網(wǎng)絡(luò)運維|防火墻的IPSecVPN典型應(yīng)用案例

2020-06-11 17:18 作者：艾銻無限 瀏覽量：

網(wǎng)絡(luò)運維|防火墻的IPSecVPN典型應(yīng)用案例
大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護相關(guān)的內(nèi)容，在這里介紹下防火墻點到多點的IPSecVPN應(yīng)用實例，網(wǎng)絡(luò)安全運維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運維大神。
網(wǎng)絡(luò)維護是一種日常維護，包括網(wǎng)絡(luò)設(shè)備管理(如計算機，服務(wù)器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時您可以免費資訊北京網(wǎng)絡(luò)維護，北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護信息
 

 配置點到多點場景下的IPSec

點到多點多用于一個總部與多個分支建立IPSec的場景。本節(jié)介紹如何使用Web界面完成點到多點場景下的IPSec隧道配置。

配置IPSec策略

在點到多點場景中，本端希望與多臺VPN網(wǎng)關(guān)、客戶端（便攜計算機、手機、平板電腦等等設(shè)備）同時建立多條IPSec隧道，實現(xiàn)這些設(shè)備或所連私網(wǎng)的互聯(lián)。這些設(shè)備的IP地址通常是不固定的，也沒有可用的域名。
這種場景經(jīng)常用于總部與出差員工之間建立VPN。它要求總部擁有固定的IP地址或域名，由出差員工發(fā)起訪問。
要配置這種場景的IPSec策略，需要在配置前至少完成以下工作：

• 獲取可能接入的設(shè)備類型。不同的設(shè)備類型將使用不同的協(xié)議。VPN網(wǎng)關(guān)使用IPSec協(xié)議，客戶端通常使用L2TP over IPSec協(xié)議或者IKEv2協(xié)議。
• 總部網(wǎng)關(guān)的管理員與出差員工協(xié)商一段字符串作為密鑰（預(yù)共享密鑰方式）或者使用相同的證書認證體系（RSA簽名方式、RSA數(shù)字信封方式或SM2數(shù)字信封方式）。
• 配置相應(yīng)的用戶組及其認證方式。移動終端接入時都要進行用戶認證，以保證其合法性。在配置IPSec策略前需要提前創(chuàng)建好相應(yīng)的用戶組。
• 設(shè)定為對端分配的私網(wǎng)IP地址范圍。這種場景下通常需要總部為接入的設(shè)備分配一個私網(wǎng)地址，以使其可以與總部內(nèi)網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)備正常通信。

1. 選擇“VPN > IPSec > IPSec”。
2. 單擊“新建”，建立一條IPSec策略。
3. 選擇“場景”為“點到多點”。
4. 可選：配置IPSec策略的基本信息。

參數(shù)	說明
策略名稱	輸入IPSec策略的名稱。
本端接口	從下拉列表中選擇應(yīng)用IPSec策略的接口。該接口應(yīng)為本端與對端相連的接口，通常為設(shè)備的公網(wǎng)接口。本端將使用該接口與對端建立隧道。
本端接口IP地址	從下拉列表中選擇本端設(shè)備與對端設(shè)備建立隧道所使用的IP地址。當(dāng)“本端接口”配置了多個IP地址時，可以從中任選一個，只要對端可以正常訪問此IP地址即可。 在雙機熱備組網(wǎng)中，請選擇本端接口對應(yīng)的虛擬IP。

5. 根據(jù)實際需要接入的設(shè)備在“對端接入類型”中選擇客戶端類型。
   • 分支網(wǎng)關(guān)：使用IPSec協(xié)議接入的VPN網(wǎng)關(guān)。
   • L2TP over IPSec客戶端：使用L2TP over IPSec協(xié)議接入的客戶端。例如PC、iPhone/iPad、安卓設(shè)備等。
   • IKE V2客戶端：使用IKE v2協(xié)議接入的客戶端。例如PC（Win7)、無線AP等。
6. 配置雙方相互校驗的校驗參數(shù)。

為了保證IPSec隧道的安全性，必須防止非法客戶端接入，因此需要通過一系列參數(shù)來對對端的合法性進行校驗。同時為了通過對端的合法性校驗，本端也需要提供一些相應(yīng)的參數(shù)。

參數(shù)	說明
對端地址	輸入對端網(wǎng)關(guān)所使用的IP地址或域名，例如1.1.1.1或testl.com。 一般需要配置IP或域名，以限定可接入的對端。如果對端地址沒有固定的IP地址和域名，可以不輸入本參數(shù)。此時本端網(wǎng)關(guān)不能主動發(fā)起協(xié)商。
預(yù)共享密鑰	在此填入雙方管理員約定的密鑰字符串。
本端ID	本端ID用于標(biāo)識本端設(shè)備的身份，供對端設(shè)備認證自身的合法性。需要與對端設(shè)備上設(shè)置的“對端ID”參數(shù)保持一致。 IP地址：使用“本端接口IP地址”作為本端ID，不可修改。 FQDN（域名）：默認使用本端設(shè)備的設(shè)備名稱作為本端ID，可修改為其他字符串。 User-FQDN（電子郵件）：默認使用本端設(shè)備的設(shè)備名稱作為本端ID，可修改為其他字符串。
對端ID	對端ID用于認證對端設(shè)備的身份。類型與值都需要與對端設(shè)備上設(shè)置的“本端ID”參數(shù)保持一致。 如果不需要認證，接受任意ID的請求，請選擇“接受任意對端ID”。 如果不限定ID類型，只要字符串匹配即可，請選擇“任意類型”。

7. 可選：配置接入客戶端的用戶/用戶組信息。

當(dāng)“對端接入類型”勾選了“L2TP over IPSec客戶端”或“IKE V2客戶端”時會出現(xiàn)本配置項。只有這兩種類型的接入客戶端才可以進行用戶認證。

參數(shù)	說明
用戶組	從下拉列表中選擇已經(jīng)創(chuàng)建好的用戶組。
用戶地址池	輸入給接入用戶分配的私網(wǎng)地址范圍，例如192.168.1.1或者192.168.1.1-192.168.1.254。

如果用戶組尚未創(chuàng)建好，可以從下拉列表中選擇“新建用戶組”按鈕立即新建一個用戶組。
如果需要向現(xiàn)有用戶組中添加用戶，可以單擊“用戶組”右側(cè)的“配置”按鈕對用戶組進行修改。如下圖所示：

在彈出的“新建用戶組”或“修改用戶組”對話框中，單擊“本地用戶列表”中的“新建”按鈕，可以立即在該組中新建用戶。

參數(shù)	說明
用戶名	輸入該用戶的用戶名。
密碼	輸入該用戶的密碼。
確認密碼	重新輸入一遍該用戶的密碼。
分配固定IP	如果希望該用戶接入后總是得到同一個私網(wǎng)IP，可以輸入希望給其固定分配的私網(wǎng)IP地址。 該選項僅對L2TP用戶有效，對IKEv2用戶無效。

8. 配置待加密的數(shù)據(jù)流。

本場景中，系統(tǒng)會自動匹配需要加密的數(shù)據(jù)流，不需要配置“待加密的數(shù)據(jù)流”。
根據(jù)需要可以選擇配置是否進行“反向路由注入”。開啟“反向路由注入”后，設(shè)備將把到達對端保護的網(wǎng)段的路由自動引入到路由表，從而不用管理員手工配置路由。此功能一般在與多個分支對接的總部網(wǎng)關(guān)上配置。
輸入注入路由的“優(yōu)先級”，從而更靈活地應(yīng)用路由管理策略。例如，如果設(shè)備上還有其它方式配置的到達相同目的地址的路由，可以為它們指定相同優(yōu)先級來可實現(xiàn)負載分擔(dān)，也可指定不同優(yōu)先級來實現(xiàn)路由備份。

9. 可選：配置安全提議中高級參數(shù)。
   • 通常如果需要支持的終端類型特別多，可以不在總部側(cè)限定允許接入的安全提議參數(shù)。此時只需要勾選“安全提議”中“接受對端提議”即可保證總部與所有客戶端之間正常建立隧道。勾選之后表示如果對端發(fā)起隧道建立請求，本端完全接受對端提議的算法參數(shù)，以保證隧道協(xié)商成功。此時的隧道安全性由對端配置決定，本端不需要配置高級參數(shù)。
   • 如果總部對安全提議有特殊要求，則可以調(diào)整本端的對應(yīng)參數(shù)以保證安全性。

取消勾選“安全提議”中“接受對端提議”，展開“高級”。
其中算法類參數(shù)所提供的多個選擇，在列表中位置越高，代表其安全性越高。如果該參數(shù)支持多選，那么實際協(xié)商時將根據(jù)參數(shù)在列表中位置從高到低依次嘗試，直至協(xié)商成功。

參數(shù)	說明
IKE參數(shù)
IKE版本	選擇“v1”或“v2”來確定與對端進行IKE協(xié)商時所使用的協(xié)議版本。關(guān)于IKE不同版本的詳細信息，請參見IPSec安全聯(lián)盟。 同時選擇兩種版本表示可響應(yīng)v1和v2兩個版本的IKE請求，但是主動發(fā)起請求時只使用v2版本。
協(xié)商模式	選擇IKE的協(xié)商模式。關(guān)于協(xié)商模式的詳細信息，請參見IKEv1協(xié)商安全聯(lián)盟的過程（階段1）。 自動：在響應(yīng)協(xié)商時可接受主模式和野蠻模式，在發(fā)起協(xié)商時使用主模式。 主模式：強制使用主模式協(xié)商。主模式更安全。 野蠻模式：強制使用野蠻模式協(xié)商。野蠻模式更快速。
加密算法	選擇保證數(shù)據(jù)不被竊取的加密算法。關(guān)于加密算法的詳細信息，請參見加密。
認證算法	選擇保證數(shù)據(jù)發(fā)送源可靠的認證算法。關(guān)于認證算法的詳細信息，請參見驗證。
完整性算法	當(dāng)“IKE版本”選擇了“v2”時會出現(xiàn)本參數(shù)。 使用IKEv2版本時，選擇保證數(shù)據(jù)不被篡改的完整性算法。關(guān)于完整性算法的詳細信息，請參見驗證。
DH組	選擇密鑰交換方法。關(guān)于密鑰交換方法的詳細信息，請參見密鑰交換。
SA超時時間	為了保證隧道的安全，避免其在公網(wǎng)上存在過久，增加被攻擊的風(fēng)險，可以設(shè)定一個超時時間。當(dāng)一定時間內(nèi)隧道內(nèi)沒有流量可以自動拆除隧道，等后續(xù)有流量時再重新建立。 輸入超時時間，單位為秒。
IPSec參數(shù)
封裝模式	選擇IPSec的封裝模式。關(guān)于封裝模式的詳細信息，請參見封裝模式。 自動：當(dāng)設(shè)備作為發(fā)起端時，采用隧道模式封裝報文；當(dāng)設(shè)備作為接收端時，可以接受隧道模式和傳輸模式兩種封裝模式。 隧道模式：只保護報文載荷部分，常用于VPN網(wǎng)關(guān)之間建立隧道。 傳輸模式：保證整個報文，常用于移動終端與VPN網(wǎng)關(guān)建立隧道。
安全協(xié)議	選擇IPSec的安全協(xié)議。關(guān)于安全協(xié)議的詳細信息，請參見安全協(xié)議。 AH：提供對整個報文的認證能力，但是不提供加密能力。 ESP：提供對報文載荷的加密和認證能力。 AH-ESP：提供對整個報文的加密和認證能力。
ESP加密算法	當(dāng)“安全協(xié)議”選擇“ESP”或“AH-ESP”后會出現(xiàn)本參數(shù)。 選擇保證數(shù)據(jù)不被竊取的加密算法。關(guān)于加密算法的詳細信息，請參見加密。
ESP認證算法	當(dāng)“安全協(xié)議”選擇“ESP”或“AH-ESP”后會出現(xiàn)本參數(shù)。 選擇保證數(shù)據(jù)發(fā)送源可靠的認證算法。關(guān)于認證算法的詳細信息，請參見驗證。
AH認證算法	當(dāng)“安全協(xié)議”選擇“AH”或“AH-ESP”后會出現(xiàn)本參數(shù)。 選擇保證數(shù)據(jù)發(fā)送源可靠的認證算法。關(guān)于認證算法的詳細信息，請參見驗證。
PFS	選擇密鑰交換方法。關(guān)于密鑰交換方法的詳細信息，請參見密鑰交換。 組號越大密鑰越長，安全性越高。選擇“NONE”表示不進行額外的密鑰交換。
SA超時	IPSec隧道將在建立時間或者傳輸流量大小達到閾值時重新協(xié)商以保證安全性。 在“基于時間”中輸入重協(xié)商間隔時間。在“基于流量”中輸入流量閾值。只要IPSec隧道建立后，滿足其中任意一個條件，IPSec SA就會開始重協(xié)商。重協(xié)商不會導(dǎo)致當(dāng)前隧道中斷。
DPD狀態(tài)檢測
檢測方式	開啟“DPD狀態(tài)檢測”后，設(shè)備會自動發(fā)送DPD報文檢測對端是否存活，以便及時拆除錯誤的隧道。 可以有兩種檢測方式： 周期性發(fā)送：“檢測時間間隔”內(nèi)未收到對端報文則發(fā)送一次DPD報文。 需要時才發(fā)送：“檢測時間間隔”內(nèi)未收到對端報文，且本端需要通信時發(fā)送一次DPD報文。 對于使用IKEv1的隧道，此功能需要兩端同時開啟或關(guān)閉。在發(fā)送DPD報文后，在“重傳時間間隔”內(nèi)未收到回應(yīng)報文，會被記錄為一次失敗時間。當(dāng)連續(xù)發(fā)生五個失敗事件后，則認為對端已經(jīng)失效，設(shè)備會自動拆除隧道。 對于使用IKEv2的隧道，此功能只需一端開啟就可檢測成功。發(fā)送DPD報文的間隔時間不按照“重傳時間間隔”，而是以指數(shù)形式增長（發(fā)送DPD報文1后，隔1秒發(fā)報文2，再隔2秒發(fā)報文3，再隔4秒發(fā)報文4，依次類推），一直到間隔64秒后發(fā)送報文8。如果還收到回應(yīng)報文，在報文8發(fā)送后的128秒時，隧道會被自動個拆除。整個過程耗時約半個小時。
檢測時間間隔	輸入“檢測時間間隔”，單位為秒。
重傳時間間隔	輸入“重傳時間間隔”，單位為秒。僅對IKEv1有效。
NAT穿越	當(dāng)兩端之間存在NAT設(shè)備時，請選擇此選項。 開啟NAT穿越功能后，設(shè)備會在普通IPSec報文基礎(chǔ)上增加UDP頭封裝。當(dāng)IPSec報文經(jīng)過NAT設(shè)備時，NAT設(shè)備會對該報文的外層IP頭和增加的UDP報頭進行地址和端口號轉(zhuǎn)換。這樣NAT設(shè)備對報文IP的轉(zhuǎn)換就不會破壞原始IPSec報文的完整性，使其可以被對端網(wǎng)關(guān)正常接收。

10. 單擊“應(yīng)用”，新配置的IPSec策略將出現(xiàn)在策略列表中。

查看當(dāng)前配置支持接入的設(shè)備類型

由于在IPSec的協(xié)商過程中，雙方參數(shù)的一致性非常重要，所以設(shè)備提供了“推薦對端配置”功能。此功能可以列出能夠協(xié)商成功的對端配置，可以導(dǎo)出該配置發(fā)送給對端網(wǎng)關(guān)的管理員參考配置。

1. 在IPSec策略的“新建”和“修改”界面，點擊位于界面右側(cè)中間位置的“推薦對端配置”按鈕，如下圖所示。

2. 在界面右側(cè)會展開顯示推薦對端配置的簡要信息。單擊展開區(qū)域右上角的“導(dǎo)出”按鈕，將詳細配置介紹導(dǎo)出成網(wǎng)頁文件保存至本地，如下圖所示。

3. 將導(dǎo)出的網(wǎng)頁文件發(fā)送給對端網(wǎng)管的管理員參考。