防御保护----IPSEC VPPN实验

实验拓扑:

实验背景:FW1和FW2是双机热备的状态。

实验要求:在FW和FW3之间建立一条IPSEC通道,保证10.0.2.0/24网段可以正常访问到192.168.1.0/24

IPSEC VPPN实验配置(由于是双机热备状态,所以FW1和FW2只需要配置FW1主设备即可):

场景选用点到点,配置好FW1的出接口地址和对端FW3的接口地址,认证方式选用预共享密钥(密钥自己设置),身份认证选用IP地址

新建ACL待加密数据流的配置

安全提议配置:

IKE参数配置:

IPSec参数:

FW3的配置:

同样选择点到点,只是IP地址配置和FW1相反

新建ACL待加密数据流的配置

安全提议的配置和FW1一样

然后去FW1安全策略里面放通IKE(UPD500)报文的策略,服务不仅要允许IKE的流量,也要允许IPSec加密流量ESP的放通,允许它从内网往外网发送。

新建一个对应IKE的服务

在FW3也同样如此

此时查看IPSec策略,就可以看见已经协商成功了

此时,内网的数据可以到达外网,但外网的数据在经过防火墙时,防火墙并不允许外网的流量进来。

在新建一个针对IPSec的数据流量的安全策略(FW1和FW2一样)。

由于NAT地址转换是上游配置,而IPSec隧道是下游配置,一般流量出防火墙会先做NAT转换,但是做了NAT转换就不能进入IPSec隧道,所以在这新建一个NAT策略

FW1

FW2

由于NAT匹配策略是由上往下,所以这里把精细的IPSec的NAT策略放在上面。

相关推荐
sdghterhd3 小时前
WebSocket 快速入门教程(附示例源码)
网络·websocket·网络协议
xy34534 小时前
Wireshark捕获过滤器——语法元素详解
网络·测试工具·渗透测试·wireshark
DLYSB_5 小时前
生命通道:如何用 HIS 医疗系统直连网络声光终端,打造“零延误”的危急值响应网关?
java·网络·数据库·报警灯
德福危险6 小时前
富有想象力的XSS盲打:靶机练习之Tempus_fugit5
服务器·网络·xss
哥是强混7 小时前
Means:基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务
网络·数据库·.net
Piko6148 小时前
锐捷 VSU 虚拟化堆叠配置
运维·网络·笔记
爱研究的小梁10 小时前
乾元通多链路聚合通信主流落地应用案例
网络·信息与通信
Bobolink_10 小时前
跨境网络丢包优化实践,从5%到0.2%的排查与调整过程
网络·跨境网络·丢包优化
Piko61410 小时前
锐捷交换机 DHCP Server部署
运维·网络·笔记
多巴胺梦想家10 小时前
数据库恢复技术:当灾难来临
网络·数据库·oracle