盛世网安防火墙配置实例与详细步骤

　　H、选择基本配置菜单，进入“时间设置”子菜单。输入时间服务器地址，选择启用、保存。

　　I、VPN配置部分，进入VPN配置部分。

　　选择VPN 配置列表

　　选择新增服务器端(如果在分公司则新增客户端)输入相关网络信息确定、保存。

　　J：防火墙部分设置，如果需要把公司的WEB服务器 EMAIL服务器等 信息发布到internet则需要使用IP地址映射(PAT设置)，或者IP 地址映射双向NAT设置。在本例中我们只讲标准的端口映射。步骤如下:

　　选择新增，输入相关网络信息、 确定。

　　然后在防火墙规则中增加WAN口到LAN口的HTTP与DNS服务允许通过的规则。

　　三、网络连通性测试

　　1、借助ping命令测试网络设备之间是否可达

　　2、 借助telnet命令测试 PC能否到达服务器相关的传输层端口。

　　3、借助专业的测试工具测试网络的连通性。

　　4、用//共享文件传输测试VPN的性能。

　　扩展知识：(下文)

　　IPSEC相关知识补充

　　IPsec NAT穿越

　　关键词：IPsec、NAT、野蛮模式

　　摘要： 本文简单描述了IPsec穿越NAT网关的特点，详细描述了在tamin盛世网安系列防火墙上配置IPsec

　　野蛮模式下穿越NAT的基本配置方法和详细步骤将在以后的文章中给出，本文给出了一种IPsec穿越NAT的基本介绍。

　　缩略语：

　　缩略语英文全名中文解释

　　VPNVirtual Private Network\虚拟私有网

　　IPsecIP securityIP安全

　　NATNetwork Address Translation网络地址转换

　　IKEInternet Key ExchangeInternet密钥交换

　　一、特性介绍

　　IPsec(IP security)协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

　　IPsec作为一种重要的安全技术得到越来越广泛的应用，但是客户网络边缘大量使用的NAT地址转换操作可能影响到IPsec的正常操作。目前，NAT和IPsec之间存在的不兼容性问题主要可以分为以下三类：

　　1：IP地址和端口不匹配的问题

　　2：IPsec不能验证NAT报文的问题

　　3：NAT超时影响IPsec的问题

　　针对此问题，我司在IKE野蛮模式的基础上实现NAT穿越，很好地解决了此问题。

　　为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特殊情况――即局端设备的IP地址为固定分配的，用户端设备的IP地址为动态获取的情况，在IKE阶段的协商模式中增加了IKE野蛮模式，它可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字，并最终完成协商。IKE野蛮模式相对于主模式来说更加灵活，能够支持协商发起端为动态IP地址的情况。

　　在IPsec/IKE组建的VPN隧道中，若存在NAT网关设备，且NAT网关设备对VPN业务数据流进行了NAT转换的话，则必须配置IPsec/IKE的NAT穿越功能。该功能删去了IKE协商过程中对UDP端口号的验证过程，同时实现了对VPN隧道中NAT网关设备的发现功能，即如果发现NAT网关设备，则将在之后的IPsec数据传输中使用UDP封装(即将IPsec报文封装到IKE协商所使用的UDP连接隧道里)的方法，避免了NAT网关对IPsec报文进行篡改(NAT网关设备将只能够修改最外层的IP和UDP报文头，对UDP报文封装的IPsec报文将不作修改)，从而保证了IPsec报文的完整性(IPsec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。目前仅在IKE野蛮模式下支持NAT穿越，主模式下不支持。

　　二、特性和优点

　　该特性适合IPsec隧道中间存在NAT设备的组网情况。同时，由于使用了IKE野蛮模式，同样也适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。

　　三、使用指南

　　1：使用场合

　　A. IPsec隧道中间存在NAT设备的组网情况

　　B. 适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。

　　2：配置步骤

　　配置野蛮模式下IPsec穿越NAT，需要以下步骤：

　　A、配置访问控制列表

　　B、配置IKE对等体

　　C、定义安全提议

　　D、创建安全策略

　　E、在接口上应用安全策略