華為防火墻IPsec點(diǎn)對(duì)點(diǎn)配置解析

華為防火墻IPsec點(diǎn)對(duì)點(diǎn)配置解析一、完成基本互聯(lián)主機(jī)直連的接口為trust區(qū)域，防火墻之間互聯(lián)的接口為untrust區(qū)域二、左邊的防火墻IPsec的配置(1)IkeProposal的創(chuàng)建ikeproposalxx//首先創(chuàng)建ikeproposalxx這一步的作用就是創(chuàng)建協(xié)商ikeSA的時(shí)候使用的相關(guān)安全套件，默認(rèn)防火墻就會(huì)設(shè)置了一些默認(rèn)的安全套件的組合。這一步設(shè)置的內(nèi)容就是用于IKESA的協(xié)商，IPsec雙方使用協(xié)商好的IKESA去對(duì)IPsecSA的協(xié)商進(jìn)行保護(hù)。如下所示：encryption-algorithmaes-256dhgroup14authentication-algorithmsha2-256authentication-methodpre-shareintegrity-algorithmhmac-sha2-256prfhmac-sha2-256對(duì)于AES算法和SHA算法來說，256位是完全足夠保證安全了，對(duì)于AES來說使用192位也是可以的。dhgroup14是2048位的DH算法，也是夠用了?？梢钥吹侥J(rèn)的認(rèn)證方式是預(yù)共享密鑰，當(dāng)然也有其他的認(rèn)證方式，比如簽名，證書認(rèn)證。但是簽名和證書認(rèn)證比較麻煩，推薦在圖形化界面上做，這邊僅介紹預(yù)共享密鑰（2）Ikepeer的創(chuàng)建ikepeerxx//創(chuàng)建IKE對(duì)等體進(jìn)入IKE對(duì)等體視圖后：local-id-typexxx//設(shè)置本端id的類型，下面是本端id的類型[Left-ike-peer-xx]local-id-type?dnSelectdnasthelocalIDesnSelectesnasthelocalIDfqdnSelectnameasthelocalID//這個(gè)就是以名字名稱的形式去明明ipSelectIPaddressasthelocalID//以IP的形式去進(jìn)行命名user-fqdnSelectuser-fqdnasthelocalID//以電子郵件的形式去命名local-idxx//創(chuàng)建本端id，這里創(chuàng)建的id和上面的類型要對(duì)應(yīng)remote-id-typexx//設(shè)置遠(yuǎn)端id類型，這個(gè)和本地id類型的類似remote-idxx//設(shè)置遠(yuǎn)端id也可以不用設(shè)置local-id，remote-id這些東西，只要輸入remote-address，表示遠(yuǎn)端IP，輸入這個(gè)之后就代表自己使用ip地址標(biāo)識(shí)自己，且接受所有的遠(yuǎn)端標(biāo)識(shí)，換句話來說只要IPsec對(duì)端的IP是remoteaddress指定的IP，那么將無所謂它的的遠(yuǎn)端標(biāo)識(shí)。當(dāng)然也可以remoteaddress，local-id，remote-id一起配置，只不過配置更加細(xì)化。這個(gè)也是isakmp協(xié)議中進(jìn)行相關(guān)信息協(xié)商時(shí)使用的身份信息，一定要保證對(duì)方設(shè)置的本地標(biāo)識(shí)和自己設(shè)置的遠(yuǎn)端標(biāo)識(shí)是對(duì)應(yīng)的，我覺得主要的原因就是因?yàn)樯矸菪畔⒃谡麄€(gè)SA的協(xié)商過程中起到的作用就是方便IPsec雙方在自身去找到相應(yīng)的信息去進(jìn)行協(xié)商，在一個(gè)設(shè)備中可能存在多個(gè)這種一整套的IPsec的配置信息，而且有的時(shí)候雙方建立的IPsec隧道使用的IP地址不是固定的，所以使用一種身份標(biāo)識(shí)去標(biāo)識(shí)一個(gè)IPsec隧道來方便IPsec雙方進(jìn)行相關(guān)協(xié)商信息的查找是一個(gè)不錯(cuò)的選擇。DPDmsg：設(shè)置DPD報(bào)文里面的信息packet:后面跟著的完整的命令是dpdpacketreceiveif-relatedenable，就是當(dāng)隧道上發(fā)送的IPsec報(bào)文如果和該設(shè)備存在的IPsecSA關(guān)聯(lián)性進(jìn)行檢測，如果關(guān)聯(lián)的話則不會(huì)刪除設(shè)備上的IPsecSA，如果不關(guān)聯(lián)就會(huì)刪除idle-time：這個(gè)主要用于按需的DPD檢測，當(dāng)IPsec空閑一段時(shí)間后將會(huì)進(jìn)行DPD的檢測，這個(gè)空閑的時(shí)間由這個(gè)選項(xiàng)決定。retransmit-interval：這個(gè)選項(xiàng)決定了DPD報(bào)文的重傳時(shí)延retry-limit:這個(gè)表示當(dāng)DPD報(bào)文超時(shí)了幾次后將刪除IPsecSA這個(gè)DPD的相關(guān)操作可以在ikepeer里面設(shè)置表示只針對(duì)這個(gè)ikepeer也可以在系統(tǒng)視圖下配置，代表影響全部的ikepeerDPD是檢測對(duì)端存活的一種手段,DPD有兩種類型：on-demand：也就是按需的，當(dāng)雙方?jīng)]有IPsec報(bào)文交互的時(shí)候，就會(huì)發(fā)送DPD報(bào)文進(jìn)行探測periodic：也就是周期性的pre-shared-keyxx//表示設(shè)置預(yù)共享密鑰的值(3)創(chuàng)建IPsecproposaltranform//表示設(shè)置隧道的使用的相關(guān)協(xié)議是ah還是espencapsulation-mode//表示設(shè)置隧道的傳輸模式，有自動(dòng)，傳輸，隧道模式esp//設(shè)置esp協(xié)議下使用的加密算法和簽名算法，那么這里為什么沒有認(rèn)證方式？因?yàn)樵贗KESA協(xié)商的過程中已經(jīng)驗(yàn)證了雙方的身份了，所以就不需要再次驗(yàn)證雙方的身份了。ah//設(shè)置ah協(xié)議下的驗(yàn)證算法，ah協(xié)議只有驗(yàn)證功能(3)IPsecpolicy的創(chuàng)建ipsecpolicyxxxxisakmp//表示創(chuàng)建一個(gè)名為xxx的ipsecpolicy，它的序號(hào)為x為什么要有序號(hào)？在有些情況下，一個(gè)ipsecpolicy可能與多個(gè)對(duì)端的ipsecpolicy建立不同的隧道，所以就需要序號(hào)進(jìn)行區(qū)分ike-peerxx//將ike對(duì)等體與ipsecpolicy進(jìn)行綁定proposalxx//將ipsecproposal與ipsecpolicy進(jìn)行綁定securityaclxx//將acl，也就是感興趣流與ipsecpolicy綁定（4）將IPsecpolicy綁定到出接口上進(jìn)入接口視圖：ipsecpolicyxxx//將接口與IPsecpolicy進(jìn)行綁定綁定后只要有感興趣流出現(xiàn)就會(huì)以加密的形式出去安全策略的配置原理解析1、放行isakmp協(xié)議的相關(guān)協(xié)商流量isakmp協(xié)議主要用于IKESA和IPsecSA的協(xié)商，所以我們要放行該協(xié)議的流量，該協(xié)議的源目端口都是500。這個(gè)需要我們自定義協(xié)議放行源目端口500即可，同時(shí)因?yàn)閕sakmp協(xié)議的協(xié)商雙方都是防火墻，所以放行的源目區(qū)域?yàn)閡ntrust<--->local，即untrust到local，local到untrust的與isakmp的相關(guān)流量都要放行，否則將無法正常進(jìn)行SA的協(xié)商。2、放行ESP，AH的相關(guān)流量ESP和AH的相關(guān)流量都是先到防火墻后，經(jīng)過IPsec功能模塊的處理后才發(fā)送給目的主機(jī)的，所以無論是ESP還是AH流量的主要涉及的源目區(qū)域是local和untrust，所以我們只要放行l(wèi)ocal到untrust，untrust到local有關(guān)ESP和AH的相關(guān)流量即可，ESP和AH協(xié)議都是基于IP層的寫，它們的協(xié)議號(hào)是51和50，這個(gè)