网络运维|防火墙的IPSecVPN典型应用案例

2020-06-11 17:18 作者：艾锑无限 浏览量：

网络运维|防火墙的IPSecVPN典型应用案例
大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下防火墙点到多点的IPSecVPN应用实例，网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
 

 配置点到多点场景下的IPSec

点到多点多用于一个总部与多个分支建立IPSec的场景。本节介绍如何使用Web界面完成点到多点场景下的IPSec隧道配置。

配置IPSec策略

在点到多点场景中，本端希望与多台VPN网关、客户端（便携计算机、手机、平板电脑等等设备）同时建立多条IPSec隧道，实现这些设备或所连私网的互联。这些设备的IP地址通常是不固定的，也没有可用的域名。
这种场景经常用于总部与出差员工之间建立VPN。它要求总部拥有固定的IP地址或域名，由出差员工发起访问。
要配置这种场景的IPSec策略，需要在配置前至少完成以下工作：

• 获取可能接入的设备类型。不同的设备类型将使用不同的协议。VPN网关使用IPSec协议，客户端通常使用L2TP over IPSec协议或者IKEv2协议。
• 总部网关的管理员与出差员工协商一段字符串作为密钥（预共享密钥方式）或者使用相同的证书认证体系（RSA签名方式、RSA数字信封方式或SM2数字信封方式）。
• 配置相应的用户组及其认证方式。移动终端接入时都要进行用户认证，以保证其合法性。在配置IPSec策略前需要提前创建好相应的用户组。
• 设定为对端分配的私网IP地址范围。这种场景下通常需要总部为接入的设备分配一个私网地址，以使其可以与总部内网内的网络设备正常通信。

1. 选择“VPN > IPSec > IPSec”。
2. 单击“新建”，建立一条IPSec策略。
3. 选择“场景”为“点到多点”。
4. 可选：配置IPSec策略的基本信息。

参数	说明
策略名称	输入IPSec策略的名称。
本端接口	从下拉列表中选择应用IPSec策略的接口。该接口应为本端与对端相连的接口，通常为设备的公网接口。本端将使用该接口与对端建立隧道。
本端接口IP地址	从下拉列表中选择本端设备与对端设备建立隧道所使用的IP地址。当“本端接口”配置了多个IP地址时，可以从中任选一个，只要对端可以正常访问此IP地址即可。 在双机热备组网中，请选择本端接口对应的虚拟IP。

5. 根据实际需要接入的设备在“对端接入类型”中选择客户端类型。
   • 分支网关：使用IPSec协议接入的VPN网关。
   • L2TP over IPSec客户端：使用L2TP over IPSec协议接入的客户端。例如PC、iPhone/iPad、安卓设备等。
   • IKE V2客户端：使用IKE v2协议接入的客户端。例如PC（Win7)、无线AP等。
6. 配置双方相互校验的校验参数。

为了保证IPSec隧道的安全性，必须防止非法客户端接入，因此需要通过一系列参数来对对端的合法性进行校验。同时为了通过对端的合法性校验，本端也需要提供一些相应的参数。

参数	说明
对端地址	输入对端网关所使用的IP地址或域名，例如1.1.1.1或testl.com。 一般需要配置IP或域名，以限定可接入的对端。如果对端地址没有固定的IP地址和域名，可以不输入本参数。此时本端网关不能主动发起协商。
预共享密钥	在此填入双方管理员约定的密钥字符串。
本端ID	本端ID用于标识本端设备的身份，供对端设备认证自身的合法性。需要与对端设备上设置的“对端ID”参数保持一致。 IP地址：使用“本端接口IP地址”作为本端ID，不可修改。 FQDN（域名）：默认使用本端设备的设备名称作为本端ID，可修改为其他字符串。 User-FQDN（电子邮件）：默认使用本端设备的设备名称作为本端ID，可修改为其他字符串。
对端ID	对端ID用于认证对端设备的身份。类型与值都需要与对端设备上设置的“本端ID”参数保持一致。 如果不需要认证，接受任意ID的请求，请选择“接受任意对端ID”。 如果不限定ID类型，只要字符串匹配即可，请选择“任意类型”。

7. 可选：配置接入客户端的用户/用户组信息。

当“对端接入类型”勾选了“L2TP over IPSec客户端”或“IKE V2客户端”时会出现本配置项。只有这两种类型的接入客户端才可以进行用户认证。

参数	说明
用户组	从下拉列表中选择已经创建好的用户组。
用户地址池	输入给接入用户分配的私网地址范围，例如192.168.1.1或者192.168.1.1-192.168.1.254。

如果用户组尚未创建好，可以从下拉列表中选择“新建用户组”按钮立即新建一个用户组。
如果需要向现有用户组中添加用户，可以单击“用户组”右侧的“配置”按钮对用户组进行修改。如下图所示：

在弹出的“新建用户组”或“修改用户组”对话框中，单击“本地用户列表”中的“新建”按钮，可以立即在该组中新建用户。

参数	说明
用户名	输入该用户的用户名。
密码	输入该用户的密码。
确认密码	重新输入一遍该用户的密码。
分配固定IP	如果希望该用户接入后总是得到同一个私网IP，可以输入希望给其固定分配的私网IP地址。 该选项仅对L2TP用户有效，对IKEv2用户无效。

8. 配置待加密的数据流。

本场景中，系统会自动匹配需要加密的数据流，不需要配置“待加密的数据流”。
根据需要可以选择配置是否进行“反向路由注入”。开启“反向路由注入”后，设备将把到达对端保护的网段的路由自动引入到路由表，从而不用管理员手工配置路由。此功能一般在与多个分支对接的总部网关上配置。
输入注入路由的“优先级”，从而更灵活地应用路由管理策略。例如，如果设备上还有其它方式配置的到达相同目的地址的路由，可以为它们指定相同优先级来可实现负载分担，也可指定不同优先级来实现路由备份。

9. 可选：配置安全提议中高级参数。
   • 通常如果需要支持的终端类型特别多，可以不在总部侧限定允许接入的安全提议参数。此时只需要勾选“安全提议”中“接受对端提议”即可保证总部与所有客户端之间正常建立隧道。勾选之后表示如果对端发起隧道建立请求，本端完全接受对端提议的算法参数，以保证隧道协商成功。此时的隧道安全性由对端配置决定，本端不需要配置高级参数。
   • 如果总部对安全提议有特殊要求，则可以调整本端的对应参数以保证安全性。

取消勾选“安全提议”中“接受对端提议”，展开“高级”。
其中算法类参数所提供的多个选择，在列表中位置越高，代表其安全性越高。如果该参数支持多选，那么实际协商时将根据参数在列表中位置从高到低依次尝试，直至协商成功。

参数	说明
IKE参数
IKE版本	选择“v1”或“v2”来确定与对端进行IKE协商时所使用的协议版本。关于IKE不同版本的详细信息，请参见IPSec安全联盟。 同时选择两种版本表示可响应v1和v2两个版本的IKE请求，但是主动发起请求时只使用v2版本。
协商模式	选择IKE的协商模式。关于协商模式的详细信息，请参见IKEv1协商安全联盟的过程（阶段1）。 自动：在响应协商时可接受主模式和野蛮模式，在发起协商时使用主模式。 主模式：强制使用主模式协商。主模式更安全。 野蛮模式：强制使用野蛮模式协商。野蛮模式更快速。
加密算法	选择保证数据不被窃取的加密算法。关于加密算法的详细信息，请参见加密。
认证算法	选择保证数据发送源可靠的认证算法。关于认证算法的详细信息，请参见验证。
完整性算法	当“IKE版本”选择了“v2”时会出现本参数。 使用IKEv2版本时，选择保证数据不被篡改的完整性算法。关于完整性算法的详细信息，请参见验证。
DH组	选择密钥交换方法。关于密钥交换方法的详细信息，请参见密钥交换。
SA超时时间	为了保证隧道的安全，避免其在公网上存在过久，增加被攻击的风险，可以设定一个超时时间。当一定时间内隧道内没有流量可以自动拆除隧道，等后续有流量时再重新建立。 输入超时时间，单位为秒。
IPSec参数
封装模式	选择IPSec的封装模式。关于封装模式的详细信息，请参见封装模式。 自动：当设备作为发起端时，采用隧道模式封装报文；当设备作为接收端时，可以接受隧道模式和传输模式两种封装模式。 隧道模式：只保护报文载荷部分，常用于VPN网关之间建立隧道。 传输模式：保证整个报文，常用于移动终端与VPN网关建立隧道。
安全协议	选择IPSec的安全协议。关于安全协议的详细信息，请参见安全协议。 AH：提供对整个报文的认证能力，但是不提供加密能力。 ESP：提供对报文载荷的加密和认证能力。 AH-ESP：提供对整个报文的加密和认证能力。
ESP加密算法	当“安全协议”选择“ESP”或“AH-ESP”后会出现本参数。 选择保证数据不被窃取的加密算法。关于加密算法的详细信息，请参见加密。
ESP认证算法	当“安全协议”选择“ESP”或“AH-ESP”后会出现本参数。 选择保证数据发送源可靠的认证算法。关于认证算法的详细信息，请参见验证。
AH认证算法	当“安全协议”选择“AH”或“AH-ESP”后会出现本参数。 选择保证数据发送源可靠的认证算法。关于认证算法的详细信息，请参见验证。
PFS	选择密钥交换方法。关于密钥交换方法的详细信息，请参见密钥交换。 组号越大密钥越长，安全性越高。选择“NONE”表示不进行额外的密钥交换。
SA超时	IPSec隧道将在建立时间或者传输流量大小达到阈值时重新协商以保证安全性。 在“基于时间”中输入重协商间隔时间。在“基于流量”中输入流量阈值。只要IPSec隧道建立后，满足其中任意一个条件，IPSec SA就会开始重协商。重协商不会导致当前隧道中断。
DPD状态检测
检测方式	开启“DPD状态检测”后，设备会自动发送DPD报文检测对端是否存活，以便及时拆除错误的隧道。 可以有两种检测方式： 周期性发送：“检测时间间隔”内未收到对端报文则发送一次DPD报文。 需要时才发送：“检测时间间隔”内未收到对端报文，且本端需要通信时发送一次DPD报文。 对于使用IKEv1的隧道，此功能需要两端同时开启或关闭。在发送DPD报文后，在“重传时间间隔”内未收到回应报文，会被记录为一次失败时间。当连续发生五个失败事件后，则认为对端已经失效，设备会自动拆除隧道。 对于使用IKEv2的隧道，此功能只需一端开启就可检测成功。发送DPD报文的间隔时间不按照“重传时间间隔”，而是以指数形式增长（发送DPD报文1后，隔1秒发报文2，再隔2秒发报文3，再隔4秒发报文4，依次类推），一直到间隔64秒后发送报文8。如果还收到回应报文，在报文8发送后的128秒时，隧道会被自动个拆除。整个过程耗时约半个小时。
检测时间间隔	输入“检测时间间隔”，单位为秒。
重传时间间隔	输入“重传时间间隔”，单位为秒。仅对IKEv1有效。
NAT穿越	当两端之间存在NAT设备时，请选择此选项。 开启NAT穿越功能后，设备会在普通IPSec报文基础上增加UDP头封装。当IPSec报文经过NAT设备时，NAT设备会对该报文的外层IP头和增加的UDP报头进行地址和端口号转换。这样NAT设备对报文IP的转换就不会破坏原始IPSec报文的完整性，使其可以被对端网关正常接收。

10. 单击“应用”，新配置的IPSec策略将出现在策略列表中。

查看当前配置支持接入的设备类型

由于在IPSec的协商过程中，双方参数的一致性非常重要，所以设备提供了“推荐对端配置”功能。此功能可以列出能够协商成功的对端配置，可以导出该配置发送给对端网关的管理员参考配置。

1. 在IPSec策略的“新建”和“修改”界面，点击位于界面右侧中间位置的“推荐对端配置”按钮，如下图所示。

2. 在界面右侧会展开显示推荐对端配置的简要信息。单击展开区域右上角的“导出”按钮，将详细配置介绍导出成网页文件保存至本地，如下图所示。

3. 将导出的网页文件发送给对端网管的管理员参考。