华为防火墙与Hillstone防火墙以策略模板方式建立IPSec隧道
关于本章
组网需求
华为防火墙作为总部的企业网关,以模板方式与分支的Hillstone防火墙建立IPSec隧道,此时分支Hillstone防火墙的出口公网地址可以固定或不固定,下图以不固定的出口公网地址为例进行说明。在此场景中,只能是分支主动发起协商建立IPSec隧道,总部不能主动发起协商。
数据规划![](https://img-blog.csdnimg.cn/274f68226c8e4110978ef886be40e1da.png)
配置项 | 华为防火墙 | Hillstone防火墙 | |
---|---|---|---|
IKE SA | 协商模式 | NA | NA |
加密算法 | AES256 | AES256 | |
认证算法 | SHA256 | SHA256 | |
预共享密钥 | Key@123 | Key@123 | |
身份类型 | 无需配置 | 对端地址 | |
IKE版本 | V2 | V2 | |
DH | Group5 | Group5 | |
IPSec SA | 封装模式 | 隧道模式 | 隧道模式 |
安全协议 | ESP | ESP | |
加密算法 | AES256 | AES256 | |
认证算法 | SHA256 | SHA256 |
配置思路
- 配置Fortinet防火墙:
- 配置接口的IP地址;
- 配置IKE SA、IPSec SA;
- 将Tunnel口加入到untrust区域中;
- 配置安全策略,允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过Fortinet防火墙;
- 配置路由,将流量引入到Tunnel接口;
- 配置连接到Internet的缺省路由。
- 配置华为防火墙:
- 配置接口IP地址,并将接口加入安全区域;
- 配置域间安全策略,允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙;
- 配置华为防火墙到Internet的缺省路由;
- 配置IPSec策略,包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置IKE对等体、配置策略模板;
在接口上应用IPSec策略。
配置注意事项
- 配置模板方式的IPSec策略时,若对端公网IP固定,华为防火墙中可以严格指定对端IP地址;若不固定,华为防火墙中可以指定对端IP地址段,或者直接不指定对端IP地址。
- 相较于策略方式,模板方式最明显的差异在于不要求对端IP地址固定,因此可以不执行remote-address来指定IP地址,也可以指定为IP地址段。
- 华为防火墙采用模板方式的IPSec策略,不管有多少分支,总部只需要配置1个IPSec策略,1个IKE对等体,配置较为简单;采用策略方式的IPSec策略,假设有N个分支,则总部需要配置N个IPSec策略,N个IKE对等体,配置较为复杂。
操作步骤
- 配置华为防火墙
- 配置接口,并将接口加入安全区域。
# 配置口GE1/0/3接口,并将接口加入untrust安全区域。
[HUAWEI] interface ge 1/0/3 [HUAWEI-GE1/0/3] ip address 1.1.1.1 24 [HUAWEI-GE1/0/3] quit [HUAWEI] firewall zone untrust [HUAWEI-zone-untrust] add interface ge 1/0/3 [HUAWEI-zone-untrust] quit
# 配置GE1/0/5接口,并将接口加入trust安全区域。
[HUAWEI] interface ge 1/0/5 [HUAWEI-GE1/0/5] ip address 192.168.10.1 24 [HUAWEI-GE1/0/5] quit [HUAWEI] firewall zone trust [HUAWEI-zone-trust] add interface ge 1/0/5 [HUAWEI-zone-trust] quit
- 配置安全策略 。
#配置untrust和trust之间的安全策略。配置策略1,保证分支能够访问总部;配置策略2,保证总部能够访问分支。
[HUAWEI] security-policy [HUAWEI-policy-security] rule name 1 [HUAWEI-policy-security-rule-1] source-zone untrust [HUAWEI-policy-security-rule-1] destination-zone trust [HUAWEI-policy-security-rule-1] source-address 192.168.0.0 24 [HUAWEI-policy-security-rule-1] destination-address 192.168.10.0 24 [HUAWEI-policy-security-rule-1] action permit [HUAWEI-policy-security-rule-1] quit [HUAWEI-policy-security] rule name 2 [HUAWEI-policy-security-rule-2] source-zone trust [HUAWEI-policy-security-rule-2] destination-zone untrust [HUAWEI-policy-security-rule-2] source-address 192.168.10.0 24 [HUAWEI-policy-security-rule-2] destination-address 192.168.0.0 24 [HUAWEI-policy-security-rule-2] action permit [HUAWEI-policy-security-rule-2] quit
#配置local与untrust之间的安全策略。配置策略3,保证华为防火墙能够发起IPSec隧道建立请求;配置策略4,保证华为防火墙能够接收IPSec隧道建立请求,源、目的IP地址为两端的出口公网地址。
[HUAWEI-policy-security] rule name 3 [HUAWEI-policy-security-rule-3] source-zone local [HUAWEI-policy-security-rule-3] destination-zone untrust [HUAWEI-policy-security-rule-3] source-address 1.1.1.1 24 [HUAWEI-policy-security-rule-3] action permit [HUAWEI-policy-security-rule-3] quit [HUAWEI-policy-security] rule name 4 [HUAWEI-policy-security-rule-4] source-zone untrust [HUAWEI-policy-security-rule-4] destination-zone local [HUAWEI-policy-security-rule-4] destination-address 1.1.1.1 24 [HUAWEI-policy-security-rule-4] action permit [HUAWEI-policy-security-rule-4] quit
- 配置路由。#配置连接到Internet的缺省路由
[HUAWEI] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
- 配置ACL,定义被保护的流量。#源地址为192.168.10.0/24,目的地址为192.168.0.0/24的报文,需要经过IPSec隧道传输
[HUAWEI] acl 3000 [HUAWEI-acl4-advance-3000] rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 [HUAWEI-acl4-advance-3000] quit
华为防火墙发起协商请求时,将根据路由找到出接口,根据安全策略2判断流量是否可以透传,根据ACL判断是否是走IPSec的流量,根据安全策略3判断是否能够发起协商,如果判断结果都为“是”,华为防火墙才能正式发起协商。
华为防火墙接收协商请求时,将根据ACL判断对方的流量是否是受保护流量,根据安全策略4判断是否接受协商,如果判断结果都为“是”,则开始与对方协商,否则将丢弃协商报文。
- 配置IKE SA。#配置IKE安全提议,指定加密算法、认证算法、DH
[HUAWEI] ike proposal 1 [HUAWEI-ike-proposal-1] encryption-algorithm aes-256 [HUAWEI-ike-proposal-1] authentication-algorithm sha2-256 [HUAWEI-ike-proposal-1] dh group5 [HUAWEI-ike-proposal-1] quit
#配置IKE对等体,指定协商模式、IKE版本、预共享密钥[HUAWEI] ike peer hillstone [HUAWEI-ike-peer-hillstone] ike-proposal 1 [HUAWEI-ike-peer-hillstone] pre-shared-key Key@123 [HUAWEI-ike-peer-hillstone] quit
对端出接口IP地址不固定,所以无需执行remote-address指定对端IP地址。
- 配置IPSec安全提议,指定封装模式、安全协议,加密算法、认证算法
[HUAWEI] ipsec proposal tran1 [HUAWEI-ipsec-proposal-tran1] transform esp [HUAWEI-ipsec-proposal-tran1] encapsulation-mode tunnel [HUAWEI-ipsec-proposal-tran1] esp encryption-algorithm aes-256 [HUAWEI-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 [HUAWEI-ipsec-proposal-tran1] quit
- 配置模板及策略,绑定IKE对等体、IPSe安全提议、ACL
[HUAWEI] ipsec policy-template tem 1 [HUAWEI-ipsec-policy-template-tem-1] security acl 3000 [HUAWEI-ipsec-policy-template-tem-1] proposal tran1 [HUAWEI-ipsec-policy-template-tem-1] ike-peer hillstone [HUAWEI-ipsec-policy-template-tem-1] ipsec policy map1 1 isakmp template tem [HUAWEI-ipsec-policy-template-tem-1] quit
与策略方式不同的是,此处先配置一个模板,然后配置策略引用模板
- 在接口上应用IPSec策略
[HUAWEI] interface ge 1/0/3 [HUAWEI-GE1/0/3] ipsec policy map1 [HUAWEI-GE1/0/3] quit
- 配置接口,并将接口加入安全区域。
- 配置Hillstone防火墙
- 配置IKEv2 P1提议
SG-6000 (config)# ikev2 proposal test SG-6000 (config-ikev2-proposal)# hash sha256 SG-6000 (config-ikev2-proposal)# encryption aes256 SG-6000 (config-ikev2-proposal)# prf sha256 SG-6000 (config-ikev2-proposal)# group 5 SG-6000 (config-ikev2-proposal)# exit
- 创建IPSec-Proposal P2提议,用来协商IPSec SA
SG-6000 (config)# ikev2 ipsec-proposal test SG-6000 (config-ikev2-ipsec-proposal)# protocol esp SG-6000 (config-ikev2-ipsec-proposal)# hash sha256 SG-6000 (config-ikev2-ipsec-proposal)# encryption aes256 SG-6000 (config-ikev2-ipsec-proposal)# exit
- 配置IKEv2 对等体
SG-6000 (config)# ikev2 peer test SG-6000 (config-ikev2-peer)# interface ethernet0/0 SG-6000 (config-ikev2-peer)# match-peer 20.0.0.2 SG-6000 (config-ikev2-peer)# local-id fqdn hillstone
- 配置IKEV2 Profile,在IKEV2 peer下创建对应的profile
SG-6000 (config-ikev2-peer)# ikev2-profile test SG-6000 (config-ikev2-profile)# remote id fqdn huawei SG-6000 (config-ikev2-profile)# remote key Key@123 SG-6000 (config-ikev2-profile)# traffic-selector src subnet 192.168.0.0/24 SG-6000 (config-ikev2-profile)# traffic-selector dst subnet 192.168.10.0/24 SG-6000 (config-ikev2-profile)# exit SG-6000 (config-ikev2-peer)# exit
Hillstone防火墙中没有提供设置封装模式、安全协议的命令,默认使用隧道模式、ESP。
执行traffic-selector src subnet、traffic-selector dst定义被保护的数据流,相当于在华为防火墙中配置ACL
- 创建IKEv2隧道
SG-6000 (config)# tunnel ipsec test ikev2 SG-6000 (config-ikev2-tunnel)# ikev2-peer test SG-6000 (config-ikev2-tunnel)# ipsec-proposal test SG-6000 (config-ikev2-tunnel)# auto-connect SG-6000 (config-ikev2-tunnel)# exit
- 创建隧道接口,绑定IKEv2隧道
SG-6000 (config)# interface tunnel1 SG-6000 (config-if-tun1)# zone trust SG-6000 (config-if-tun1)# tunnel ikev2 test SG-6000 (config-if-tun1)# exit
- 配置隧道路由
SG-6000 (config)# ip vDeviceA trust-vr SG-6000 (config-vDeviceA)# ip route 192.168.10.0/24 tunnel1 SG-6000 (config-vDeviceA)# exit
- 配置IKEv2 P1提议
结果验证
- 在总部华为防火墙中,执行display ike sa命令,若显示如下信息,表明IKE SA建立成功。
<HUAWEI> display ike sa Total number of IKE SA in all CPU : 2 Total number of phase 1 SAs in all CPU : 1 Total number of phase 2 SAs in all CPU : 1 Flag Description: RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING Spu board slot 3, cpu 0 IKE SA information : Number of IKE SA : 2, number of IKE SA1: 1, number of IKE SA2: 1 ------------------------------------------------------------------------------------------------------------------------------------ Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID ------------------------------------------------------------------------------------------------------------------------------------ 86 2.2.2.2/500 RD|ST|A v1:2 IP 2.2.2.2 85 2.2.2.2/500 RD|ST|A v1:1 IP 2.2.2.2 ------------------------------------------------------------------------------------------------------------------------------------
- 在总部的华为防火墙中,执行display ipsec sa命令,若显示如下信息,表明IPSec SA建立成功
<HUAWEI> display ipsec sa =============================== Interface: GE1/0/3 =============================== ----------------------------- IPSec policy name: "map1" Sequence number : 1 Acl group : 3000/IPv4 Acl rule : 5 Mode : TEMPLATE ----------------------------- Connection id : 86 Encapsulation mode: tunnel Holding time : 0d 0h 1m 48s Tunnel local : 1.1.1.1 Tunnel remote : 2.2.2.2 Flow source : 192.168.10.0/255.255.255.0 0/0 Flow destination : 192.168.0.0/255.255.255.0 0/0 [Outbound ESP SAs] SPI: 3708493443 (0xdd0b1e83) Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128 SA remaining soft duration (kilobytes/sec): 72142028/443 SA remaining hard duration (kilobytes/sec): 83886080/945 Max sent sequence-number: 0 UDP encapsulation used for NAT traversal: N SA encrypted packets (number/bytes): 0/0 [Inbound ESP SAs] SPI: 746108598 (0x2c78b6b6) Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128 SA remaining soft duration (kilobytes/sec): 74658611/452 SA remaining hard duration (kilobytes/sec): 83886080/846 Max received sequence-number: 0 UDP encapsulation used for NAT traversal: N SA decrypted packets (number/bytes): 0/0 Anti-replay : Enable Anti-replay window size: 1024
- 登录到分支Hillstone防火墙查看IPSec隧道建立情况, 执行show ikev2 ipsec-sa查看IPSec隧道建立状态,如果有对应VPN名字和PEER IP的隧道,则建立成功
配置文件
- 华为防火墙配置文件
# sysname HUAWEI # interface GE1/0/3 ip address 1.1.1.1 24 ipsec policy map1 # interface GE1/0/5 ip address 192.168.10.1 24 # firewall zone untrust add interface GE1/0/3 # firewall zone trust add interface GE1/0/5 # security-policy rule name 1 source-zone untrust destination-zone trust source-address 192.168.0.0 24 destination-address 192.168.10.0 24 action permit rule name 2 source-zone trust destination-zone untrust source-address 192.168.10.0 24 destination-address 192.168.0.0 24 action permit rule name 3 source-zone local destination-zone untrust source-address 1.1.1.1 24 action permit rule name 4 source-zone untrust destination-zone local destination-address 1.1.1.1 24 action permit # ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 # acl 3000 rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 # ike proposal 1 encryption-algorithm aes-256 authentication-algorithm sha2-256 dh group2 # ike peer hillstone ike-proposal 1 pre-shared-key Key@123 # ipsec proposal tran1 transform esp encapsulation-mode tunnel esp encryption-algorithm aes-256 esp authentication-algorithm sha2-256 # ipsec policy-template tem 1 security acl 3000 proposal tran1 ike-peer hillstone ipsec policy map1 1 isakmp template tem # return