網(wǎng)絡(luò)運(yùn)維|防火墻的IPSecVPN典型應(yīng)用案例

2020-06-09 16:54 作者：艾銻無(wú)限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹下防火墻點(diǎn)到點(diǎn)的IPSecVPN應(yīng)用實(shí)例，網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。

網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+

北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢(xún)，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專(zhuān)業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+

北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門(mén)頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

配置點(diǎn)到點(diǎn)場(chǎng)景下的IPSec

點(diǎn)到點(diǎn)VPN即局域網(wǎng)到局域網(wǎng)的VPN（LAN to LAN VPN）或網(wǎng)關(guān)到網(wǎng)關(guān)VPN（Gateway to Gateway VPN），本節(jié)介紹如何使用Web界面完成點(diǎn)到點(diǎn)場(chǎng)景下的IPSec隧道配置。

配置IPSec策略

在點(diǎn)到點(diǎn)場(chǎng)景中，本端希望與另一臺(tái)VPN網(wǎng)關(guān)建立IPSec隧道，以使兩臺(tái)設(shè)備所連的私網(wǎng)可以相互通信。如果希望本端可以主動(dòng)發(fā)起訪問(wèn)，那么就要求對(duì)端網(wǎng)關(guān)需要擁有固定的IP地址或域名。如果兩端網(wǎng)關(guān)都擁有固定的IP地址或域名，這樣兩者就可以相互發(fā)起訪問(wèn)。
這種場(chǎng)景經(jīng)常用于同一公司內(nèi)多個(gè)機(jī)構(gòu)，或者公司與合作伙伴之間建立VPN。
要配置這種場(chǎng)景的IPSec策略，需要在配置前至少完成以下工作：

• 獲知對(duì)端網(wǎng)關(guān)的IP地址或域名。
• 兩端網(wǎng)關(guān)的管理員協(xié)商一段字符串作為密鑰（預(yù)共享密鑰方式）或者使用相同的證書(shū)認(rèn)證體系（證書(shū)方式）。
• 獲知對(duì)端網(wǎng)絡(luò)的私網(wǎng)地址范圍。

1. 選擇“VPN > IPSec > IPSec”。
2. 單擊“新建”，建立一條IPSec策略。
3. 選擇“場(chǎng)景”為“點(diǎn)到點(diǎn)”。
4. 可選：配置IPSec策略的基本信息。

參數(shù)	說(shuō)明
策略名稱(chēng)	輸入IPSec策略的名稱(chēng)。
本端接口	從下拉列表中選擇應(yīng)用IPSec策略的接口。該接口應(yīng)為本端與對(duì)端相連的接口，通常為設(shè)備的公網(wǎng)接口。本端將使用該接口與對(duì)端建立隧道。
本端接口IP地址	從下拉列表中選擇本端設(shè)備與對(duì)端設(shè)備建立隧道所使用的IP地址。當(dāng)“本端接口”配置了多個(gè)IP地址時(shí)，可以從中任選一個(gè)，只要對(duì)端可以正常訪問(wèn)此IP地址即可。 在雙機(jī)熱備組網(wǎng)中，請(qǐng)選擇本端接口對(duì)應(yīng)的虛擬IP。

5. 配置雙方相互校驗(yàn)的校驗(yàn)參數(shù)。

為了保證IPSec隧道的安全性，必須防止非法客戶(hù)端接入，因此需要通過(guò)一系列參數(shù)來(lái)對(duì)對(duì)端的合法性進(jìn)行校驗(yàn)。同時(shí)為了通過(guò)對(duì)端的合法性校驗(yàn)，本端也需要提供一些相應(yīng)的參數(shù)。

參數(shù)	說(shuō)明
對(duì)端地址	輸入對(duì)端網(wǎng)關(guān)所使用的IP地址或域名，例如1.1.1.1或testl.com。 一般需要配置IP或域名，以限定可接入的對(duì)端。如果對(duì)端地址沒(méi)有固定的IP地址和域名，可以不輸入本參數(shù)。此時(shí)本端網(wǎng)關(guān)不能主動(dòng)發(fā)起協(xié)商。
預(yù)共享密鑰	在此填入雙方管理員約定的密鑰字符串。
本端ID	本端ID用于標(biāo)識(shí)本端設(shè)備的身份，供對(duì)端設(shè)備認(rèn)證自身的合法性。需要與對(duì)端設(shè)備上設(shè)置的“對(duì)端ID”參數(shù)保持一致。 IP地址：使用“本端接口IP地址”作為本端ID，不可修改。 FQDN（域名）：默認(rèn)使用本端設(shè)備的設(shè)備名稱(chēng)作為本端ID，可修改為其他字符串。 User-FQDN（電子郵件）：默認(rèn)使用本端設(shè)備的設(shè)備名稱(chēng)作為本端ID，可修改為其他字符串。
對(duì)端ID	對(duì)端ID用于認(rèn)證對(duì)端設(shè)備的身份。類(lèi)型與值都需要與對(duì)端設(shè)備上設(shè)置的“本端ID”參數(shù)保持一致。 如果不需要認(rèn)證，接受任意ID的請(qǐng)求，請(qǐng)選擇“接受任意對(duì)端ID”。 如果不限定ID類(lèi)型，只要字符串匹配即可，請(qǐng)選擇“任意類(lèi)型”。

6. 配置IPSec隧道需要加密的數(shù)據(jù)流。

通常情況下只有部分?jǐn)?shù)據(jù)流需要進(jìn)入隧道發(fā)往對(duì)端私網(wǎng)，還有一部分?jǐn)?shù)據(jù)流需要直接進(jìn)入Internet。為了避免這些本來(lái)需要訪問(wèn)Internet的數(shù)據(jù)流進(jìn)入隧道，需要配置流量規(guī)則來(lái)限定可以進(jìn)入隧道的數(shù)據(jù)流。

• 在流量規(guī)則列表中可以添加多條規(guī)則，流量將從上到下依次匹配規(guī)則，匹配成功則根據(jù)動(dòng)作處理，不再繼續(xù)匹配后續(xù)的規(guī)則。
• ID為“默認(rèn)”的規(guī)則表示所有流量都不進(jìn)行加密，這條規(guī)則放在最后用于防止無(wú)需加密的流量進(jìn)入IPSec隧道，該規(guī)則不可刪除和修改。
• 在對(duì)端需要配置鏡像規(guī)則，即兩端除源和目的相反外，其他參數(shù)保持一致：對(duì)端“源地址”/“源端口”=本端“目的地址”/“目的端口”。對(duì)端“目的地址”/“目的端口”=本端“源地址”/“源端口”。

例如以下兩條規(guī)則即互為鏡像規(guī)則：

	源地址	目的地址	協(xié)議	源端口	目的端口	動(dòng)作
本端規(guī)則	192.168.10.0/24	10.1.1.1	TCP	any	80	加密
對(duì)端鏡像規(guī)則	10.1.1.1	192.168.10.0/24	TCP	80	any	加密

單擊“待加密的數(shù)據(jù)流”中的“新建”。

參數(shù)	說(shuō)明
源地址	輸入允許進(jìn)入隧道的數(shù)據(jù)流的源地址，通常為本端內(nèi)網(wǎng)中需要保護(hù)的私網(wǎng)網(wǎng)段。 可以輸入單個(gè)IP地址（例如192.168.1.1）或網(wǎng)段（例如192.168.1.0/24或者192.168.1.0/255.255.255.0）。
目的地址	輸入允許進(jìn)入隧道的數(shù)據(jù)流的目的地址，通常為對(duì)端內(nèi)網(wǎng)中需要訪問(wèn)的私網(wǎng)網(wǎng)段。 可以輸入單個(gè)IP地址（例如10.1.1.1）或網(wǎng)段（例如10.1.1.0/24或者10.1.1.0/255.255.255.0）。
協(xié)議	輸入允許進(jìn)入隧道的數(shù)據(jù)流的協(xié)議。 配置TCP、UDP或ICMP協(xié)議可以對(duì)指定業(yè)務(wù)的流量進(jìn)行加密。例如配置TCP的80端口對(duì)HTTP業(yè)務(wù)加密，配置UDP的69端口對(duì)TFTP業(yè)務(wù)加密。 如果不清楚具體協(xié)議和端口，或者不需要限制協(xié)議，可以不配置本參數(shù)，或者配置為“any”。
源端口	當(dāng)“協(xié)議”選擇“TCP”或“UDP”時(shí)會(huì)出現(xiàn)本參數(shù)。 輸入允許進(jìn)入隧道的數(shù)據(jù)流的源端口號(hào)。
目的端口	當(dāng)“協(xié)議”選擇“TCP”或“UDP”時(shí)會(huì)出現(xiàn)本參數(shù)。 輸入允許進(jìn)入隧道的數(shù)據(jù)流的目的端口號(hào)。
動(dòng)作	選擇對(duì)滿(mǎn)足上述條件的流量進(jìn)行處理。 選擇“加密”表示允許該條數(shù)據(jù)流進(jìn)入隧道。 選擇“不加密”表示不允許該條流量進(jìn)入隧道。 “不加密”動(dòng)作主要用于排除一些客戶(hù)端，使其流量不進(jìn)入隧道。例如需要對(duì)192.168.1.0/24網(wǎng)段內(nèi)除192.168.1.2以外的所有主機(jī)進(jìn)行加密，可以利用規(guī)則的匹配優(yōu)先級(jí)，先配置一條對(duì)192.168.1.2主機(jī)不加密的規(guī)則，再配置一條對(duì)192.168.1.0/24網(wǎng)段加密的規(guī)則。

根據(jù)需要可以選擇配置是否進(jìn)行“反向路由注入”。開(kāi)啟“反向路由注入”后，設(shè)備將把到達(dá)對(duì)端保護(hù)的網(wǎng)段的路由自動(dòng)引入到路由表，從而不用管理員手工配置路由。此功能一般在與多個(gè)分支對(duì)接的總部網(wǎng)關(guān)上配置。
輸入注入路由的優(yōu)先級(jí)，從而更靈活地應(yīng)用路由管理策略。例如，如果設(shè)備上還有其它方式配置的到達(dá)相同目的地址的路由，可以為它們指定相同優(yōu)先級(jí)來(lái)可實(shí)現(xiàn)負(fù)載分擔(dān)，也可指定不同優(yōu)先級(jí)來(lái)實(shí)現(xiàn)路由備份。

7. 可選：配置安全提議中高級(jí)參數(shù)。

系統(tǒng)預(yù)置了多組默認(rèn)的安全提議參數(shù)，可展開(kāi)“高級(jí)”選項(xiàng)查看。如果默認(rèn)提議不能滿(mǎn)足協(xié)商要求，可以修改“高級(jí)”中的參數(shù)。要求除“SA超時(shí)時(shí)間”之外，所有參數(shù)需要兩端存在相同選項(xiàng)。
展開(kāi)“高級(jí)”。
其中算法類(lèi)參數(shù)所提供的多個(gè)選擇，在列表中位置越高，代表其安全性越高。如果選擇了多個(gè)算法，那么實(shí)際協(xié)商時(shí)將根據(jù)參數(shù)在列表中位置從高到低依次嘗試，直至協(xié)商成功。

參數(shù)	說(shuō)明
IKE參數(shù)
IKE版本	選擇“v1”或“v2”來(lái)確定與對(duì)端進(jìn)行IKE協(xié)商時(shí)所使用的協(xié)議版本。關(guān)于IKE不同版本的詳細(xì)信息，請(qǐng)參見(jiàn)IPSec安全聯(lián)盟。 同時(shí)選擇兩種版本表示可響應(yīng)v1和v2兩個(gè)版本的IKE請(qǐng)求，但是主動(dòng)發(fā)起請(qǐng)求時(shí)只使用v2版本。
協(xié)商模式	選擇IKE的協(xié)商模式。關(guān)于協(xié)商模式的詳細(xì)信息，請(qǐng)參見(jiàn)IKEv1協(xié)商安全聯(lián)盟的過(guò)程（階段1）。 自動(dòng)：在響應(yīng)協(xié)商時(shí)可接受主模式和野蠻模式，在發(fā)起協(xié)商時(shí)使用主模式。 主模式：強(qiáng)制使用主模式協(xié)商。主模式更安全。 野蠻模式：強(qiáng)制使用野蠻模式協(xié)商。野蠻模式更快速。
加密算法	選擇保證數(shù)據(jù)不被竊取的加密算法。關(guān)于加密算法的詳細(xì)信息，請(qǐng)參見(jiàn)加密。
認(rèn)證算法	選擇保證數(shù)據(jù)發(fā)送源可靠的認(rèn)證算法。關(guān)于認(rèn)證算法的詳細(xì)信息，請(qǐng)參見(jiàn)驗(yàn)證。
完整性算法	當(dāng)“IKE版本”選擇了“v2”時(shí)會(huì)出現(xiàn)本參數(shù)。 使用IKEv2版本時(shí)，選擇保證數(shù)據(jù)不被篡改的完整性算法。關(guān)于完整性算法的詳細(xì)信息，請(qǐng)參見(jiàn)驗(yàn)證。
DH組	選擇密鑰交換方法。關(guān)于密鑰交換方法的詳細(xì)信息，請(qǐng)參見(jiàn)密鑰交換。
SA超時(shí)時(shí)間	為了保證隧道的安全，避免其在公網(wǎng)上存在過(guò)久，增加被攻擊的風(fēng)險(xiǎn)，可以設(shè)定一個(gè)超時(shí)時(shí)間。當(dāng)一定時(shí)間內(nèi)隧道內(nèi)沒(méi)有流量可以自動(dòng)拆除隧道，等后續(xù)有流量時(shí)再重新建立。 輸入超時(shí)時(shí)間，單位為秒。
IPSec參數(shù)
封裝模式	選擇IPSec的封裝模式。關(guān)于封裝模式的詳細(xì)信息，請(qǐng)參見(jiàn)封裝模式。 自動(dòng)：當(dāng)設(shè)備作為發(fā)起端時(shí)，采用隧道模式封裝報(bào)文；當(dāng)設(shè)備作為接收端時(shí)，可以接受隧道模式和傳輸模式兩種封裝模式。 隧道模式：只保護(hù)報(bào)文載荷部分，常用于VPN網(wǎng)關(guān)之間建立隧道。 傳輸模式：保證整個(gè)報(bào)文，常用于移動(dòng)終端與VPN網(wǎng)關(guān)建立隧道。
安全協(xié)議	選擇IPSec的安全協(xié)議。關(guān)于安全協(xié)議的詳細(xì)信息，請(qǐng)參見(jiàn)安全協(xié)議。 AH：提供對(duì)整個(gè)報(bào)文的認(rèn)證能力，但是不提供加密能力。 ESP：提供對(duì)報(bào)文載荷的加密和認(rèn)證能力。 AH-ESP：提供對(duì)整個(gè)報(bào)文的加密和認(rèn)證能力。
ESP加密算法	當(dāng)“安全協(xié)議”選擇“ESP”或“AH-ESP”后會(huì)出現(xiàn)本參數(shù)。 選擇保證數(shù)據(jù)不被竊取的加密算法。關(guān)于加密算法的詳細(xì)信息，請(qǐng)參見(jiàn)加密。
ESP認(rèn)證算法	當(dāng)“安全協(xié)議”選擇“ESP”或“AH-ESP”后會(huì)出現(xiàn)本參數(shù)。 選擇保證數(shù)據(jù)發(fā)送源可靠的認(rèn)證算法。關(guān)于認(rèn)證算法的詳細(xì)信息，請(qǐng)參見(jiàn)驗(yàn)證。
AH認(rèn)證算法	當(dāng)“安全協(xié)議”選擇“AH”或“AH-ESP”后會(huì)出現(xiàn)本參數(shù)。 選擇保證數(shù)據(jù)發(fā)送源可靠的認(rèn)證算法。關(guān)于認(rèn)證算法的詳細(xì)信息，請(qǐng)參見(jiàn)驗(yàn)證。
PFS	選擇密鑰交換方法。關(guān)于密鑰交換方法的詳細(xì)信息，請(qǐng)參見(jiàn)密鑰交換。 組號(hào)越大密鑰越長(zhǎng)，安全性越高。選擇“NONE”表示不進(jìn)行額外的密鑰交換。
SA超時(shí)	IPSec隧道將在建立時(shí)間或者傳輸流量大小達(dá)到閾值時(shí)重新協(xié)商以保證安全性。 在“基于時(shí)間”中輸入重協(xié)商間隔時(shí)間。在“基于流量”中輸入流量閾值。只要IPSec隧道建立后，滿(mǎn)足其中任意一個(gè)條件，IPSec SA就會(huì)開(kāi)始重協(xié)商。重協(xié)商不會(huì)導(dǎo)致當(dāng)前隧道中斷。
DPD狀態(tài)檢測(cè)
檢測(cè)方式	開(kāi)啟“DPD狀態(tài)檢測(cè)”后，設(shè)備會(huì)自動(dòng)發(fā)送DPD報(bào)文檢測(cè)對(duì)端是否存活，以便及時(shí)拆除錯(cuò)誤的隧道。 可以有兩種檢測(cè)方式： 周期性發(fā)送：“檢測(cè)時(shí)間間隔”內(nèi)未收到對(duì)端報(bào)文則發(fā)送一次DPD報(bào)文。 需要時(shí)才發(fā)送：“檢測(cè)時(shí)間間隔”內(nèi)未收到對(duì)端報(bào)文，且本端需要通信時(shí)發(fā)送一次DPD報(bào)文。 對(duì)于使用IKEv1的隧道，此功能需要兩端同時(shí)開(kāi)啟或關(guān)閉。在發(fā)送DPD報(bào)文后，在“重傳時(shí)間間隔”內(nèi)未收到回應(yīng)報(bào)文，會(huì)被記錄為一次失敗時(shí)間。當(dāng)連續(xù)發(fā)生五個(gè)失敗事件后，則認(rèn)為對(duì)端已經(jīng)失效，設(shè)備會(huì)自動(dòng)拆除隧道。 對(duì)于使用IKEv2的隧道，此功能只需一端開(kāi)啟就可檢測(cè)成功。發(fā)送DPD報(bào)文的間隔時(shí)間不按照“重傳時(shí)間間隔”，而是以指數(shù)形式增長(zhǎng)（發(fā)送DPD報(bào)文1后，隔1秒發(fā)報(bào)文2，再隔2秒發(fā)報(bào)文3，再隔4秒發(fā)報(bào)文4，依次類(lèi)推），一直到間隔64秒后發(fā)送報(bào)文8。如果還收到回應(yīng)報(bào)文，在報(bào)文8發(fā)送后的128秒時(shí)，隧道會(huì)被自動(dòng)個(gè)拆除。整個(gè)過(guò)程耗時(shí)約半個(gè)小時(shí)。
檢測(cè)時(shí)間間隔	輸入“檢測(cè)時(shí)間間隔”，單位為秒。
重傳時(shí)間間隔	輸入“重傳時(shí)間間隔”，單位為秒。僅對(duì)IKEv1有效。
NAT穿越	當(dāng)兩端之間存在NAT設(shè)備時(shí)，請(qǐng)選擇此選項(xiàng)。 開(kāi)啟NAT穿越功能后，設(shè)備會(huì)在普通IPSec報(bào)文基礎(chǔ)上增加UDP頭封裝。當(dāng)IPSec報(bào)文經(jīng)過(guò)NAT設(shè)備時(shí)，NAT設(shè)備會(huì)對(duì)該報(bào)文的外層IP頭和增加的UDP報(bào)頭進(jìn)行地址和端口號(hào)轉(zhuǎn)換。這樣NAT設(shè)備對(duì)報(bào)文IP的轉(zhuǎn)換就不會(huì)破壞原始IPSec報(bào)文的完整性，使其可以被對(duì)端網(wǎng)關(guān)正常接收。

8. 單擊“應(yīng)用”，新配置的IPSec策略將出現(xiàn)在策略列表中。

查看和導(dǎo)出推薦的對(duì)端配置

由于在IPSec的協(xié)商過(guò)程中，雙方參數(shù)的一致性非常重要，所以設(shè)備提供了“推薦對(duì)端配置”功能。此功能可以列出能夠協(xié)商成功的對(duì)端配置，可以導(dǎo)出該配置發(fā)送給對(duì)端網(wǎng)關(guān)的管理員參考配置。

1. 在IPSec策略的“新建”和“修改”界面，點(diǎn)擊位于界面右側(cè)中間位置的“推薦對(duì)端配置”按鈕，如下圖所示。

2. 在界面右側(cè)會(huì)展開(kāi)顯示推薦對(duì)端配置的簡(jiǎn)要信息。單擊展開(kāi)區(qū)域右上角的“導(dǎo)出”按鈕，將詳細(xì)配置介紹導(dǎo)出成網(wǎng)頁(yè)文件保存至本地，如下圖所示。

3. 將導(dǎo)出的網(wǎng)頁(yè)文件發(fā)送給對(duì)端網(wǎng)管的管理員參考。