防御保护----IPSEC VPPN实验

实验拓扑:

实验背景:FW1和FW2是双机热备的状态。

实验要求:在FW和FW3之间建立一条IPSEC通道,保证10.0.2.0/24网段可以正常访问到192.168.1.0/24

IPSEC VPPN实验配置(由于是双机热备状态,所以FW1和FW2只需要配置FW1主设备即可):

场景选用点到点,配置好FW1的出接口地址和对端FW3的接口地址,认证方式选用预共享密钥(密钥自己设置),身份认证选用IP地址

新建ACL待加密数据流的配置

安全提议配置:

IKE参数配置:

IPSec参数:

FW3的配置:

同样选择点到点,只是IP地址配置和FW1相反

新建ACL待加密数据流的配置

安全提议的配置和FW1一样

然后去FW1安全策略里面放通IKE(UPD500)报文的策略,服务不仅要允许IKE的流量,也要允许IPSec加密流量ESP的放通,允许它从内网往外网发送。

新建一个对应IKE的服务

在FW3也同样如此

此时查看IPSec策略,就可以看见已经协商成功了

此时,内网的数据可以到达外网,但外网的数据在经过防火墙时,防火墙并不允许外网的流量进来。

在新建一个针对IPSec的数据流量的安全策略(FW1和FW2一样)。

由于NAT地址转换是上游配置,而IPSec隧道是下游配置,一般流量出防火墙会先做NAT转换,但是做了NAT转换就不能进入IPSec隧道,所以在这新建一个NAT策略

FW1

FW2

由于NAT匹配策略是由上往下,所以这里把精细的IPSec的NAT策略放在上面。

相关推荐
墨白曦煜35 分钟前
HTTP首部字段(速查-全47种)
网络·网络协议·http
MOON404☾5 小时前
基于TCP的简易端口扫描器
网络·tcp/ip·php
lendsomething5 小时前
解决SSL握手失败问题:SSLHandshakeException: Received fatal alert: handshake_failure
网络·网络协议·ssl
bestcxx7 小时前
(二十六)、Kuboard 部署网络问题 &k8s 使用本地镜像 & k8s使用 register本地镜像站 综合应用
网络·容器·kubernetes
红米饭配南瓜汤8 小时前
WebRTC 发送端 SSRC 生成流程总结
网络·网络协议·音视频·webrtc·媒体
wanhengidc10 小时前
云手机和网盘之间的关系
网络·游戏·智能手机·架构·云计算
歪歪10013 小时前
Http与WebSocket网络通信协议的对比
网络·websocket·网络协议·计算机网络·http·网络安全·信息与通信
ningmengjing_13 小时前
爬虫逆向——RPC技术
网络·网络协议·rpc
David WangYang13 小时前
便宜的自制 30 MHz - 6 GHz 矢量网络分析仪
开发语言·网络·php
njxiejing14 小时前
网桥(交换机)地址学习与转发流程案例分析(一文掌握)
网络