发布时间 : 星期二 文章华为防火墙配IPSEC更新完毕开始阅读
序号 8 9 10 11 12
数据 安全策略的名称和顺序号 SA的建立方式 隧道对端的IP地址 接口类型和接口编号 CA证书、本地证书和CRL(RSA签名方式) 配置过程
要完成IPSec的配置,需要按照以下过程配置。 序号 1 2 3 4 5 6 7 8
过程 创建需要保护的数据流 配置IPSec安全提议 配置IKE安全提议 配置IKE Peer 配置IPSec安全策略模板 配置IPSec安全策略 引用IPSec安全策略 检查配置结果 8.3.2 创建需要保护的数据流
IPSec能够对不同的数据流进行安全保护。在实际应用中,需要首先通过ACL定义数据流,再在安全策略中引用该ACL,从而起到保护该数据流的作用。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令acl [ number ] acl-number [ match-order { config | auto } ],创建高级ACL,并进入相应视图。
3 执行命令rule [ rule-id ] { permit | deny } protocol [ source
{ source-address source-wildcard | address-set address-set-name | any } | destination { destination-address destination-wildcard | address-set
address-set-name | any } | source-port { operator port | range port1 port2 | port-set port-set-name } | destination-port { operator port | range port1 port2 | port-set port-set-name } | icmp-type { icmp-type icmp-code |
icmp-message } | precedence precedence | tos tos | time-range time-name | logging ] *,配置ACL规则。
步骤
----结束
8.3.3 配置IPSec安全提议
IPSec安全提议(Proposal)用于指定IPSec所采取的一系列措施,包含对需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令ipsec proposal proposal-name,创建安全提议并进入安全提议视图。
3 执行命令transform { ah | ah-esp | esp },选择安全协议。
在配置NAT穿越的情况下,必须选择ESP协议。
步骤
步骤 4 根据transform命令配置的安全协议,配置验证算法和加密算法。
? 如果? 如果
transform命令配置为ah或ah-esp,则配置AH协议采用的验证算法,执行命令ah authentication-algorithm { md5 | sha1 }。 transform命令配置为esp或ah-esp,则配置ESP协议采用的验证和加密算法。
? 执行命令? 执行命令
esp authentication-algorithm { md5 | sha1 },配置ESP
验证算法。
esp encryption-algorithm { 3des | des | aes [ 128 | 192 |
256 ] },配置ESP加密算法。
步骤 5 执行命令encapsulation-mode tunnel,选择报文封装形式。 ----结束
8.3.4 配置IKE安全提议
IKE安全提议用来协商建立安全通道,协商参数包括验证方式、加密算法、验证算法、Diffie-Hellman组标识和SA生存周期。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令ike proposal proposal-number,创建IKE安全提议并进入IKE安全提议视图。
可以按照优先级创建多条IKE提议,但是协商双方必须至少有一条匹配的IKE提议才能协商成功。
步骤
3 执行命令encryption-algorithm { des-cbc | 3des-cbc | aes-cbc },选择加密算法。
4 执行命令authentication-method { pre-share| rsa-encr | rsa-sig },配置身份验证方式。
? pre-share? rsa-encr
步骤
方式:需要为对端配置预共享密钥。建立安全连接的两端
的预共享密钥必须一致。
方式:需要配置每个对端的RSA公钥。
? rsa-sig
步骤 步骤 步骤
方式:需要配置本地证书。
5 执行命令authentication-algorithm { md5 | sha1 },选择验证算法。 6 执行命令dh { group1 | group2 | group5 },选择Diffie-Hellman组标识。 7 执行命令sa duration interval,配置SA生存周期(单位:分钟)。 如果duration时间超时,ISAKMP SA将自动更新。因为IKE协商需要进行DH计算,在Eudemon上需要经过较长的时间,为使ISAKMP SA的更新不影响安全通信,建议配置duration大于10分钟。 ----结束
8.3.5 配置IKE Peer
IKE Peer,即IKE对等体。配置IKE Peer的一系列属性,包括IKE协商模式、预共享密钥、证书、对端地址以及是否需要进行NAT穿越等,以保证IKE协商阶段的正确性。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 (可选)执行命令ipsec sa global-duration { time-based interval | traffic-based kilobytes },配置全局的SA生存周期。
生存周期只对通过isakmp方式建立的SA有效,对通过Manual方式建立的SA没有生存周期的限制,即手工建立的SA永远不会失效。
步骤
3 (可选)执行命令ike local-name local-name,配置IKE协商时的本机ID。
如果配置了本机ID,那么对端在IKE Peer视图中执行remote-name name命令配置的对端名称必须与此保持一致。
步骤
4 (可选)执行命令ike sa keepalive-timer interval interval,配置发送Keepalive报文的时间间隔(单位:秒)。
5 (可选)执行命令ike sa keepalive-timer timeout interval,配置等待Keepalive报文的超时时间(单位:秒)。
通过Keepalive机制,可以判断是否能与对端正常通讯。interval和timeout两个参数要成对出现,即在一个Eudemon上配置了timeout参数,那么就要在对端配置interval参数。
当配置timeout的Eudemon在超时时间内未收到对端的Keepalive报文时,如果该ISAKMP SA带有TIMEOUT标记,则删除该ISAKMP SA以及由其协商的IPSec SA;否则,将其标记为TIMEOUT。
步骤
步骤
6 (可选)执行命令ike sa nat-keepalive-timer interval interval,配置发送NAT更新报文的时间间隔(单位:秒)。 interval的缺省值是20秒。
步骤 步骤
7 执行命令ike peer peer-name,创建IKE Peer并进入IKE Peer视图。 8 执行命令exchange-mode { main | aggressive },配置IKE协商模式。
如果要使用RSA加密NONCE(rsa-encr)验证方式,此处必须配置为主(main)模式。
被IPSec安全策略模板引用的IKE Peer必须使用野蛮模式(aggressive),也就是通过安全策略模板配置安全策略时,不支持使用RSA加密NONCE(rsa-encr)验证方式。
步骤
9 执行命令ike-proposal proposal-number,引用已经配置的IKE安全提议。
步骤
10 执行命令local-id-type { ip | name | user-name },配置IKE Peer的ID类型。
在野蛮模式(aggressive)下可以配置对端IP地址与对端名称,主模式(main)下只能配置对端IP地址。
步骤 11 (可选)执行命令nat traversal,配置是否需要进行NAT穿越。 IPSec与NAT配合使用时需要配置NAT穿越。
步骤
12 (可选)执行命令local-address ip-address,配置IKE协商的本端IP地址。
在IPSec和HRP联合组网或使用子接口、虚拟模板接口配置IPSec时,必须在IKE Peer视图下执行命令local-address ip-address,配置IPSec协商报文发起的IP地址。
步骤
13 执行命令remote-address [ authentication-address ] low-ip-address [ high-ip-address ],配置对端的IP地址。
? 采用
RSA签名验证方式时,如果对端证书中包含实体的IP地址,那么这里配置的对端IP地址必须和证书中的实体IP地址一致。 local-address ip-address命令指定了IP地址,
那么这里配置的对端IP地址必须和ip-address一致。
IP认证的NAT穿越时需要指定authentication-address关
键字。IP地址是NAT转换前的对端IP地址。
? 如果对端本身已经通过? 配置基于
若对端地址配置为地址段,此IKE Peer只能被IPSec的策略模板引用。
步骤
14 执行命令remote-name name,配置对端名称(只在野蛮模式下且使用名字认证时使用)。
15 执行命令pre-shared-key key-string,为对端配置预共享的密钥(pre-share方式)。
16 执行命令certificate { local-filename | peer-filename } cert-name,配置本地证书和对端证书(rsa-sig方式)。
17 配置RSA对端IP地址和公钥(rsa-encr方式)。
步骤
步骤
步骤