防火墙侧操作步骤

前提条件

深信服虚拟防火墙的基本网络配置已完成。

操作步骤

1. 登录防火墙管理界面。

   此处以8.35R1版本为例，不同防火墙版本管理界面可能存在差异，配置时请以对应版本的产品文档为准。

2. 配置防火墙上行口。
   1. 选择“网络 > 接口 > 物理接口”。
   2. 在eth0所在行单击“操作”列的“编辑”按钮，对接口属性进行配置。
   3. “所属区域”选择“L3_trust_A”，“基本属性”勾选“WAN口”。
3. 使能防火墙IPSecVPN能力。
   1. 选择“网络 > IPSecVPN > DLAN运行状态”。
   2. 在“VPN运行状态”区域，勾选“开启VPN服务”。
4. 配置IPSecVPN线路。
   1. 选择“网络 > IPSecVPN > 基本配置”。
   2. 在“IPSec VPN线路”区域，单击“新增线路”。
   3. 根据界面提示配置参数。

      参数说明如表1所示。此处仅对关键参数进行说明，非关键参数请保持默认。

      表1 参数说明

      参数	说明	取值参数
      线路接口	WAN口。 如果此处没有选项，请确认步骤2是否成功执行。 如果变更了网络部署模式，请删除原来的线路，并参见步骤2重新添加。	eth0
      线路类型	互联网固定IP 互联网拨号 专线 4G	互联网固定IP
      运营商	中国移动 中国联通 中国电信	中国联通
      公网IP	若设备为单臂部署等WAN口无配置公网IP的情况，需要为线路配置公网IP。	1.1.1.1
      启用状态	选择“启用”。	启用

   4. 单击“高级”区域内“展开设置”按钮，将“VPN接口”设置为“自定义设置”，VPN接口IP地址为防火墙的公网IP。
5. 配置访问控制策略。
   1. 选择“策略 > 访问控制 > 应用控制策略”。
   2. 在“策略配置”页签下，单击“新建”。
   3. 配置应用控制策略，如表2所示。此处仅对关键参数进行说明，非关键参数请保持默认。

      表2 参数说明

      参数	说明	取值参数
      基础信息	名称	any
      	状态	启用
      源	源区域	any
      	源地址	网络对象-全部
      目的	目的区域	any
      	目的地址	全部
      	服务	any
      	应用	全部
      生效条件设置	动作选项	允许
      	生效时间	全天

6. 配置源NAT策略。
   1. 选择“策略 > 地址转换”。
   2. 在“IPv4地址转换”区域，单击“新建”。
   3. 配置源NAT信息，如表3所示。此处仅对关键参数进行说明，非关键参数请保持默认。

      表3 参数说明

      参数	说明	取值参数
      -	转换类型	源地址转换
      基础信息	名称	snat001
      	启用状态	启用
      	生效时间	全天
      原始数据包	源区域	L3_trust_A，与步骤2中配置的“所属参数”保持一致。
      	源地址	全部
      	目的区域/接口	区域，L3_trust_A,
      	目的地址	全部
      	服务	any
      转换后数据包	源地址转换为	指定IP，172.16.0.0/24。
      	目的地址转换为	不转换
      	目的端口转换为	不转换

7. 配置VPN连接信息。
   1. 选择“网络 > IPSecVPN > 第三方对接管理”，单击“新增第三方设备”。
   2. 根据界面提示配置参数。

      参数说明如表4所示。此处仅对关键参数进行说明，非关键参数请保持默认。

      表4 参数说明

      区域	参数	说明	取值参数
      基础配置	设备名称	选择VPN对端名称。	hwvpn-01
      	启/禁用	选择“启用”。	启用
      	对端设备地址类型	选择“固定IP”。	固定IP
      	对端IP地址	仅“对端设备地址类型”为“固定IP”时填写。	1.1.1.2
      	对端域名地址	仅“对端设备地址类型”为“动态域名”时填写。	-
      	认证方式-预共享密钥	需要和表3配置的预共享密钥保持一致。	Test@123
      	本端连接线路	需要选择配置IPSecVPN线路的IPSecVPN线路。	eth0（中国联通互联网固定IP）
      	加密数据流	加密数据流务必是子网1V1配置，例如：用户数据中心内存在2个子网，华为云VPC内包含2个子网，共需配置4条加密数据流。 首次配置时请单击“新增”添加加密数据流信息。	加密数据流1 本端地址： 172.16.0.0/24 本端内网服务：ALL Services 对端地址：192.168.0.0/24 对端内网服务：ALL Services 阶段二安全提议: 配置IPSec策略的信息，需要与表3配置的IPSec策略信息保持一致。 协议：ESP 加密算法：SHA2-256 认证算法：AES-256 密钥完美向前保密（PFS）：group 15 优先级：128 加密数据流2： 本端地址： 172.16.0.0/24 本端内网服务： ALL Services 对端地址：192.168.1.0/24 对端内网服务： 阶段二安全提议： 配置IPSec策略的信息，需要与表3配置的IPSec策略信息保持一致。 协议：ESP 加密算法：SHA2-256 认证算法：AES-256 密钥完美向前保密（PFS）：group 15 优先级：128 加密数据流3 本端地址： 172.16.1.0/24 本端内网服务：ALL Services 对端地址：192.168.0.0/24 对端内网服务：ALL Services 阶段二安全提议: 配置IPSec策略的信息，需要与表3配置的IPSec策略信息保持一致。 协议：ESP 加密算法：SHA2-256 认证算法：AES-256 密钥完美向前保密（PFS）：group 15 优先级：128 加密数据流4 本端地址： 172.16.1.0/24 本端内网服务：ALL Services 对端地址：192.168.1.0/24 对端内网服务：ALL Services 阶段二安全提议: 配置IPSec策略的信息，需要与表3配置的IPSec策略信息保持一致。 协议：ESP 加密算法：SHA2-256 认证算法：AES-256 密钥完美向前保密（PFS）：group 15 优先级：128
      IKE配置	IKE版本	选择“IKEv2”。	IKEv2
      	主动连接	选择“启用”。	启用
      	本端身份类型	选择“IP地址（IPV4_ADDR）”。	IP地址（IPV4_ADDR）
      	本端身份ID	当“对端设备地址类型”为“固定IP”或“动态域名”时，“本端身份类型”为“IP地址（IPV4_ADDR）”或“证书标识名称（DN）”的本端身份ID，可不填；当两端设备之间存在NAT环境时，身份ID必须填写。	1.1.1.1
      	对端身份类型	选择“IP地址（IPV4_ADDR）”。	IP地址（IPV4_ADDR）
      	对端身份ID	当“对端设备地址类型”为“固定IP”或“动态域名”时，“对端身份类型”为“IP地址（IPV4_ADDR）”或“证书标识名称（DN）”的对端身份ID，可不填；当两端设备之间存在NAT环境时，身份ID必须填写。	1.1.1.2
      	IKE SA超时时间	安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：600~864000	3600
      	D-H群	选择“group 15”。	group 15
      	DPD	自动发送DPD（Dead Peer Detection）报文来检测对端是否存活，以便及时删除错误隧道；需要两端同时启用或禁用。	启用
      	检测时间	单位：秒。 取值范围：5~60	30
      	超时次数	取值范围：1~6	5
      	阶段一安全提议	配置IKE策略的信息，需要与表3配置的IKE策略信息保持一致。 安全提议将发送到对端和对端安全提议对比，最终选取一个双方都支持的提议使用。 首次配置时请单击“添加”新增IKE策略信息。	加密算法：AES256 认证算法：SHA2-256 伪随机数生成函数（PRF）：SHA2-256
      IPSec配置	重试次数	针对单次协商，协商包丢失或未收到时，重新发送协商包的次数。 取值范围：1~20	10
      	IPSec SA 超时时间	安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：600~864000	28800
      	过期时间	选择“禁用”。	禁用