路由器IPSEV VPN组网配置
背景
某企业总部af作为网关部署在公网出口,eth2口接内网,分部是路由器做出口,总部内网有服务器192.168.1.3需要提供80端口的web服务给分部访问,为了安全考虑,现在需要和分支那边的路由器建立ipsec vpn连接,同时分部访问总部服务器的时候也需要进行安全防护,以免黑客通过分部终端来攻击服务器,只允许访问服务器的80端口,路由器ipsev vpn配置已经完成,使用ike v2,加密算法用的des,认证算法是md5。
分析
针对这些需求,先和路由器建立ipsec vpn连接,再用应用控制策略来限制区域访问的服务,用安全防护策略针对vpn区域进行业务防护,使用默认模板即可。
配置步骤
1、定义区域,进入【网络/区域】,新增两个区域,服务器区选择eth3,分部区选择vpntun接口。
2、启用vpn服务。进入【网络/ipsecvpn/vpn运行状态】勾选【开启vpn服务】。
3、配置vpn线路。进入【网络/ipsecvpn/基本设置/线路】。
新增线路,填写公网ip。
4、配置ipsec vpn。进入【网络/ipsecvpn/第三方对接管理】 新增第三方设备,进行基础配置,填写对端路由器公网ip地址2.2.2.1和预共享密钥,加密数据流填写本端地址服务器ip 192.168.1.3 , 对端地址填写分部内网192.168.2.0/24。
5、配置ipsec vpn。在【网络/ipsecvpn/第三方对接管理】进行ike配置,选择ikev2,本地身份id填写1.2.1.1,对端身份id填写2.2.2.1,加密算法选择des,认证算法md5。
6、配置ipsec vpn。再进行ipsec配置与对端一致即可,配置完成。
7、配置应用控制策略,进入【策略/访问控制/应用控制策略/策略配置】,新增应用控制策略,源区域选择自定义的【分部区】,目的区域选择自定义的【服务器区】,服务选择http。
8、配置安全防护策略。进入【策略/安全策略/安全防护策略】新增业务防护策略,都选择业务防护场景中的默认模板。
效果预览
1、ipsec vpn连接成功,在【网络/ipsecvpn/dlan运行状态】能够查看到连接状态。
2、通过分部电脑访问http://192.168.1.3 可以正常打开网页。
3、通过分部电脑访问无法访问192.168.1.3其他服务,ping测试也不通。
4、通过分部电脑对192.168.1.3进行sql注入、网站扫描等web攻击,被安全防护策略拒绝的攻击行为无法攻击成功,查看【监控/日志/安全日志】有拒绝的信息。
TCL和三星Mini LED电视到底谁更胜一筹
上海 5月19日-20日《高级PCB-EMC设计》公开课即将开始!
IBM LinuxONE服务器系列具备极致可靠性
苹果明年将删除未经允许跟踪用户的应用程序
双十一手机圈疯狂内卷!果粉喜迎降价FindX3直降一千闭眼入
路由器IPSEV VPN组网配置
中国芯片人才不够?芯恩董事长:人才被国外公司高薪挖角
塑料插座面板的模流分析及参数优化分析
浅析智能化技术与无人机的结合
光谱共焦的测量原理及厚度测量模式
西华大学采购南京大展的DSC300C 差示扫描量热仪
国仪量子获批量子精密测量合肥市技术创新中心
Pasternack Enterprises推出固态高功率放大器,可用于电子战等
常用节水灌溉方式的优缺点对比
投掷游戏电路分享
低通中有两个r和c截止频率一样吗
什么是迭代器?我们为什么要使用迭代器?
打造青岛“芯”名片,多个集成电路产业项目落户即墨,
全三维数字化协同设计思路剖析--主导科技Q&A
IBM 范斌:金融领域 AI 大有可为,但可解释性、伦理等因素构成巨大挑战
某企业总部af作为网关部署在公网出口,eth2口接内网,分部是路由器做出口,总部内网有服务器192.168.1.3需要提供80端口的web服务给分部访问,为了安全考虑,现在需要和分支那边的路由器建立ipsec vpn连接,同时分部访问总部服务器的时候也需要进行安全防护,以免黑客通过分部终端来攻击服务器,只允许访问服务器的80端口,路由器ipsev vpn配置已经完成,使用ike v2,加密算法用的des,认证算法是md5。
分析
针对这些需求,先和路由器建立ipsec vpn连接,再用应用控制策略来限制区域访问的服务,用安全防护策略针对vpn区域进行业务防护,使用默认模板即可。
配置步骤
1、定义区域,进入【网络/区域】,新增两个区域,服务器区选择eth3,分部区选择vpntun接口。
2、启用vpn服务。进入【网络/ipsecvpn/vpn运行状态】勾选【开启vpn服务】。
3、配置vpn线路。进入【网络/ipsecvpn/基本设置/线路】。
新增线路,填写公网ip。
4、配置ipsec vpn。进入【网络/ipsecvpn/第三方对接管理】 新增第三方设备,进行基础配置,填写对端路由器公网ip地址2.2.2.1和预共享密钥,加密数据流填写本端地址服务器ip 192.168.1.3 , 对端地址填写分部内网192.168.2.0/24。
5、配置ipsec vpn。在【网络/ipsecvpn/第三方对接管理】进行ike配置,选择ikev2,本地身份id填写1.2.1.1,对端身份id填写2.2.2.1,加密算法选择des,认证算法md5。
6、配置ipsec vpn。再进行ipsec配置与对端一致即可,配置完成。
7、配置应用控制策略,进入【策略/访问控制/应用控制策略/策略配置】,新增应用控制策略,源区域选择自定义的【分部区】,目的区域选择自定义的【服务器区】,服务选择http。
8、配置安全防护策略。进入【策略/安全策略/安全防护策略】新增业务防护策略,都选择业务防护场景中的默认模板。
效果预览
1、ipsec vpn连接成功,在【网络/ipsecvpn/dlan运行状态】能够查看到连接状态。
2、通过分部电脑访问http://192.168.1.3 可以正常打开网页。
3、通过分部电脑访问无法访问192.168.1.3其他服务,ping测试也不通。
4、通过分部电脑对192.168.1.3进行sql注入、网站扫描等web攻击,被安全防护策略拒绝的攻击行为无法攻击成功,查看【监控/日志/安全日志】有拒绝的信息。
TCL和三星Mini LED电视到底谁更胜一筹
上海 5月19日-20日《高级PCB-EMC设计》公开课即将开始!
IBM LinuxONE服务器系列具备极致可靠性
苹果明年将删除未经允许跟踪用户的应用程序
双十一手机圈疯狂内卷!果粉喜迎降价FindX3直降一千闭眼入
路由器IPSEV VPN组网配置
中国芯片人才不够?芯恩董事长:人才被国外公司高薪挖角
塑料插座面板的模流分析及参数优化分析
浅析智能化技术与无人机的结合
光谱共焦的测量原理及厚度测量模式
西华大学采购南京大展的DSC300C 差示扫描量热仪
国仪量子获批量子精密测量合肥市技术创新中心
Pasternack Enterprises推出固态高功率放大器,可用于电子战等
常用节水灌溉方式的优缺点对比
投掷游戏电路分享
低通中有两个r和c截止频率一样吗
什么是迭代器?我们为什么要使用迭代器?
打造青岛“芯”名片,多个集成电路产业项目落户即墨,
全三维数字化协同设计思路剖析--主导科技Q&A
IBM 范斌:金融领域 AI 大有可为,但可解释性、伦理等因素构成巨大挑战