IPSec配置案例.docVIP

防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单，只需要配置好IKE协商安全策略的信息，由IKE自动协商来创建和维护安全联盟。当与Eudemon进行通信的对等体设备数量较少时，或是在小型静态环境中，手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中，我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 组网图 IKE点到点网络典型组网图 组网需求 PC1与PC2之间进行安全通信，在FWA与FWB之间使用IKE自动协商建立安全通道。 在FWA和FWB上均配置序列号为10的IKE提议。 为使用pre-shared key验证方法的提议配置验证字。 FWA与FWB均为固定公网地址 适用产品、版本 设备型号：Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200 软件版本： V2R1及以上 实验版本 Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 配置思路和步骤 1）防火墙基本配置,包括IP地址,安全域 2）配置公网路由, 一般情况下,防火墙上配置静态路由 3）定义用于包过滤和加密的数据流 4) 域间通信规则 5）配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 配置过程和解释（关键配置） 配置FWA: 1）配置到达PC2的静态路由 [FWA]ip route-static 2）定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 55 destination 55 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 55 [FWA-acl-adv-3001]quit 3）配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound [FWA-interzone-trust-untrust]quit 4）配置untrust与local域间包过滤规则 [FWA]firewall packet-filter default permit interzone local untrust 配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信，使其能够协商SA。 5) 配置IPSec安全提议 # 创建名为tran1的IPSec提议。 [FWA]ipsec proposal tran1 # 配置安全协议。 [FWA-ipsec-proposal-tran1]transform esp Esp为默认安全协议,可以不配置 # 配置报文封装类型。 [FWA-ipsec-proposal-tran1]encapsulation-mode tunnel Tunnel为默认封装类型,可以不配置 # 配置ESP协议的认证算法。 [FWA-ipsec-proposal-tran1]esp authentication-algorithm md5 md5为默认ESP协议的认证算法, 可以不配置 # 配置ESP协议的加密算法。 [FWA-ipsec-proposal-tran1]esp encryption-algorithm des des为默认ESP协议的加密算法, 可以不配置 # 退回系统视图 [FWA-ipsec-proposal-tran1]quit 6) 配置IKE提议。 [FWA] ike proposal 10 # 配置使用pre-shared-key验证方法。 [FWA-ike-proposal-10] authentication-method pre-share pre-shared-key验证方法为默认验证方法,可以不配置 # 配置使用SHA1验证算法。 [FWA-ike-proposal-