SANGFOR NGAF與H3C SecPath系列(V7)防火牆第三方IPsec對接
SANGFOR NGAF 與H3C SecPath系列(V7)防火牆第三方IPsec對接
方案概述:
客戶總部中心部署深信服的NGAF,鄉鎮分中心部署H3C SecPath系列防火牆,需要實現分中心通過IPSec訪問總部中心接入的專線的伺服器。
組網拓撲:伺服器(172.21.X.0/24) ----專線---- Sangfor AF ---- 市級電子政務網 ---- (外)NAT裝置(內) ---- H3C SecPath防火牆 ---- H3C S7506 ---- 雲桌面PC(18.X.Y.0/24)
部署方式:雖雙方均為固定IP,但因中間存在NAT裝置,且分支接入裝置採用了全網不可路由的私有地址,雙方不能完全互訪,只能單向訪問,故雙方採用野蠻模式對接;
IP 規劃:總部伺服器地址段(172.21.X.0/24),分支地址段(18.X.Y.0/24)
注意點:
1 、H3C SecPath防火牆的IPSec通過配置ACL來定義需要過濾的資料流。在IPSec的應用中,操作為“允許”的ACL規則表示與之匹配的流量需要被IPSec保護,而操作為“禁止”的ACL規則表示與之匹配的那些流量不需要保護。為保證SA的成功建立,建議將IPSec對等體上的訪問控制列表映象配置,即保證兩端要保護的資料流範圍是映象的。
若IPSec對等體上的訪問控制列表配置非映象,那麼只有一種情況下,SA的協商是可以建立的。這種情況就是,一端的訪問控制列表規則定義的範圍是另外一端的子集。但需要注意的是,在這種ACL配置下,並不是任何一端發起的SA協商都可以成功,僅當保護範圍小(細粒度)的一端向保護範圍大(粗粒度)的一端發起的協商才能成功,反之則協商失敗。這是因為,協商響應方要求協商發起方傳送過來的資料必須在響應方可以接受的範圍之內。
2 、Sangfor NGAF的IPSec第1階段配置中,因為分中心出口IP在政務網內經過NAT,IP不可達,所以要選擇 對方為動態IP,模式選擇為 野蠻模式。關於身份字串資訊,深信服裝置支援IP地址、域名FQDN和使用者FQDN三種,這次實施中用 域名FQDN的方式成功了。另外需要注意,存在NAT環境時必須要 開啟NAT穿透功能。
配置:
H3C SecPath 防火牆配置
1 、設定流量特徵;
acl number 3999
允許符合如下規則的流量進入隧道
rule 0 permit ip source 18.X.Y.0 0.0.0.255 destination 172.21.X.0 0.0.0.255
2 、第一階段配置IKE引數:
ike proposal 1
encryption-algorithm 3des-cbc
dh group2 //DH 群組2
authentication-algorithm md5 // 認證演算法MD5
sa duration 3600 // 第一階段sa生存時間設定為3600秒
ike keychain 1
// 設定共享金鑰
pre-shared-key address 2.34.X.Y 32 key si password
ike profile 1
keychain 1
exchange-mode aggressive // 使用野蠻模式
local-identity fqdn ZT-F1030 // 我方身份
match remote identity fqdn ZX-Sangfor // 對方身份
match remote identity address 2.34.X.Y // 總部IP
proposal 1
3 、第二階段IPSec引數,配置安全提議:
IPSec transform-set ZT // 安全提議名稱
encapsulation-mode tunnel // 傳輸模式:使用隧道模式
protocol esp // 採用的安全協議
esp authentication-algorithm md5 // 認證演算法
esp encryption-algorithm 3des // 加密演算法
以上引數與深信服裝置的安全選項一致。
配置安全策略:
IPSec policy 720896 1 isakmp // 策略名稱、序號、使用IKE協商
transform-set ZT // 安全提議
security acl 3999 // 關聯ACL3999
remote-address 2.34.X.Y
ike-profile 1
sa duration time-based 3600 // 第二階段sa生存時間3600秒
4 、關聯出介面
interface GigabitEthernet1/0/2
避免IPSec流量被nat轉換,否則會導致異常現象。h3c的產品有些可能並不支援這個命令,解決辦法是在nat規則裡面將IPSec流量特徵的資料deny掉,因為資料量一般是先執行nat轉換後執行路由的。
IPSec apply policy 720896 // 關聯IPSec策略
Sangfor NGAF 配置
VPN 介面配置:
第一階段配置:
共享金鑰: password
第二階段
設定出入站策略,注意策略命名要便於後期去區別
IPSec
隧道。
完美金鑰向前保密華三的裝置也不一定可以支援,這個需要注意。
設定VPN出介面:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/81227/viewspace-2670399/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- H3C防火牆-安全域防火牆
- SANGFOR NGAF雙機主備專線故障的排查
- WAb防火牆與傳統防火牆防火牆
- Docker 橋接模式下埠對映會繞過防火牆Docker橋接模式防火牆
- 記IPSec VPN對接故障的排查
- H3C F100-C-G2防火牆防火牆
- 軟體防火牆與硬體防火牆詳解防火牆
- 高階安全Windows防火牆(上)之IPSec—Windows2008新功能系列之三Windows防火牆
- ADDS與防火牆防火牆
- HUAWEI防火牆同一例項場景下配置IPSec隧道防火牆
- rmi、防火牆與網閘防火牆
- 對個人防火牆XFilter的感受 (轉)防火牆Filter
- Docker 埠對映防火牆規則配置Docker防火牆
- H3C MSR 20-20 IPsec VPN 配置
- 配置ModSecurity防火牆與OWASP規則防火牆
- centos6.8防火牆操作與配置CentOS防火牆
- 網路防火牆的配置與管理防火牆
- win2003伺服器透過ipsec做防火牆的配置方法伺服器防火牆
- 防火牆(firewall)防火牆
- SQL防火牆SQL防火牆
- 防火牆IPTABLES防火牆
- RouterOS防火牆ROS防火牆
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- 淺談下一代防火牆與Web應用防火牆的區別防火牆Web
- AutoRun病毒防火牆如何使用 AutoRun病毒防火牆教程防火牆
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- 第三方支付對接開發
- 網站安全公司對waf防火牆作用分析網站防火牆
- 溢位程式使用通道對抗防火牆 (轉)防火牆
- Quidway Eudemon 系列防火牆增加IP訪問UI防火牆
- linux apf 防火牆安裝與配置Linux防火牆
- WAF與網路防火牆的區別防火牆
- 護航中小企業 H3C F100-C-A5防火牆微評測防火牆
- 使用H3C的辦公室路由器和IDC的防火牆建立IPSecVPN路由器防火牆
- CentOS 防火牆操作CentOS防火牆
- 防火牆介紹防火牆
- CentOS 7.0防火牆CentOS防火牆
- linux 防火牆Linux防火牆