防火墙配置(防火墙ip地址基本配置)

如果这篇文章对你有帮助，请关注它，讨论它，喜欢它，收藏它，转发给朋友们，这样我就可以不断地创作，让我们互相学习，共同进步。点击蓝色单词。

2022

关注我们

序

IPsec(Internet Protocol Security)是为IP网络提供安全的协议和服务的集合，是VPN(虚拟专用网)中常用的技术。因为IP消息本身没有集成任何安全特征，所以在诸如因特网的公共网络中传输IP分组可能面临伪造、盗窃或篡改的风险。通信双方通过IPsec建立IPsec隧道，通过IPsec隧道对IP包进行加密传输，有效地保证了互联网等不安全网络环境下数据传输的安全性。

但是在我们的工作中，由于历史的网络建设，经常会遇到不同品牌厂商对接的问题。接下来的几篇文章，以华为防火墙和思科防火墙的对接为例，介绍它们的配置方法。

网络民工网络民工专注于IT技术领域，结合实践经验，与您分享网络技术、系统集成、网络工程等一线技术分析和实践案例等深度干货文章。希望我们能一起享受科技，实现梦想！88篇原创文章

微信官方账号

扩展阅读:

1.什么是IPsec？

2.IPSec VPN，开放安全策略

3.SSL VPN和IPSec VPN的区别

4.我必须了解的加密技术和IPsec应用(1)

5.我必须了解的加密技术和IPsec应用(二)

01

网络要求

如图1所示，总部和分支机构分别通过华为防火墙和思科防火墙接入互联网。现在企业需要在华为防火墙和思科防火墙之间建立IPSec隧道，实现分支机构与总部内网的安全互通。

图1 ISAKMP建立IPSec隧道

02

数据规划

03

构型思维

3.1配置华为防火墙:

配置接口IP地址，并将接口加入安全区域；配置华为防火墙到Internet的缺省路由；配置域间安全策略，允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙；配置IPSec策略，包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置IKE对等体；在接口上应用IPSec策略。

3.2配置思科防火墙:

配置接口的IP地址，打开接口的访问控制；配置Cisco防火墙到Internet的缺省路由；配置IPSec策略，包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置预共享密钥；在接口上应用IPSec策略；在接口上启用IPSec策略。

网络民工网络民工专注于IT技术领域，结合实践经验，与您分享网络技术、系统集成、网络工程等一线技术分析和实践案例等深度干货文章。希望我们能一起享受科技，实现梦想！88篇原创文章

微信官方账号

3.3思科防火墙接口配置注意事项:

Cisco防火墙的每个接口都要配置一个nameif别名，后续其他功能命令在引用接口的时候通常就用这个别名。这个别名属于必配项，不配置会导致直连接口Ping不通。

Cisco防火墙的每个接口都要配置一个security-level(安全级别)，级别从0～100，数字越大安全级别越高。

Cisco防火墙接口间流量访问控制的原则如下：系统默认允许从高安全级别接口到低安全级别接口的流量通过；禁止从低安全级别接口到高安全级别接口的流量通过；禁止相同安全级别的接口之间通信。

04

操作程序

[1]配置华为防火墙。

a、配置接口IP地址，并将接口添加到安全区域。

【华为】接口千兆以太网1/0/1【华为-千兆以太网1/0/1】IP地址10.1.1 24【华为-千兆以太网1/0/1】服务-管理Ping permit/*允许思科防火墙设备Ping此接口。*/[华为-千兆以太网1/0/1]退出[华为]接口千兆以太网1/0/2[华为-千兆以太网1/0/2]地址1.1.3.1 24[华为-千兆以太网1/0/2]服务-管理ping许可/*允许思科防火墙设备Ping此接口。*/[华为-千兆以太网1/0/2]退出[华为]防火墙区域信任[华为-区域-信任]添加接口千兆以太网1/0/1[华为-区域-信任]退出[华为]防火墙区域不信任[华为-区域-不信任]添加接口千兆以太网1/0/2[华为-区域-不信任]退出

B.配置从华为防火墙到互联网的默认路由，假设下一跳是1.1.3.2。

【华为】ip路由-静态0 . 0 . 0 . 0 . 0 . 0 . 0 1 . 1 . 3 . 2

c、配置域间安全策略。

配置信任域和不信任域的安全策略，允许IPSec封装前后的原始消息通过华为防火墙。

[华为]安全-策略[华为-策略-安全]规则名称1[华为-策略-安全-规则-1]源区域不信任[华为-策略-安全-规则-1]目的区域信任[华为-策略-安全-规则-1]源地址10 . 1 . 3 . 0 24[华为-策略-安全-规则-1]目的地址10 . 1 . 1 . 0 24[华为-策略-安全-规则-1]动作许可[华为-策略-安全-规则-1]退出[华为-策略-安全我们可以一起工作吗？88篇原创文章

微信官方账号

配置本地域和不可信域的安全策略，允许IKE协商报文正常通过华为防火墙。

【华为-策略-安全】规则名称3【华为-策略-安全-规则-3】源区域本地【华为-策略-安全-规则-3】目的区域不信任【华为-策略-安全-规则-3】源地址1.1.3.1 32【华为-策略-安全-规则-3】目的地址1.1.5.1 32【华为-策略-安全-规则-3】动作允许【华为-策略-安全-规则-3】退出【华为-策略-安全】规则名称4【华为-策略-安全-规则-4】源区域不信任

D.配置IPSec策略。

配置访问控制列表以定义要保护的数据流。

【华为】acl 3000【华为-acl-adv-3000】规则5允许ip源10.1.1.0 0.0.0.255目的地10.1.3.0 0.0.0.255【华为-acl-adv-3000】规则10允许ip源10 . 1 . 3 . 0 . 0 . 0 . 255目的地10 . 1 . 1 . 0 . 0 . 0 . 0 . 255【华为-acl-adv-3000

配置IPSec安全建议。

【华为】ipsec proposal tran1【华为-ipsec-proposal-tran1】转换esp【华为-ipsec-proposal-tran1】封装-模式隧道【华为-ipsec-proposal-tran1】esp认证-算法sha1【华为-IPSec-proposal-tran 1】esp加密-算法aes-128【华为-IPSec-proposal-tran 1】退出

创建IKE安全建议。

【华为】ike提案1【华为-ike-proposal-1】加密-算法aes-128【华为-ike-proposal-1】认证-算法sha1【华为-ike-proposal-1】DH group 2【华为-ike-proposal-1】退出

配置IKE对等方。

【华为】ike peer cisco【华为-ike-peer-cisco】撤销版本2【华为-ike-peer-cisco】交换模式main【华为-ike-peer-cisco】ike-proposal 1【华为-ike-peer-cisco】pre-shciscoed-key key 123【华为-ike-peer-Cisco】远程地址1.1.5.1【华为-ike-peer-Cisco】退出

配置IPSec策略。

[华为] ipsec策略映射1 1 isakmp[华为-ipsec-policy-isakmp-map1-1]ike-peer Cisco[华为-ipsec-policy-isakmp-map1-1]提案tran 1[华为-ipsec-policy-isakmp-map1-1]安全ACL 3000[华为-IPSec-policy-isakmp-map 1-1]退出

IPSec策略应用于GigabitEthernet 1/0/2。

【华为】接口千兆以太网1/0/2【华为-千兆以太网1/0/2】IPSec策略map1【华为-千兆以太网1/0/2】戒网民工网民工专注it技术领域，结合实践经验，为您分享网络技术、系统集成、网络工程等一线技术分析和实践案例等深度干货文章，希望大家一起享受技术，成就梦想！88篇原创文章

微信官方账号

[2]配置思科防火墙。

A.配置思科防火墙接口的IP地址。

ASA5520 & gten ASA5520#配置终端ASA5520(config)#接口gigabit Ethernet 0/1 asa 5520(config-if)# name if in asa 5520(config-if)#安全级别90 ASA5520(config-if)# ip地址10 . 1 . 3 . 1 255 . 255 . 255 . 0 asa 5520(config-if)#出口ASA5520(config)#接口接口接口gigabit Ethernet 0/2 asa 5520(config

b、打开思科防火墙的访问控制接口。

ASA5520(配置)# access-list 10 extended permit icmp any any asa 5520(配置)# access-group 10 in interface in asa 5520(配置)# access-group 10 out interface in asa 5520(配置)# access-group 10 in interface out asa 5520(配置)# access-group 10 out interface out

C.配置从Cisco防火墙到Internet的默认路由，假设下一跳地址是1.1.5.2。

ASA5520(配置)#路由出0 . 0 . 0 . 0 0 . 0 . 0 1.1.5.2 1

D.配置IPSec。

配置ACL(访问控制列表)以定义要保护的数据流。

这里需要注意的是，思科防火墙的ACL使用的是mask，而华为防火墙的ACL使用的是通配符-mask，这是不同的。

ASA5520(配置)#访问列表ipsec许可IP 10 . 1 . 3 . 0 255 . 255 . 255 . 0 10 . 1 . 1 . 0 255 . 255 . 0

配置IPSec安全建议。

asa 5520(config)# crypto IPSec transform-set myset esp-AES esp-sha-hmac

创建IKE安全建议。

ASA5520(配置-isakmp-policy)#加密isakmp策略10 ASA5520(配置-isakmp-policy)#身份验证预共享ASA5520(配置-isakmp-policy)#加密aes ASA5520(配置-isakmp-policy)#哈希sha ASA5520(配置-isakmp-policy)#组2 ASA5520(配置-isakmp-policy)#生存期86400

配置预共享密钥。

ASA5520(配置)# crypto isakmp密钥Key123地址1.1.3.1

配置IPSec策略。

参考先前在IPSec策略中配置的ACL和IPSec安全建议。

ASA5520(配置)#加密映射ipsec_map 10匹配地址ipsec ASA5520(配置)#加密映射ipsec_map 10设置对等1.1.3.1 asa 5520(配置)#加密映射ipsec_map 10设置转换-设置myset

在接口上应用IPSec策略。

ASA5520(config)#加密映射ipsec_map接口输出

在接口上启用IPSec策略。

asa 5520(config)# cryptoisakmp enable out网络民工网络民工专注于IT技术领域。结合实战经验，与大家分享网络技术、系统集成、网络工程等一线技术的分析与实践案例等深度干货文章。希望我们能一起享受科技，实现梦想！88篇原创文章

微信官方账号

05

结果验证

[1]配置完成后，使用分公司下的用户Ping总部下的用户。

[2]一般情况下，分公司访问总部的数据流会触发华为防火墙和思科防火墙之间建立IPSec隧道。此时查看华为防火墙上IKE SA的建立，可以看到IKE SA已经成功建立。

& lt华为& gt显示ike sa当前ike sa号:2 - conn-id对等标志phase VPN-44 1.1.5.1路| ST | A v1:2 public 43 1.1.5.1路|ST|A v1:1 public标志含义RD-READY ST-stay alive RL-REPLACED FD-FADING TO-time out TD-DELETING NEG-NEG-NEGOTIATING D-DPD M-ACTIVE S-stand by A-ALONE

[3]使用display ipsec sa命令检查ipsec的建立情况，可以看到ipsec sa也已经成功建立。

<HUAWEI> display ipsec sa =============================== Interface: GigabitEthernet1/0/2 path MTU: 1500 =============================== ----------------------------- IPSec policy name: "map1" sequence number: 1 mode: isakmp vpn: public ----------------------------- connection id: 44 rule number: 5 encapsulation mode: tunnel holding time: 0d 0h 1m 48s tunnel local : 1.1.3.1 tunnel remote: 1.1.5.1 flow source: 10.1.1.0/255.255.255.0 0/0 flow destination: 10.1.3.0/255.255.255.0 0/0 [inbound ESP SAs] spi: 3245246111 (0xc16e869f) vpn: public said: 8 cpuid: 0x0000 proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1 sa remaining key duration (kilobytes/sec): 4608000/3492 max received sequence-number: 4 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2374419092 (0x8d86c294) vpn: public said: 9 cpuid: 0x0000 proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1 sa remaining key duration (kilobytes/sec): 4608000/3492 max sent sequence-number: 5 udp encapsulation used for nat traversal: N