背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec ***用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21。
IPSEC介绍:ipsec-***也分路由模式和策略模式。我们这里分别介绍策略模式和路由模式。
俩者有哪些不同的地方呢?对俩者ipsec-***的实现原理过程解释:
①基于策略的IPsec ×××:通过防火墙策略将数据丢进×××隧道
②基于路由的IPsec ×××: 在防火墙上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中,再有IPsec ×××进行加密
俩者ipsec-***的区别:
①基于策略的IPsce ×××可以再网关部署和透明部署的防火墙上建立,基于策略的IPsec***建立后,在×××隧道中仅能传输单播数据;
②基于接口的IPsec ×××只能在网关模式下施工部署,不可以在透明模式下部署,相对于策略模式IPsec ***优点在于:基于路由IPsec***可在×××隧道中传组播应用,如动态路由等协议。
策略模式×××配置步骤:
一、飞塔防火墙配置
IKE第一阶段配置,基础配置也没有什么好讲的,上来配置好名称,对端公网ip地址,选择接口,模式,认证方式,秘钥等。
高级选项中有些选项是必须与对端一致的。重点需要注意以下几项:
阶段1中的加密算法和认证算法必须配置两端的防火墙一致。
DH组必须一致(IKE DH (Diffie-Hellman) 组,秘钥交换算法。DH group 1 (768-bit)、DH group 2 (1024-bit)、DH group 5 (1536-bit))
秘钥周期必须一致
NAT穿越开启(如果使用NAT的话,一定要开启这个功能)
以下选项也建议开启:
DBD状态监测开启
IKE第二阶段配置,阶段2的加密算法和认证算法也必须和对端保持一致,DH组和秘钥周期也要配置一致。这里重点说一下快速模式选择器:
有关流量的匹配规则是在防火墙策略里配置的,为什么还需要在ipsec第二阶段里在定义一次网段信息呢??
原因是,可以配置多个阶段2对应一个阶段1。
①再有多个阶段2存在的情况下,用来识别和引导流量到合适的阶段2中
》允许对不同的LAN设置不同颗粒的的SA,安全级别不同
》×××流量如果不匹配选择器将被丢弃
②在点对点的***中,两端选择器的配置必须正好相反
》其中一段的源IP必须是另一端的目的IP
配置防火墙策略:配置本地子网到对端子网的放行策略,策略动作选择ipsec ***隧道(注:一定要把策略顺序放置好,最好是放在策略最上方)
二、juniper防火墙配置
第一步:Web-UI管理界面中配置×××S→AutoKey Advanced→Gateway→New
第二步:定义×××网关名称、定义“对端×××设备公网IP”为本地×××设备的网关地址,如下图所示:(IKE版本可选)
第三步:在××× Gateway的高级(Advanced)部分,定义预共享密钥、定义相关的×××隧道协商加密算法、选择×××的发起模式,DPD检测最好勾选,模式选择野蛮模式 ,公网出口等。outgoing interface 选择公网出接口,如下图所示:
其中加密算法必须和对端的保持一致才行,加密中的g2代表是DH2。其中的加密认证等算法可以在P1 Proposal中定义。
第四步:接着配置×××的AutoKey IKE:×××S→AutoKey IKE→New,如下图
第五步:设置××× name、Remote Gateway,如下图所示
第六步:在AutoKey IKE的高级(Advanced)部分定义了×××的加密算法(Security Level)
SencurityLevel:User Defined→Custom→Phase 2 Proposal→可以根据个人需要选择自定义(两端设备保持一致即可),配置proxy-ID,定义本地子网和远端子网,可选【如果同款型号或者同产商,这里无需添加proxyID】若跨产商,这里就填写,如下图所示:
注意:
××× Monitor:×××通道状态监测,不勾选的话×××s→Monitor Status不会显示已建立的×××通道。
Optimized:×××通道健康检查,不勾选的话×××s→Monitor Status的Link栏位始终会显示为down状态(这个对策略模式没有影响,***正常使用;但如果使用的是路由模式***,则会影响tunnel接口的状态,tunnel接口在up大概一分钟后,就会down掉)。
第七步:建立××× Policy,trust-untrust、untrust-trust双向策略新建对应兴趣流量,勾选modify matching...选项可以同时生成反向的策略信息。另外需要调整***的策略顺序,最好将他们放在最上边。如下图所示
第八步:在 ×××s > Monitor Status 界面下可以看到×××的状态(可以看到Link链路显示的状态是Down状态,但***的确是建立好了,并且可以互通,只当是个bug吧),如下图展示:
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
路由模式×××配置步骤:
环境:鲁谷机房防火墙为juniper 550(软件版本:6.2.0r5.0),内网网段为:10.10.0.0/21
Ucloud机房防火墙为fortigate 90D(软件版本:v5.0,build0228 ),内网网段:10.8.0.0/16
拓扑图:
说明:因为fortigate 90D防火墙不支持策略模式的IPSec×××,所以需要配置路由模式
fortigate90D防火墙配置步骤:
一、创建第一阶段***策略:
二、创建第二阶段***策略:
三、一二步骤完成后,会自动创建一个隧道接口
四、创建地址对象
五、手动创建放行策略
六、手动创建路由
juniper 550防火墙配置步骤:
一、创建第一阶段***策略
二、创建tunnel接口
Zone(VR):这个区域可以自行选择,选择哪个区域都可以,要与下方选择的Interface在相同zone内。如果是选择Trust区域,则不需要在配置策略了(因为在juniper中,默认同区域是可以互通的,可以更改默认设置)。
Interface:选择所选区域内存在的任何一个正常的接口。
三、创建IKE
××× Monitor:×××通道状态监测,不勾选的话×××s→Monitor Status不会显示已建立的×××通道。
Optimized:×××通道健康检查,不勾选的话×××s→Monitor Status的Link栏位始终会显示为down状态(这个对策略模式没有影响,***正常使用;但如果使用的是路由模式***,则会影响tunnel接口的状态,tunnel接口在up大概一分钟后,就会down掉)。
四、创建路由