下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","IPSec VPN配置")}}

IPSec VPN配置

更新时间:2023-07-12

深信服AF支持与第三方设备之间建立标准IPSec VPN的对接。AF的标准IPSEC遵循的是国际标准的IPSEC VPN协议,只要对端的VPN也是用的是标准的IPSEC协议,那本端设备就支持跟对端进行VPN对接。

点击<新增第三方设备>,可新增标准IPSec VPN连接的配置,如下图。

基础配置界面各配置项目说明:

设备名称:设置隧道名称。

描述:用于标注隧道名称,可自定义填写。

启用状态:启用或者禁用该VPN连接。

协议类型:支持IPv4IPv6协议。

对端设备地址类型:包括固定IP、动态IP、动态域名三种,请根据实际情况选择:选择固定IP,就填写上对端的IP地址;选择动态域名,就填写上对端外网绑定的域名。

认证方式:包括预共享密钥和RSA签名证书两种,按需选择。

预共享密钥与确认密钥:填入正确的预共享密钥,并确保连接双方采用的都是相同的预共享密钥。

本端连接线路:根据实际线路情况选择对应的出口线路。

加密数据流:选择设置标准IPSec VPN的感兴趣流以及第二阶段协商的参数。

点击<新增加密数据流>可进行感兴趣流与协商参数的配置,如下图。

各配置项目说明:

本端地址:设置标准IPSec VPN感兴趣流的源IP匹配规则,可填写单个IP或者IP网段。

本端内网服务:设置标准IPSec VPN感兴趣流的源内网服务匹配规则,可选择ALL ServicesALL TCP ServicesALL UDP ServicesALL ICMP Services这四种服务类型的某一种,请按需选择。

对端地址:设置标准IPSec VPN感兴趣流的目的IP匹配规则,可填写单个IP或者IP网段。

对端内网服务:设置标准IPSec VPN感兴趣流的目的内网服务匹配规则,可选择ALL ServicesALL TCP ServicesALL UDP ServicesALL ICMP Services这四种服务类型的某一种,请按需选择。

阶段二安全提议:选择阶段二协商时所使用的参数,包括所使用的协议、加密算法、认证算法、是否启用密钥完美向前保密(PFS);其中数据包封装所使用的协议包括AHESP协议;数据加密所使用的加密算法包括DES3DESAESAES192AES256SANGFOR_DESSM4;选择数据认证的认证算法包含MD5SHA1SHA2-256SHA2-384SHA2-512SM3

优先级:设置本端地址和对端地址优先级用于标识路由优先级。

点击<高级配置>按钮,进入IKEIPSec配置界面,如下图所示。

IKE配置界面各配置项说明:

IKE版本:选择IKEv1或者IKEv2版本需要对端保持一致。

连接模式:包括主模式和野蛮模式两种类型。主模式适用于双方均为固定IP或者一方固定IP一方动态域名方式,并且不支持NAT穿透;野蛮模式适用于其中一方为拨号的情况,并且支持NAT穿透;根据客户实际需求场景选择主模式或者野蛮模式。

主动连接:用于控制设备是否主动发起建立VPN的连接。

本端身份类型:设置本端身份类型,保证对端可以识别到本端设备。该类型包括:IP地址(IPV4_ADDR)、域名字符串(FQDN)、用户字符串(USER_FQDN)三种类型。

本端身份ID:按照本端身份类型所选择的类型进行配置。

对端身份类型:设置对端身份类型,保证本端可以识别到对端设备。该类型包括:IP地址(IPV4_ADDR)、域名字符串(FQDN)、用户字符串(USER_FQDN)三种类型。

对端身份ID:按照本端身份类型所选择的类型进行配置。

IKE SA超时时间:标准IPSEC协商的第一阶段存活时间,只支持按秒计时方式。

D-H群:设置Diffie-Hellman密钥交换的群类型,包括1251415161718八种,请与对端设备配置保持一致。

DPDIPSEC使用DPDDead Peer Detection)功能来检测对端Peer是否存活。

NAT-TNAT-T在野蛮模式下才会有,主要作用是避免有一方设备处于NAT之后导致标准IPSEC协商失败,NAT穿透启用后数据会封装成UDP格式传输,而不是ESP封装,这样也可以避免内网没有放通ESP的情况。

检测间隔:设置DPDNAT-T的检测间隔。

超时次数:设置PDPNAT-T的检测超时次数,多次检测超时后,设备会认为对端失效而断开连接;

阶段一安全提议:选择阶段一协商时所使用的参数,包括所加密算法、认证算法;其中数据加密所使用的加密算法包括DES3DESAESAES192AES256SANGFOR_DESSANGFOR_NULL;选择数据认证的认证算法包含MD5SHA1SHA2-256SHA2-384SHA2-512

配置完[IKE配置]界面中的配置之后,进入到[IPSec配置]界面。

IPSec配置界面各配置项说明:

重试次数:设置标准IPSec VPN的重试连接次数。

IPSec SA超时时间:设置IPSec SA对应的超时时间。

过期时间:勾选启用或者禁用,来选择标准IPSec VPN隧道是否有过期时间。

配置完成之后,点击<确定>即可保存配置。点击<编辑>可对VPN连接中的参数进行修改,点击<查看>显示加密数据流即可查看到对应的加密数据流的匹配规则。