防火墙配置IPSec ***

最新推荐文章于 2025-05-16 14:32:08 发布
转载 最新推荐文章于 2025-05-16 14:32:08 发布 · 2.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/13555515/2069585

本文详细介绍了一种防火墙配置方案及其IPSec隧道建立过程。包括两个防火墙FW1和FW2的接口配置、安全级别设定、IP地址分配、路由设置、IKEv1策略定义、预共享密钥设置、访问控制列表创建以及NAT配置等内容。

topo图:

防火墙配置IPSec ***

防火墙配置

FW1配置:

FW1(config)# inter g0
FW1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
FW1(config-if)# ip address 10.1.1.254 255.255.255.0
FW1(config-if)# no shutdown
FW1(config-if)# inter g1
FW1(config-if)# nameif internet
INFO: Security level for "internet" set to 0 by default
FW1(config-if)# security-level 50
FW1(config-if)# ip address 10.2.2.254 255.255.255.0
FW1(config-if)# no shutdown
FW1(config-if)# inter g2
FW1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
FW1(config-if)# ip address 200.0.0.1 255.255.255.0
FW1(config-if)# no shutdown
FW1(config-if)# q
测试:
FW1(config)# ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
FW1(config)# ping 10.2.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
FW1(config)# ping 200.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms

配置IPSec ×××:

FW1(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.2
FW1(config)# crypto ikev1 enable outside
FW1(config)# crypto ikev1 policy 1
FW1(config-ikev1-policy)# encryption aes
FW1(config-ikev1-policy)# hash sha
FW1(config-ikev1-policy)# authentication pre-share
FW1(config-ikev1-policy)# group 2
FW1(config-ikev1-policy)# q
FW1(config)# tunnel-group 200.0.0.2 type ipsec-l2l
FW1(config)# tunnel-group 200.0.0.2 ipsec-attributes
FW1(config-tunnel-ipsec)# ikev1 pre-shared-key hahui
FW1(config-tunnel-ipsec)# access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0
FW1(config)# crypto ipsec ikev1 transform-set hh-set esp-aes esp-sha-hmac
FW1(config)# crypto map hh-map 1 match address 100
FW1(config)# crypto map hh-map 1 set peer 200.0.0.2
FW1(config)# crypto map hh-map 1 set ikev1 transform-set hh-set
FW1(config)# crypto map hh-map interface outside
查看状态:
防火墙配置IPSec ***

FW2配置:

ciscoasa(config)# hostname FW2
FW2(config)# inter g0
FW2(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
FW2(config-if)# ip address 192.168.1.254 255.255.255.0
FW2(config-if)# no shutdown
FW2(config-if)# inter g1
FW2(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
FW2(config-if)# ip address 200.0.0.2 255.255.255.0
FW2(config-if)# no shutdown
FW2(config-if)# q
测试:
FW2(config)# ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
FW2(config)# ping 200.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms

配置IPSec ×××:

FW2(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.1
FW2(config)# crypto ikev1 enable outside
FW2(config)# crypto ikev1 policy 1
FW2(config-ikev1-policy)# encryption aes
FW2(config-ikev1-policy)# hash sha
FW2(config-ikev1-policy)# authentication pre-share
FW2(config-ikev1-policy)# group 2
FW2(config-ikev1-policy)# q
FW2(config)# tunnel-group 200.0.0.1 type ipsec-l2l
FW2(config)# tunnel-group 200.0.0.1 ipsec-attributes
FW2(config-tunnel-ipsec)# ikev1 pre-shared-key hahui
FW2(config-tunnel-ipsec)# access-list 100 permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
FW2(config)# crypto ipsec ikev1 transform-set hh-set esp-aes esp-sha-hmac
FW2(config)# crypto map hh-map 1 match address 100
FW2(config)# crypto map hh-map 1 set peer 200.0.0.1
FW2(config)# crypto map hh-map 1 set ikev1 transform-set hh-set
FW2(config)# crypto map hh-map interface outside
查看状态:
防火墙配置IPSec ***
测试,client1 访问server1
防火墙配置IPSec ***

配置PAT:

FW1(config)# object network ob-internet
FW1(config-network-object)# subnet 10.2.2.0 255.255.255.0
FW1(config-network-object)# nat (internet,outside) dynamic interface

抓包查看地址是否转换:(首先要允许icmp流量穿过防火墙)

防火墙配置IPSec ***
防火墙配置IPSec ***

转载于:https://blog.51cto.com/13555515/2069585

华为防火墙(IPSec)命令行配置案例
仓鼠OO的博客
12-06 2596
华为防火墙(IPSec)命令行配置案例
深信服防火墙与华为企业路由IPsceVPN对接
cainiaoshi1122的博客
04-18 2821
华为路由与深信服防火墙对接IPsecVPN
防火墙IPSec
jintiankaixin的博客
04-22 3151
防火墙作业要求 1.基于Linux虚拟机,安装、配置pfSense a)设置单层防火墙,限制外部主机访问localhost的全部端口; b)有条件的情况下,配置双层防火墙模式(一个虚拟机配置mysql,一个作为web服务器,在两者之间尝试设置一个防火墙); 2.安装Snort,与pfSense配合成为IDS工作模式。 IPSec作业 1.基于Windows的管理工具,在两个主机(或者虚拟机与主机,或两个虚拟机)之间配置端到端IPSec安全(AH模式,ESP模式,AH+ESP模式) a)抓取部署前的ping数
思科ASA防火墙建立IPSec VPN(IKEV1
weixin_47666829的博客
11-29 2134
ipsec vpn在ASA路由器中的实现
IPSEC防火墙协同工作设计与实现
07-17
IPSEC提供网络层的安全服务,通过对IP报文的加密和验证,保证数据在传输过程中的安全.由于IPSEC封 装了报文中一些重要信息,使得IPSEC防火墙不能同时有效地工作.本文提出一种分层IPSEC思想/即将协议头和数据部分分别进行安全处理,并将这种分层思想与分布式处理技术结合/设计与实现一种IPSEC防火墙协同工作方案.
思科防火墙IPsec配置-主模式方式(基于8.0版本)
xiayu0912的专栏
01-18 3344
cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。配置192.168.1.0到192.168.3.0的数据包不做地址转换,该网络拓扑比较简单,可以不配置,但是真实环境比较复杂,一般都需要配置,故这里也配置上。网络拓扑如上图所示,为方便记忆从左到右顺时针方向的网段的分别为192.168.1.0, 2.0, 3.0。
思科防火墙IPsec配置-主模式方式(基于9.9版本)
xiayu0912的专栏
02-06 3071
思科防火墙9.9版本,配置Ipsec主模式
H3C防火墙IPSec配置实例解析与详解-确保企业网络安全互通
02-07
内容概要:本文档提供了详细的H3C防火墙IPSec配置指导。首先介绍了IPSec的基本概念以及常见应用场景如远程办公和分布式办公间的互联通信。接下来展示了具体的网络架构图并详细描述了一个企业的实际配置步骤。具体来...
华三(H3C)防火墙配置IPsec
weixin_45642360的博客
05-16 1050
华三h3c防火墙配置ipsec
防火墙配置IPSec (Web界面配置-一对一)
2403_83112422的博客
03-06 422
用华为防火墙的web页面实现IPSec vpn
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
防火墙配置IPsec vpn (超详细附带思路看完就会)
weixin_52557120的博客
06-18 1万+
防火墙配置ipsec vpn ,按照思路去配置一般不会出现差错,防火墙其实就是默认拒绝所有流量的路由器,可以这么理解
防火墙实现ipsec vpn配置
qq2353177176的博客
11-30 1573
第二阶段,利用第一阶段已通过认证和安全保护的安全通道,建立一对用于数据安全传输的IPSec安全联盟。第一阶段,通信双方协商和建立IKE协议本身使用的安全通道,即建立一个IKE SA;需要PC1与PC2互访,FW1FW2建立ipsec vpn通道。internet 中的underlay已经是搭建好的,无需我们干预。在建立ipsec vpn之前,我们需要使用ike来协商安全联盟。
防火墙IPSec配置(初学防火墙的小伙伴,带你了解防火墙,每天更新一篇关于防火墙配置,零基础入手,快速了解防火墙,一起学习,讨论,进步)
绝不原创
07-08 1676
1.简介 GRE XXX解决了分支机构互联的问题,但是GRE XXX采用明文传输,无法对数据进行加密,因此安全性无法得到保障。IPsec xxx通过对等体间建立双向安全联盟,形成一个安全互通的IPsec隧道,实现互联网数据的安全传输 2.测试拓扑 3.测试配置 a.防火墙FW1配置 1.接口配置,用于连接内部网络和外部网络,允许ping以及https访问 interface GigabitEthernet1/0/0 undo shutdown ip address 100.100.100.2 255.25
深信服与奇安信防火墙IPsceVPN对接
cainiaoshi1122的博客
04-18 4992
奇安信防火墙对接深信服防火墙IPsecVPN
防火墙配置IPSec VPN【IPSecVPN概念及详细讲解】
h1008685的博客
04-08 5094
ipsecvpn技术详细讲解,防火墙配置ipsecNAT连用IPSecVPN问题解决思路
深信服防火墙配置详细步骤(防火墙的基本配置方法)
热门推荐
Richardlygo的博客
07-26 1万+
深信服防火墙
5017.思博伦网络测试__防火墙IPSec测试方案
weixin_34090643的博客
05-06 295
5017.思博伦网络测试__防火墙IPSec测试方案 思博伦网络测试-防火墙测试解决方案 思博伦网络测试-Ipsec测试概览 转载于:https://blog.51cto.com/sop2008/854586...
深信服防火墙路由模式部署
Mma_123456789的博客
05-15 2596
2.网络接口按照实际拓扑图接好,接口并配置好。3口配置10.181.10.X段是接交换机,4口配置10.181.11.X段是控制AP。总部sangforvpn 配置,总部那边提供公网地址,和认证的账号密码。这边就建立好隧道了。隧道建立好后,我们在基本设置里面配置需要访问总部的网段。6.IPSEC VPN配置和SangforVPN设置。主接入地址:61.191.25.91:4009。客户有没有注册云图,云图里面有设备的基本信息按照设备的步奏进行授权。3.应用控制策略配置。4.安全防护策略配置
思科防火墙ipsec配置,野蛮模式
最新发布
06-19
### Cisco 防火墙 IPSec 配置野蛮模式设置指南 在配置 Cisco ASA 防火墙IPSec 时,如果需要支持两端 IP 地址不固定的情况(例如 ADSL 拨号上网),可以使用 IKE 野蛮模式。以下是一个详细的配置指南[^2]。 #### 配置 IKE 野蛮模式 1. **启用 IKE 野蛮模式** 在 ASA 上配置 IKE 策略以支持野蛮模式。通过指定预共享密钥和允许非固定 IP 地址连接,可以实现动态对等体的支持。 ```bash crypto isakmp policy 10 encr aes authentication pre-share group 2 ``` 2. **配置预共享密钥** 设置预共享密钥以用于身份验证。确保两端设备使用相同的密钥。 ```bash crypto isakmp key mypre-shared-key address 0.0.0.0 ``` 3. **启用 NAT 穿越(NAT-T)** 如果网络中有 NAT 设备,必须启用 NAT 穿越以确保 IPSec 流量能够正常通过。 ```bash crypto isakmp nat-traversal 20 ``` 4. **配置 IPSec 变换集** 定义 IPSec 使用的加密算法和哈希算法。 ```bash crypto ipsec transform-set MY_TRANSFORM_SET esp-aes 256 esp-sha-hmac mode tunnel ``` 5. **创建访问控制列表(ACL)** 定义需要保护的流量。例如,允许从 DMZ 到内部网络的流量。 ```bash access-list dma_to_in permit tcp host 192.168.2.10 host 192.168.1.10 eq 1723 ``` 6. **配置 IPSec 隧道** 将 ACL 与 IPSec 变换集关联起来。 ```bash crypto map MY_CRYPTO_MAP 10 ipsec-isakmp set peer 0.0.0.0 set transform-set MY_TRANSFORM_SET match address dma_to_in ``` 7. **应用 crypto map 到接口** 将 crypto map 应用到 outside 接口以激活 IPSec 隧道。 ```bash interface GigabitEthernet0/1 crypto map MY_CRYPTO_MAP ``` #### 注意事项 - 确保两端设备的预共享密钥一致[^2]。 - 如果使用动态 IP 地址,请将 `set peer` 的值设置为 `0.0.0.0`,表示接受任何 IP 地址作为对等体。 - 在某些情况下,可能需要调整 MTU 值以避免分片问题。 #### 验证配置 完成配置后,可以通过以下命令验证 IPSec 隧道的状态: ```bash show crypto isakmp sa show crypto ipsec sa ``` 上述命令可以帮助确认 IKE 和 IPSec 安全关联是否成功建立。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值