华为防火墙IPsec点对点配置解析

这篇具有很好参考价值的文章主要介绍了华为防火墙IPsec点对点配置解析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

华为防火墙IPsec点对点配置解析

一、完成基本互联

主机直连的接口为trust区域,防火墙之间互联的接口为untrust区域

二、左边的防火墙IPsec的配置

(1) Ike Proposal 的创建

ike proposal xx //首先创建ike proposal xx

这一步的作用就是创建协商ike SA的时候使用的相关安全套件,默认防火墙就会设置了一些默认的安全套件的组合。这一步设置的内容就是用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。如下所示:

encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

对于AES算法和SHA算法来说,256位是完全足够保证安全了,对于AES来说使用192位也是可以的。dh group14是2048位的DH算法,也是够用了。

可以看到默认的认证方式是预共享密钥,当然也有其他的认证方式,比如签名,证书认证。但是签名和证书认证比较麻烦,推荐在图形化界面上做,这边仅介绍预共享密钥

(2)Ike peer 的创建

ike peer xx //创建IKE对等体

进入IKE对等体视图后:

local-id-type xxx //设置本端id的类型,下面是本端id的类型

[Left-ike-peer-xx]local-id-type ?
  dn         Select dn as the local ID     
  esn        Select esn as the local ID
  fqdn       Select name as the local ID
   //这个就是以名字名称的形式去明明
  ip         Select IP address as the local ID  //以IP的形式去进行命名
  user-fqdn  Select user-fqdn as the local ID  //以电子邮件的形式去命名

local-id xx//创建本端id,这里创建的id和上面的类型要对应

remote-id-type xx //设置远端id类型,这个和本地id类型的类似

remote-id xx //设置远端id

也可以不用设置local-id,remote-id这些东西,只要输入remote-address,表示远端IP,输入这个之后就代表自己使用ip地址标识自己,且接受所有的远端标识,换句话来说只要IPsec对端的IP是remote address指定的IP,那么将无所谓它的的远端标识。当然也可以remote address,local-id,remote-id一起配置,只不过配置更加细化。这个也是isakmp协议中进行相关信息协商时使用的身份信息,一定要保证对方设置的本地标识和自己设置的远端标识是对应的,我觉得主要的原因就是因为身份信息在整个SA的协商过程中起到的作用就是方便IPsec双方在自身去找到相应的信息去进行协商,在一个设备中可能存在多个这种一整套的IPsec的配置信息,而且有的时候双方建立的IPsec隧道使用的IP地址不是固定的,所以使用一种身份标识去标识一个IPsec隧道来方便IPsec双方进行相关协商信息的查找是一个不错的选择。

DPD

华为防火墙IPsec点对点配置解析

msg:设置DPD报文里面的信息

packet:后面跟着的完整的命令是dpd packet receive if-related enable,就是当隧道上发送的IPsec报文如果和该设备存在的IPsecSA关联性进行检测,如果关联的话则不会删除设备上的IPsecSA,如果不关联就会删除

idle-time:这个主要用于按需的DPD检测,当IPsec空闲一段时间后将会进行DPD的检测,这个空闲的时间由这个选项决定。

retransmit-interval:这个选项决定了DPD报文的重传时延

retry-limit:这个表示当DPD报文超时了几次后将删除IPsecSA

这个DPD的相关操作可以在ike peer里面设置表示只针对这个ike peer也可以在系统视图下配置,代表影响全部的ike peer

  DPD是检测对端存活的一种手段,DPD有两种类型:

华为防火墙IPsec点对点配置解析

on-demand:也就是按需的,当双方没有IPsec报文交互的时候,就会发送DPD报文进行探测

periodic:也就是周期性的 

pre-shared-key xx //表示设置预共享密钥的值

(3)创建IPsec proposal

tranform //表示设置隧道的使用的相关协议是ah还是esp

华为防火墙IPsec点对点配置解析

 encapsulation-mode //表示设置隧道的传输模式,有自动,传输,隧道模式华为防火墙IPsec点对点配置解析

 esp //设置esp协议下使用的加密算法和签名算法,那么这里为什么没有认证方式?因为在IKE SA协商的过程中已经验证了双方的身份了,所以就不需要再次验证双方的身份了。华为防火墙IPsec点对点配置解析

 ah //设置ah协议下的验证算法,ah协议只有验证功能

华为防火墙IPsec点对点配置解析

 (3)IPsec policy的创建

ipsec policy xxx x isakmp //表示创建一个名为xxx的ipsec policy,它的序号为x

为什么要有序号?在有些情况下,一个ipsec policy可能与多个对端的ipsec policy建立不同的隧道,所以就需要序号进行区分

ike-peer xx //将ike对等体与ipsec policy进行绑定

proposal xx //将ipsec proposal与ipsec policy进行绑定

security acl xx //将acl,也就是感兴趣流与ipsec policy绑定
 

(4)将IPsec policy绑定到出接口上

进入接口视图:ipsec policy xxx //将接口与IPsec policy进行绑定

绑定后只要有感兴趣流出现就会以加密的形式出去

安全策略的配置原理解析        

1、放行isakmp协议的相关协商流量

isakmp协议主要用于IKE SA和IPsec SA的协商,所以我们要放行该协议的流量,该协议的源目端口都是500。这个需要我们自定义协议放行源目端口500即可,同时因为isakmp协议的协商双方都是防火墙,所以放行的源目区域为untrust<--->local,即untrust到local,local到untrust的与isakmp的相关流量都要放行,否则将无法正常进行SA的协商。

2、放行ESP,AH的相关流量

ESP和AH的相关流量都是先到防火墙后,经过IPsec功能模块的处理后才发送给目的主机的,所以无论是ESP还是AH流量的主要涉及的源目区域是local和untrust,所以我们只要放行local到untrust,untrust到local有关ESP和AH的相关流量即可,ESP和AH协议都是基于IP层的写,它们的协议号是51和50,这个防火墙自身是带有的。

3、放行相关数据流量

ESP或者AH流量到达防火墙且经过解封后会根据路由表的查表,同时根据路由表来确定它们的源目区域,ESP和AH在这个阶段会被确定它们的相关涉及的区域是trust和untrust,所以我们要放行untrust到trust,trust到untrust的相关隧道流量。文章来源地址https://www.toymoban.com/news/detail-453910.html

到了这里,关于华为防火墙IPsec点对点配置解析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)

    网络拓扑如上图所示,为方便记忆从左到右顺时针方向的网段的分别为192.168.1.0, 2.0, 3.0。 配置目标:两台思科防火墙之间建立IPsec VPN(野蛮模式),使得左边192.168.1.0网段能够访问右边192.168.3.0网段。左边ASA1作为连接发起端,右边ASA2作为连接接收端。在这里两边都是固定IP地

    2024年02月22日
    浏览(41)
  • 华为防火墙区域配置

    防火墙区域配置 trust区域内R1上的业务网段192.168.0.0/24和192.168.1.0/24仅能访问DMZ区域的web服务器 trust区域内R1上的业务网段192.168.2.0/24和192.168.3.0/24仅能访问DMZ区域的ftp服务器 位于untrust区域的全部外部网段都能够访问dmz区域的web服务器和ftp服务器 trust区域内除192.168.0.0/24以外所有

    2024年02月06日
    浏览(44)
  • 华为防火墙 配置 SSLVPN

    需求: 公司域环境,大陆客户端居家办公室需要连到公司域,这里可以在上海防火墙上面开通SSLVPN,员工就可以透过SSLVPN连通上海公司的内网,但是由于公司域控有2个站点,一个在上海,一个在台北,所以还需要拨通VPN后,也实现跟台北的内网互通。 前提:上海,台北已实

    2024年02月04日
    浏览(43)
  • 配置华为防火墙端口映射

    如果想检测由防火墙到服务器的连通性,需放行local到dmz的流量

    2024年02月14日
    浏览(46)
  • 华为防火墙配置命令大全

    目录 前言  初始化防火墙 防火墙基本配置  NAT地址转换 配成交换机(透明模式) 主备双机热备 配置负载均衡 前言          防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之

    2024年02月13日
    浏览(38)
  • ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

    注:所有的通信使用静态路由来保证。 HQ: Partner Branch HQ Partner Branch HQ Partner HQ Branch HQ Branch HQ HQ Partner Branch 注:此为FTP服务器设置 注:客户端Client3成功访问FTP服务器的截图 注:通过抓包抓取FTP的流量(筛选ftp),可以看到有多个ftp的包,点开其中一个流量,可以清晰看到

    2023年04月08日
    浏览(40)
  • 华为USG防火墙配置命令

    其实防火墙配置,只需要配置到能使用web方式管理,剩下的都在网页上配置即可,有人喜欢用命令配置,但我说下用命令配置的弊端,首先是安全策略的备注不好写,还有就是策略的顺序不方便调整,需要提前规划好,还有就是容易出错,真的完全没有必要,你又不是配置交

    2024年02月05日
    浏览(53)
  • 华为ensp 防火墙的基础配置

    拓扑图: [FW3-zone-isp1]set priority 12 #配置防火墙优先级 步骤一 #首先进入防火墙需要输入默认账号和密码,必须修改密码。 [USG6000V1] undo in en #关闭提示。 #先配置ip。 [USG6000V1]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10 #配置去往外网的默认路由(缺省路由)。 #查看去往百度的路由表。 步

    2023年04月09日
    浏览(67)
  • 华为ensp防火墙nat64案例配置

    不得不说csdn中关于nat64的案例配置没有几个详细,要么照抄,要么搬运~ 今天也敲个做了一单nat64的小实验,实话实说这种需求的题平时遇见的也少,今天跟大家详细的分析以下。 场景很简单,黄色区域为v6内网,蓝色区域为v4外网,实现pc1通过nat64技术访问服务器1  不多BB,

    2024年02月16日
    浏览(49)
  • 华为二层交换机与防火墙配置实例

    组网图形 图1  二层交换机与防火墙对接上网组网图 二层交换机简介 配置注意事项 组网需求 配置思路 操作步骤 配置文件 相关信息 二层交换机简介 二层交换机指的是仅能够进行二层转发,不能进行三层转发的交换机。也就是说仅支持二层特性,不支持路由等三层特性的交

    2024年02月04日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包