防火墙配置IPSec ***

最新推荐文章于 2024-06-20 11:09:42 发布
最新推荐文章于 2024-06-20 11:09:42 发布
阅读量2.6k 收藏 1
点赞数
原文链接:http://blog.51cto.com/13555515/2069585
版权

topo图:

防火墙配置IPSec ***

防火墙配置

FW1配置:

FW1(config)# inter g0
FW1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
FW1(config-if)# ip address 10.1.1.254 255.255.255.0
FW1(config-if)# no shutdown
FW1(config-if)# inter g1
FW1(config-if)# nameif internet
INFO: Security level for "internet" set to 0 by default
FW1(config-if)# security-level 50
FW1(config-if)# ip address 10.2.2.254 255.255.255.0
FW1(config-if)# no shutdown
FW1(config-if)# inter g2
FW1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
FW1(config-if)# ip address 200.0.0.1 255.255.255.0
FW1(config-if)# no shutdown
FW1(config-if)# q
测试:
FW1(config)# ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
FW1(config)# ping 10.2.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
FW1(config)# ping 200.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms

配置IPSec ×××:

FW1(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.2
FW1(config)# crypto ikev1 enable outside
FW1(config)# crypto ikev1 policy 1
FW1(config-ikev1-policy)# encryption aes
FW1(config-ikev1-policy)# hash sha
FW1(config-ikev1-policy)# authentication pre-share
FW1(config-ikev1-policy)# group 2
FW1(config-ikev1-policy)# q
FW1(config)# tunnel-group 200.0.0.2 type ipsec-l2l
FW1(config)# tunnel-group 200.0.0.2 ipsec-attributes
FW1(config-tunnel-ipsec)# ikev1 pre-shared-key hahui
FW1(config-tunnel-ipsec)# access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0
FW1(config)# crypto ipsec ikev1 transform-set hh-set esp-aes esp-sha-hmac
FW1(config)# crypto map hh-map 1 match address 100
FW1(config)# crypto map hh-map 1 set peer 200.0.0.2
FW1(config)# crypto map hh-map 1 set ikev1 transform-set hh-set
FW1(config)# crypto map hh-map interface outside
查看状态:
防火墙配置IPSec ***

FW2配置:

ciscoasa(config)# hostname FW2
FW2(config)# inter g0
FW2(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
FW2(config-if)# ip address 192.168.1.254 255.255.255.0
FW2(config-if)# no shutdown
FW2(config-if)# inter g1
FW2(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
FW2(config-if)# ip address 200.0.0.2 255.255.255.0
FW2(config-if)# no shutdown
FW2(config-if)# q
测试:
FW2(config)# ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
FW2(config)# ping 200.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms

配置IPSec ×××:

FW2(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.1
FW2(config)# crypto ikev1 enable outside
FW2(config)# crypto ikev1 policy 1
FW2(config-ikev1-policy)# encryption aes
FW2(config-ikev1-policy)# hash sha
FW2(config-ikev1-policy)# authentication pre-share
FW2(config-ikev1-policy)# group 2
FW2(config-ikev1-policy)# q
FW2(config)# tunnel-group 200.0.0.1 type ipsec-l2l
FW2(config)# tunnel-group 200.0.0.1 ipsec-attributes
FW2(config-tunnel-ipsec)# ikev1 pre-shared-key hahui
FW2(config-tunnel-ipsec)# access-list 100 permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
FW2(config)# crypto ipsec ikev1 transform-set hh-set esp-aes esp-sha-hmac
FW2(config)# crypto map hh-map 1 match address 100
FW2(config)# crypto map hh-map 1 set peer 200.0.0.1
FW2(config)# crypto map hh-map 1 set ikev1 transform-set hh-set
FW2(config)# crypto map hh-map interface outside
查看状态:
防火墙配置IPSec ***
测试,client1 访问server1
防火墙配置IPSec ***

配置PAT:

FW1(config)# object network ob-internet
FW1(config-network-object)# subnet 10.2.2.0 255.255.255.0
FW1(config-network-object)# nat (internet,outside) dynamic interface

抓包查看地址是否转换:(首先要允许icmp流量穿过防火墙)

防火墙配置IPSec ***
防火墙配置IPSec ***

转载于:https://blog.51cto.com/13555515/2069585

weixin_34221036
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙IPSec
jintiankaixin的博客
04-22 3074
防火墙作业要求 1.基于Linux虚拟机,安装、配置pfSense a)设置单层防火墙,限制外部主机访问localhost的全部端口; b)有条件的情况下,配置双层防火墙模式(一个虚拟机配置mysql,一个作为web服务器,在两者之间尝试设置一个防火墙); 2.安装Snort,与pfSense配合成为IDS工作模式。 IPSec作业 1.基于Windows的管理工具,在两个主机(或者虚拟机与主机,或两个虚拟机)之间配置端到端IPSec安全(AH模式,ESP模式,AH+ESP模式) a)抓取部署前的ping数
IPSec防火墙—Cisco实验
杰森斯坦陈的博客
04-07 1611
防火墙之间用vpn通信 **理论知识请见:**上一篇关于IPsec的文章 实验拓扑图: 局域网1——ASA1配置: ASA1> en Password: ASA1# conf t ASA1(config)# int e0/0 ASA1(config-if)# ip add 192.168.1.1 255.255.255.0 ASA1(config-if)# no sh ASA1(confi...
华为防火墙配置IPSEC实现二个站点间网络互通 隧道模式 web配置(二)
m0_60444349的博客
08-10 8600
企业IPSEC VPN组网方案目 录近年来,VPN技术以其可以利用公共网络资源,建立安全可靠、经济便捷、调整转输等特点引起了企业的广泛关注,随着信息化建设的深入以及解决企业分支机构与总部的资源共享和访问、端到端的数据转输的安全性等问题,VPN的应用也显示出它的强大优势。在各行业中基于VPN的解决方案已得到了成功应用,且能有效地降低企业组网成本,同时也为XX公司的信息化建设提供了可参加的模板。..............................
Fortinet 飞塔防火墙 IPSEC配置
最新发布
weixin_61960865的博客
06-20 782
由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。9、以上是隧道的建立,因为ipsec是基于路由或基于策略实现的所有还需要写好进出口的安全策略,以及出口的静态路由。(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是。
防火墙Ipsec vpn的配置
热门推荐
zljszn的博客
10-19 1万+
FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务,因为IKE的服务使用的事udp的500端口。rule name trust-untrust(双向访问,所以需要允许trust访问untrust区域,也需要允许untrust访问trust区域)4. 防火墙桥接物理网卡,开启网管界面,具体桥接的方式就不在介绍了,之前的文章有具体讲解ENSP怎么桥接物理网卡。ipsec配置(FW2也一样)
IPSEC的原理及配置步骤整理(一)
m0_60444349的博客
08-10 6388
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
IPSec防火墙中的配置
m0_63292411的博客
08-10 299
本次实验主要考察ipsec防火墙中的配置
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
华为防火墙IPSec站点到站点实验配置
05-17
该实验使用华为防火墙USG6000v,在两个局域网的出口网关之间建立IPSec隧道,实现局域网之间通过IPSec隧道互访。
win2003服务器通过ipsec防火墙配置方法
09-30
主要介绍了win2003服务器通过ipsec防火墙配置方法,需要的朋友可以参考下
飞塔FortiGate防火墙基础配置
04-23
FortiGate防火墙USG6000典型配置案例、IPSEC配置案例、SSL VPN配置案例、通过PPPoE接入互联网、通过PPPoE接入互联网、客户端L2TP over IPSec接入(VPN Client/Windows/Mac OS/Android/iOS、应用控制(限制P2P流量、...
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
防火墙配置IPsec vpn (超详细附带思路看完就会)
weixin_52557120的博客
06-18 9911
防火墙配置ipsec vpn ,按照思路去配置一般不会出现差错,防火墙其实就是默认拒绝所有流量的路由器,可以这么理解
eNSP—防火墙+IPSec 站点到站点的虚拟专用网络
m0_46237205的博客
04-10 4245
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略。
深信服防火墙对接华为企业路由IPsecVPN
cainiaoshi1122的博客
04-18 1453
华为路由与深信服防火墙对接IPsecVPN
ENSP 防火墙配置IPSecVPN点到多点
h1008685的博客
04-09 1281
ipsec点到多点配置详解,应用场景,web访问防火墙报错【关闭物理机防火墙
【华为_安全】防火墙IPsec双机实验
weixin_53337011的博客
12-08 2534
学习华为防火墙IPsec双机实验记录拓扑。
防火墙配置IPSec VPN【IPSecVPN概念及详细讲解】
h1008685的博客
04-08 1976
ipsecvpn技术详细讲解,防火墙配置ipsecNAT连用IPSecVPN问题解决思路
华为防火墙IPSec详解与配置实验
m0_68208233的博客
11-04 9665
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有限低于网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。
华为4个防火墙配置IPSEC实现4个站点间网络互通 隧道模式 web配置
06-03
华为防火墙可以通过配置IPSec VPN实现多个站点之间的网络互通。以下是配置IPSec VPN的步骤: 1. 创建IPSec策略。 在防火墙上创建IPSec策略,包括加密算法、认证算法、DH组和预共享密钥等。 2. 创建IKE策略。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值