华为防火墙IPsec 策略模板

那么什么是防火墙的策略模板，在点对点的IPsec的部署场景中我们仅仅只能实现单台防火墙对单台防火墙并创建IPsec的隧道。但是在某些场景中，如总部对支部，在有多个支部的情况下，总部需要和多个支部进行IPsec隧道的建立。所以在这种情况下总部需要配置策略模板。

在这种情况下，总部的防火墙并不会去指定隧道那端的IP地址以及使用的标识符号。总部的防火墙可以接纳所有的IPsec标识以及所有IP地址。那么可能这个时候有人就会疑惑了，那么这怎么保证对端的身份？不要忘了，虽然标识和IP地址不能指定，身份的认证方式还是可以确定的，如果在预共享密钥中就使用密钥的方式去验证对方的身份，在签名认证下，只有当自己持有的正规的公钥能够解密出对端的内容并验证签名的正确性才能确定对端的身份，数字信封和数字签名其实也是换汤不换药，也是利用了非对称加密的不可否认性。只不过数字信封更加复杂和安全。那么策略模板如何配置：

其实和普通的ipsec的配置差不多，不过在创建IKE对等体的时候不指定任何的remote address以及相关remote id。

 

ipsec policy-template,也就是ipsec的策略模板，其实在策略模板里面配置的东西和ipsec policy差不多，如下图所示：

 创建完一个IPsec policy-template之后，将IPsec policy-template与IPsec policy进行绑定即可,如下图所示：

 

为什么策略模板可以与多个隧道建立

我的想法是这样的，因为在创建策略模板的时候，并没有指定远端的IP或者标识，所以对于任何一个远端的主机来说，本端都是接受的，只要你的身份认证最终能够通过即可，比如预共享密钥是对的，或者我用正确的公钥可以验证你的签名是正确的。于是只要有人与本端尝试进行IPsec的隧道连接，那么就使用这个模板就能够进行隧道的建立。但是前提是SA的相关参数是匹配上的，且对端不能也是策略模板。为什么？看下面

为什么两个策略模板之间不能建立IPsec隧道？

因为策略模板虽然可以接纳很多人，但是因为它没有明确的指定对端IP，所以这就导致我们不能主动地进行IPsec隧道连接请求，随意在配置了策略模板之后防火墙都是处于一种被动地状态去接受别人发出地隧道建立请求。