某公司总部和分部之间要通过 Internet 进行通信,为保证信息安全,计划搭建 IPSec VPN 隧道对通信的数据进行加密。
1、总部和分部均使用防火墙联入互联网。
2、两台防火墙均工作在路由模式,总部防火墙位于公网出口,即边界处。
3、分部防火墙位于
NAT
设备后,需要通过
NAT
设备访问公网。
4、两台防火墙之间通过预共享密钥的方式搭建
VPN
自动隧道。
两台防火墙的具体参数如下表所示:
配置思路:
1. 配置基础网络功能,使防火墙内的主机能够正常访问互联网。
2. 配置 IKE 提议和 IKE 网关。
3. 配置 IPSec 提议和 IPSec 隧道。
4. 配置安全策略,放行相关流量。
配置防火墙 1
步骤
1
配置防火墙接口
IP
地址、源
NAT
、安全策略等,保证内网主机可以访问互 联网。具体步骤略。
步骤
2
进入
Web
配置界面,选择“网络配置
>
路由
>
静态路由”,单击“添 加”,配置默认路由。
步骤
3
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IKE
提议”页签,单击 “添加”,配置 IKE
提议。
说明:1、两台防火墙墙的认证方式必须一致。2、 加密算法,验证算法,DH 组两边可以配置多个,但是必须配置有相同的选项,例如:防火墙 1 配置加密算法 3des,防火墙 2 配置加密算法 3des,aes-128。
步骤
4
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec IKE
网关”页签, 单“添加”,配置 IKE
网关,勾选“
NAT
穿越”选项。
说明:两边接口的协商模式,预共享密钥必须一致,否则隧道协商失败。
步骤
5
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec
提议”页签,配 置 IPSec
提议。
步骤
6
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec
隧道”页签,配 置 IPSec
隧道。
步骤 7 选择“策略配置 > 安全策略”,单击“添加”,配置安全策略。
说明:防火墙匹配安全策略时,是按照从上到下的顺序进行匹配。因此,安全策略配置完成后,请根据实际组网合理调整隧道相关安全策略的顺序,防止因为 流量匹配到错误的安全策略,导致业务不通的情况发生。
配置防火墙 2
步骤
1
配置防火墙接口
IP
地址、源
NAT
、安全策略等,保证内网主机可以访问互 联网。具体步骤略。
步骤
2
进入
Web
配置界面,选择“网络配置
>
路由
>
静态路由”,单击“添 加”,配置默认路由。
步骤 3 选择“网络配置 > VPN > IPSec 自动隧道”,选择“IKE 提议”页签,单击 “添加”,配置 IKE 提议。
说明: 两侧防火墙的认证方式必须一致。 加密算法,验证算法,DH 组两边可以配置多个,但是必须配置有相 同的选项,例如:防火墙 1 配置加密算法 3des,防火墙 2 配置加密算法 3des,aes-128。
步骤
4
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec IKE
网关”页签,
单击“添加”,配置
IKE
网关。注意必须勾选“
MAT
穿越”选项。
步骤
5
选择“网络配置
> VPN > IPSec
隧道”,选择“
IPSec
提议”页签,配置
IPSec
提议。
步骤
6
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec
隧道”页签,配
置
IPSec
隧道。
步骤
7
选择“策略配置
>
安全策略”,单击“添加”,配置安全策略。
−
进入隧道的策略
说明:防火墙匹配安全策略时,是按照从上到下的顺序进行匹配。因此,安全策略 配置完成后,请根据实际组网合理调整隧道相关安全策略的顺序,防止因为 流量匹配到错误的安全策略,导致业务不通的情况发生。
结果验证:在防火墙两侧配置完成后,如果勾选了“自动连接”选项,系统会自动协商 隧道参数并建立连接。此时,在“数据中心 > 监控 > 隧道监控”界面中, 可以看到相应的 IPSec VPN 隧道的连接状态。