網(wǎng)絡(luò)運(yùn)維|防火墻的IPSecVPN典型應(yīng)用案例

2020-06-11 17:49 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹下支持NAT穿越IPSec配置實(shí)例，網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。

網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+

北京艾銻無限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無限+
+

北京網(wǎng)絡(luò)維護(hù)全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息
設(shè)備同時(shí)充當(dāng)IPSec和NAT網(wǎng)關(guān)

當(dāng)總部與分支機(jī)構(gòu)均需要通過NAT轉(zhuǎn)換訪問Internet，且總部與分支機(jī)構(gòu)之間需要建立IPSec隧道安全通信的情況下，可以配置設(shè)備同時(shí)充當(dāng)IPSec和NAT網(wǎng)關(guān)。

組網(wǎng)需求

如圖10-14所示，總部通過USG_A與Internet連接，分支機(jī)構(gòu)通過USG_B與Internet連接。

分支機(jī)構(gòu)用戶PC2可以主動發(fā)起建立IPSec隧道請求與總部用戶PC1通信，且無需經(jīng)過NAT轉(zhuǎn)換。

所有可以公開訪問的服務(wù)器均部署在總部，分支機(jī)構(gòu)部署的服務(wù)器僅供分支機(jī)構(gòu)使用，即總部無需主動發(fā)起建立IPSec隧道請求與分支機(jī)構(gòu)通信。

分支機(jī)構(gòu)用戶和總部用戶均需要通過NAT轉(zhuǎn)換訪問Internet。USG_A為總部的NAT設(shè)備，USG_B為分支機(jī)構(gòu)的NAT設(shè)備。

圖  設(shè)備同時(shí)充當(dāng)IPSec和NAT網(wǎng)關(guān) 

配置思路

1. 完成USG_A和USG_B的基本配置、包括接口、轉(zhuǎn)發(fā)策略、本地策略、路由的配置。

2. 在USG_A和USG_B上完成IPSec的配置。由于只有分支機(jī)構(gòu)主動訪問總部服務(wù)器，因此在配置USG_A時(shí)，無需指定“對端地址”。

3. 在USG_A和USG_B上完成源NAT的配置。訪問Internet的數(shù)據(jù)流都要經(jīng)過NAT轉(zhuǎn)換，而經(jīng)過IPSec隧道的數(shù)據(jù)流不需要經(jīng)過NAT轉(zhuǎn)換，故要在NAT配置中進(jìn)行區(qū)分。

操作步驟

1. 配置USG_A的接口基本參數(shù)。

a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。

b. 在“接口列表”中，單擊GE0/0/1對應(yīng)的。

c. 在“修改GigabitEthernet”界面中，配置如下：

· 安全區(qū)域：trust

· IP地址：10.0.0.1

· 子網(wǎng)掩碼：255.255.255.0

d. 單擊“應(yīng)用”。

e. 在“接口列表”中，單擊GE0/0/2對應(yīng)的。

f. 在“修改GigabitEthernet”界面中，配置如下：

· 安全區(qū)域：untrust

· IP地址：200.0.0.1

· 子網(wǎng)掩碼：255.255.255.0

g. 單擊“應(yīng)用”。

2. 配置USG_A的安全策略。

a. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。

. 選擇“防火墻 > 安全策略 > 本地策略”。

i. 在“本地策略”中單擊“新建”。配置如下參數(shù)：

· 源安全區(qū)域：untrust

· 源地址：200.0.1.0/24

· 動作：permit

ii. 單擊“應(yīng)用”。

a. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。

i. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

ii. 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。

· 源安全區(qū)域：trust

· 目的安全區(qū)域：untrust

· 源地址：10.0.0.0/24

· 目的地址：10.0.1.0/24

· 動作：permit

iii. 單擊“應(yīng)用”。

iv. 重新在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。

· 源安全區(qū)域：untrust

· 目的安全區(qū)域：trust

· 源地址：10.0.1.0/24

· 目的地址：10.0.0.0/24

· 動作：permit

v. 單擊“應(yīng)用”。

1. 參考1、2以及上面的表格，完成USG_B的基本配置。

2. 配置USG_A的IPSec隧道。

a. 選擇“VPN > IPSec > IPSec”，單擊“新建”，選擇“場景”為“點(diǎn)到點(diǎn)”。

b. 配置USG_A的IPSec策略基本信息。由于只有分支用戶主動訪問總部服務(wù)器，因此在配置USG_A的IPSec策略基本信息時(shí)，無需配置“對端地址”，預(yù)共享密鑰為abcde。

c. 在“待加密的數(shù)據(jù)流”中單擊“新建”，按如下數(shù)據(jù)增加一條數(shù)據(jù)流規(guī)則。

d. 展開“安全提議”中的“高級”，按如下參數(shù)配置IPSec安全提議。

下圖中所使用的安全提議參數(shù)全部為缺省配置，用戶可以直接使用而不用逐一對照配置。如果實(shí)際應(yīng)用場景中對安全提議參數(shù)有明確要求時(shí)，可以對安全提議參數(shù)進(jìn)行修改，且隧道兩端所使用的安全提議配置必須相同。

 
e. 單擊“應(yīng)用”，完成USG_A的IPSec配置。

3. 在USG_A上完成源NAT的配置。

a. 選擇“防火墻 > NAT > 源NAT”。

b. 選擇“NAT地址池”頁簽。

c. 在“NAT地址池列表”中，單擊“新建”。

d. 在“新建NAT地址池”界面中，配置NAT地址池addresspool1，如圖10-15所示。

圖10-15  配置NAT地址池addresspool1 


e. 單擊“應(yīng)用”。

f. 選擇“源NAT”頁簽。

g. 在“源NAT策略列表”中，單擊“新建”。

在“新建源NAT”界面中，配置總部用戶與分支機(jī)構(gòu)用戶通信時(shí)不進(jìn)行NAT轉(zhuǎn)換，

h. 單擊“應(yīng)用”。

i. 在“源NAT策略列表”中，單擊“新建”。

在“新建源NAT”界面中，配置總部用戶訪問Internet時(shí)進(jìn)行NAT轉(zhuǎn)換，引用NAT地址池addresspool1，

j. 單擊“應(yīng)用”。

4. 配置到分支的缺省路由。

a. 選擇“路由 > 靜態(tài) > 靜態(tài)路由”。

b. 在“靜態(tài)路由列表”中，單擊“新建”，依次輸入或選擇各項(xiàng)參數(shù)，具體參數(shù)配置如下：

· 目的地址：0.0.0.0

· 掩碼：0.0.0.0

· 下一跳：200.0.0.2

其他參數(shù)均為缺省值。

a. 單擊“應(yīng)用”。

1. 配置USG_B的IPSec隧道。

a. 選擇“VPN > IPSec > IPSec”，單擊“新建”，選擇“場景”為“點(diǎn)到點(diǎn)”。

b. 配置USG_B的IPSec策略基本信息，并指定對端網(wǎng)關(guān)，預(yù)共享密鑰為abcde。

c. 在“待加密的數(shù)據(jù)流”中單擊“新建”，按如下數(shù)據(jù)增加一條數(shù)據(jù)流規(guī)則。

d. 展開“安全提議”中的“高級”，按如下參數(shù)配置IPSec安全提議。

本例中所使用的安全提議參數(shù)全部為缺省配置，用戶可以直接使用而不用逐一對照配置。如果實(shí)際應(yīng)用場景中對安全提議參數(shù)有明確要求時(shí)，可以對安全提議參數(shù)進(jìn)行修改，且隧道兩端所使用的安全提議配置必須相同。

 e. 單擊“應(yīng)用”。完成USG_B的IPSec配置。

2. 在USG_B上完成源NAT的配置。

a. 選擇“防火墻 > NAT > 源NAT”。

b. 選擇“NAT地址池”頁簽。

c. 在“NAT地址池列表”中，單擊“新建”。

在“新建NAT地址池”界面中，配置NAT地址池addresspool1，

d. 單擊“應(yīng)用”。

e. 選擇“源NAT”頁簽。

f. 在“源NAT策略列表”中，單擊“新建”。

g. 在“新建源NAT”界面中，配置分支用戶與總部機(jī)構(gòu)用戶通信時(shí)不進(jìn)行NAT轉(zhuǎn)換，

h. 單擊“應(yīng)用”。

i. 在“源NAT策略列表”中，單擊“新建”。

在“新建源NAT”界面中，配置分支用戶訪問Internet時(shí)進(jìn)行NAT轉(zhuǎn)換，引用NAT地址池addresspool1，

j. 單擊“應(yīng)用”。

3. 配置到總部的缺省路由。

a. 選擇“路由 > 靜態(tài) > 靜態(tài)路由”。

b. 在“靜態(tài)路由列表”中，單擊“新建”，依次輸入或選擇各項(xiàng)參數(shù)，具體參數(shù)配置如下：

· 目的地址：0.0.0.0

· 掩碼：0.0.0.0

· 下一跳：200.0.1.2

其他參數(shù)均為缺省值。

c. 單擊“應(yīng)用”。

以上文章由北京艾銻無限科技發(fā)展有限公司整理