| 撰写人 | 张向东 | 审核人 | 校对人 | 付梅花 | |||
| 产品名称 | DCFW-1800G/E/S | ||||||
| 产品版本 | 4.0版本 | ||||||
| 文档描述 | DCFW-1800E 4.0版本 IPSEC VPN配置步骤 | ||||||
| 范围 | 无 | 撰写时间 | 2005-4-26 | ||||
DCFW-1800E 4.0版本 IPSEC VPN配置步骤
一 将防火墙口添加到tunnel域中,如下图:
1.1进入防火墙管理界面,点击 网络-安全域
1.2 点击上图tunnel对应的修改按钮,进入tunnel安全域的修改界面:
1.3 点击上图中的新增,将if0口添加到tunnel域中,如下图:
二 添加VPN 通道
(如果是从以前版本升级的防火墙,并且已经配置好了VPN通道,两端可以通过VPN互通,则不用修改已有的VPN通道,直接进入第三步)
2.1 定义预共享密钥:该密钥必须和远端防火墙定义的共享密钥一致!
此处所有的选项、参数必须和对端防火墙一致!
2.2 新增VPN通道
本地内网:指本地防火墙内网口连接的内部网段(指本地启用VPN互访的网段)
本地网关:一般指本地防火墙启用IPSEC VPN的网络接口―――口if0口IP地址
远端内网:对端防火墙连接的内部网段
远端网关:远端防火墙口IP地址
映射地址:如果防火墙口是合法地址,则填0.0.0.0;如果本地防火墙口不是合法地址时,映射地址必须填防火墙nat后的合法地址。
密钥:选择定义好的预共享密钥
三 添加 策略
3.1 定义远端防火墙所连接内部网端通过IPSEC VPN 访问本地内网的规则,如下图:
源:安全域选择-tunnel
目的:安全域选择-trust
服务选择相应的服务即可。
3.2 定义本地内网访问、本地内网访问对端防火墙内网的规则
该规则只需要添加一条 源是trust ,目的是untrust ,服务是any(或根据需要自行定义的服务)即可,如下图:
源:安全域选择-trust
目的:安全域选择-untrust
服务选择相应的服务即可。
3.3 定义用户访问内网服务器的规则
内网中有一台服务器(内网地址:192.168.1.2 ,转换后地址:10.1.1.5 ),通过防火墙做静态nat后,对提供服务。
源:安全域选择-untrust
目的:安全域选择-trust
服务选择相应的服务即可。
同样的方法添加http,ftp等规则。
四 添加地址转换规则
4.1 添加动态NAT 将内网网段转换成防火墙口IP地址
将内网网段192.168.1.0/24转换成防火墙口IP地址
4.2 添加静态NAT将内网服务器IP转换成合法地址
将内网服务器192.168.1.2转换成用户可访问的合法IP地址:10.1.1.5
五 完成配置后,保存,并应用
如果不应用,配置的规则将不会生效!
5.1 保存
5.2 应用
六 附件是两端防火墙配置文件:
,
完 !下载本文
