网关到网关模式××× 典型配置

题记：
大多数的防火墙或者说是UTM部署的模式有路由模式，网桥模式，混杂模式，配置最核心的也就是写规则，一个好的规则会使得内部网络的安全性得到较大的改善，当然如果是UTM可能还会附加上一些其他的安全组件，例如见的最多的就是AV防病毒组件，IPS组件，anti-spam反垃圾邮件组件等，有的还有一些上网行为管理（比较薄弱），×××等组件，本次主要是以启明星辰的USG系列设备的常见部署模式进行配置说明，其他的厂商的防火墙配置内容都是大同小异，掌握一家的其他的自然也就很容易上手，学习就要善于总结归纳，将有共同点的知识技能归纳，做到一劳多得！
本篇文章主要介绍的部署模式是网关到网关模式××× 典型配置

实验拓扑：

环境描述：
1、防火墙A、B 工作在路由模式。
2、防火墙内部主机，外部网络形成严格的2 个区域（内网，外网）；
3、防火墙内网口对应防火墙eth1，外网口对应防火墙eth2；
4、在各个区域之间实施严格的访问控制，保障系统安全；
5、防火墙A 内网口IP 地址为192.168.0.1/24，外网口IP 地址为218.249.22.117/25，eth2 接口通过与课桌上的网口（如A1-1）连接到交换机与外网相连，缺省网关IP 地址为
218.249.22.113/25 。防火墙B 内网口IP 地址为10.30.30.1/24 ， 外网口IP 地址为172.31.22.117/25，eth2 接口通过与课桌上的网口（如A1-1）连接到交换机与外网相连，缺
省网关IP 地址为172.31.118.1/25。
6、防火墙A 内部划分VLAN，默认网关指向192.168.0.1。
VLAN1：192.168.1.0/24，内网主机设为192.168.1.10/24,直接与防火墙A 的eth1 接口连接
VLAN2：192.168.2.0/24
VLAN3：192.168.3.0/24
7、防火墙B 的内网是10.30.30.0/24，内网主机设为10.30.30.2/24, 直接与防火墙B 的eth1接口连接
8、防火墙A 的VLAN 和防火墙B 的内网在通过××× 进行互访

具体配置过程:

防火墙A的配置

1.进入“网络配置》接口”配置eth1 和eth2 的IP。打开eth1，点击“新建”，新建3个vlan 接口“vlan1，vlan2，vlan3”。提交完成后保存配置

2．进入“网络设置》基本配置》缺省网关”点击新建，添加网关IP。提交并保存。

3.进入“对象管理》地址对象》地址节点”点击“新建”，新建4 个子网：vlan1，vlan2，vlan3，远程子网。提交并保存。

4.进入“×××》IPsec》自动模式(IKE)”点击“新建阶段一”。在新建阶段一中填入参数，网关名称填：“防火墙B”，IP 地址填远程网关（防火墙B）的网关地址：172.31.118.1,模
式选择“主模式”，认证方式选择预共享密钥，预共享密钥填“123456”。点击提交。

5.点击“阶段二”右侧第一个小图标“新建阶段二”，出现新建阶段二的界面，在通道名称中填入“隧道一”，点击提交并保存。

6.进入“防火墙》安全策略”点击“新建”，新建安全策略。允许vlan1、vlan2、vlan3通过使用IPSEC 加密的××× 隧道“隧道1”访问“远程子网”。参数配置如下：源接口选择eth1，源地址选择vlan1（vlan2、vlan3），目的接口选择eth2，目的地址选择远程子网，服务选择any，时间表选择always，动作选择IPSEC，××× 通道选择隧道1，将“允许流入”、“允许流出”设置为可用。参数配置完毕后点击提交。启用安全策略并保存. 

7．参考上面的步骤，在防火墙B 上进行类似的配置，确保预共享密钥、加密算法等参数一致。
8．在防火墙A 或B 的内网口分别尝试访问对方的内网，若访问成功则表示××× 配置成功。

转载于:https://blog.51cto.com/yuntaoliu/537969