防火墙GRE over IPSec配置

一、基础知识

1、GRE隧道

GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。

GRE隧道的基本概念和工作方式

  • 基本概念:GRE隧道提供了一种在网络之间建立点对点连接的方法,可以在不兼容的网络之间传递数据。
  • 封装和解封装:GRE技术通过封装原始数据报文,在外部加上一个新的GRE头部信息,经过传输到达目的地后再进行解封装,还原成原始数据报文格式。
  • 隧道安全:通过使用关键字(Key)和校验和(Checksum)来确保数据传输的安全性和完整性。
  • 技术支持:GRE支持多种网络协议之间的封装,包括IPv4、IPv6等,使其具有很高的灵活性和适用性。

GRE隧道的技术特性与优势

  • 兼容性:GRE支持多种网络协议,可以轻松地在不同网络环境之间传输数据,解决了网络不兼容的问题。
  • 安全性:虽然GRE本身不提供加密功能,但可以与IPSec等加密协议结合使用,增强数据传输的安全性。
  • 灵活性:GRE隧道不需要特定的路由器或交换机支持,只需要两端设备支持GRE协议即可轻松部署和管理。

2、IPSec加密

PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。IPSec通过为IP通信提供加密和认证服务,确保数据在不安全的网络环境如Internet中传输的安全性。这种技术是VPN中常用的一种,以保障远程访问和数据传输的安全性和私密性。

在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。加密过程使用ESP(Encapsulating Security Payload)协议,保证数据的机密性,防止数据在传输过程中被窃听。而认证则通过AH(Authentication Header)协议来实施,它确认数据发送方的身份并确保数据在传输过程中未被篡改,保持信息的完整性。

二、组网需求

  1. 总部和分部可通过出口防火墙 NAPT方式访问Internet。
  2. 总部和分部内部运行OSPF,归属区域0,进程号为1,为了方便管理需要在OSPF中发布Loopback地址。
  3. 在FW1和FW2间启用GRE隧道,隧道内承载OSPF协议,使总部和分部内网连通。
  4. IPSec VPN针对GRE隧道内数据进行加密,其中isakmp策略定义加密算法采用3des,散列算法采用md5,预共享密钥为huawei@123。DH组使用2。转换集myset定义加密验证方式为esp-des esp-md5-hmac,加密图定义为mymap。

在这里插入图片描述

三、有线网络配置

1、基础网络信息配置

为了方便测试,所有已激活的防火墙接口都开启service-manage ping permit

FW1

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123
<USG6000V1>system-view 
[USG6000V1]sysname FW1
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.10.254 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit      # 允许PING流量通过
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/1]int l0
[FW1-LoopBack0]ip add 1.1.1.1 32
[FW1-LoopBack0]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface g1/0/1
[FW1-zone-untrust]quit
[FW1]firewall zone trust 	
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]quit

FW2

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123
<USG6000V1>system-view 	
[USG6000V1]sysname FW2
[FW2]int l0
[FW2-LoopBack0]ip add 3.3.3.3 32
[FW2-LoopBack0]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 20.1.1.1 24
[FW2-GigabitEthernet1/0/2]service-manage ping permit
[FW2-GigabitEthernet1/0/2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 192.168.20.254 24
[FW2-GigabitEthernet1/0/0]service-manage ping permit
[FW2-GigabitEthernet1/0/0]quit
[FW2]firewall zone trust 
[FW2-zone-trust]add interface g1/0/0
[FW2-zone-trust]quit
[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface GigabitEthernet 1/0/2
[FW2-zone-untrust]quit

Internet

<Huawei>system-view 
[Huawei]sysname Internet
[Internet]int g0/0/1
[Internet-GigabitEthernet0/0/1]ip add 10.1.1.2 24
[Internet-GigabitEthernet0/0/1]int g0/0/2
[Internet-GigabitEthernet0/0/2]ip add 20.1.1.2 24
[Internet-GigabitEthernet0/0/2]int g0/0/0
[Internet-GigabitEthernet0/0/0]ip add 100.1.1.254 24
[Internet-GigabitEthernet0/0/0]int l0
[Internet-LoopBack0]ip add 2.2.2.2 32
[Internet-LoopBack0]quit

2、OSPF动态路由协议配置

FW1

[FW1]ospf 1 router-id 1.1.1.1
[FW1-ospf-1]area0
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0	
[FW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit

FW2

[FW2]ospf 1 router-id 3.3.3.3
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit

3、Easy IP配置

总部

出口防火墙FW1添加默认路由

[FW1]ip route-static 0.0.0.0 0 10.1.1.2

FW1添加NAT策略

[FW1]nat-policy 
[FW1-policy-nat]rule name ZB-to-Internet
[FW1-policy-nat-rule-ZB-to-Internet]source-zone trust 
[FW1-policy-nat-rule-ZB-to-Internet]destination-zone untrust 	
[FW1-policy-nat-rule-ZB-to-Internet]source-address 192.168.10.0 24
[FW1-policy-nat-rule-ZB-to-Internet]action source-nat easy-ip 
[FW1-policy-nat-rule-ZB-to-Internet]quit
[FW1-policy-nat]quit

FW1添加安全策略

[FW1]security-policy
[FW1-policy-security]rule name ZB-to-Internet
[FW1-policy-security-rule-ZB-to-Internet]source-zone trust 
[FW1-policy-security-rule-ZB-to-Internet]destination-zone untrust 
[FW1-policy-security-rule-ZB-to-Internet]action permit 
[FW1-policy-security-rule-ZB-to-Internet]quit
[FW1-policy-security]quit

使用PC1访问PC4,然后查看FW1的会话表

在这里插入图片描述

分部

出口防火墙FW2添加默认路由

[FW2]ip route-static 0.0.0.0 0 20.1.1.2

FW2添加NAT策略

[FW2]nat-policy 
[FW2-policy-nat]rule name FB-to-Internet	
[FW2-policy-nat-rule-FB-to-Internet]source-zone trust 
[FW2-policy-nat-rule-FB-to-Internet]destination-zone untrust 
[FW2-policy-nat-rule-FB-to-Internet]source-address 192.168.20.0 24
[FW2-policy-nat-rule-FB-to-Internet]action source-nat easy-ip 
[FW2-policy-nat-rule-FB-to-Internet]quit
[FW2-policy-nat]quit

FW2添加安全策略

[FW2]security-policy
[FW2-policy-security]rule name FB-to-Internet
[FW2-policy-security-rule-FB-to-Internet]source-zone trust 
[FW2-policy-security-rule-FB-to-Internet]destination-zone untrust 
[FW2-policy-security-rule-FB-to-Internet]action permit 
[FW2-policy-security-rule-FB-to-Internet]quit
[FW2-policy-security]quit

使用PC2访问PC4,然后查看FW2的会话表
在这里插入图片描述

4、GRE隧道

FW1

[FW1]int Tunnel 0
[FW1-Tunnel0]ip add 200.1.1.1 24
[FW1-Tunnel0]tunnel-protocol gre 
[FW1-Tunnel0]source 10.1.1.1
[FW1-Tunnel0]destination 20.1.1.1
[FW1-Tunnel0]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface Tunnel 0          # 将Tunnel接口添加到untrust区域
[FW1-zone-untrust]quit
[FW1]security-policy
[FW1-policy-security]rule name GRE                # 放行GRE协议数据
[FW1-policy-security-rule-GRE]source-zone local untrust 
[FW1-policy-security-rule-GRE]destination-zone local untrust 
[FW1-policy-security-rule-GRE]action permit 
[FW1-policy-security-rule-GRE]quit
[FW1-policy-security]quit

FW2

[FW2]int Tunnel 0
[FW2-Tunnel0]ip add 200.1.1.2 24
[FW2-Tunnel0]tunnel-protocol gre 	
[FW2-Tunnel0]source 20.1.1.1
[FW2-Tunnel0]destination 10.1.1.1
[FW2-Tunnel0]quit	
[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface Tunnel 0
[FW2-zone-untrust]quit
[FW2]security-policy
[FW2-policy-security]rule name GRE
[FW2-policy-security-rule-GRE]source-zone local untrust 	
[FW2-policy-security-rule-GRE]destination-zone local untrust 
[FW2-policy-security-rule-GRE]action permit 
[FW2-policy-security-rule-GRE]quit
[FW2-policy-security]quit

在FW1上查看Tunnel接口的工作状态

在这里插入图片描述

在FW2上查看Tunnel接口的工作状态

在这里插入图片描述

5、GRE隧道中承载OSPF路由协议

FW1

[FW1]ospf 1 router-id 1.1.1.1	
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 200.1.1.1 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit

FW2

[FW2]ospf 1 router-id 3.3.3.3
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]network 200.1.1.2 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit

FW1上查看OSPF邻居状态

在这里插入图片描述

FW2上查看OSPF邻居状态

在这里插入图片描述

FW2上查看OSPF路由条目

在这里插入图片描述

6、测试总部与分部之间的连通性

在PC1上 PING PC2,可以看到无法PING通,这是因为在FW2的眼中,通过Tunnel隧道过来的区域是Untrust,在防火墙的出厂定义中,不同的区域之间默认无法连通(除了local和trust),所以我们需要添加untrust到trust区域的策略

在这里插入图片描述

FW1

[FW1]security-policy
[FW1-policy-security]rule name untrust-to-trust
[FW1-policy-security-rule-untrust-to-trust]source-zone untrust 
[FW1-policy-security-rule-untrust-to-trust]destination-zone trust 
[FW1-policy-security-rule-untrust-to-trust]action permit 
[FW1-policy-security-rule-untrust-to-trust]quit
[FW1-policy-security]quit

FW2

[FW2]security-policy
[FW2-policy-security]rule name untrust-to-trust
[FW2-policy-security-rule-untrust-to-trust]source-zone untrust 
[FW2-policy-security-rule-untrust-to-trust]destination-zone trust 	
[FW2-policy-security-rule-untrust-to-trust]action permit 
[FW2-policy-security-rule-untrust-to-trust]quit
[FW2-policy-security]quit

重新使用PC1 PING PC2

在这里插入图片描述

查看FW1的防火墙会话表可以看到存在一条GRE的记录

在这里插入图片描述

7、IPSec VPN配置

FW1–配置IPSec安全提议

[FW1]ipsec proposal tran1
[FW1-ipsec-proposal-tran1]encapsulation-mode transport				# 只保护IP包的有效负载(传输模式)
[FW1-ipsec-proposal-tran1]quit

FW1–配置IKE安全提议

[FW1]ike proposal 10
[FW1-ike-proposal-10]quit          # 使用默认配置即可

FW1–配置IKE对等体

[FW1]ike peer FW2
[FW1-ike-peer-FW2]ike-proposal 10					# 关联上述定义的安全提议
[FW1-ike-peer-FW2]pre-shared-key huawei@123         # 配置用于身份验证的密码
[FW1-ike-peer-FW2]quit

FW1–配置IPSec安全框架

[FW1]ipsec profile FW1
[FW1-ipsec-profile-FW1]proposal tran1 	
[FW1-ipsec-profile-FW1]ike-peer FW2
[FW1-ipsec-profile-FW1]quit

FW1–隧道口上应用IPsec安全框架

[FW1]int Tunnel 0
[FW1-Tunnel0]ipsec profile FW1
[FW1-Tunnel0]quit

FW2–配置IPSec安全提议

[FW2]ipsec proposal tran1
[FW2-ipsec-proposal-tran1]encapsulation-mode transport 
[FW2-ipsec-proposal-tran1]quit

FW2–配置IKE安全提议

[FW2]ike proposal 10
[FW2-ike-proposal-10]quit

FW2–配置IKE对等体

[FW2]ike peer FW1
[FW2-ike-peer-FW1]ike-proposal 10	
[FW2-ike-peer-FW1]pre-shared-key huawei@123
[FW2-ike-peer-FW1]quit

FW2–配置IPSec安全框架

[FW2]ipsec profile FW2
[FW2-ipsec-profile-FW2]proposal tran1 
[FW2-ipsec-profile-FW2]ike-peer FW1
[FW2-ipsec-profile-FW2]quit

FW2–隧道口上应用IPsec安全框架

[FW2]int Tunnel 0
[FW2-Tunnel0]ipsec profile FW2
[FW2-Tunnel0]quit

验证–FW1上查看IKE协商建立的安全联盟信息

在这里插入图片描述

验证–FW2上查看IKE协商建立的安全联盟信息

在这里插入图片描述

验证–FW1上查看IPsec安全提议tran1的默认配置信息

在这里插入图片描述

验证–FW1上查看ike安全提议10的默认配置信息
在这里插入图片描述

验证–使用PC1 PING PC2,进行抓包,可以看到有ESP包
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/749075.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

怎样实现聊天弹幕效果?

可以使用HTML、CSS和JavaScript的组合。以下是一个简单的步骤和示例代码&#xff0c;说明如何创建一个基本的弹幕效果&#xff1a; HTML结构&#xff1a; 创建一个用于显示弹幕的容器和输入弹幕的表单。 <!DOCTYPE html> <html lang"en"> <hea…

android 通过gradle去除aar的重复资源图片

背景&#xff1a;项目中引入了aar包&#xff0c;结果导致资源出问题了&#xff0c;于是需要对下面aar包进行重复资源去除操作 操作具体如下&#xff1a; 目录&#xff1a;app/build.gradle 末尾配置 apply from: "${project.rootDir}/scripts/excludewidgetAar.gradle&qu…

20240626(周三)AH股行情总结:沪指午后大反弹,港股震荡走高,AIGC、短剧概念走强,低价可转债触底反弹

内容提要 上证指数午后大反弹&#xff0c;创业板指涨近2%。港股震荡走高&#xff0c;恒生科技指数涨近1%。AIGC概念领涨&#xff0c;ST股、贵金属板块领跌。低价可转债集体大涨&#xff0c;广汇转债涨20%触发临停&#xff0c;广汇汽车今日上演地天板。 周三&#xff0c;A股午…

Django项目部署:uwsgi+daphne+nginx+vue部署

一、项目情况 项目根目录&#xff1a;/mnt/www/alert 虚拟环境目录&#xff1a;/mnt/www/venv/alert 激活虚拟环境&#xff1a;source /mnt/www/venv/alert/bin/activate 二、具体配置 1、uwsgi启动配置 根目录下&#xff1a;新增 uwsgi.ini 注意&#xff1a;使用9801端…

NSSCTF-Web题目17(反序列化)

目录 [SWPUCTF 2021 新生赛]pop 1、题目 2、知识点 3、思路 [NISACTF 2022]popchains 4、题目 5、知识点 6、思路 [SWPUCTF 2021 新生赛]pop 1、题目 2、知识点 php反序列化&#xff0c;代码审计 3、思路 打开题目 出现代码&#xff0c;接下来我们逐步对代码进行分析…

模型情景制作-冰镇啤酒

夏日炎炎&#xff0c;当我们在真实世界中开一瓶冰镇啤酒的时候&#xff0c;我们也可以为模型世界中的人物添加一些冰镇啤酒。 下面介绍一种快速酒瓶制造方法&#xff0c;您只需要很少工具&#xff1a; 截取尽量直的流道&#xff08;传说中的板件零件架&#xff09;,将其夹在您的…

惠普笔记本双指触摸不滚屏

查看笔记本型号 一般在笔记本背面很小的字那里 进入惠普官网 笔记本、台式机、打印机、墨盒与硒鼓 | 中国惠普 (hp.com) 选择“支持”>“解决问题”>“软件与驱动程序” 选择笔记本 输入型号&#xff0c;选择操作系统 下载驱动进行完整 重启之后进行测试

404 Not Found(nginx)

#vue-router history 配置location / {add_header Access-Control-Allow-Origin *;add_header Access-Control-Allow-Headers *;add_header Cross-Origin-Embedder-Policy require-corp;add_header Cross-Origin-Opener-Policy same-origin;try_files $uri $uri/ router;index …

阿里云centos 7.9 使用宝塔面板部署.netcore 6.0

前言&#xff1a; 我有一个netcore6.0的系统接口和手机端程序的站点程序之前是部署在一台windows测试服务器的IIS站点中&#xff0c; 服务器最近压力太大扛不住了&#xff0c;买了一台centos7.9的阿里云服务器准备进行迁移。具体操作日记如下。 一、安装宝塔面板 这一步涉及…

一个去掉PDF背景水印的思路

起因 昨天测试 使用“https://github.com/VikParuchuri/marker” 将 pdf 转 Markdown的过程中&#xff0c;发现转换后的文件中会保护一些背景图片&#xff0c;是转换过程中&#xff0c;程序把背景图识别为了内容。于是想着怎么把背景图片去掉。 背景水印图片的特征 我这里拿…

花8000元去培训机构学习网络安全值得吗,学成后就业前景如何?

我就是从培训机构学的网络安全&#xff0c;线下五六个月&#xff0c;当时学费不到一万&#xff0c;目前已成功入行。所以&#xff0c;只要你下决心要入这一行&#xff0c;过程中能好好学&#xff0c;那这8000就花得值~ 因为只要学得好&#xff0c;工作两个多月就能赚回学费&am…

MySQL递归查询(with recursive)

背景 日常开发中经常会有那种 阶梯式 数据&#xff0c;比如做地图、菜单&#xff0c;裂变给上级、上上级分红等等这样的需求的时候 你需要找个一个对象的 上级&#xff0c;上上级&#xff0c;上上上级 建了一张很容易理解阶级的表&#xff0c;一目了然 很多时候我们的需求就是…

测试开发工程师需要掌握什么技能?

测试开发工程师是软件开发中至关重要的角色之一。他们负责编写、维护和执行自动化测试脚本、开发测试工具和框架&#xff0c;以确保软件的质量和稳定性。为了成为一名优秀的测试开发工程师&#xff0c;你需要掌握以下技能&#xff1a; 1. 编程技能&#xff1a; 作为测试开发工…

java设计模式(七)适配器模式(Adapter Pattern)

1、模式介绍&#xff1a; 适配器模式&#xff08;Adapter Pattern&#xff09;是一种结构型设计模式&#xff0c;它允许将一个类的接口转换成客户希望的另外一个接口。适配器模式通常用于需要复用现有的类&#xff0c;但是接口与客户端的要求不完全匹配的情况。它包括两种形式&…

鸿蒙面试心得

自疫情过后&#xff0c;java和web前端都进入了冰河时代。年龄、薪资、学历都成了找工作路上躲不开的门槛。 年龄太大pass 薪资要高了pass 学历大专pass 好多好多pass 找工作的路上明明阳关普照&#xff0c;却有一种凄凄惨惨戚戚说不清道不明的“优雅”意境。 如何破局&am…

不用翻墙,手把手教你用MAC本地版免费ComfyUI搭建Stable Diffusion工作流,让出图效率起飞

AI绘图如火如荼发展了这么久&#xff0c;从mj到SD webUI,再到时下最热门的Comfy UI。因为显存的问题对Mac用户一直不是很友好&#xff0c;阻碍了大部分设计师上手学习的道路。但是Comflowy解决了这个痛点。这是一款Mac系统可用本地版的sd&#xff0c;一键安装&#xff0c;让苹果…

【Sklearn驯化-聚类指标】搞懂机器学习中聚类算法评估指标,轮廓系数、戴维森堡丁指数

【Sklearn驯化-聚类指标】搞懂机器学习中聚类算法评估指标&#xff0c;轮廓系数、戴维森堡丁指数 本次修炼方法请往下查看 &#x1f308; 欢迎莅临我的个人主页 &#x1f448;这里是我工作、学习、实践 IT领域、真诚分享 踩坑集合&#xff0c;智慧小天地&#xff01; &#…

OnlyOffice测评

官方链接&#xff1a; https://www.onlyoffice.com/zh/office-suite.aspx https://www.onlyoffice.com/zh/pdf-editor.aspx OnlyOffice&#xff1a;引领办公效率的新标杆 在数字化时代的浪潮中&#xff0c;办公软件已经成为我们日常工作中不可或缺的一部分。然而&#xff0c;…

马斯克的SpaceX星舰有多牛?我们离殖民火星还有多远?

本文首发于公众号“AntDream”&#xff0c;欢迎微信搜索“AntDream”或扫描文章底部二维码关注&#xff0c;和我一起每天进步一点点 埃隆马斯克是一位知名的企业家和工程师&#xff0c;他掌握着多家公司&#xff0c;涉及多个领域&#xff0c;包括电动汽车、太空探索、太阳能、脑…

入门JavaWeb之 Response 下载文件

web 服务器接收到客户端的 http 请求 针对这个请求&#xff0c;分别创建一个代表请求的 HttpServletRequest 对象&#xff0c;代表响应的 HttpServletResponse 对象 获取客户端请求过来的参数&#xff1a;HttpServletRequest 给客户端响应一些信息&#xff1a;HttpServletRe…