【配置指引】深信服防火墙与飞塔防火墙IPSec VPN对接配置指南

一、引言：跨品牌互通的艺术

在如今复杂的企业网络架构中，跨品牌设备间的安全互通变得越来越重要。本文将以深信服防火墙与飞塔防火墙的IPSec VPN对接为例，为您提供详细的配置步骤、排错技巧，帮助您顺利实现两者间的安全隧道搭建，让您在安全运维工作中更加游刃有余。

---

二、对接规划：清晰的蓝图是成功的一半

在开始配置前，周密的规划可以避免后续的返工。请提前与对端网络管理员确认以下信息。

1. 环境与版本信息

本端 - 深信服防火墙

• 设备型号：AF-1000-FH2100B (根据实际情况修改)
• 软件版本：AF v8.0.95

  
  
  
  

对端 - 飞塔防火墙

• 设备型号：FortiGate-100F
• 软件版本：FortiOS v7.4.1

  
  
  
  

提示：不同版本的设备在配置路径和选项上可能存在差异，明确版本信息是有效排错的第一步。

2. 网络与密钥规划

逻辑拓扑：

安全凭证规划：

• IKE预共享密钥：Sangfor2Fortinet（建议在实际使用中设置为更复杂的密钥）

  
  
  
  

---

三、深信服防火墙配置详解

步骤1：创建IPSec VPN隧道

• 登录深信服防火墙管理界面。
• 进入 【网络】> 【IPSec VPN】> 【第三方对接】。
• 点击 【新建】 开始配置。

  
  

  
  

  
  
  
  

关键配置项：

1、基本配置

连接名称：fortigate（自定义，易懂）
对端设备地址类型：飞塔防火墙的公网IP类型（动态IP）
认证方式：共享密钥
本端线路出口：选择连接互联网的物理接口（如：ETH1）

2、提议配置（第二阶段 / IPSec）

协议：ESP
加密算法：3DES
认证算法：SHA1
PFS：启用（与对端一致）
IPSec SA超时时间：86400
保护子网（感兴趣流）：



本端：192.168.XX.XX/24（需要加密传输的内网网段）
对端：10.253.XX.XX/24（飞塔侧子网）

3、提议配置（第一阶段 / IKE）

IKE版本：IKEv1
协商模式：野蛮模式（推荐，兼容性更好）
本端身份ID：sangfor
对端身份ID：fortigate
IKE SA超时时间：86400（与对端一致）
加密算法：3DES
认证算法：SHA1
DH组：group5
DPD、NAT-T：启用（两端一致）

步骤2：配置安全策略

• 创建VPN区域：创建三层区域，选择vpntun。
• 进入 【策略】> 【安全控制策略】。
• 点击 【新建】，创建一条允许流量通过VPN的策略。

  
  
  
  

配置项：

• 源区域/地址：内网区域、VPN区域：192.168.XX.XX/24
• 目的区域/地址：内网区域、VPN区域：10.253.XX.XX/24
• 服务：ANY（或根据需求选择特定服务）
• 动作：允许

  
  
  
  

---

四、飞塔防火墙配置详解

步骤1：创建自定义IPSec隧道

• 登录飞塔防火墙管理界面。
• 进入 【VPN】> 【IPSec隧道】。
• 点击 【新建】> 【自定义】。

  
  

  
  

  
  
  
  

关键配置项：

1、网络配置

名称：SANGFOR AF
对端网关：Static
IP地址：深信服防火墙公网IP（122.224.XX.XX）
接口：选择飞塔防火墙的VPN线路接口
NAT-T、DPD：启用（与深信服端一致）

2、阶段1（与深信服“第一阶段”严格对应）

认证方法：预共享密钥
密钥：Sangfor2Fortigate
IKE版本：V1
IKE模式：野蛮模式
对等体选项：深信服侧身份ID：sangfor

3、阶段1提案

加密：3DES
认证：SHA1
DH Group：5
密钥生存时间：86400（与对端一致）

4、阶段2（与深信服“第二阶段”严格对应）

名称：SANGFOR AF
本地地址：10.253.XX.XX/24
对端地址：192.168.XX.XX/24
启用PFS：是
DH Group：5

步骤2：配置防火墙策略

• 进入 【策略对象】> 【防火墙策略】。
• 创建一条允许流量进入和离开VPN的策略。

  
  
  
  

配置项：

• 流入接口：any
• 源IP地址：10.253.XX.XX/24, 192.168.XX.XX/24
• 流出接口：any
• 目的IP地址：10.253.XX.XX/24, 192.168.XX.XX/24
• 动作：接受
• 启用NAT：否

  
  
  
  

步骤3：配置路由

• 进入 【网络】> 【静态路由】。
• 新增静态路由，地址选择深信服侧子网，接口选择VPN接口。

  
  

  
  

  
  
  
  

---

五、效果验证与排错

1. 验证隧道状态

深信服端：路径：【网络】> 【IPSec VPN】> 【VPN运行状态】

检查是否显示“已连接”。

飞塔端：路径：【VPN】> 【IPSec隧道】

检查隧道状态是否为“UP”。

2. 测试连通性

隧道状态“已连接”/“UP”后，从飞塔内网PC（10.253.XX.XX）ping飞塔内网服务器（192.168.XX.XX）。ping通且延迟稳定，配置成功。

3. 排错指南

问题一：隧道无法建立

现象：隧道状态为“协商中”或“断开”。排查清单：

• 密钥：预共享密钥是否完全一致？
• 地址：是否填写了正确的公网IP？
• 核心参数：确保加密算法、认证算法、DH组等一致。
• 网络：检查公网IP是否路由可达，防火墙命令行ping对端公网IP。
• 端口：确保UDP 500和UDP 4500端口未被阻塞。

  
  
  
  

问题二：隧道已连接，但无法Ping通

现象：隧道已连接，但流量不通。排查清单：

• 感兴趣流：检查双方的子网配置是否正确。
• PFS：确认是否启用且一致。
• 安全策略与路由：确保安全策略正确配置，路由表指向VPN接口。

  
  
  
  

---

六、总结

通过本文的配置与排错技巧，相信您能够顺利实现深信服与飞塔防火墙的IPSec VPN对接。成功的关键在于确保第一阶段和第二阶段的所有安全参数一致，并通过双重检查验证隧道状态和流量连通性。排错时，先解决隧道建立问题，再解决流量传输问题，确保每一步都不出错。