網絡運維|防火墻的IPSecVPN典型應用案例

2020-06-09 16:54 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，在這里介紹下防火墻點到點的IPSecVPN應用實例，網絡安全運維，從Web管理輕松學起,一步一步學成網絡安全運維大神。

網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+

北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維修信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+

北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

配置點到點場景下的IPSec

點到點VPN即局域網到局域網的VPN（LAN to LAN VPN）或網關到網關VPN（Gateway to Gateway VPN），本節介紹如何使用Web界面完成點到點場景下的IPSec隧道配置。

配置IPSec策略

在點到點場景中，本端希望與另一臺VPN網關建立IPSec隧道，以使兩臺設備所連的私網可以相互通信。如果希望本端可以主動發起訪問，那么就要求對端網關需要擁有固定的IP地址或域名。如果兩端網關都擁有固定的IP地址或域名，這樣兩者就可以相互發起訪問。
這種場景經常用于同一公司內多個機構，或者公司與合作伙伴之間建立VPN。
要配置這種場景的IPSec策略，需要在配置前至少完成以下工作：

• 獲知對端網關的IP地址或域名。
• 兩端網關的管理員協商一段字符串作為密鑰（預共享密鑰方式）或者使用相同的證書認證體系（證書方式）。
• 獲知對端網絡的私網地址范圍。

1. 選擇“VPN > IPSec > IPSec”。
2. 單擊“新建”，建立一條IPSec策略。
3. 選擇“場景”為“點到點”。
4. 可選：配置IPSec策略的基本信息。

參數	說明
策略名稱	輸入IPSec策略的名稱。
本端接口	從下拉列表中選擇應用IPSec策略的接口。該接口應為本端與對端相連的接口，通常為設備的公網接口。本端將使用該接口與對端建立隧道。
本端接口IP地址	從下拉列表中選擇本端設備與對端設備建立隧道所使用的IP地址。當“本端接口”配置了多個IP地址時，可以從中任選一個，只要對端可以正常訪問此IP地址即可。 在雙機熱備組網中，請選擇本端接口對應的虛擬IP。

5. 配置雙方相互校驗的校驗參數。

為了保證IPSec隧道的安全性，必須防止非法客戶端接入，因此需要通過一系列參數來對對端的合法性進行校驗。同時為了通過對端的合法性校驗，本端也需要提供一些相應的參數。

參數	說明
對端地址	輸入對端網關所使用的IP地址或域名，例如1.1.1.1或testl.com。 一般需要配置IP或域名，以限定可接入的對端。如果對端地址沒有固定的IP地址和域名，可以不輸入本參數。此時本端網關不能主動發起協商。
預共享密鑰	在此填入雙方管理員約定的密鑰字符串。
本端ID	本端ID用于標識本端設備的身份，供對端設備認證自身的合法性。需要與對端設備上設置的“對端ID”參數保持一致。 IP地址：使用“本端接口IP地址”作為本端ID，不可修改。 FQDN（域名）：默認使用本端設備的設備名稱作為本端ID，可修改為其他字符串。 User-FQDN（電子郵件）：默認使用本端設備的設備名稱作為本端ID，可修改為其他字符串。
對端ID	對端ID用于認證對端設備的身份。類型與值都需要與對端設備上設置的“本端ID”參數保持一致。 如果不需要認證，接受任意ID的請求，請選擇“接受任意對端ID”。 如果不限定ID類型，只要字符串匹配即可，請選擇“任意類型”。

6. 配置IPSec隧道需要加密的數據流。

通常情況下只有部分數據流需要進入隧道發往對端私網，還有一部分數據流需要直接進入Internet。為了避免這些本來需要訪問Internet的數據流進入隧道，需要配置流量規則來限定可以進入隧道的數據流。

• 在流量規則列表中可以添加多條規則，流量將從上到下依次匹配規則，匹配成功則根據動作處理，不再繼續匹配后續的規則。
• ID為“默認”的規則表示所有流量都不進行加密，這條規則放在最后用于防止無需加密的流量進入IPSec隧道，該規則不可刪除和修改。
• 在對端需要配置鏡像規則，即兩端除源和目的相反外，其他參數保持一致：對端“源地址”/“源端口”=本端“目的地址”/“目的端口”。對端“目的地址”/“目的端口”=本端“源地址”/“源端口”。

例如以下兩條規則即互為鏡像規則：

	源地址	目的地址	協議	源端口	目的端口	動作
本端規則	192.168.10.0/24	10.1.1.1	TCP	any	80	加密
對端鏡像規則	10.1.1.1	192.168.10.0/24	TCP	80	any	加密

單擊“待加密的數據流”中的“新建”。

參數	說明
源地址	輸入允許進入隧道的數據流的源地址，通常為本端內網中需要保護的私網網段。 可以輸入單個IP地址（例如192.168.1.1）或網段（例如192.168.1.0/24或者192.168.1.0/255.255.255.0）。
目的地址	輸入允許進入隧道的數據流的目的地址，通常為對端內網中需要訪問的私網網段。 可以輸入單個IP地址（例如10.1.1.1）或網段（例如10.1.1.0/24或者10.1.1.0/255.255.255.0）。
協議	輸入允許進入隧道的數據流的協議。 配置TCP、UDP或ICMP協議可以對指定業務的流量進行加密。例如配置TCP的80端口對HTTP業務加密，配置UDP的69端口對TFTP業務加密。 如果不清楚具體協議和端口，或者不需要限制協議，可以不配置本參數，或者配置為“any”。
源端口	當“協議”選擇“TCP”或“UDP”時會出現本參數。 輸入允許進入隧道的數據流的源端口號。
目的端口	當“協議”選擇“TCP”或“UDP”時會出現本參數。 輸入允許進入隧道的數據流的目的端口號。
動作	選擇對滿足上述條件的流量進行處理。 選擇“加密”表示允許該條數據流進入隧道。 選擇“不加密”表示不允許該條流量進入隧道。 “不加密”動作主要用于排除一些客戶端，使其流量不進入隧道。例如需要對192.168.1.0/24網段內除192.168.1.2以外的所有主機進行加密，可以利用規則的匹配優先級，先配置一條對192.168.1.2主機不加密的規則，再配置一條對192.168.1.0/24網段加密的規則。

根據需要可以選擇配置是否進行“反向路由注入”。開啟“反向路由注入”后，設備將把到達對端保護的網段的路由自動引入到路由表，從而不用管理員手工配置路由。此功能一般在與多個分支對接的總部網關上配置。
輸入注入路由的優先級，從而更靈活地應用路由管理策略。例如，如果設備上還有其它方式配置的到達相同目的地址的路由，可以為它們指定相同優先級來可實現負載分擔，也可指定不同優先級來實現路由備份。

7. 可選：配置安全提議中高級參數。

系統預置了多組默認的安全提議參數，可展開“高級”選項查看。如果默認提議不能滿足協商要求，可以修改“高級”中的參數。要求除“SA超時時間”之外，所有參數需要兩端存在相同選項。
展開“高級”。
其中算法類參數所提供的多個選擇，在列表中位置越高，代表其安全性越高。如果選擇了多個算法，那么實際協商時將根據參數在列表中位置從高到低依次嘗試，直至協商成功。

參數	說明
IKE參數
IKE版本	選擇“v1”或“v2”來確定與對端進行IKE協商時所使用的協議版本。關于IKE不同版本的詳細信息，請參見IPSec安全聯盟。 同時選擇兩種版本表示可響應v1和v2兩個版本的IKE請求，但是主動發起請求時只使用v2版本。
協商模式	選擇IKE的協商模式。關于協商模式的詳細信息，請參見IKEv1協商安全聯盟的過程（階段1）。 自動：在響應協商時可接受主模式和野蠻模式，在發起協商時使用主模式。 主模式：強制使用主模式協商。主模式更安全。 野蠻模式：強制使用野蠻模式協商。野蠻模式更快速。
加密算法	選擇保證數據不被竊取的加密算法。關于加密算法的詳細信息，請參見加密。
認證算法	選擇保證數據發送源可靠的認證算法。關于認證算法的詳細信息，請參見驗證。
完整性算法	當“IKE版本”選擇了“v2”時會出現本參數。 使用IKEv2版本時，選擇保證數據不被篡改的完整性算法。關于完整性算法的詳細信息，請參見驗證。
DH組	選擇密鑰交換方法。關于密鑰交換方法的詳細信息，請參見密鑰交換。
SA超時時間	為了保證隧道的安全，避免其在公網上存在過久，增加被攻擊的風險，可以設定一個超時時間。當一定時間內隧道內沒有流量可以自動拆除隧道，等后續有流量時再重新建立。 輸入超時時間，單位為秒。
IPSec參數
封裝模式	選擇IPSec的封裝模式。關于封裝模式的詳細信息，請參見封裝模式。 自動：當設備作為發起端時，采用隧道模式封裝報文；當設備作為接收端時，可以接受隧道模式和傳輸模式兩種封裝模式。 隧道模式：只保護報文載荷部分，常用于VPN網關之間建立隧道。 傳輸模式：保證整個報文，常用于移動終端與VPN網關建立隧道。
安全協議	選擇IPSec的安全協議。關于安全協議的詳細信息，請參見安全協議。 AH：提供對整個報文的認證能力，但是不提供加密能力。 ESP：提供對報文載荷的加密和認證能力。 AH-ESP：提供對整個報文的加密和認證能力。
ESP加密算法	當“安全協議”選擇“ESP”或“AH-ESP”后會出現本參數。 選擇保證數據不被竊取的加密算法。關于加密算法的詳細信息，請參見加密。
ESP認證算法	當“安全協議”選擇“ESP”或“AH-ESP”后會出現本參數。 選擇保證數據發送源可靠的認證算法。關于認證算法的詳細信息，請參見驗證。
AH認證算法	當“安全協議”選擇“AH”或“AH-ESP”后會出現本參數。 選擇保證數據發送源可靠的認證算法。關于認證算法的詳細信息，請參見驗證。
PFS	選擇密鑰交換方法。關于密鑰交換方法的詳細信息，請參見密鑰交換。 組號越大密鑰越長，安全性越高。選擇“NONE”表示不進行額外的密鑰交換。
SA超時	IPSec隧道將在建立時間或者傳輸流量大小達到閾值時重新協商以保證安全性。 在“基于時間”中輸入重協商間隔時間。在“基于流量”中輸入流量閾值。只要IPSec隧道建立后，滿足其中任意一個條件，IPSec SA就會開始重協商。重協商不會導致當前隧道中斷。
DPD狀態檢測
檢測方式	開啟“DPD狀態檢測”后，設備會自動發送DPD報文檢測對端是否存活，以便及時拆除錯誤的隧道。 可以有兩種檢測方式： 周期性發送：“檢測時間間隔”內未收到對端報文則發送一次DPD報文。 需要時才發送：“檢測時間間隔”內未收到對端報文，且本端需要通信時發送一次DPD報文。 對于使用IKEv1的隧道，此功能需要兩端同時開啟或關閉。在發送DPD報文后，在“重傳時間間隔”內未收到回應報文，會被記錄為一次失敗時間。當連續發生五個失敗事件后，則認為對端已經失效，設備會自動拆除隧道。 對于使用IKEv2的隧道，此功能只需一端開啟就可檢測成功。發送DPD報文的間隔時間不按照“重傳時間間隔”，而是以指數形式增長（發送DPD報文1后，隔1秒發報文2，再隔2秒發報文3，再隔4秒發報文4，依次類推），一直到間隔64秒后發送報文8。如果還收到回應報文，在報文8發送后的128秒時，隧道會被自動個拆除。整個過程耗時約半個小時。
檢測時間間隔	輸入“檢測時間間隔”，單位為秒。
重傳時間間隔	輸入“重傳時間間隔”，單位為秒。僅對IKEv1有效。
NAT穿越	當兩端之間存在NAT設備時，請選擇此選項。 開啟NAT穿越功能后，設備會在普通IPSec報文基礎上增加UDP頭封裝。當IPSec報文經過NAT設備時，NAT設備會對該報文的外層IP頭和增加的UDP報頭進行地址和端口號轉換。這樣NAT設備對報文IP的轉換就不會破壞原始IPSec報文的完整性，使其可以被對端網關正常接收。

8. 單擊“應用”，新配置的IPSec策略將出現在策略列表中。

查看和導出推薦的對端配置

由于在IPSec的協商過程中，雙方參數的一致性非常重要，所以設備提供了“推薦對端配置”功能。此功能可以列出能夠協商成功的對端配置，可以導出該配置發送給對端網關的管理員參考配置。

1. 在IPSec策略的“新建”和“修改”界面，點擊位于界面右側中間位置的“推薦對端配置”按鈕，如下圖所示。

2. 在界面右側會展開顯示推薦對端配置的簡要信息。單擊展開區域右上角的“導出”按鈕，將詳細配置介紹導出成網頁文件保存至本地，如下圖所示。

3. 將導出的網頁文件發送給對端網管的管理員參考。