网络运维|防火墙的IPSecVPN典型应用案例

2020-06-09 16:54 作者：艾锑无限 浏览量：

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下防火墙点到点的IPSecVPN应用实例，网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。

网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+

北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+

北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

配置点到点场景下的IPSec

点到点VPN即局域网到局域网的VPN（LAN to LAN VPN）或网关到网关VPN（Gateway to Gateway VPN），本节介绍如何使用Web界面完成点到点场景下的IPSec隧道配置。

配置IPSec策略

在点到点场景中，本端希望与另一台VPN网关建立IPSec隧道，以使两台设备所连的私网可以相互通信。如果希望本端可以主动发起访问，那么就要求对端网关需要拥有固定的IP地址或域名。如果两端网关都拥有固定的IP地址或域名，这样两者就可以相互发起访问。
这种场景经常用于同一公司内多个机构，或者公司与合作伙伴之间建立VPN。
要配置这种场景的IPSec策略，需要在配置前至少完成以下工作：

• 获知对端网关的IP地址或域名。
• 两端网关的管理员协商一段字符串作为密钥（预共享密钥方式）或者使用相同的证书认证体系（证书方式）。
• 获知对端网络的私网地址范围。

1. 选择“VPN > IPSec > IPSec”。
2. 单击“新建”，建立一条IPSec策略。
3. 选择“场景”为“点到点”。
4. 可选：配置IPSec策略的基本信息。

参数	说明
策略名称	输入IPSec策略的名称。
本端接口	从下拉列表中选择应用IPSec策略的接口。该接口应为本端与对端相连的接口，通常为设备的公网接口。本端将使用该接口与对端建立隧道。
本端接口IP地址	从下拉列表中选择本端设备与对端设备建立隧道所使用的IP地址。当“本端接口”配置了多个IP地址时，可以从中任选一个，只要对端可以正常访问此IP地址即可。 在双机热备组网中，请选择本端接口对应的虚拟IP。

5. 配置双方相互校验的校验参数。

为了保证IPSec隧道的安全性，必须防止非法客户端接入，因此需要通过一系列参数来对对端的合法性进行校验。同时为了通过对端的合法性校验，本端也需要提供一些相应的参数。

参数	说明
对端地址	输入对端网关所使用的IP地址或域名，例如1.1.1.1或testl.com。 一般需要配置IP或域名，以限定可接入的对端。如果对端地址没有固定的IP地址和域名，可以不输入本参数。此时本端网关不能主动发起协商。
预共享密钥	在此填入双方管理员约定的密钥字符串。
本端ID	本端ID用于标识本端设备的身份，供对端设备认证自身的合法性。需要与对端设备上设置的“对端ID”参数保持一致。 IP地址：使用“本端接口IP地址”作为本端ID，不可修改。 FQDN（域名）：默认使用本端设备的设备名称作为本端ID，可修改为其他字符串。 User-FQDN（电子邮件）：默认使用本端设备的设备名称作为本端ID，可修改为其他字符串。
对端ID	对端ID用于认证对端设备的身份。类型与值都需要与对端设备上设置的“本端ID”参数保持一致。 如果不需要认证，接受任意ID的请求，请选择“接受任意对端ID”。 如果不限定ID类型，只要字符串匹配即可，请选择“任意类型”。

6. 配置IPSec隧道需要加密的数据流。

通常情况下只有部分数据流需要进入隧道发往对端私网，还有一部分数据流需要直接进入Internet。为了避免这些本来需要访问Internet的数据流进入隧道，需要配置流量规则来限定可以进入隧道的数据流。

• 在流量规则列表中可以添加多条规则，流量将从上到下依次匹配规则，匹配成功则根据动作处理，不再继续匹配后续的规则。
• ID为“默认”的规则表示所有流量都不进行加密，这条规则放在最后用于防止无需加密的流量进入IPSec隧道，该规则不可删除和修改。
• 在对端需要配置镜像规则，即两端除源和目的相反外，其他参数保持一致：对端“源地址”/“源端口”=本端“目的地址”/“目的端口”。对端“目的地址”/“目的端口”=本端“源地址”/“源端口”。

例如以下两条规则即互为镜像规则：

	源地址	目的地址	协议	源端口	目的端口	动作
本端规则	192.168.10.0/24	10.1.1.1	TCP	any	80	加密
对端镜像规则	10.1.1.1	192.168.10.0/24	TCP	80	any	加密

单击“待加密的数据流”中的“新建”。

参数	说明
源地址	输入允许进入隧道的数据流的源地址，通常为本端内网中需要保护的私网网段。 可以输入单个IP地址（例如192.168.1.1）或网段（例如192.168.1.0/24或者192.168.1.0/255.255.255.0）。
目的地址	输入允许进入隧道的数据流的目的地址，通常为对端内网中需要访问的私网网段。 可以输入单个IP地址（例如10.1.1.1）或网段（例如10.1.1.0/24或者10.1.1.0/255.255.255.0）。
协议	输入允许进入隧道的数据流的协议。 配置TCP、UDP或ICMP协议可以对指定业务的流量进行加密。例如配置TCP的80端口对HTTP业务加密，配置UDP的69端口对TFTP业务加密。 如果不清楚具体协议和端口，或者不需要限制协议，可以不配置本参数，或者配置为“any”。
源端口	当“协议”选择“TCP”或“UDP”时会出现本参数。 输入允许进入隧道的数据流的源端口号。
目的端口	当“协议”选择“TCP”或“UDP”时会出现本参数。 输入允许进入隧道的数据流的目的端口号。
动作	选择对满足上述条件的流量进行处理。 选择“加密”表示允许该条数据流进入隧道。 选择“不加密”表示不允许该条流量进入隧道。 “不加密”动作主要用于排除一些客户端，使其流量不进入隧道。例如需要对192.168.1.0/24网段内除192.168.1.2以外的所有主机进行加密，可以利用规则的匹配优先级，先配置一条对192.168.1.2主机不加密的规则，再配置一条对192.168.1.0/24网段加密的规则。

根据需要可以选择配置是否进行“反向路由注入”。开启“反向路由注入”后，设备将把到达对端保护的网段的路由自动引入到路由表，从而不用管理员手工配置路由。此功能一般在与多个分支对接的总部网关上配置。
输入注入路由的优先级，从而更灵活地应用路由管理策略。例如，如果设备上还有其它方式配置的到达相同目的地址的路由，可以为它们指定相同优先级来可实现负载分担，也可指定不同优先级来实现路由备份。

7. 可选：配置安全提议中高级参数。

系统预置了多组默认的安全提议参数，可展开“高级”选项查看。如果默认提议不能满足协商要求，可以修改“高级”中的参数。要求除“SA超时时间”之外，所有参数需要两端存在相同选项。
展开“高级”。
其中算法类参数所提供的多个选择，在列表中位置越高，代表其安全性越高。如果选择了多个算法，那么实际协商时将根据参数在列表中位置从高到低依次尝试，直至协商成功。

参数	说明
IKE参数
IKE版本	选择“v1”或“v2”来确定与对端进行IKE协商时所使用的协议版本。关于IKE不同版本的详细信息，请参见IPSec安全联盟。 同时选择两种版本表示可响应v1和v2两个版本的IKE请求，但是主动发起请求时只使用v2版本。
协商模式	选择IKE的协商模式。关于协商模式的详细信息，请参见IKEv1协商安全联盟的过程（阶段1）。 自动：在响应协商时可接受主模式和野蛮模式，在发起协商时使用主模式。 主模式：强制使用主模式协商。主模式更安全。 野蛮模式：强制使用野蛮模式协商。野蛮模式更快速。
加密算法	选择保证数据不被窃取的加密算法。关于加密算法的详细信息，请参见加密。
认证算法	选择保证数据发送源可靠的认证算法。关于认证算法的详细信息，请参见验证。
完整性算法	当“IKE版本”选择了“v2”时会出现本参数。 使用IKEv2版本时，选择保证数据不被篡改的完整性算法。关于完整性算法的详细信息，请参见验证。
DH组	选择密钥交换方法。关于密钥交换方法的详细信息，请参见密钥交换。
SA超时时间	为了保证隧道的安全，避免其在公网上存在过久，增加被攻击的风险，可以设定一个超时时间。当一定时间内隧道内没有流量可以自动拆除隧道，等后续有流量时再重新建立。 输入超时时间，单位为秒。
IPSec参数
封装模式	选择IPSec的封装模式。关于封装模式的详细信息，请参见封装模式。 自动：当设备作为发起端时，采用隧道模式封装报文；当设备作为接收端时，可以接受隧道模式和传输模式两种封装模式。 隧道模式：只保护报文载荷部分，常用于VPN网关之间建立隧道。 传输模式：保证整个报文，常用于移动终端与VPN网关建立隧道。
安全协议	选择IPSec的安全协议。关于安全协议的详细信息，请参见安全协议。 AH：提供对整个报文的认证能力，但是不提供加密能力。 ESP：提供对报文载荷的加密和认证能力。 AH-ESP：提供对整个报文的加密和认证能力。
ESP加密算法	当“安全协议”选择“ESP”或“AH-ESP”后会出现本参数。 选择保证数据不被窃取的加密算法。关于加密算法的详细信息，请参见加密。
ESP认证算法	当“安全协议”选择“ESP”或“AH-ESP”后会出现本参数。 选择保证数据发送源可靠的认证算法。关于认证算法的详细信息，请参见验证。
AH认证算法	当“安全协议”选择“AH”或“AH-ESP”后会出现本参数。 选择保证数据发送源可靠的认证算法。关于认证算法的详细信息，请参见验证。
PFS	选择密钥交换方法。关于密钥交换方法的详细信息，请参见密钥交换。 组号越大密钥越长，安全性越高。选择“NONE”表示不进行额外的密钥交换。
SA超时	IPSec隧道将在建立时间或者传输流量大小达到阈值时重新协商以保证安全性。 在“基于时间”中输入重协商间隔时间。在“基于流量”中输入流量阈值。只要IPSec隧道建立后，满足其中任意一个条件，IPSec SA就会开始重协商。重协商不会导致当前隧道中断。
DPD状态检测
检测方式	开启“DPD状态检测”后，设备会自动发送DPD报文检测对端是否存活，以便及时拆除错误的隧道。 可以有两种检测方式： 周期性发送：“检测时间间隔”内未收到对端报文则发送一次DPD报文。 需要时才发送：“检测时间间隔”内未收到对端报文，且本端需要通信时发送一次DPD报文。 对于使用IKEv1的隧道，此功能需要两端同时开启或关闭。在发送DPD报文后，在“重传时间间隔”内未收到回应报文，会被记录为一次失败时间。当连续发生五个失败事件后，则认为对端已经失效，设备会自动拆除隧道。 对于使用IKEv2的隧道，此功能只需一端开启就可检测成功。发送DPD报文的间隔时间不按照“重传时间间隔”，而是以指数形式增长（发送DPD报文1后，隔1秒发报文2，再隔2秒发报文3，再隔4秒发报文4，依次类推），一直到间隔64秒后发送报文8。如果还收到回应报文，在报文8发送后的128秒时，隧道会被自动个拆除。整个过程耗时约半个小时。
检测时间间隔	输入“检测时间间隔”，单位为秒。
重传时间间隔	输入“重传时间间隔”，单位为秒。仅对IKEv1有效。
NAT穿越	当两端之间存在NAT设备时，请选择此选项。 开启NAT穿越功能后，设备会在普通IPSec报文基础上增加UDP头封装。当IPSec报文经过NAT设备时，NAT设备会对该报文的外层IP头和增加的UDP报头进行地址和端口号转换。这样NAT设备对报文IP的转换就不会破坏原始IPSec报文的完整性，使其可以被对端网关正常接收。

8. 单击“应用”，新配置的IPSec策略将出现在策略列表中。

查看和导出推荐的对端配置

由于在IPSec的协商过程中，双方参数的一致性非常重要，所以设备提供了“推荐对端配置”功能。此功能可以列出能够协商成功的对端配置，可以导出该配置发送给对端网关的管理员参考配置。

1. 在IPSec策略的“新建”和“修改”界面，点击位于界面右侧中间位置的“推荐对端配置”按钮，如下图所示。

2. 在界面右侧会展开显示推荐对端配置的简要信息。单击展开区域右上角的“导出”按钮，将详细配置介绍导出成网页文件保存至本地，如下图所示。

3. 将导出的网页文件发送给对端网管的管理员参考。