【隧道篇 / IPsec】(5.2) ❀ 03. IPsec - 拨号宽带 to 固定IP宽带 (策略模式) ❀ FortiGate 防火墙
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求,固定IP宽带和ADSL拨号宽带都很常见,这里介绍两种不同宽带连接IPsec的配置方法。
IPsec的作用
IPsec作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来。
IPsec通常是由防火墙与防火墙之间建立连接,但也可以通过远程的客户端与防火墙建立IPsec连接。
环境介绍
飞塔防火墙的IPsec有两种模式,默认的是接口模式,也就是需要一条路由二条策略的那种,还有一种是策略模式,不需要路由,只需要一条策略就可以了,配置相对来说比较简单,这次我们看看策略模式怎么配置IPsec。
① 选择菜单【系统管理】-【配置】-【特性】,这里有一些配置的开关,只有打开后功能选项才会出现。
② 向下翻页,点击【显示更多】按钮。
③ 选择打开基于策略的IPsec选项,点击【应用】按钮。
④ 这样在新建隧道时就可以切换接口模式和策略模式了(不选择接口模式即为策略模式)。
配置 IPsec 隧道
为了能够更好的理解两端IPsec设置的区别,我们将两边的设置放在一起介绍。
① 选择菜单 【虚拟专网】-【IPsec】-【 隧道】,点击 Create New 新建一条隧道。
② 给隧道取个用户名,建议使用地名缩写加设备缩写,两地之间用减号连接,这样可以比较直观的知道VPN的方向,选择无模板方式。
③ FortiGate 90D 与 FortiGate 60D VPN隧道对比。
(1) 此项如果没有显示,则默认为接口模式,需要在菜单【系统管理】-【配置】-【 特性】里打开基于策略的IPsec功能才可以看到,这里使用策略模式,所以取消打钩 ;
(2) 这里90D具有固定IP,因此对方远程网关选择的是拨号网络,也就是非固定IP地址,而60D的远程网关为90D的固定IP,这样即使60D每次IP不同,但由于是60D发起到对方固定IP,所以每次仍可以连通。
(3) 预共享密钥为自定义,要求两边必须相同;
(4) 由于都是动态IP,所以模式选择aggressive;
(5) 阶段一的加密可以为单层或多层,加密越多反应越慢,这里只保留一层加密,两边设置必须相同;
(6) 同样阶段一的Diffire-Hellman也只保留了一个选项;
(7) 输入对应的本地子网与对方子网的IP地址范围;
(8) 阶段二的加密同样可以为单层或多层,加密越多反应越慢,这里只保留一层加密,两边设置必须相同;
(9) 同样阶段二的Diffire-Hellman也只保留了一个选项。
(10) 自动密钥保持存活选项打钩。
配置策略
IPsec策略模式需要手动建立一条策略。
① 选择菜单【策略&对象】-【策略】-【IPv4】,点击 Create New 新建一条策略;
② FortiGate 90D 与 FortiGate 60D 策略对比:
(1) 流入接口选择内网口;
(2) 源地址为当前设备的内网地址范围,下拉选项里没有的情况下可以新建立一个地址对象;
(3) 流出接口选择外网口;
(4) 目的地址为需要访问设备的地址范围,下拉选项里没有的情况下可以新建立一个地址对象;
(5) 服务选择所有,也可以根据实际情况选择允许访问的服务,例如Web服务、文件服务等;
(6) 动作选择IPsec;
(7) 因为前面已经建立了VPN隧道,所以VPN隧道选择使用现有;
(8) 下拉选择建立好了的VPN隧道,如果是接口模式而非策略模式,这个下拉选项是灰色不可操作;
(9) 允许从远端站点发起流量,这个选项要打钩。
修改策略顺序
因为已经有了一条相同流入、流出接口的上网策略,再加上VPN策略,这个时候策略的顺序就很重要了,因为策略是按顺序是从上往下执行的。
① 新建立的策略默认排列在最下层,需要将策略移到顶部,优先执行。
② 鼠标移到策略最左边的序号上,光标会变成十字箭头,按住鼠标拖动,即可更改策略顺序。
启动 IPsec
IPsec建成后需要启动连接。
① 选择菜单【虚拟专网】-【监视器】-【IPsec 监视器】,状态为断开,鼠标在 VPN 上点击右键,弹出子菜单,点击启用。
② 当 IPsec 监视器中的状态显示为绿色向上箭头时,表明已经连接成功。
塔技术-老梅子 QQ:57389522
【隧道篇 / IPsec】(5.2) ❀ 03. IPsec - 拨号宽带 to 固定IP宽带 (策略模式) ❀ FortiGate 防火墙相关推荐
- 【隧道篇 / IPsec】(5.2) ❀ 04. IPsec - 拨号宽带 to 拨号宽带 (策略模式) ❀ FortiGate 防火墙
[简介]现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求.ADSL拨号宽带物美价廉,只可惜每次拨号生成的外网IP都 ...
- 【隧道篇 / IPsec】(5.2) ❀ 02. IPsec - 固定IP宽带 to 固定IP宽带 (接口模式) ❀ FortiGate 防火墙
[简介]现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求,这里介绍两端都是固定IP的情况防火墙的配置. IPs ...
- 【接口篇 / Wan】(7.0) ❀ 03. 配置固定 IP 宽带上网 ❀ FortiGate 防火墙
绝大多数企业都会使用固定IP宽带,优点很明显:网速稳定,上行带宽比较大,适合映射服务器到公网,连接VPN等等.而且通常运营商会给你多个公网IP地址,这个是ADSL拨号宽带没法比的. 配置使用固定IP ...
- 【接口篇 / Wan】(6.4) ❀ 01. 拨号宽带经过防火墙后的速度变化 ❀ FortiGate 防火墙
为什么拨号宽带经过防火墙后,速度会下降很多? 防火墙会影响宽带网速吗?影响有多大? ① 为了有个准确的宽带速度比,我们先用小米路由器拨号上网,测试经过小米路由器后宽带的速度变化. ② 为了使测速数据更 ...
- 【高级篇 / HA】(6.0) ❀ 07. HA 下的透明模式 ❀ FortiGate 防火墙
[简介]虽然NAT模式使用场景比较多,但是有时也会用到透明模式.在HA下使用透明模式,与单机模式下使用透明模式会略有不同,我们看看HA使用透明模式会发生什么. 转换成透明模式 透明模式在Web界面 ...
- 【接口篇 / Lan】(5.2) ❀ 04. 配置透明模式 ❀ FortiGate 防火墙
[简介]防火墙作为一实际存在的物理设备,其本身也起到路由的作用,所以在为用户安装防火墙时,就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表,以适应用户的实际需要,这样就增加了工作的复杂程 ...
- 【网络篇】如何给虚拟机添加网卡,设置固定ip
引言 基于Centos7,准备两台虚拟机作为rac服务器. 以Oracle rac集群的配置说明. 网络分配 根据子网地址,我们给虚拟机分配如下ip: 名称 公网 私网 网关 rac1 192.168 ...
- 【接口篇 / Wan】(5.2) ❀ 02. 固定 IP 宽带上网 ❀ FortiGate 防火墙
[简介]当防火墙接在网络的最外端时,可以取代传统的路由器.宽带直接接入到防火墙,内网经过防火墙访问外网.这里我们介绍单位常用的固定IP地址宽带的配置. 配置接口 首先将固定IP宽带线路接入到防火墙 ...
- 【接口篇 / DMZ】(5.2) ❀ 02. 固定 IP 宽带映射服务器到公网 ❀ FortiGate 防火墙
[简介]早期单位的对外访问服务器通常是托管在宽带运营商的中心机房,管理自由程度不高,现在大多数单位自建机房,服务器就在身边,可以方便的将服务器通过固定IP宽带映射到外网,允许从外网进行访问. 网络 ...
最新文章
- windows默认共享的打开和关闭?
- Prolog 语言入门
- html中视频变圆角,圆形视频和圆角视频的一种实现方式
- 第24日:实施质量保证 和 组建项目团队
- Windows API——FindFirstFile——查找文件
- flutter 禁止冒泡_【Flutter】Switch开关组件
- 加速转型 高通绝地反攻
- 《为何爱会伤人》-读书笔记
- 366万常用的中 txt 网盘_人间值得 – 中村恒子 pdf+azw3+epub+mobi+txt+docx|百度网盘资源分享...
- Flutter 自定义 ImageButton
- 神经网络_BP算法推导
- 项目中将orl改为pgsql函数
- Otsu算法原理与python实现
- DQN-FlappyBird项目学习
- 利用Python将视频文件转成语音文件
- Pcb课程设计2(GD32E230核心板)
- 除夕跨年烟花特效[原创]
- 分享知识-快乐自己:oracle12c创建用户提示ORA-65096:公用用户名或角色无效
- glusterfs 文件服务器 搭建
- 学习amber教程A17:伞形采样,绘制丙氨酸三肽的势能面