IPSec 域间策略常见问题

于 2023-07-10 16:12:35 发布
阅读量459 收藏 2
点赞数
分类专栏: # 防火墙 文章标签: 网络 域间安全策略
本文为博主原创文章,未经博主允许不得转载。如有疑问,请在该文章中留言联系博主,谢谢!!
本文链接:https://blog.csdn.net/tladagio/article/details/131633792
版权

目录

1. 网络拓扑

在这里插入图片描述

1.1 清除IPSec安全联盟

如果用户需要对安全策略重新配置,为了使新配置的安全策略生效,可以执行下列操作清除IPSec安全联盟。

<USG5500A>reset ipsec  sa

说明:

  • 此操作将只清除通过手工方式建立的安全联盟和通过IKE协商建立的阶段2的安全联盟。如果未指定参数,则清除所有通过手工方式建立的和通过IKE协商建立的阶段2的安全联盟。
  • 对于通过Manual方式协商建立的安全联盟,被清除后系统会根据手工设置的参数立即创建新的安全联盟。
  • 对于通过IKE方式协商建立的安全联盟,被清除后如果有报文重新触发IKE协商,IKE将重新协商建立安全联盟。
  • 如果指定参数parameters,由于安全联盟是成对出现的,清除了一个方向安全联盟的参数,另一个方向安全联盟的参数也随之被清除。

1.2 清除IPSec统计信息

当对IPSec进行调试时,如果IPSec的统计信息比较多不便于查看,可以执行以下操作清除IPSec统计信息。

<USG5500A>reset ipsec  statistics

1.3 清除IKE安全联盟

如果用户需要对安全策略重新配置,为了使新配置的安全策略生效,可以执行下列操作清除IKE安全联盟。

<USG5500A>reset ike sa

说明:
清除IKE安全联盟时需要注意:

  • 在清除指定的安全联盟时,需要指定connection-id,通过命令display ike sa可以显示当前安全联盟的connection-id信息。
  • 清除本地的安全联盟时,如果阶段1的ISAKMP SA还存在,将在此安全联盟的保护下向对端发送清除消息,通知对方清除安全联盟数据库。
  • 如果未指定connection-id,所有的阶段1的安全联盟都会被清除。

2 域间安全策略调试

假设其他配置都正确,只有域间安全策略配置异常情况下

2.1 USG A 状态为NEG–NEGOTIATING

2.1.1 查看iks sa状态

在这里插入图片描述

2.1.2 PC1 ping PC3,抓包查看只有Request包

在这里插入图片描述

2.1.3 原因

因为此时只有USGA配置了域间安全策略,USGC没有配置

在这里插入图片描述

2.2 USG A 状态为RD|ST

RD–READY ST–STAYALIVE

2.2.1 查看iks sa状态

在这里插入图片描述

2.1.2 PC1 ping PC3,抓包查看有Request和Response包

在这里插入图片描述

2.1.3 原因

因为此时只有USGA和USGC都配置了域间安全策略

USGA
在这里插入图片描述

USGC
在这里插入图片描述

2.3 PC1与PC3直接

2.3.1 PC1能ping PC3,但是PC3不能ping PC1

在这里插入图片描述

2.3.2 域间安全配置

USGA没有配置 trust untrust inbound

在这里插入图片描述
USGC 有配置 trust untrust inbound

在这里插入图片描述

友人a笔记
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Hans HCIA-Security培训视频上.rar
09-04
目录: 1.1、网络安全概述 1.2、OSI协议和TCP IP协议基础 1.3、TCP IP协议安全及常见网络攻击方式 2.1、防火墙基本概述 2.2、防火墙功能特性 2.3、防火墙设备管理及配置实验 2.4、防火墙基本配置及配置实验 3.1、防火墙安全策略之包过滤技术及转发原理 3.2、防火墙安全策略之多通道协议支持(ASPF、Server Map) 3.3、防火墙安全策略之应用 4.1、NAT技术介绍 4.2、源NAT技术及配置实验 4.3、NAT ALG技术及配置实验 4.4、NAT server、目的NAT技术及配置实验 4.5、域内NAT、域间NAT技术及配置实验 5.1、防火墙双机热备技术原理 5.2、防护墙双机热备配置实验 6.1、用户认证及AAA技术介绍 6.2、用户管理应用及配置实验 7.1、VPN技术介绍 7.2、VPN分类及L2TP VPN介绍 7.3、Client-Initialized方式的L2TP VPN配置实验 7.4、NAS-Initialized方式的L2TP VPN配置实验 7.5、三层VPN技术及配置实验 8.1、IPsec VPN概述及体系结构 8.2、IPsec VPN AH、ESP、IKE技术介绍 8.3、IPsec VPN应用场景及配置实验 9.1、SSL VPN基本概述 9.2、SSL协议概述及SSL VPN功能技术介绍 9.3、SSL VPN应用场景及web代理、文件共享配置实验 9.4、SSL VPN端口转发、网络扩展配置实验 10.1、防火墙UTM产生背景及特性 10.2、防火墙UTM特性配置实验 11.1、终端安全概述及系统部署介绍 11.2、终端安全策略部署介绍
很好的IPSec介绍,详细解释了IKE协商的2个阶段的作用
weixin_34353714的博客
09-21 2678
IPSec Introduction IPSec Overview IP Security (IPSec) refers to a series of protocols defined by IETF to provide high quality, interoperable, and cryptology-based security for IP packets. By m...
ipsec 连接删除问题
bytxl的专栏
11-04 1989
ipsec 连接如果配置了多个子网,需要使用以下命令逐个删除子网连接: sudo ipsec auto --delete to206/3x2 如果直接使用如下命令: sudo ipsec auto --delete to206 会导致某些子网连接没断开、SA等删除不干净等问题。
使用 IPsec 与组策略隔离服务器和域-第 7 章:IPsec 疑难解答
FreeXploiT
12-10 1万+
本章提供有关如何对 Internet 协议安全性 (IPsec) 问题(如服务器和域隔离方案中的安全性问题)进行疑难解答的信息,这些信息依赖于 Microsoft 信息技术 (IT) 小组的经验和方法。 在有可能的时候,本章将引用现有的 Microsoft 疑难解答过程及相关信息。Microsoft IT 支持基于一个多层支持模型,咨询台被称为第 1 层支持。 汇报过程使咨询台职员能够汇报需要专家
ipsec协议_IPSec在防火墙USG5500上的运用
weixin_39577422的博客
12-01 650
IPSec(Internet Protocol Security)是一整套的解决方案,一个协议包。IPsec主要由以下协议组成:一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;三、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参...
华为USG防火墙搭建IPsec***实战
weixin_34195142的博客
06-02 2729
1.实验拓扑:使用模拟器eNSP(版本号:1.2.00.350 V100R002c00)+AR3260+USG5500 AR1模拟运营商2.实验需求: a)在FW1上做PAT,让C1可以上互联网 b)在FW1和FW2之间做IPsec×××,让C1、C2间实现私网通信3.实验步骤: a)IP地址规划:FW1GE0/0/...
IPsec配置说明
weixin_34342992的博客
02-27 1282
×××配置步骤:第一阶段:iaskmp SA(IKE SA要保护的对象是与密钥有关的) IKE并不直接关心用户的数据,并且IKE SA是为安全协商IPSec SA服务的1、共享密钥或数字证书IKE采用了Diffie-Hellman算法、密钥通过对等体推算出自己的密钥group1 密钥长度为768bitgroup2 密钥长度为1024bitgroup5 密钥长度为1536bit...
IPsec各种场景配置示例
曹世宏的博客
09-16 2万+
IPSec VPN配置流程 图:IPSec VPN配置流程图 先配置IKE安全提议 配置IKE对等体,调用IKE提议 配置需要保护的感兴趣流 配置IPSec 的安全提议 配置IPSec策略 在接口调用IPSec策略 IPSEC VPN各场景配置示例 采用IKEV1-主模式实验 : 图:IPsec VPN拓扑图 配置思路: 第一步: 阶段一 协商IKE SA(ISAKMP SA) 1. ...
Hans HCIA-Security培训视频下.rar
09-04
4.5、域内NAT、域间NAT技术及配置实验 5.1、防火墙双机热备技术原理 5.2、防护墙双机热备配置实验 6.1、用户认证及AAA技术介绍 6.2、用户管理应用及配置实验 7.1、VPN技术介绍 7.2、VPN分类及L2TP VPN介绍 ...
华为HCNA-Security培训视频教程【共35集】.rar
09-25
28-采用策略模板配置IPSec 29-GRE_over_IPSec 30-L2TP_over_IPSec 31-SSL协议简介 34-防火墙双机热备技术 35-NAT地址池与VRRP绑定、HRP_Track监测三层业务接口 36-防火墙用户管理简介 37-Windows_2008上配置...
TCP/IP技术大全(中文PDF非扫描版)
08-12
16.9.2 设计策略 163 16.9.3 性能 164 16.9.4 网络功能 165 16.9.5 安全 166 16.10 LDAP配置 169 16.11 产品环境 169 16.11.1 创建计划 170 16.11.2 有价值的建议 171 16.12 选择LDAP软件 171 16.13 小结 174 第17章...
TCP/IP详解
07-25
16.9.2 设计策略 163 16.9.3 性能 164 16.9.4 网络功能 165 16.9.5 安全 166 16.10 LDAP配置 169 16.11 产品环境 169 16.11.1 创建计划 170 16.11.2 有价值的建议 171 16.12 选择LDAP软件 171 16.13 小结 174 第17章...
华为Router 动态NAT地址转换配置
热门推荐
友人A的博客
06-19 3万+
一、组网需求:某公司A部门和B部门的私网用户和互联网相连,路由器上接口GigabitEthernet0/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24。A部门允许使用公网IP地址比较多(202.169.10.100~202.169.10.200),所以使用no-pat转换方式(只转换数据包的IP地址,并不使用端口号)的NAT方式替换A部门内部的主...
华为USG6000V 内网通过NAT地址池访问公网
友人A的博客
07-02 1万+
一、组网需求 1、某公司在网络边界处部署了NGFW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在NGFW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。网络环境如图1所示,其中Router是ISP提供的接入网关。 2、网络拓扑 3、数据规划 ...
华为 Router配置采用手工方式建立IPSec隧道
友人A的博客
06-29 1万+
一、组网需求 1、如图所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。 企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于维护网关较少,可以考虑采用手工方式建立IPSec隧道。...
华为USG6000V 多ISP接入Internet(基于ISP目的地址的多出口)
友人A的博客
08-15 9832
一、组网需求 1、如图所示,某企业在网络边界处部署了NGFW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求。 具体需求如下: 研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet,要求去往特定目的地址的流量必须经由相应的运营商来转发。 当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免业务中断。 ...
华为 USG6000防火墙配置镜像模式双机热备
友人A的博客
05-28 9609
网络拓扑 要求: 企业前期是一台防火墙,为了提高网络可靠性,并且在不影响原先防火墙配置情况下,新增一台防火墙做双机热备。两台FW的业务接口都工作在三层,下行为三层核心交换机。上行为二层交换机连接运营商的接入点,运营商为企业分配的IP地址为100.1.1.1-100.1.1.5 配置思路: 两台防火墙型号必须要求一样,配置镜像模式前需要先完成双机热备的网络连接和基本配置,但是不需要配置业...
USG5500 配置地址池和easy-ip双出口NAT
友人A的博客
11-07 8853
一、组网需求: 1、某公司购买了两个运营商的公网IP,使公司内部用户能够通过NAT访问互联网。但是向A运营商只购买一个公网IP,所以想配置为easy-ip的NAT模式。向B运营商购买了6公网IP(202.202.202.1-202.202.202.6),所有想配置为NAT地址池模式。 另外,同一个网段的内网,指定IP的机器不能访问互联网,其他IP可以访问互联网。 2、网络拓扑 3、数据...
解决tracert经过防火墙显示*号
友人A的博客
02-23 8285
存在问题: tracert一台经过防火墙的服务器IP地址,经过防火墙时显示*号。无法详细的显示出tracert的路径信息。 解决方法: 1、配置ICMP超时报文功能 [USG5500]ip ttl-expires enable 2、关闭Tracert报文攻击防范功能(危险操作) [USG5500]undo firewall defend tracert enable 查...
防火墙ipsec控制策略
最新发布
11-26
根据提供的引用内容,可以使用netsh ipsec命令来配置Windows 2003系统的IPSec策略。下面是一个简单的示例,演示如何使用netsh ipsec命令来创建一个IPSec策略,以允许来自本地计算机的所有TCP流量通过到达目标IP地址...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

友人a笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值