|
防火墙VPN与方正防火墙的第三方对接 一、实施环境我们的防火墙放在分支出口,总部出口是方正的防火墙,现在要求分支能够通过IPSEC访问总部的服务器资源,所以,客户要求通过我们的防火与方正的防火墙做第三方对接实现这种需求 备注:我们防火墙要求必须路由模式部署(其他模式不能做VPN对接),因为在建立VPN连接时,需要先设置内外网接口(因为在配置第一阶段时会引用外网口),防火墙路由模式部署具体可以参考防护墙的部署文档。 二、防护墙第三方对接1、配置内外网接口(1)配置外网接口(在接口配置的时候外网口必须勾选wan属性) 外网口具体详细配置如下: 点击新增,弹出如下图: 网关填写外网口网关,然后测试dns填写相应的网络dns就可以,然后是公网地址就是直连Internet,本段固定ip填写上给你的接口配置的地址。 (2)配置内网接口 内网口的具体配置如下图所示: 2、第一阶段建立打开VPN-->第三方对接-->点击新增,具体如下图所示: 选择线路出口(即前面配置的外网接口),然后点击新增,结果如下图所示: 因为设备都是固定的公网ip可以采用主模式进行,然后具体配置如下,共享密钥和省里一直,对端会提供,对端固定ip是出口IP,在高级设置中需要修改一个默认参数,isakmp存活时间需要改成28800秒,算法选择默认即可,具体设置如下图所示: 此处配完之后点确定之后,还要再点击外面确定才能保存,如下图: 点击确定之后,方正那边配置完后,此时需要查看日志看第一阶段的协商是否成功建立SA,查看方式是在系统维护里面,点击系统故障日志,如下图所示: 按照上图设置好后点击提交,具体日志显示如下图所示: 看到sa建立代表配置成功,然后如果有不成功,会有相应的报错,具体可以在看日志,然后再去和总部的人进行沟通更改。 3、第二阶段建立 点击VPN-->第三方对接-->第二阶段,具体配置界面如下图: 点击新增入站策略(入站策略代表哪个网段可以访问我本段的网络资源,所以需要填写的是对端的网口网段),具体详细配置如下图: 配置完入站策略后,点击配置出战策略(出站策略代表本段哪些网段要和总部进行通信,所以填写是本段网段,注意这些网段总部对接人也是这样写才能协商成功,所以写的时候需要和总部对接的人进行协商该写什么网段),具体详细配置如下图所示: 对端没启用,所以不勾选启用秘钥完美向前保密,如果启用会报错,具体可以在日志中显示,如下图所示:
4、第三阶段建立第三段没什么好配置,主要就是使用的选择的算法,这个一般选择默认,所以要跟总部协商下,具体如下图所示: 三、方正防火墙的配置方正防火墙的具体配置如下图所示: 设置共享秘钥(两端保持一致),然后选择标准的加密算法、认证算法等,设置完后,在设置防火墙上对应的入站策略和出战策略,具体设置如下图所示: 四、测试结果 双方都配置完后确定没问题,我们可以从防火墙的日志上查看建立情况如下图所示: 从日志上可以看到第三方对接已经建立起来,剩下就是测试业务访问是否正常,若对接已建立成功业务不能访问,那么就需要排查是否有策略拦截、网络路由是否可达,防火墙是否添加本地子网等。 | 
发表于 2016-5-22 17:33
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-7-4 15:47
技术专家1级 
