You need to enable JavaScript to run this app.
导航

配置深信服防火墙

最近更新时间2021.12.28 16:03:51

首次发布时间2021.08.31 10:37:07

操作场景

在配置好云上VPN网关、用户网关、IPsec连接等操作后,还要在本地数据中心的深信服防火墙,进行VPN连接的配置。

参数配置

  • 网段信息
    云上VPC网段为192.168.1.0/24,VPN网关的公网IP为23.XX.XX.18。本地数据中心的私网网段为10.0.0.0/24,网关设备的静态公网IP为110.XX.XX.64。

    VPN网关的公网IP是指创建VPN网关时,系统自动分配的公网IP,作为VPN网关的网关出口IP,与单独购买的公网IP实例不同,是不可单独持有的资源,生命周期与VPN网关保持一致。

  • IPsec连接

    • 预共享密钥:test@1234

    • NAT穿越:开启

    • IKE配置

      策略取值
      认证算法sha256
      加密算法aes
      DH算法group14
      协商模式aggressive
      版本ikev2
      生命周期86400
    • IPsec配置

      策略取值
      认证算法sha256
      加密算法aes
      DH算法group14
      生命周期86400

操作步骤

本文仅介绍必要的参数配置,其他参数您可根据实际情况,选择性的配置。不同版本的深信服防火墙,界面及入口可能有所不同,您可咨询防火墙厂商了解详情。

  1. 从本地登录深信服防火墙Web页面,在左侧“导航菜单”下,选择“VPN > IPsecVPN > 第三方对接 > 第一阶段”。

  2. 根据IPsec连接的IKE配置,进行深信服防火墙第一阶段的配置。
    在右侧页面的顶部,选择“线路出口”,然后单击“新建”,创建一个新的连接。

    参数
    说明
    取值样例
    设备名称输入设备的名称。VPN0001
    设备地址类型请选择“对端是固定IP”。对端是固定IP
    固定IP输入云端VPN网关的IP地址。23.XX.XX.18
    认证方式选择“预共享密钥”。预共享密钥
    预共享密钥IPsec连接时设置的预共享密钥。test@1234
    启用设备默认选中。勾选
    启用主动连接默认选中。勾选
  3. 单击“高级”,进行连接的高级配置,完成后单击“确定”。

    参数
    说明
    取值样例
    ISAKMP存活时间ISAKMP的存活时间,需与IPsec连接时设置的IKE生命周期保持一致。86400
    重试次数连接重试的次数。10
    支持模式深信服防火墙设备需要NAT穿越时,请选“野蛮模式”,对应IPsec连接时IKE的“协商模式”。野蛮模式
    D-H群选择“MOOP 1024群(3)”。MOOP 1024群(3)
    本端身份类型选择“IPv4地址(IPv4 ADDR)”。IPv4地址(IPv4 ADDR)
    本端身份ID本端网关的IP地址。110.XX.XX.64
    远端身份类型选择“IPv4地址(IPv4 ADDR)”。IPv4地址(IPv4 ADDR)
    远端身份ID云端VPN网关的IP地址。23.XX.XX.18
    启用DPD本示例不选。不选
    启用NAT穿透本示例需要选中。勾选
    认证算法选择认证算法。SHA256
    加密算法选择加密算法。AES
  4. 在左侧“导航菜单”下,选择“VPN > IPsecVPN > 第三方对接 > 第二阶段”。

  5. 根据网段信息,配置入站策略。
    在“入站策略”页签下单击“新建”,创建一个新的入站策略,完成后单击“确定”。

    参数
    说明
    取值样例
    策略名称输入入站策略名称。testin
    源IP类型选择为“子网+掩码”。子网+掩码
    子网输入VPC侧的子网。192.168.1.0
    掩码输入子网的掩码。255.255.255.0
    对端设备选择第一阶段配置设备名称。VPN0001
    入站服务选择允许开放的服务。所有服务
    安全选项选择安全选项。默认安全选项
    启用该策略选择启用。勾选
  6. 根据网段信息,配置出站策略。
    在“出站策略”页签下单击“新建”,创建一个新的出站策略。

    参数
    说明
    取值样例
    策略名称自定义策略名称。testout
    源IP类型选择源IP的类型。子网+掩码
    子网输入本端子网。10.0.0.0
    掩码输入本端的掩码。255.255.255.0
    对端设备选择第一阶段配置设备名称。VPN0001
    出站服务选择允许开放的服务。所有服务
    安全选项选择安全选项。默认安全选项
    启用该策略选择启用。勾选
  7. 在左侧“导航菜单”下,选择“VPN > IPsecVPN > 第三方对接 > 安全选项”。

  8. 根据IPsec连接的IPsec配置,进行安全配置。
    单击“新增”,在弹出的页面进行安全配置,完成后单击“确定”。

    参数
    说明
    取值样例
    名称自定义名称。test连接
    协议第二阶段的认证协议,本示例为ESP。ESP
    加密算法IPsec连接时IPsec配置的加密算法。SHA256
    认证算法IPsec连接时IPsec配置的认证算法。AES
  9. 配置本地数据中心的路由和ACL,允许访问云上私有网络的流量进入VPN通信隧道。