5120 - 4294967295)。飞塔的keylifeseconds 默认为43200,keylifekbs默认为5120。
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
防火墙配置IPSec VPN【IPSecVPN概念及详细讲解】
h1008685的博客
04-08 4652
ipsecvpn技术详细讲解,防火墙配置ipsec,NAT连用IPSecVPN问题解决思
华为防火墙总部分支机构建立IPsec VPN涉及NAT穿越
weixin_45457085的博客
07-18 2765
隧道建立方式:分为手动建立和IKE自动协商,手动建立需要人为配置指定所有IPsec建立的所有参数信息,不支持为动态地址的发起方,实际网络中很少应用;IKE协议是基于密钥管理协议ISAKMP框架设计而来,建立IKE SA 对等体后,双方通过IKE SA交互数据加密的秘钥信息,并协商建立IPsec SA,数据在IPsec SA上进行加密传输。传输模式和隧道模式:两种方式表现为对报文的封装方式差异。
五、防御保护---防火墙出口
M372109150的博客
01-30 1252
本篇介绍了防火墙的就近策略智能(全局策略) 1.基于链带宽的负载分担 2.基于链质量进行负载分担 3.基于链权重进行负载分担 4.基于链优先级的主备备份
IPsec+预共享密钥的lKE主模式
zero_number的博客
10-21 1601
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
IPSEC 004 ---- 模板海纳百川,不定对有容乃大
~~ LINUX ~~
09-18 1254
IPSec模板海纳百川 自从天地会采用了IKE方式协商IPSec安全策略IPSec配置和维护的工作量大减。然而之前天地会用过的手工方式IPSec安全策略或IKE方式IPSec安全策略都要求IPSec的IP固定。可是在公网IP几近枯竭的Internet上要拥有一个固定的公网IP谈何容易!天地会每次要申请一个固定公网IP地址都要大费周折。于是天地会提出疑问:配置IPSec VPN的通信双方必须...
华为防火墙实现多线智能
weixin_34405332的博客
04-24 7282
分公司因项目需要,上线一台华为防火墙,为了保障互联网出口的可用性,使用了两条SP链,一条联通50M企业专线,一条电信200M拨号链。项目的需求是:1. 连接到总部的×××流量,优先使用联通线;2. 用户上网的流量,优先使用电信线;3. 当一条公网链出现故障时,能自动进行切换。需求出来后,就需要进行实施了,怎么实现需求呢:1. 需置两条链都要能上网2. 配置健康状...
Hillstone 基于策略 ipsec-*** 配置
weixin_34018169的博客
10-13 645
Hillstone 基于策略 ipsec-××× 配置本文以web界面对hillstone 进行ipsec-*** 配置,共有两种方法。1.建立隧道首先,登陆hillstone防火墙,点左侧ipsec-***,然后点新建;然后在弹出的界面进行IKE ××× 配置,界面如下:然后在高级配置里,勾nat穿越,产生由以及存活监测接着,点左下...
山石防火墙巡检命令
最新发布
05-09
山石防火墙使用的是类似华为或华三的CLI界面,所以命令结构可能类似,比如使用show命令。 接下来,应该考虑是否需要包括巡检的注意事项,比如在业务低峰期执行,备份配置等,这些对用户维护系统稳定性很重要。此外...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值