视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
DCFW-1800ES-UTM与DCFW-1800ES防火墙间建立IPSEC VPN配置指南
2025-10-02 15:08:38 责编:小OO
文档
点击下载本文 文档为doc格式
UTM与DCFW防火墙间建立IPSec VPN

配置指南

1.实验网络拓扑

2.实验描述

如上图:防火墙的if0接口连接INTERNET,地址为60.191.109.178

if1接口连接PC1,地址为192.168.10.1

PC1地址为192.168.10.100

UTM的eth0接口连接INTERNET,地址为60.191.172.154

eth1接口连接PC2,地址为192.168.0.1

PC2地址为192.168.0.100

需求:在防火墙和UTM直接创建IPSec VPN隧道,使PC1和PC2可以使用私网地址通信。

3.防火墙配置

防火墙的基本配置略,此处只列出VPN相关配置。

3.1. 修改VPN中IPSEC选项参数

把协商时间调成3600秒。

3.2. 把防火墙口加到tunnel域

打开安全域配置,点击tunnel域修改。

然后依次点击安全域tunnel接口设置、新增,把口if0添加到域里

3.3. 设置预共享密钥

在VPN > 密钥 > 预共享密钥处点击新增

如下图所示:

名称处任意填即可,共享密钥设置为hellotest(和UTM上设置一致即可),IKE算法组件选择3DES-MD5,IPSEC算法组件选择3DES-MD5,完美前项保密选择No。

3.4. 建立VPN通道

配置VPN通道,保护两端通信子网。在VPN > VPN通道处点击新增,如下图所示:

启用处打勾,本地内网填写本地与对端进行VPN通信的子网地址和掩码,本地网关填写防火墙if0接口地址,远端内网填写对端子网地址和掩码,远端网关填写对端UTM口地址,映射地址填为0.0.0.0,密钥下拉选择刚才建立的预共享密钥组件,这里名称是测试密钥。

3.5. 配置对端访问本地内网的策略

策略 > 策略设置处点击新增,如下图所示:

源选择tunnel,目的选择trust,服务根据需要进行选择,一般any即可,动作设置为允许。

到此,防火墙端配置即告完成,记得点击保存、应用。

4.UTM端配置

UTM端其他配置略,此处只列出VPN相关配置

4.1建立IKE密钥

在VPN > IPSEC > IKE提案 > IKE第一阶段提案处点击新增,如下图所示:

这里设置提案名称为IPSEC_TEST。点击确定后再点击修改,进行IKE提案详细配置

生存时间设为1小时。提案算法处点击新增,设置如下:

DH组选择为g2(注意,选择其他组会导致VPN通道无法建立),加密算法选择3des,认证算法选择md5。至此IKE第一阶段提案设置完毕。

下面设置IKE第二阶段提案,在VPN > IPSEC > IKE提案 > IKE第二阶段提案处点击新增,如下图所示:

设置IKE第二阶段名称为IPSCE_TEST_2,点击确定后再点击修改,进行IKE提案详细配置:

生存时间设置为1小时,PFS组处留空,不进行下拉选择。确定后再点击提案算法,新增一个:

加密算法选择3des,认证算法选择md5。至此,IKE提案设置部分完成。

4.2配置安全网关

在VPN > IPSEC > 安全网关处点击新增,如下图所示:

安全网关名任意,对端网关类型设置为静态网关,IKE协商模式设置为主模式,对端网关地址填入对端防火墙口地址60.191.109.178,外出接口选择口eth0,IKE身份认证采用预共享密钥方式,密钥设置为hellotest(和对端防火墙必须一致),IKE第一阶段提案处选择用户自定义,然后下拉找到刚才设置的名称IPSEC_TEST,并在主动连接对端网关处打上勾,最后在下一跳地址处填入公网网关地址。

至此,安全网关配置部分即告完成。

4.3配置自动密钥隧道

在VPN > IPSEC >自动密钥隧道处点击新增,如下图所示:

隧道名称任意,安全网关下拉选择刚才设置的IPSEC_TEST,认证协议选择ESP认证,IKE 第二阶段协商选择用户自定义,然后下拉选择刚才设置的IPSEC_TEST_2,IKE协商次数填入5,其余留空,不做设置。

至此,自动密钥配置部分即告完成。

4.4配置IPSEC通道

在VPN > IPSEC >IPSEC通道处点击新增,如下图所示:

通道名任意,本地子网填入要与对端防火墙进行通信的子网地址和掩码,网关隧道选择自动密钥隧道,下拉选择刚才设置的IPSEC_TUNNEL自动密钥组件,对端子网填入防火墙端需要通信的子网地址和掩码。

4.5配置对端访问本地内网的策略

在防火墙 > 安全策略 > 域间安全策略处点击新增,如下图所示:

源域选择ipsec,目的域选择trust,服务根据需要进行选择,一般any即可,动作选择permit。至此,UTM端设置即告完成。

5.验证配置并进行互通性测试

5.1防火墙端查看VPN状态

在 VPN > VPN状态 > IPSEC状态处可以看到VPN通道已经建立

5.2 UTM端查看VPN状态

VPN通道建立后,可以通过如下方式在UTM端进行查看

在IPSEC通道处点击查看通道IKE协商信息:

在IPSEC通道处点击查看通道SA信息:

5.3主机互通性验证

PC1主机ping主机PC2,可以ping通,验证VPN通道建立成功!下载本文

显示全文
专题
动视 51dongshi.net 版权所有
Copyright © 2019-2025