飞塔部署IPSecVPN.pptVIP

IKE 参数 IKE加密（IKE Encryption） 这里指定IKE协商使用的加密算法，如算法种类和使用的密钥长度。 FortiGate VPN支持的算法是： AES 3DES DES DES只在与其他老的VPN设备共同操作时使用。应尽可能地避免使用DES，因为DES是一种老算法，我们认为其不是很安全。 IKE认证（IKE Authentication） 这里指定IKE协商使用的认证算法。 FortiGate VPN支持的算法是： SHA1 MD5 * IKE 参数 IKE DH (Diffie-Hellman) 组 这里指定IKE交换密钥时使用的Diffie-Hellman组。 FortiGate VPN支持的Diffie-Hellman组有： DH group 1 (768-bit) DH group 2 (1024-bit) DH group 5 (1536-bit) 密钥交换的安全性随着DH组的扩大而增加，但交换的时间也增加了。? IKE使用期限（IKE Lifetime） IKE连接的使用期限。 使用期限以时间（秒）和数据量（KB）计算。超过其中任何一个期限时，就会进行新的阶段1交换。如果上一个IKE连接中没有发送数据，就不建立新连接，直到有人希望再次使用VPN连接。 * IKE 参数 PFS 当PFS无效时，IKE协商阶段1的密钥交换过程中会创建一个初始密钥材料。在IKE协商阶段2中，从初始密钥材料提取加密和认证密钥。使用PFS（完善转发机密）时，总能够根据重读的密钥创建全新材料。如果有一个密钥符合，就不会用该信息衍生其他密钥。 PFS的使用有2种方式：第一种是密钥PFS，可在每个阶段2协商中交换新密钥。另一种是身份PFS，在此可以保护身份，方法是每完成一个阶段2的协商就删除阶段1的SA，保证使用相同的密钥对一个阶段2的协商进行加密。 通常不需要PFS，因为危及加密或认证密钥安全性的可能性微乎其微。? IPSec DH 组 这是与IKE十分相似的Diffie-Hellman组。但是，Diffie-Hellman组仅用于PFS。 * FortiOS – IPSec VPN 实现 可以配置两种模式的IPSec VPN: Policy-based VPN (Tunnel Mode) 基于策略的VPN，又叫通道模式的VPN Routed-based VPN (Interface Mode) 基于路由的VPN，又叫接口模式的VPN 选择基于策略的VPN还是基于路由的VPN是在定义阶段1时确定的。 在阶段1的高级配置选项中启用IPSec接口模式，缺省状态下是没有启用的 * 基于策略的 VPN (通道模式) IPSec相关的防火墙策略用于控制进出接口的IPSec流量 内嵌于其他类型的防火墙策略中 对顺序是敏感的 单一的防火墙策略支持双向的数据流 有选项支持接受和发起呼叫 只需要定义一条从内向外的策略 阶段2选择器可能有助于纠正防火墙策略 集中器 (星型) VPN支持 指定阶段2成员 设置具有合适的源/目的子网的防火墙策略 * 远程 VPN网关 中心 VPN 网关 中心网络: 192.168.1.0/24 远程网络: 192.168.2.0/24 如何建立一条基于策略的VPN 下面例子是的配置步骤和前面提到的类似，但注意看. Site to Site VPN典型的网络拓扑: 192.168.118.9 192.168.118.231 * 步骤一、建立阶段一 对端的公网地址 与Internet相连的接口 模式选择 * 步骤一、建立阶段一(高级选项) 加密算法(供协商) 穿越NAT * 步骤二、建立阶段二 名称 选择阶段1 可选的加密算法 在Idle状态下保持通道存活 模式选择器是用于设置将什么流量导入到通道中 * 步骤三、建立防火墙策略 从内向外建立防火墙策略 本端的内网地址 对端的内网地址 采用的动作 选择阶段一所代表的通道 * 步骤四、检验是否能够通讯 从192.168.1.0网段ping 192.168.2.254，看通道是否能够建立起来。 变成绿色，表示通道建立 * 基于路由的 VPN (接口模式) IPSec虚拟接口是物理、汇聚或VLAN接口的子接口 当阶段1连接到对端时，虚接口就会up 阶段2绑定才会有网络流量 所有通过该端口的流量都是隐含加密的，这样防火墙的策略就只需要指定允许或拒绝（Deny/Accept)就可以了 每一个接口只有一个远程网关 要产生通道模式集中器的行为，你可以: 在每对IPSsec接口之间定义防火墙策略 使用一个区（zone)和单个区到区（zone-to-zone)策略，或者 使用一个区（zone）和启用intra-zone流量 注: 只有NAT/Route模式下支