在本课中,你将了解IPsec VPN的体系结构组件以及如何配置它们。
在这节课中,你将学习上图显示的主题。
通过展示IPsec基础知识的能力,你将能够理解IPsec的概念和好处。
什么是IPsec?什么时候应该使用它?
IPsec是一组供应商中立的标准协议,用于连接两个物理上不同的局域网。尽管被互联网隔开,但局域网还是像单个逻辑网络一样连接起来。
理论上,IPsec不支持空加密,也就是说,你可以创建不加密流量的VPN。IPsec还支持空数据完整性。但是与普通流量相比,这有什么优势吗?不。没有人可以信任可能被攻击者注入了攻击的流量。很少有人想要未知来源发送的数据。大多数人还希望私人网络数据,如信用卡交易和医疗记录,保持私密性。
无论供应商如何,IPsec VPN的设置几乎总是允许它们提供三个重要的好处:
● 身份验证:验证两端的身份
● 数据完整性(或HMAC):证明封装的数据在通过潜在的敌对网络时没有被篡改
● 保密性(或加密):确保只有预期的接收者可以读取消息
如果你要通过防火墙传递VPN,了解允许哪些协议是有帮助的。
IPsec是一套独立的协议,包括:
● 互联网密钥交换(IKE):用于验证对等体、交换密钥以及协商将使用的加密和校验和,本质上,它是控制通道
● AH:包含验证头,校验数据完整性的校验和
● 封装安全有效载荷(ESP):封装的安全有效载荷,加密有效载荷,本质上是数据通道
因此,如果你必须通过防火墙传递IPsec流量,请记住,只允许一个协议或端口号通常是不够的。
请注意,IPsec RFC提到了AH,但是,AH不提供加密,这是一个重要的好处。因此,FortiGate不使用AH。因此,你不需要允许AH IP协议(51)。
要设置VPN,你必须在VPN的两端配置匹配设置,无论VPN是在两个FortiGate设备、FortiGate和FortiClient之间,还是在第三方设备和FortiGate之间。如果设置不匹配,隧道设置将失败。
标准IKE流量和IKE NAT-T流量的默认端口分别为UDP 500和UDP 4500。你可以使用上图显示的CLI命令为IKE和IKE NAT-T配置自定义端口。自定义端口用于启动和响应隧道请求。如果检测到NAT,那么自定义端口可用于IKE和UDP封装的ESP流量。请注意,无论自定义端口设置如何,FortiGate都会监听端口UDP 4500。这使得FortiGate能够在自定义和标准端口上协商NAT-T隧道。
IPsec在IP(网络)层提供服务。在隧道建立期间,两端都协商要使用的加密和身份验证算法。
隧道协商并启动后,数据被加密并封装到ESP数据包中。
封装了什么?这取决于正在使用的封装模式。IPsec可以以两种模式运行:传输模式和隧道模式。
● 传输模式直接封装和保护第四层(传输)及以上。原始IP头不受保护,也不会添加额外的IP头。
● 隧道模式是一个真正的隧道。整个IP数据包被封装,并在开始时添加一个新的IP头。在IPsec数据包到达远程局域网并解包后,原始数据包可以继续其旅程。
请注意,删除与VPN相关的标头后,传输模式数据包无法进一步传输;它内部没有第二个IP标头,因此不可路由。因此,此模式通常仅用于端到端(或客户端到客户端)VPN。
IKE使用UDP端口500。如果在NAT场景中启用了NAT-T,IKE将使用UDP端口4500。
IKE建立一个IPsec VPN隧道。FortiGate使用IKE与对等体协商并确定IPsec安全关联(SA)。IPsec SA定义了FortiGate用于加密和解密该对等体数据包的身份验证、密钥和设置。它基于互联网安全协会和密钥管理协议(ISAKMP)。
IKE定义了两个阶段:阶段1和阶段2。
有两个IKE版本:IKEv1和IKEv2。尽管IKEv2是一个较新的版本,并且具有更简单的协议操作,但本课程只关注IKEv1,因为它的采用范围要广泛。
上图显示了一个表格,比较了FortiOS支持的一些IKEv1和IKEv2功能。IKEv2提供了一个更简单的操作,这是使用单个交换模式并需要更少的消息来调出隧道的结果。
在身份验证方面,两个版本都支持PSK和证书签名。虽然只有IKEv1支持XAuth,但IKEv2支持EAP,这相当于XAuth。然而,FortiOS IKEv2 EAP实现只是直通的。也就是说,FortiOS不支持EAP作为客户端,这意味着除非你使用证书签名,否则你无法撤销使用IKEv2对等体的访问权限。使用IKEv1,你可以拒绝访问VPN对等体,而无需使用XAuth使用证书签名。IKEv2还支持非对称身份验证,这使你能够将每个对等体配置为使用不同的身份验证方法。
两个IKE版本都支持NAT-T。但是,IKEv2原生支持NAT-T,而IKEv1支持NAT-T作为扩展。此外,IKEv2是比IKEv1更可靠的协议,因为与TCP一样,对等体必须承认它们之间交换的消息。IKEv1不支持这种机制。
当你配置多个拨号IPsec VPN时,IKEv2使通过对等ID匹配预期网关变得更加简单。使用IKEv2,你可以使用标准对等ID属性或Fortinet专有网络ID属性来指示拨号服务器上匹配的第1阶段网关,无论使用哪种身份验证模式。然而,使用IKEv1,你只能使用对等ID,然后将其与野蛮模式和预共享密钥身份验证相结合,或与主模式和证书签名身份验证相结合。
最后,IKEv2允许响应者选择发起者提议的流量子集。这被称为流量选择器缩小,使你能够拥有更灵活的第2阶段选择器配置。流量选择器缩小使对等体能够自动缩小其流量选择器地址,因此它与远程对等体提议的流量选择器一致。
为了建立IPsec隧道,双方必须建立各自的SA和秘钥,这一点通过IKE协议实现。
IPsec架构使用SA作为将安全功能构建到IPsec的基础。SA是用于加密和验证通过隧道的数据的算法和参数包。在正常的双向流量中,这种交换由一对SA来保证,每个流量方向一个。从本质上讲,隧道两边都必须就安全规则达成一致。如果双方无法就发送数据和验证对方身份的规则达成一致,则无法建立隧道。SA过期,需要在同龄人达到生命周期后重新谈判。
IKE使用两个不同的阶段:第一阶段和第二阶段。每个阶段协商不同的SA类型。第1阶段谈判的SA称为IKE SA,第2阶段谈判的SA称为IPsec SA。FortiGate使用IKE SA设置安全通道来协商IPsec SA。FortiGate使用IPsec SA分别通过隧道加密和接收的数据。
当远程互联网用户需要安全连接到办公室以访问公司资源时,请使用远程访问VPN。远程用户连接到位于公司场所(如FortiGate)的VPN服务器,以建立一个安全隧道。用户经过身份验证后,FortiGate根据授予该用户的权限提供对网络资源的访问。
在远程接入VPN中,通常将FortiGate配置为拨号服务器。在这节课中,你会学到更多关于拨号VPN的知识。远程互联网用户的IP地址通常是动态的。由于FortiGate不知道远端用户的IP地址,因此只有远端用户才能发起VPN连接请求。
远端用户需要VPN客户端,如FortiClient。FortiClient必须配置为与VPN服务器匹配。FortiClient负责建立隧道,并通过隧道路由到达远程站点的流量。
此外,你可以在FortiGate设备上为多个远程用户使用一个远程访问VPN配置。FortiGate为它们中的每一个建立一个单独的隧道。
站点到站点VPN也被称为局域网到局域网VPN。一个简单的站点到站点部署涉及两个对等体直接通信,以连接位于不同办公室的两个网络。
当你需要连接两个以上位置时,你可以使用星型拓扑。在星型拓扑中,所有客户端都通过中央集线器连接。在上图显示的示例中,客户(spokes)是分公司FortiGate设备。任何分支机构要到达另一个分支机构,其流量必须通过枢纽。这种拓扑的一个优点是所需的配置易于管理。另一个优势是,只有总部的FortiGate必须非常强大,因为它同时处理所有隧道,而分支机构的FortiGate设备需要的资源要少得多,因为它们只维护一个隧道。一个缺点是,通过总部的分支机构之间的通信比直接连接要慢,特别是如果你的总部距离很远。此外,如果总部的FortiGate设备出现故障,则VPN故障是全公司范围的。
在网状拓扑中,你可以直接连接FortiGate设备,从而绕过HQ。网状拓扑存在两种变体:全网状和部分网状。全网状将每个位置连接到所有其他位置。FortiGate设备的数量越多,每个FortiGate设备上要配置的隧道数量就越多。例如,在具有五个FortiGate设备的拓扑中,你需要在每个设备上配置四个隧道,总共20个隧道。与星型拓扑相比,这种拓扑导致更少的延迟,需要更少的HQ带宽,但需要每个FortiGate设备更强大。部分网状试图妥协,最大限度地减少所需的资源,但也减少了延迟。如果每个位置之间不需要通信,部分网状可能是合适的。然而,每个FortiGate设备的配置比星状拓扑更复杂。特别是路由,可能需要广泛的规划。
一般来说,你拥有的位置越多,星型会比网状拓扑更便宜,但速度更慢。网状对中心位置的压力更小。它的容错性更强,但也更昂贵。
回顾一下,上图展示了VPN拓扑的高级比较。你应该选择最适合自己情况的拓扑。
每种VPN拓扑都有其优缺点。
自动发现VPN (ADVPN)是FortiGate的一项功能,它实现了全网状拓扑的优势,同时具有星型和部分网状拓扑的更容易配置和可扩展性优势。
首先,向FortiGate设备添加用于构建星型或部分网状拓扑的VPN配置。然后在VPN上启用ADVPN。ADVPN在辐条之间动态协商隧道(无需预先配置),以获得全网状拓扑的好处。
ADVPN可以通过动态路由和静态路由两种方式部署。动态路由协议,如BGP,通常部署在大型网络中,因为它可以让你更容易地在辐条和集线器之间交换路由信息,从而可以扩展。你也可以使用静态路由来部署ADVPN,但建议在不太可能大幅增长的小型网络中这样做。
无论是否使用动态路由,在协商出一条快捷方式后,FortiGate都会自动通过该快捷方式添加路由,将辐对辐流量重定向到该快捷方式。
答案:B
答案:A
干得漂亮!你已经了解了IPsec。现在,你将了解IPsec配置。
通过演示IPsec配置的能力,你将能够成功地确定IPsec VPN部署所需的设置。
当你在GUI上创建IPsec隧道时,FortiGate会将您重定向到IPsec向导。该向导通过指导你完成四到五步过程,简化了新VPN的创建。第一步是选择模板类型。如果你想手动配置VPN,你可以选择自定义作为模板类型,FortiGate会直接将你带到新VPN的第1阶段和第2阶段设置。
如果你希望向导为你配置VPN,请选择与你的VPN最匹配的模板类型(站点到站点、星型或远程访问)。之后,向导会要求你提供关键信息,如远程网关信息、身份验证方法、所涉及的接口和子网。根据你提供的输入,向导应用预配置的IPsec隧道模板之一,包括IPsec第1和第2阶段设置以及新隧道工作所需的其他相关防火墙地址对象、路由设置和防火墙策略。
此外,向导还显示了一个网络图,该网络图会根据所提供的输入进行更改。该图的目的是让管理员直观地了解向导根据接收到的输入配置的IPsec VPN部署。
在向导结束时,向导提供了系统中所做配置更改的摘要,管理员可以在需要时查看。
如果你是FortiGate新手,或者对IPsec VPN没有太多经验,建议使用IPsec向导。你可以稍后调整向导应用的配置,以满足你的特定需求。
IPsec向导的常见用途是为FortiClient用户配置远程访问VPN。该向导为FortiClient用户启用IKE模式配置、XAuth和其他适当的设置。在本课中,你将了解有关IKE模式配置和XAuth的更多信息。
上图中的图片显示了IPsec向导帮助管理员配置FortiClient VPN的四步过程。
在为新的IPsec隧道应用配置时,IPsec向导使用上图中显示的模板之一。你可以通过选择模板,然后单击View来查看模板的设置。不能更改模板设置。
阶段1发生在隧道两端(发起方和响应方)连接并开始建立VPN的时候。发起者是启动阶段1协商的对等体,而响应者是响应发起者请求的对等体。
当对等体首次连接时,通道不安全。中间的攻击者可以拦截未加密的密钥。两位同行都没有对对方身份的有力保证,那么他们如何交换敏感的私钥呢?他们不能。首先,两个对等体都创建一个安全隧道。然后,他们稍后使用这个安全隧道来协商隧道的真正密钥。
现在你将检查阶段1是如何工作的。
阶段1的目的是对对等体进行身份验证,并建立一个安全通道,用于协商阶段2 SA(或IPsec SA),这些SA随后用于对对等体之间的流量进行加密和解密。为了建立这个安全通道,对等体协商一个阶段1的SA。该SA称为IKE SA,是双向的。
验证方式有两种:预共享密钥验证和数字签名验证。还可以启用另一种身份验证方法XAuth来增强身份验证。
在IKEv1中,有两种可能的模式可以进行IKE SA协商:主模式和野蛮模式。两端的设置必须一致;否则,第1阶段协商失败,两个IPsec对等体都无法建立安全通道。
在第1阶段结束时,协商的IKE SA用于协商第2阶段使用的DH密钥。DH使用公钥(两端都知道)加上一个称为nonce的数学因子,以生成一个通用私钥。使用DH,即使攻击者可以监听包含公钥的消息,他们也无法确定密钥。
第1阶段配置在GUl上分为四个部分:网络、认证、阶段1提案和XAUTH。你将了解每个部分可用的设置。你将在单独的图片上更详细地了解其中一些设置。
上图显示的部分与网络设置相对应。该部分包括与IPsec隧道连接相关的设置:
● IP版本:选择用于IPsec隧道的IP版本。请注意,这仅定义了隧道外层的IP版本(封装后)。正在封装的数据包(受保护的流量)可以是IPv4或IPv6,其IP版本在第2阶段选择器中定义。
● 对端网关:定义对端网关的类型。有三种类型:静态IP地址、拨号用户和动态DNS。你将在本课后面学习更多关于这些类型的内容。
● IP地址:对端网关的IP地址。当选择静态IP地址作为对端网关时,此字段才会出现。
● 接口:指IPsec隧道在本地FortiGate上终止的接口。通常,这是连接到互联网或广域网的接口。你需要确保通过此接口有一条通往远程网关的活动路由,否则隧道不会出现。
● 本端网关:当隧道终止的接口分配了多个地址,并且你想要指定用于隧道的地址时,启用此设置。当你启用此设置时,您会看到三个选项:主IP、附加的IP和指定。如果你想使用与主要或次要IP地址不同的IP地址,请选择指定。
● 模式配置:启用IKE自动配置。当启用模式配置且对端网关设置为静态IP地址或动态DNS时,FortiGate充当IKE模式配置客户端。如果您将对端网关设置为拨号用户,则FortiGate将充当IKE模式配置服务器,并且GUI上将出现更多配置选项。你将在本课中了解有关模式配置的更多信息。
以下是网络部分中GUl上可用的其他选项:
● NAT穿越:该选项控制NAT穿越的行为。在本课的后面部分,你将了解有关NAT穿越的更多信息。
● 保持存活:当你启用NAT穿越时,FortiGate会以配置的频率发送保持存活探测。
● 对等体状态探测:使用对等体状态探测(DPD)来检测死隧道。有三种DPD模式。按需是默认模式。在本课的后面部分,你将了解有关DPD的更多信息。
● 前向纠错:前向纠错(FEC)是一种技术,你可以用它来减少在噪声链路上建立的IPsec隧道中的重传数量,而牺牲了使用更多的带宽。你可以在出口和入口上启用FEC,并且仅当你禁用IPsec硬件卸载时才支持它。在本课的后面部分,你将了解有关IPsec硬件卸载的更多信息。
高级
● 添加路由:如果你通过IPsec使用动态路由协议,并且不希望FortiGate自动添加静态路由,请禁用此设置。
● 自动发现发送者:如果你希望集线器促进辐条的ADVPN快捷方式协商,请在集线器上启用此设置。启用后,集线器向辐条发送快捷方式,以指示它可以建立远程辐条的快捷方式。
● 自动发现接收者:如果你希望辐条协商ADVPN快捷方式,请在辐条上启用此设置。
● Exchange接口IP:启用此设置以允许交换IPsec接口IP地址。这允许集线器和辐条之间的点对多点连接。
● 设备创建:启用此设置以指示FortiOS为每个拨号客户端创建界面。要提高性能,请在具有许多拨号客户端的拨号服务器中禁用此设置。
● 隧道聚合成员:通过FortiGate可以将多个IPsec隧道聚合到一个接口中。如果希望隧道成为聚合成员,请启用此选项。
在配置VPN的对端网关类型时,你有三个选项:拨号用户、静态IP地址和动态DNS。
当对端IP地址未知时,使用拨号用户。IP地址未知的对端对等体作为拨号客户端,分支机构和移动VPN客户端使用动态IP地址,不使用动态DNS时,通常会出现这种情况。拨号客户端必须知道作为拨号服务器的远端网关的IP地址或FQDN。由于拨号服务器不知道对端地址,所以只有拨号客户端可以发起VPN隧道。
通常,拨号客户端是远程和移动员工,在他们的计算机或手持设备上使用FortiClient。你还可以让FortiGate设备作为远程办公室的拨号客户端。FortiGate上的一个拨号服务器配置可用于来自许多远程办公室或用户的多个IPsec隧道。
当知道对端地址时,请选择静态IP地址或动态DNS。如果选择静态IP地址,则需要提供IP地址。如果选择动态DNS,则需要提供完全限定的域名(FQDN),并确保FortiGate可以解析该FQDN。当两个对等体都知道对端地址,即对端网关配置为静态IP地址或动态DNS时,任何一个对等体都可以发起VPN隧道。
请注意,在拨号设置中,拨号客户端只是一个VPN对等体,对端网关设置为静态IP地址或动态DNS。设置VPN时,你可以组合不同类型的对端网关。出于明显的原因,两个对等体都将对端网关设置为拨号用户的隧道将不起作用。
IKE模式配置类似于DHCP,因为服务器将IP地址、网络掩码和DNS服务器等网络设置分配给客户端。这项任务通过IKE消息进行。
当你在充当拨号服务器的FortiGate设备上启用模式配置时,它会将网络设置推送到拨号客户端。拨号客户端通常是FortiClient对等体,但他们也可以是FortiGate对等体。
要使IKE模式配置正常工作,你必须在两个对等体上启用该功能。在FortiClient上,默认启用模式配置,但在FortiGate上,你必须手动启用它。
注意,只有对端网关选择拨号用户时,界面上才会显示IKE模式配置。当FortiGate设备作为拨号客户端时,你可以在GUl上选择模式配置,但不会显示其他设置。
ESP协议通常存在穿越执行NAT的设备的问题。原因之一是ESP不使用TCP和UDP等端口号来区分一个隧道和另一个隧道。
为了解决这个问题,NAT穿越(NAT-T)被添加到IPsec规范中。当两端都启用NAT-T时,对等体可以检测到路径上的任何NAT设备。如果找到NAT,则在两个对等体上都会出现以下情况:
● IKE协商切换到使用UDP端口4500。
● ESP报文封装在UDP端口4500中。
因此,如果你有两个FortiGate设备在后面,例如,一个执行NAT的ISP调制解调器,你可能需要启用此设置。
当将NAT穿越设置为强制时,即使路径上没有NAT设备,也始终使用UDP端口4500。
当启用NAT-T时,保持存话选项显示FortiGate发送Keepalive探测的间隔(以秒为单位)。当路径上有一个或多个路由器执行NAT时,需要使用NAT-T。keepalive探测的目的是保持路径上这些路由器之间的IPsec连接处于活动状态。
在对等体协商隧道的IPsec SA后,因此,隧道被认为是向上的,对等体通常不会协商另一个IPsec SA,直到它过期。在大多数情况下,IPsec SA每隔几个小时就会过期。这意味着,如果在IPsec SA到期之前,隧道路径上出现网络中断,即使站点之间的通信中断,对等体仍将继续通过隧道发送流量。
当你启用DPD时,会发送DPD探针来检测故障(或死)隧道,并在其IPsec SA过期之前将其关闭。当你有通往同一目的地的冗余路径时,并且当主连接无法保持站点之间的连接时,你希望故障转移到备份连接时,此故障检测机制非常有用。
FortiGate支持三种DPD模式:
● 按需:如果只有通过隧道的出站流量,但没有入站流量,FortiGate会发送DPD探测。由于网络应用程序通常是双向的,因此仅观察出站方向上的流量可能是网络故障的迹象。
● 空闲:当隧道中没有观察到流量时,FortiGate会发送DPD探针。空闲的隧道并不一定意味着隧道已经死亡。如果你有很多隧道,请避免使用这种模式,因为DPD引入的开销可能非常耗费资源。
● 禁用:FortiGate只响应收到的DPD探测。FortiGate从不向远端对等体发送DPD探测,因此无法检测到死隧道。
DPD模式默认为按需。在可扩展性方面,按需是比空闲更好的选择。
现在,你将了解阶段1配置中的认证部分:
● 方法:FortiGate支持两种身份验证方法:预共享密钥和签名。当你选择预共享密钥时,你必须使用相同的预共享密钥配置两个对等体。当你选择签名时,第1阶段身份验证基于数字证书签名。在这种方法下,一个对等体上的数字签名通过安装在另一个对等体上的CA证书的存在进行验证。也就是说,在本地对等体上,你需要安装本地对等体证书和签发远程对等体证书的CA证书。
● 版本:选择使用的IKE版本。选择版本2时,野蛮模式和主模式会消失,因为它们不适用于IKEv2。
● 模式:IKEv1模式。有两种选择:野蛮和主模式 (ID保护)。在这一课中你会学到更多关于这些模式的知识。
IKE支持两种不同的协商模式:主模式和野蛮模式。应该使用哪一种?
要回答这个问题,我们可以分析三个类别:安全、性能和部署。
在安全方面,主模式被认为更安全,因为预共享密钥散列是加密交换的,而在野蛮模式下,散列是在未加密交换的。尽管攻击者仍然必须猜测明文预共享密钥才能成功,但预共享密钥散列已在主模式下加密,这一事实大大降低了成功攻击的机会。
就性能而言,野蛮模式可能是一个更好的选择。这是因为协商在只交换三个数据包后完成,而在主模式下,交换六个数据包。因此,当大量隧道在同一FortiGate设备上终止时,你可能希望使用野蛮模式,并且性能是一个问题。
野蛮模式的另一个用例是,当同一FortiGate IP地址上有一个以上的拨号隧道终止,并且远程对等体使用对等体ID进行身份验证,因为它的IP地址是动态的。由于对等ID信息在野蛮模式协商中在第一个数据包中发送,因此FortiGate可以将远程对等体与正确的拨号隧道匹配。后者在主模式下是不可能的,因为对等ID信息在最后一个数据包中发送,并在隧道被识别后发送。
当两个对等体都知道对方的IP地址或FQDN时,你可能希望使用主模式来利用其更安全的协商。在这种情况下,FortiGate可以通过其IP地址识别远程对等体,从而将其与正确的IPsec隧道相关联。
现在,你将了解阶段1配置的阶段1提案部分。本节允许你在谈判IKE SA(或阶段1 SA)时启用FortiGate支持的不同提案。你可以组合不同的参数来满足你的安全需求。你必须至少配置一种或几种加密和身份验证算法的组合。
● 加密:选择对数据进行加密和解密时使用的算法。
● 认证:选择用于验证数据完整性和真实性的身份验证算法。
● Diffie-Hellman组:Diffie-Hellman(DH)算法在IKE SA协商期间使用。阶段1使用DH是强制性的,不能禁用。你必须至少选择一个DH组。DH组号越高,阶段1的谈判就越安全。然而,更高的DH组数也会导致更长的计算时间。
● 密钥生存时间:定义IKE SA的生存期。在生命周期结束时,协商一个新的IKE SA。
● 本地ID:如果对等体接受特定的对等体ID,则在该字段中输入相同的对等体ID。
阶段1支持两种类型的身份验证:预共享密钥和签名。XAuth扩展,有时称为阶段1.5,强制远程用户使用其凭据(用户名和密码)进行额外身份验证。因此,如果你启用它,则会交换额外的身份验证数据包。好处是什么?更强大的身份验证。
当你将远程网关设置为拨号用户时,FortiGate充当身份验证服务器。XAUTH部分显示了身份验证服务器类型选项:PAP服务器、CHAP服务器和Auto服务器。在上图显示的示例中,选择了Auto服务器,这意味着FortiGate会自动检测客户端使用的身份验证协议。
选择身份验证服务器类型后,你可以配置如何执行用户组匹配。有两个选项:从策略继承和选择。后者用于上图的示例,并允许你选择FortiGate上可用的用户组之一。请注意,当你选择选择时,你必须为每组需要不同网络访问策略的用户配置单独的拨号VPN。
使用XAuth验证VPN用户的另一种方法是选择从策略继承。当你选择此选项时,FortiGate会根据用户匹配的IPsec策略对用户进行身份验证,因此,控制网络访问的配置更简单。也就是说,你可以通过为不同的用户组配置多个策略来控制网络访问,而不是为不同的用户组配置多个隧道。从策略继承选项遵循用于SSL VPN远程用户的类似身份验证方法。你将在另一节课中了解有关SSL VPN的更多信息。
当对端网关设置为静态IP地址或动态DNS时,FortiGate作为客户端,XAUTH部分显示客户端选项为类型。然后可以设置凭据,FortiGate使用这些凭据通过XAuth对远程对等体进行身份验证。
在阶段1建立了交换数据的安全通道之后,阶段2开始。
阶段2通过阶段1建立的安全通道协商两个IPsec SA的安全参数。ESP使用IPsec SA来加密和解密站点之间交换的流量。
阶段2不会在ESP开始时结束。阶段2定期重新谈判IPsec SA以维护安全性。如果你启用启用完全前向保密,每次阶段2到期时,FortiGate都会使用DH重新计算新的密钥。这样,新密钥不是从旧密钥派生出来的,这使得攻击者更难破解隧道。
每个阶段1可以有多个阶段2。这什么时候会发生呢?例如,你可能希望为流量穿过隧道的每个子网使用不同的加密密钥。FortiGate如何选择使用哪个阶段2呢?通过检查哪个阶段2选择器(或快速模式选择器)匹配流量。
在阶段2,你必须定义IPsec隧道的加密域(或兴趣流)。加密域是指你想要使用IPsec保护的流量,它由你的阶段2选择器配置决定。
你可以配置多个选择器以对流量进行更细粒度的控制。当你配置一个阶段2选择器,通过指示以下网络参数来指定加密域:
● 本地地址和对端地址:如上图显示的示例所示,你可以使用不同的地址范围定义IPv4或IPv6地址。选择命名地址或命名IPv6地址时,FortiGate允许你分别选择系统中配置的IPv4或IPv6防火墙地址对象。
● 协议:位于高级区域,默认为全部。
● 本地端口和对端端口也在高级区域中显示,默认为全部。此选项仅适用于TCP、UDP等基于端口的流量。你将在本课后面的高级部分了解更多信息。
请注意,在流量被防火墙策略接受后,如果流量与配置的任何阶段2选择器不匹配,则在进入IPsec隧道之前会删除流量。因此,通常使用防火墙策略过滤流量更直观。因此,如果你不想使用阶段2选择器过滤,你只需创建一个阶段2选择器,将本地和远程地址设置为任何子网,如上图显示的示例,然后使用防火墙策略来控制IPsec隧道接受哪些流量。
另外,如果隧道是点到点的,即对端网关不设置为拨号用户时,对等体两端的阶段2选择器网络参数必须匹配。
对于每个阶段2选择器,你需要配置一个或多个阶段2提案。阶段2提案定义了对等体支持的在隧道上加密和解密数据的算法。在协商IPsec SA时,你可以配置多个提案,为远程对等体提供更多选项。
与阶段1一样,你需要选择加密和身份验证算法的组合。一些算法被认为比其他算法更安全,因此请务必选择符合你安全策略的算法。然而,请注意,算法的选择对FortiGate IPsec的性能有直接影响。例如,众所周知,3DES是一种比DES和AES更耗资源的加密算法,这意味着如果你选择3DES作为加密算法,你的IPsec吞吐量可能会受到负面影响。此外,请注意,如果你选择NULL作为加密算法,则流量不会加密。
此外,一些加密算法,如CHACHA20POLY1305,不支持硬件卸载。也就是说,如果你有一个包含网络处理器(NP)单元的FortiGate设备,如果你选择NP单元型号支持IPsec卸载的算法,例如AES或DES,则可以实现更高的IPsec性能。有关IPsec硬件卸载支持的加密算法列表,请参阅https://docs.fortinet.com。
在配置阶段2提案时,你可以选择启用重播检测来检测ESP数据包上的反重播攻击。请注意,这是一个本地设置,因此,它不包括在阶段2谈判期间提出的提案的一部分。
此外,如果你启用完全前向保密,FortiGate使用DH在IPsec SA的协商期间增强安全性。
IPsec SA定期重新谈判以提高安全性,但什么时候会发生?这取决于在阶段2提案上配置的关键生命周期设置。
IPsec SA的到期由配置的生命周期类型和阈值决定。默认情况下,密钥寿命设置为秒(基于时间)。这意味着,当SA持续时间达到设置为秒的秒数时,SA将被视为过期。你还可以将密钥寿命设置为千字节(基于卷),在使用该SA加密和解密的流量达到设定的阈值后,SA将过期。或者,你可以选择两者作为密钥生命周期类型,FortiGate在该类型上跟踪SA的持续时间和流量。然后,当达到两个阈值中的任何一个时,SA被视为已过期。请注意,密钥生命周期阈值不必匹配才能出现隧道。当阈值不同时,对等体同意使用两者之间提供的最低阈值。
当IPsec SA到期时,FortiGate需要协商新的SA,以继续通过IPsec隧道发送和接收流量。从技术上讲,FortiGate从各自的阶段2选择器中删除过期的SA,并安装新的选择器。如果IPsec SA重新谈判需要太多时间,那么由于没有活跃的SA,FortiGate可能会减少兴趣流。为了防止这种情况,你可以启用自动协商。当你这样做时,FortiGate不仅在当前SA到期前谈判新的SA,而且还立即开始使用新的SA。后者通过IPsec SA重新谈判来防止流量中断。
启用自动协商的另一个好处是,即使没有兴趣流,隧道也会自动上线并保持上线。当你启用自动密钥保持存活并禁用自动协商时,除非有有趣的流量,否则隧道不会自动出现。然而,在隧道启动后,它会保持这种状态,因为FortiGate定期在隧道上发送有生命的数据包。请注意,当你启用自动协商时,自动密钥保持存活将隐式启用。
在某些FortiGate型号上,你可以将IPsec流量的加密和解密卸载到硬件。支持的算法取决于FortiGate上存在的NP单元型号。有关IPsec硬件卸载支持的加密算法列表,请参阅https://docs. fortinet.com。
默认情况下,为支持的算法启用硬件卸载。上图显示了在必要时可用于禁用每个隧道硬件卸载的命令。
答案:B
答案:B
答案:A
干得漂亮!你已经了解了IPsec配置。现在,你将了解IPsec流量的路由和防火墙策略。
通过展示IPsec VPN的路由和防火墙策略的能力,您将能够为你的IPsec VPN部署设置适当的路由和防火墙策略。
FortiGate支持两种类型的IPsec VPN:基于路由和基于策略。基于策略是传统的IPsec VPN,仅支持向后兼容的原因,不建议将其用于新部署。除非另有说明,否则本课中的所有IPsec VPN引用都适用于基于路由的IPsec VPN。
在基于路由的IPsec VPN中,FortiGate会自动添加带有VPN名称的虚拟接口。这意味着你不仅可以像配置非IPsec流量一样为IPsec流量配置路由和防火墙策略,还可以利用同一目的地的多个连接来实现冗余。
基于路由的IPsec VPN的另一个好处是,你可以部署各种IPsec VPN,例如L2TP-over-IPsec和GRE-over-IPsec。此外,你还可以启用动态路由协议,以实现可扩展性和最佳路径选择。
虽然你可以为IPsec VPN使用动态路由协议,但本课仅涵盖静态路由的使用。
IPsec VPN所需的路由配置取决于配置的远程网关类型。当你将远程网关设置为拨号用户并启用add-route时,FortiGate会自动为远程对等体在阶段2协商期间呈现的本地网络添加静态路由。此外,只有在阶段2结束后,路由才会添加到路由表中。如果第2阶段下线,静态路由将从路由表中删除。
当你将远程网关设置为拨号用户并禁用add-route时,FortiGate不会自动添加静态路由。在这种情况下,远程对等体之间使用动态路由协议来交换路由信息。
当对端网关配置为静态IP地址或动态DNS时,必须配置静态路由。配置静态路由时,选择IPsec隧道的虚接口作为出接口。
你必须配置至少一个防火墙策略来接受IPsec隧道上的流量。否则,隧道不会上来。
当你为非IPsec流量配置防火墙策略时,该策略决定了启动会话的流量的方向。这同样适用于IPsec流量。因此,你通常希望为你的IPsec VPN配置至少两个防火墙策略:一个传入策略和一个传出策略。传入策略允许从远程站点发起流量,而传出策略允许从本地网络发起流量。
注意,策略的入接口和出接口都配置为虚拟隧道接口(或阶段1名称)。
答案:B
答案:A
干得漂亮!你已经了解了IPsec流量的路由和防火墙策略。现在,你将了解冗余VPN。
通过演示冗余VPN的能力,你将能够为IPsec VPN部署添加冗余。
如何使你的IPsec VPN部署更具弹性?为你的站点提供第二个ISP连接,并配置两个IPsec VPN。当主IPsec VPN故障时,可以使用另一条隧道代替。
冗余VPN有两种类型:
● 部分冗余:在一个对等体(通常是集线器上,如果主ISP停机,则可以使用备份ISP),每个VPN在不同的物理端口上终止。这样,FortiGate可以使用替代VPN。在另一个对等体上,每个VPN都在同一物理端口上终止,因此辐条不是容错的。
● 完全冗余:两个对等体在不同的物理端口上终止他们的VPN,所以它们都是容错的。
那么,如何配置部分或完全冗余的VPN?
首先,为每条路径创建一个阶段1,为主VPN创建一个阶段1,为备份VPN创建一个阶段1。你还应该在两端启用DPD。
其次,为每个阶段1创建至少一个阶段2定义。
第三,必须为每个VPN至少添加一条静态路由。主VPN路由的距离(或优先级)必须低于备份。这导致FortiGate在主VPN可用时使用它。如果主VPN故障,FortiGate会自动使用备份路由。也可以使用动态路由协议,如OSPF或BGP。
最后,配置防火墙策略,允许流量通过主VPN和备份VPN。
答案:A
答案:A
干得漂亮!你已经了解了冗余VPN。现在,你将学习如何监控IPsec VPN并查看其日志。
通过展示监控和日志的能力,你将能够监控IPsec VPN并回顾过去事件。
在GUI仪表板上,你可以使用IPsec小部件监视IPsec VPN的状态。这个小部件显示了IPsec VPN的阶段1和阶段2状态。
你还可以启用或断开单个VPN,并获取更多详细信息。当你使用IPsec小部件调出IPsec VPN时,你可以选择调出该VPN中的特定阶段2选择器或所有阶段2选择器。因为启动阶段2选择器需要首先启动其阶段1,然后启动阶段2选择器的结果也会导致阶段1出现。
要关闭VPN,你可以选择关闭特定的阶段2选择器、所有选择器或整个隧道。当你关闭整个隧道时,你将关闭所有阶段2选择器以及阶段1。
名称列指示VPN状态。当至少有一个阶段2选择器启动时,VPN就启动了。如果所有阶段2选择器都已关闭,VPN状态也会关闭。阶段2和阶段1选择器列分别指示阶段1和阶段2选择器的状态。
IPsec小部件还显示通过隧道发送和接收的数据量。当你右键单击任何列时,会打开一个菜单,其中包含所有可用列的列表。你可以启用其他列来获取有关IPsec隧道的更多详细信息。
在上图所示的示例中,ToRemote VPN启动是因为至少有一个阶段2选择器(ToRemote1)是启动的。
如果你将远程网关设置为静态IP地址或动态DNS,则在阶段1出现后,这些隧道的静态路由在路由表中变得活跃。阶段1协商会自动启动,因为默认情况下在阶段1启用自动协商。此行为允许FortiGate将兴趣流匹配到正确的隧道。此外,如果阶段2没有启动,与静态路由匹配的流量将触发阶段2协商,最终导致隧道(或阶段2)出现。
当配置远端网关为拨号用户时,默认情况下,在阶段2启用后,会添加一条目的网络的静态路由。静态路由设置的距离为15。如果阶段2断开,则从路由表中删除该路由。
默认情况下,FortiGate会记录IPsec VPN事件。要查看IPsec VPN事件日志,请单击日志&报告>系统事件>VPN事件。
日志跟踪阶段1和阶段2谈判的进展,并报告隧道启用断开事件和DPD故障等事件。有关IPsec日志的更多信息,请访问https://docs.fortinet.com。
答案:B
答案:B
恭喜你!你已经完成了这一课。现在,你将复习这节课所涉及的目标。
通过掌握本课所涵盖的目标,你了解了IPsec协议的工作原理,以及如何在FortiGate上配置和监视IPsec VPN。
扫一扫
1159
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
