1、18.1 网络需求某企业用户,需要建立网关 ipsec 隧道,使得所有出差人员随时可以访问内网资源。Ipsec 客户端要求用证书认证。18.2 网络拓扑防火墙:内网地址 192.168.83.207 ,外网地址 211.211.211.211。内部保护子网 A 为 192.168.83.0/24。客户端为可访问互联网的任意地址。18.3 配置流程 证书认证的过程:防火墙和客户端通过同一个证书中心颁发的证书来识别对方。方法是在防火墙和客户端上,保存共同的 CA 中心证书和对方的证书以及自己的证书。(1)先从 ca 中心获取 CA 中心证书。(2)安装网御客户端软件,提交证书申请,生成证书,导入本
2、地证书和 ca 中心证书。(3)防火墙本地生成请求文件并导出,发给 CA 中心生成这台防火墙的证书。导入 CA 中心证书,本地证书,客户端证书(4)配置防火墙 IPSEC-VPN 规则,确定本地保护子网。(5)配置防火墙的 IKE 配置,确定对端类型为客户端,认证方式为证书,隧道模式,以及算法。(6)配置防火墙上的客户端隧道配置,确定本地出口。(7)隧道监控启动隧道(8)设置客户端隧道信息。18.4 配置步骤(1)先获取防火墙和客户端证书先从 ca 中心获取 CA 中心证书。这里用户需要使用自己的 ca 中心,防火墙不提供。本文从第三方 ca 处获取 ca 中心证书 ca.cer(2)安装网御
3、客户端软件,提交证书申请,生成证书,导入本地证书和 ca 中心证书。打开客户端软件进入【其他配置】-【证书管理】-【本地证书】(3)防火墙本地生成请求文件并导出,发给 CA 中心生成这台防火墙的证书。导入 CA 中心证书,本地证书,客户端证书进入【VPN】-【证书中心】-【本地证书】上面三个方块处分别导入 ca,本地,对端三个证书。(4)配置防火墙 IPSEC-VPN 规则进入【VPN】-【IPSec】-【VPN 规则】-添加,设置本地保护子网为192.168.83.0/24,对端保护子网为 0.0.0.0/24。(5)配置防火墙的 IKE 配置进入【VPN】-【IPSec】-【IKE 配置】-新建这里的本地证书就是刚才导入的证书,跟谁建立隧道,对方证书就选择谁。如果选择野蛮模式,务必设置 ID。(6)配置防火墙的客户端隧道配置进入【VPN】-【IPSec】-【客户端隧道配置】-添加这里选择外网口为 VPN 接口,完美向前保密必须和客户端设置相同。缺省策略尽量选择允许,如果选择包过滤需要单独到防火墙策略页面加规则。(7)隧道监控启动隧道想看客户端信息,单点红框处详细信息。(8)设置客户端隧道信息。进入【隧道配置】-【VPN 隧道】-【连接】-向导设置分别配置远程网关地址,保护子网,认证方式为证书。确定后点【监视】-选中客户端隧道点【连接】,隧道状态应为已建立。
