山石防火墙侧操作步骤

前提条件

山石防火墙的基本网络配置已完成。

操作步骤

1. 登录配置界面。

   此处以5.5R9版本为例，不同防火墙型号及软件版本可能存在差异，配置时请以对应版本的产品文档为准。

2. 配置基础设置。
   1. 配置安全域。

      选择“网络 > 安全域”，单击“新建”，关键参数配置如图1所示。

      图1 安全域配置
      
   2. 配置安全策略。

      选择“策略 > 安全策略 > 策略”，单击“新建 > 策略”，关键参数配置如图2所示。

      图2 策略配置
      
   3. 配置基础路由。

      选择“网络 > 路由 > 目的路由”，单击“新建”，关键参数配置如图3所示。

      图3 目的路由配置
      
   4. 配置网段信息。

      选择“对象 > 地址簿”，单击“新建”，依次配置华为云和用户数据中心的网段信息。

      其中，用户数据中心网段需要排除山石防火墙下行私网网口的网关地址。

      图4 网段信息配置
      
3. 配置VPN连接。
   1. 选择“网络 > VPN > IPSec VPN”，在“IPSec VPN”页签下，单击“新建”。
   2. 在“对端选项”下拉选项中单击+号，添加对端信息。
   3. 在“提议1”下拉选项中单击+号新建阶段1提议，关键参数配置如图4 阶段1提议配置所示，单击“确定”。
      图5 阶段1提议配置
      
   4. 完成VPN对端配置。因为华为云VPN网关绑定两个EIP，故需要新建两个对端。
      “提议1”选择c中创建的阶段1提议，并在“高级设置”中使能NAT穿越和DPD检测，单击“确定”。

      图6 VPN对端配置
      
   5. 在“P2提议”下拉选项中单击+号新建阶段2提议，关键参数配置如图6 阶段2提议配置所示，单击“确定”。
      图7 阶段2提议配置
      
   6. 完成VPN连接配置，“对端选项”分别选择d中创建的两个VPN对端，“P2提议”为e中创建的P2提议，“代理ID”选择“手工”，配置“代理ID列表”，关键参数配置如图 IPSec VPN配置所示，单击“确定”。
      图8 IPSec VPN配置
      
4. 配置VPN策略。
   1. 配置源NAT策略。

      选择“策略 > NAT > 源NAT”，单击“新建”，依次配置两条源NAT策略并调整对应优先级，如图9所示。

      图9 源NAT配置
      
   2. 配置VPN安全策略。

      选择“策略 > 安全策略 > 策略”，单击“新建 > 策略”，依次配置两条VPN安全策略并调整对应优先级，使其优先于b中默认安全策略，如图10所示。

      图10 VPN安全策略配置