视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
DCFW-1800GES ipsec 配置说明--张向东
2025-10-02 15:08:05 责编:小OO
文档
点击下载本文 文档为doc格式

撰写人员张向东撰写时间2004-7-19
产品名称DCFW-1800G/E/S

产品版本3.0及3.6版本

简单描述DCFW-1800G/E/S防火墙的IPSEC 的使用说明。

范围
DCFW-1800G/E/S防火墙的IPSEC 说明

DCFW-1800G/E/S防火墙的IPSEC 说明

本文档仅适用于3.0及3.6版本。

一  功能说明

1三层 IPSEC 说明

该防火墙的三层 (Ipsec)功能,不支持Nat穿透。

对于中心连接多个分支机构的三层,各个分支只要同中心建立连接就可以分支机构之间进行互访了。

但是如果两台防火墙背对背互联时(两个防火墙的口在同一个网段中),必须指定网关。

1800e防火墙背对背做Ipsec 时,必须指定网关,否则无法进行ipsec协商(1800e处理机制:先查找路由,路由到接口上之后再做Ipsec)

1800防火墙在做IPSEC 时,分支同中心的防火墙必须能够通过口之接进行通信(不能有任何的地址转换)。

1800防火墙在做IPSEC 时,分支同中心的防火墙的口地址推荐是固定IP地址,如果分支机构无法获得固定的IP地址时,分支机构也可以通过自动获取的IP地址同中心建立IPSEC VPN (此时配置:建立IPSEC 策略时,中心的防火墙:远端网关地址添0.0.0.0,分支防火墙的IPSEC 策略中:本地网关地址:0.0.0.0 ); 此时分支主动防火墙中心防火墙时可以建立 ,中心的无法主动同分支建立 连接。

2  PPTP拨号 VPN

支持PPTP  穿透NAT ,1800s(b)防火墙支持30个PPTP拨号用户,1800E 支持256个拨号用户。

PPTP拨号用户只能从口拨入

PPTP拨号用户分配的IP地址必须是同内网不在一个网段中的其他网段地址(建议采用标准的C类网段)

PPTP拨号用户拨入到防火墙上之后就可以访问内网了,但PPTP拨号用户拨到防火墙上之后只能访问内网资源,无法通过防火墙访问。-2.8版本(3.0及以后版本实现了此功能)

二 1800e 3.0版本实现的星型连接配置方法

1800e 3.0版本实现的星型连接:分支结构只要同中心建立连接(正常的配置),那么分支结构之间就可以通过中心进行互通了。配置方法如下:

分支机构1同分支机构2通过通信时,两个分支机构不用直接建立连接,只要都同中心建立连接就可以互通了:

说明:

分支机构1 :防火墙口ip 192.168.1.2 , 内网口ip 10.1.1.1 

分支机构2 :防火墙口ip 192.168.3.2 , 内网口ip 10.1.3.1 

中心 :防火墙口ip 192.168.2.2 , 内网口ip 10.1.2.1 

安全策略的建立:

注意:密钥用的是同一把密钥(所有节点使用一样的key)

分支机构1 :

1 建立访问中心内网(10.1.2.0)的安全通道

本地网关地址(防火墙口ip地址),远端网关地址(中心防火墙口ip地址:192.168.2.2),本地内网(分支1 的内网网段),远端内网(中心内网网段)

2 建立访问分支2内网(10.1.3.0)的安全通道

本地网关地址(防火墙口ip地址),远端网关地址(中心防火墙口ip地址:192.168.2.2),本地内网(分支1 的内网网段),远端内网(分支2的内网网段 10.1.3.0)

中心防火墙:

1 建立访问分支1内网(10.1.1.0)的安全通道

本地网关地址(防火墙口ip地址),远端网关地址(分支1 防火墙口ip地址:192.168.1.2),本地内网( 中心的内网网段10.1.2.1),远端内网(分支1内网网段10.1.1.0)

2 建立访问分支2内网(10.1.3.0)的安全通道

本地网关地址(防火墙口ip地址),远端网关地址(分支2防火墙口ip地址:192.168.3.2),本地内网(中心 的内网网段10.1.2.1),远端内网(分支2的内网网段 10.1.3.0)

分支机构2 :

1 建立访问中心内网(10.1.2.0)的安全通道

本地网关地址(防火墙口ip地址),远端网关地址(中心防火墙口ip地址:192.168.2.2),本地内网(分支2 的内网网段10.1.3.0),远端内网(中心内网网段10.1.2.0)

2 建立访问分支1内网(10.1.1.0)的安全通道

本地网关地址(防火墙口ip地址),远端网关地址(中心防火墙口ip地址:192.168.2.2),本地内网(分支2 的内网网段10.1.3.1),远端内网(分支1的内网网段 10.1.1.0)

防火墙墙策略的添加

1 分支1 防火墙策略:

1 添加分支1 内网IP 访问中心内网的规则

2 添加分支1 内网IP 访问分支2内网的规则

3 添加中心内网访问分支1内网的规则

4 添加分支2内网访问分支1内网的规则

2 分支2 防火墙策略:

1 添加分支2 内网IP 访问中心内网的规则

2 添加分支2 内网IP 访问分支1内网的规则

3 添加中心内网访问分支2 内网的规则

4 添加分支1内网访问分支2内网的规则

3 中心防火墙规则

由于分支1 访问分支2 ,分支2 访问分支1 都需要由中心防火墙来建立通道,因此中心防火墙必须添加如下的安全规则:

1 添加分支1 防火墙口IP 访问中心内网的规则 

2 添加分支2 防火墙口IP 访问中心内网的规则 

(如果不加以上两条规则分支1分支2无法互访)

3 添加分支1 内网IP 访问中心内网的规则

4 添加分支2 内网IP 访问中心内网的规则

5 添加中心内网访问分支1 和分支2 内网的规则

完成上述配置后就实现了我们的目标。下载本文

显示全文
专题
动视 51dongshi.net 版权所有
Copyright © 2019-2025