防火墙GRE over IPSec配置

一、基础知识

1、GRE隧道

GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。

GRE隧道的基本概念和工作方式

  • 基本概念:GRE隧道提供了一种在网络之间建立点对点连接的方法,可以在不兼容的网络之间传递数据。
  • 封装和解封装:GRE技术通过封装原始数据报文,在外部加上一个新的GRE头部信息,经过传输到达目的地后再进行解封装,还原成原始数据报文格式。
  • 隧道安全:通过使用关键字(Key)和校验和(Checksum)来确保数据传输的安全性和完整性。
  • 技术支持:GRE支持多种网络协议之间的封装,包括IPv4、IPv6等,使其具有很高的灵活性和适用性。

GRE隧道的技术特性与优势

  • 兼容性:GRE支持多种网络协议,可以轻松地在不同网络环境之间传输数据,解决了网络不兼容的问题。
  • 安全性:虽然GRE本身不提供加密功能,但可以与IPSec等加密协议结合使用,增强数据传输的安全性。
  • 灵活性:GRE隧道不需要特定的路由器或交换机支持,只需要两端设备支持GRE协议即可轻松部署和管理。

2、IPSec加密

PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。IPSec通过为IP通信提供加密和认证服务,确保数据在不安全的网络环境如Internet中传输的安全性。这种技术是VPN中常用的一种,以保障远程访问和数据传输的安全性和私密性。

在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。加密过程使用ESP(Encapsulating Security Payload)协议,保证数据的机密性,防止数据在传输过程中被窃听。而认证则通过AH(Authentication Header)协议来实施,它确认数据发送方的身份并确保数据在传输过程中未被篡改,保持信息的完整性。

二、组网需求

  1. 总部和分部可通过出口防火墙 NAPT方式访问Internet。
  2. 总部和分部内部运行OSPF,归属区域0,进程号为1,为了方便管理需要在OSPF中发布Loopback地址。
  3. 在FW1和FW2间启用GRE隧道,隧道内承载OSPF协议,使总部和分部内网连通。
  4. IPSec VPN针对GRE隧道内数据进行加密,其中isakmp策略定义加密算法采用3des,散列算法采用md5,预共享密钥为huawei@123。DH组使用2。转换集myset定义加密验证方式为esp-des esp-md5-hmac,加密图定义为mymap。

在这里插入图片描述

三、有线网络配置

1、基础网络信息配置

为了方便测试,所有已激活的防火墙接口都开启service-manage ping permit

FW1

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123
<USG6000V1>system-view 
[USG6000V1]sysname FW1
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.10.254 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit      # 允许PING流量通过
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/1]int l0
[FW1-LoopBack0]ip add 1.1.1.1 32
[FW1-LoopBack0]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface g1/0/1
[FW1-zone-untrust]quit
[FW1]firewall zone trust 	
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]quit

FW2

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123
<USG6000V1>system-view 	
[USG6000V1]sysname FW2
[FW2]int l0
[FW2-LoopBack0]ip add 3.3.3.3 32
[FW2-LoopBack0]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 20.1.1.1 24
[FW2-GigabitEthernet1/0/2]service-manage ping permit
[FW2-GigabitEthernet1/0/2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 192.168.20.254 24
[FW2-GigabitEthernet1/0/0]service-manage ping permit
[FW2-GigabitEthernet1/0/0]quit
[FW2]firewall zone trust 
[FW2-zone-trust]add interface g1/0/0
[FW2-zone-trust]quit
[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface GigabitEthernet 1/0/2
[FW2-zone-untrust]quit

Internet

<Huawei>system-view 
[Huawei]sysname Internet
[Internet]int g0/0/1
[Internet-GigabitEthernet0/0/1]ip add 10.1.1.2 24
[Internet-GigabitEthernet0/0/1]int g0/0/2
[Internet-GigabitEthernet0/0/2]ip add 20.1.1.2 24
[Internet-GigabitEthernet0/0/2]int g0/0/0
[Internet-GigabitEthernet0/0/0]ip add 100.1.1.254 24
[Internet-GigabitEthernet0/0/0]int l0
[Internet-LoopBack0]ip add 2.2.2.2 32
[Internet-LoopBack0]quit

2、OSPF动态路由协议配置

FW1

[FW1]ospf 1 router-id 1.1.1.1
[FW1-ospf-1]area0
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0	
[FW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit

FW2

[FW2]ospf 1 router-id 3.3.3.3
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit

3、Easy IP配置

总部

出口防火墙FW1添加默认路由

[FW1]ip route-static 0.0.0.0 0 10.1.1.2

FW1添加NAT策略

[FW1]nat-policy 
[FW1-policy-nat]rule name ZB-to-Internet
[FW1-policy-nat-rule-ZB-to-Internet]source-zone trust 
[FW1-policy-nat-rule-ZB-to-Internet]destination-zone untrust 	
[FW1-policy-nat-rule-ZB-to-Internet]source-address 192.168.10.0 24
[FW1-policy-nat-rule-ZB-to-Internet]action source-nat easy-ip 
[FW1-policy-nat-rule-ZB-to-Internet]quit
[FW1-policy-nat]quit

FW1添加安全策略

[FW1]security-policy
[FW1-policy-security]rule name ZB-to-Internet
[FW1-policy-security-rule-ZB-to-Internet]source-zone trust 
[FW1-policy-security-rule-ZB-to-Internet]destination-zone untrust 
[FW1-policy-security-rule-ZB-to-Internet]action permit 
[FW1-policy-security-rule-ZB-to-Internet]quit
[FW1-policy-security]quit

使用PC1访问PC4,然后查看FW1的会话表

在这里插入图片描述

分部

出口防火墙FW2添加默认路由

[FW2]ip route-static 0.0.0.0 0 20.1.1.2

FW2添加NAT策略

[FW2]nat-policy 
[FW2-policy-nat]rule name FB-to-Internet	
[FW2-policy-nat-rule-FB-to-Internet]source-zone trust 
[FW2-policy-nat-rule-FB-to-Internet]destination-zone untrust 
[FW2-policy-nat-rule-FB-to-Internet]source-address 192.168.20.0 24
[FW2-policy-nat-rule-FB-to-Internet]action source-nat easy-ip 
[FW2-policy-nat-rule-FB-to-Internet]quit
[FW2-policy-nat]quit

FW2添加安全策略

[FW2]security-policy
[FW2-policy-security]rule name FB-to-Internet
[FW2-policy-security-rule-FB-to-Internet]source-zone trust 
[FW2-policy-security-rule-FB-to-Internet]destination-zone untrust 
[FW2-policy-security-rule-FB-to-Internet]action permit 
[FW2-policy-security-rule-FB-to-Internet]quit
[FW2-policy-security]quit

使用PC2访问PC4,然后查看FW2的会话表
在这里插入图片描述

4、GRE隧道

FW1

[FW1]int Tunnel 0
[FW1-Tunnel0]ip add 200.1.1.1 24
[FW1-Tunnel0]tunnel-protocol gre 
[FW1-Tunnel0]source 10.1.1.1
[FW1-Tunnel0]destination 20.1.1.1
[FW1-Tunnel0]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface Tunnel 0          # 将Tunnel接口添加到untrust区域
[FW1-zone-untrust]quit
[FW1]security-policy
[FW1-policy-security]rule name GRE                # 放行GRE协议数据
[FW1-policy-security-rule-GRE]source-zone local untrust 
[FW1-policy-security-rule-GRE]destination-zone local untrust 
[FW1-policy-security-rule-GRE]action permit 
[FW1-policy-security-rule-GRE]quit
[FW1-policy-security]quit

FW2

[FW2]int Tunnel 0
[FW2-Tunnel0]ip add 200.1.1.2 24
[FW2-Tunnel0]tunnel-protocol gre 	
[FW2-Tunnel0]source 20.1.1.1
[FW2-Tunnel0]destination 10.1.1.1
[FW2-Tunnel0]quit	
[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface Tunnel 0
[FW2-zone-untrust]quit
[FW2]security-policy
[FW2-policy-security]rule name GRE
[FW2-policy-security-rule-GRE]source-zone local untrust 	
[FW2-policy-security-rule-GRE]destination-zone local untrust 
[FW2-policy-security-rule-GRE]action permit 
[FW2-policy-security-rule-GRE]quit
[FW2-policy-security]quit

在FW1上查看Tunnel接口的工作状态

在这里插入图片描述

在FW2上查看Tunnel接口的工作状态

在这里插入图片描述

5、GRE隧道中承载OSPF路由协议

FW1

[FW1]ospf 1 router-id 1.1.1.1	
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 200.1.1.1 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit

FW2

[FW2]ospf 1 router-id 3.3.3.3
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]network 200.1.1.2 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit

FW1上查看OSPF邻居状态

在这里插入图片描述

FW2上查看OSPF邻居状态

在这里插入图片描述

FW2上查看OSPF路由条目

在这里插入图片描述

6、测试总部与分部之间的连通性

在PC1上 PING PC2,可以看到无法PING通,这是因为在FW2的眼中,通过Tunnel隧道过来的区域是Untrust,在防火墙的出厂定义中,不同的区域之间默认无法连通(除了local和trust),所以我们需要添加untrust到trust区域的策略

在这里插入图片描述

FW1

[FW1]security-policy
[FW1-policy-security]rule name untrust-to-trust
[FW1-policy-security-rule-untrust-to-trust]source-zone untrust 
[FW1-policy-security-rule-untrust-to-trust]destination-zone trust 
[FW1-policy-security-rule-untrust-to-trust]action permit 
[FW1-policy-security-rule-untrust-to-trust]quit
[FW1-policy-security]quit

FW2

[FW2]security-policy
[FW2-policy-security]rule name untrust-to-trust
[FW2-policy-security-rule-untrust-to-trust]source-zone untrust 
[FW2-policy-security-rule-untrust-to-trust]destination-zone trust 	
[FW2-policy-security-rule-untrust-to-trust]action permit 
[FW2-policy-security-rule-untrust-to-trust]quit
[FW2-policy-security]quit

重新使用PC1 PING PC2

在这里插入图片描述

查看FW1的防火墙会话表可以看到存在一条GRE的记录

在这里插入图片描述

7、IPSec VPN配置

FW1–配置IPSec安全提议

[FW1]ipsec proposal tran1
[FW1-ipsec-proposal-tran1]encapsulation-mode transport				# 只保护IP包的有效负载(传输模式)
[FW1-ipsec-proposal-tran1]quit

FW1–配置IKE安全提议

[FW1]ike proposal 10
[FW1-ike-proposal-10]quit          # 使用默认配置即可

FW1–配置IKE对等体

[FW1]ike peer FW2
[FW1-ike-peer-FW2]ike-proposal 10					# 关联上述定义的安全提议
[FW1-ike-peer-FW2]pre-shared-key huawei@123         # 配置用于身份验证的密码
[FW1-ike-peer-FW2]quit

FW1–配置IPSec安全框架

[FW1]ipsec profile FW1
[FW1-ipsec-profile-FW1]proposal tran1 	
[FW1-ipsec-profile-FW1]ike-peer FW2
[FW1-ipsec-profile-FW1]quit

FW1–隧道口上应用IPsec安全框架

[FW1]int Tunnel 0
[FW1-Tunnel0]ipsec profile FW1
[FW1-Tunnel0]quit

FW2–配置IPSec安全提议

[FW2]ipsec proposal tran1
[FW2-ipsec-proposal-tran1]encapsulation-mode transport 
[FW2-ipsec-proposal-tran1]quit

FW2–配置IKE安全提议

[FW2]ike proposal 10
[FW2-ike-proposal-10]quit

FW2–配置IKE对等体

[FW2]ike peer FW1
[FW2-ike-peer-FW1]ike-proposal 10	
[FW2-ike-peer-FW1]pre-shared-key huawei@123
[FW2-ike-peer-FW1]quit

FW2–配置IPSec安全框架

[FW2]ipsec profile FW2
[FW2-ipsec-profile-FW2]proposal tran1 
[FW2-ipsec-profile-FW2]ike-peer FW1
[FW2-ipsec-profile-FW2]quit

FW2–隧道口上应用IPsec安全框架

[FW2]int Tunnel 0
[FW2-Tunnel0]ipsec profile FW2
[FW2-Tunnel0]quit

验证–FW1上查看IKE协商建立的安全联盟信息

在这里插入图片描述

验证–FW2上查看IKE协商建立的安全联盟信息

在这里插入图片描述

验证–FW1上查看IPsec安全提议tran1的默认配置信息

在这里插入图片描述

验证–FW1上查看ike安全提议10的默认配置信息
在这里插入图片描述

验证–使用PC1 PING PC2,进行抓包,可以看到有ESP包
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/35625.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HarmonyOS Next开发学习手册——代码混淆

代码混淆简介 针对工程源码的混淆可以降低工程被破解攻击的风险&#xff0c;缩短代码的类与成员的名称&#xff0c;减小应用的大小。 DevEco Studio提供代码混淆的能力并默认开启&#xff0c;API 10及以上版本的Stage模型、 编译模式为release 时自动进行代码混淆。 使用约束…

沙龙圆满举行 | 数据资产入表新动向·驱动企业新质生产力!

近日&#xff0c;由四川智慧城市发展联盟、璞华科技有限公司等公司主办的“数据治理与入表专题沙龙会”在成都圆满落幕。璞华科技有限公司作为数据治理、数据资产入表领域的领军企业&#xff0c;为此次盛会贡献了我们的专业见解与实战经验。 沙龙现场&#xff0c;业内精英齐聚一…

【技术追踪】SDSeg:医学图像的 Stable Diffusion 分割(MICCAI-2024)

这医学图像分割领域啊&#xff0c;终究还是被 Stable Diffusion 闯进去了~ SDSeg&#xff1a;第一个基于 Stable Diffusion 的 latent 扩散医学图像分割模型&#xff0c;在五个不同医学影像模态的基准数据集上超越了现有的最先进方法~ 论文&#xff1a;Stable Diffusion Segmen…

基于LangChain构建RAG应用

前言 Hello&#xff0c;大家好&#xff0c;我是GISer Liu&#x1f601;&#xff0c;一名热爱AI技术的GIS开发者&#xff0c;上一篇文章中我们详细介绍了RAG的核心思想以及搭建向量数据库的完整过程&#xff1b;&#x1f632; 本文将基于上一篇文章的结果进行开发&#xff0c;主…

配置Nginx二级域名

一、环境 &#xff08;一&#xff09;配置 1.服务器 linux CentOS 2.反向代理 Nginx 3.开放端口 云服务器开放端口80和443 二、域名备案 &#xff08;一&#xff09;腾讯云 1.腾讯云域名备案流程 备注&#xff1a;一级域名备案后&#xff0c;二级域名可以不用再备案&a…

AS-V1000外部设备管理介绍(国标GB28181设备管理,可以管理的国标设备包括DVR/NVR、IPC、第三方国标28181平台)

目录 一、概述 1、视频监控平台介绍 2、外部设备定义&#xff08;接入的国标设备&#xff09; 二、外部设备管理 2.1 外部设备添加 &#xff08;1&#xff09;设备侧的配置 &#xff08;2&#xff09;平台侧的配置 2.2 外部设备信息的修改 三、外部通道管理 3.1 外部…

React_创建一个项目

目录 一、React&#xff08;js 版&#xff09; 二、React&#xff08;ts 版&#xff09; 使用react创建一个项目,前提是确保你已经安装了Node.js和npm。 如果没有安装Node.js和npm&#xff0c;查看这个文件&#xff1a; 安装node.js和npmhttps://blog.csdn.net/zxy1993106…

GoSync+华为智能穿戴使用指导

GoSync官方简介&#xff1a; GoSync 是一款免费应用程序&#xff0c;主要用于将您的可穿戴设备中的步行、跑步、骑自行车和游泳等活动数据同步到您的 Google Fit 和其他健身平台。在开始同步数据之前&#xff0c;您需要将您的可穿戴设备账户与您的健身平台账户连接起来。在创建…

三元和磷酸铁锂电池有什么区别?

现在的电动车大多都会使用到锂电池&#xff0c;在常见的锂电池分为两种&#xff0c;一种是三元锂电池另外一种是磷酸铁锂电池&#xff0c;面对这两种锂电池时&#xff0c;它们到底有什么不同&#xff1f; 1、材料不同 这两种锂电池的不同之处便是材料不同&#xff0c;磷酸铁锂…

时间序列分析入门:概念、模型与应用【ARMA、ARIMA模型】

在这篇博客中&#xff0c;我们将全面探讨时间序列分析的基本概念和分类&#xff0c;深入理解平稳性及其检验方法&#xff0c;并介绍自回归模型&#xff08;AR&#xff09;、滑动平均模型&#xff08;MA&#xff09;、自回归滑动平均模型&#xff08;ARMA&#xff09;以及自回归…

Unity免费领高级可视化编程自定义节点工具AI行为UI流程对话树状态机逻辑等FlowReactor价值50刀high level20240627

刚发现一款类似虚幻蓝图的可视化编程工具&#xff0c;原价50刀&#xff0c;现在免费领取了。赶紧去领取入库&#xff0c;防止作者涨价。 高级可视化编程自定义节点工具&#xff1a;https://prf.hn/l/BJbdvnD 作者其他资产&#xff1a;https://prf.hn/l/YLAYznV Unity免费领高级…

提取url中的参数

let url https://alibaba.com?a1&b2&c3#hash function queryUrlParams(URL){let url URL.split(?)[1];const urlSearchParams new URLSearchParams(url);console.log(url1, urlSearchParams);console.log(entries,urlSearchParams.entries())const params Object…

华为---配置基本的访问控制列表(ACL)

11、访问控制列表&#xff08;ACL&#xff09; 11.1 配置基本的访问控制列表 11.1.1 原理概述 访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合&#xff0c;这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。A…

C++11 右值引用和移动语义,完美转发和万能引用,移动构造和移动赋值,可变参数模板,lambda表达式,包装器

文章目录 C11简介统一的列表初始化&#xff5b;&#xff5d;初始化std::initializer_list声明autodecltypenullptr 范围for循环 智能指针STL中一些变化右值引用和移动语义左值引用和右值引用左值引用与右值引用比较 右值引用使用场景和意义右值引用引用左值及其一些更深入的使用…

观成科技:证券行业加密业务安全风险监测与防御技术研究

摘要&#xff1a;解决证券⾏业加密流量威胁问题、加密流量中的应⽤⻛险问题&#xff0c;对若⼲证券⾏业的实际流量内容进⾏调研分析&#xff0c; 分析了证券⾏业加密流量⾯临的合规性⻛险和加密协议及证书本⾝存在的⻛险、以及可能存在的外部加密流量威 胁&#xff0c;并提出防…

PHP 超级全局变量详解

在PHP编程中&#xff0c;超级全局变量&#xff08;Super Global Variables&#xff09;是一种特殊的变量&#xff0c;可以在脚本的任何地方访问&#xff0c;而不受作用域限制。它们被设计用于在不同的脚本文件、函数和类之间共享数据&#xff0c;是PHP语言中非常重要和实用的特…

Knife4j 2.2.X 版本 swagger彻底禁用

官方文档配置权限&#xff1a;https://doc.xiaominfo.com/v2/documentation/accessControl.html#_3-5-1-%E7%94%9F%E4%BA%A7%E7%8E%AF%E5%A2%83%E5%B1%8F%E8%94%BD%E8%B5%84%E6%BA%90 通常有时候我们碰到的问题如下&#xff1a; 在开发Knife4j功能时,同很多开发者经常讨论的问…

MySQL数据库简介和安装

文章目录 一、数据库原理目前情况数据库的发展史RDBMS关系型数据库关系型数据库理论 二、MySQL历史发展历程关系型数据库和非关系型数据库 三、安装mysql及优化yum安装编译安装mysql二进制安装优化操作 四、 安装mycli插件客户端工具 一、数据库原理 目前情况 我们正处于一个…

聚观早报 | 真我GT6官宣;iQOO 13参数细节曝光

聚观早报每日整理最值得关注的行业重点事件&#xff0c;帮助大家及时了解最新行业动态&#xff0c;每日读报&#xff0c;就读聚观365资讯简报。 整理丨Cutie 6月26日消息 真我GT6官宣 iQOO 13参数细节曝光 苹果iPadOS 18 Beta 2更新 一加Ace 3 Pro散热细节曝光 亚马逊秘…

Redis-主从复制-配置主从关系

文章目录 1、修改配置文件中的 bind ,注释该配置,取消绑定仅主机登录2、修改protected-mode 为no,取消保护模式3、查看redis的进程状态4、配置6380是6379的从机5、配置6381是6379的从机6、查看主机 6379 的主从信息 1、修改配置文件中的 bind ,注释该配置,取消绑定仅主机登录 …