华为防火墙与Cisco防火墙在NAT穿越场景下建立IPSec隧道(详解!)

admin 2024年8月24日20:08:01评论61 views字数 9888阅读32分57秒阅读模式

前言

IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。 由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。

而在我们工作中经常会遇到因历史网络建设造成不同品牌厂商对接的问题,接下来几期文章,以华为防火墙和思科防火墙对接为例,介绍其配置方法。

01

组网需求

如图1所示,分支的Cisco防火墙位于企业网络内部,网络出口部署有NAT设备。现分支Cisco防火墙需要穿越NAT设备与总部的华为防火墙建立IPSec隧道,实现分支和总部内网安全互通。

华为防火墙与Cisco防火墙在NAT穿越场景下建立IPSec隧道(详解!)

图 1  NAT穿越场景下建立IPSec隧道

02

数据规划

华为防火墙与Cisco防火墙在NAT穿越场景下建立IPSec隧道(详解!)

03

配置思路

3.1  配置华为防火墙_A:

  1. 配置接口IP地址,并将接口加入安全区域;

  2. 配置华为防火墙_A到Internet的缺省路由;

  3. 配置域间安全策略,允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙_A;

  4. 配置IPSec策略,包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置IKE对等体、配置IPSec NAT穿越;

  5. 在接口上应用IPSec策略。

3.2  配置华为防火墙_B:

  1. 配置接口IP地址,并将接口加入安全区域;

  2. 配置untrust和trust之间的安全策略,允许NAT转换后的报文通过华为防火墙_B;

  3. 配置源NAT;

  4. 配置到总部、分支的路由。

3.3  配置Cisco防火墙:

  1. 配置接口的IP地址,打开接口的访问控制;

  2. 配置Cisco防火墙到Internet的缺省路由;

  3. 配置IPSec策略,包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置预共享密钥;

  4. 配置IPSec NAT穿越;

  5. 在接口上应用IPSec策略;

  6. 在接口上启用IPSec策略。

3.4  配置注意事项:

  • 华为防火墙设备必须配置remote-address authentication-address认证参数为对端NAT转换前的地址,否则隧道建立过程中会有告警IPSEC/4/IPSECNEGOFAIL,reasoncode=3表示身份认证失败。

  • NAT穿越场景下,隧道双方必须都开启NAT穿越功能,否则隧道无法建立。

04

操作步骤

【1】配置华为防火墙_A。

A、配置接口IP地址,并将接口加入安全区域。

[HUAWEI_A] interface GigabitEthernet 1/0/1 [HUAWEI_A-GigabitEthernet1/0/1] ip address 10.1.1.1 24 [HUAWEI_A-GigabitEthernet1/0/1] ip service-manage ping permit /*允许Cisco防火墙设备Ping此接口。*/ [HUAWEI_A-GigabitEthernet1/0/1] quit [HUAWEI_A] interface GigabitEthernet 1/0/2 [HUAWEI_A-GigabitEthernet1/0/2] ip address 1.1.3.1 24 [HUAWEI_A-GigabitEthernet1/0/2] service-manage ping permit /*允许Cisco防火墙设备Ping此接口。*/  [HUAWEI_A-GigabitEthernet1/0/2] quit [HUAWEI_A] firewall zone trust [HUAWEI_A-zone-trust] add interface GigabitEthernet 1/0/1 [HUAWEI_A-zone-trust] quit [HUAWEI_A] firewall zone untrust [HUAWEI_A-zone-untrust] add interface GigabitEthernet 1/0/2 [HUAWEI_A-zone-untrust] quit

B、配置到华为防火墙_A连接到Internet的缺省路由,假设下一跳为1.1.3.2。

[HUAWEI_A] ip route-static 0.0.0.0 0.0.0.0 1.1.3.2

C、配置域间安全策略。

配置Trust域与Untrust域的安全策略,允许IPSec封装前和解封装后的原始报文能通过华为防火墙_A。

[HUAWEI_A] security-policy [HUAWEI_A-policy-security] rule name 1 [HUAWEI_A-policy-security-rule-1] source-zone untrust [HUAWEI_A-policy-security-rule-1] destination-zone trust [HUAWEI_A-policy-security-rule-1] source-address 10.1.3.0 24 [HUAWEI_A-policy-security-rule-1] destination-address 10.1.1.0 24 [HUAWEI_A-policy-security-rule-1] action permit [HUAWEI_A-policy-security-rule-1] quit [HUAWEI_A-policy-security] rule name 2 [HUAWEI_A-policy-security-rule-2] source-zone trust [HUAWEI_A-policy-security-rule-2] destination-zone untrust [HUAWEI_A-policy-security-rule-2] source-address 10.1.1.0 24 [HUAWEI_A-policy-security-rule-2] destination-address 10.1.3.0 24 [HUAWEI_A-policy-security-rule-2] action permit [HUAWEI_A-policy-security-rule-2] quit

配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过华为防火墙_A。

[HUAWEI_A-policy-security] rule name 3 [HUAWEI_A-policy-security-rule-3] source-zone local [HUAWEI_A-policy-security-rule-3] destination-zone untrust [HUAWEI_A-policy-security-rule-3] source-address 1.1.3.1 32 [HUAWEI_A-policy-security-rule-3] destination-address 1.1.5.1 32 [HUAWEI_A-policy-security-rule-3] action permit [HUAWEI_A-policy-security-rule-3] quit [HUAWEI_A-policy-security] rule name 4 [HUAWEI_A-policy-security-rule-4] source-zone untrust [HUAWEI_A-policy-security-rule-4] destination-zone local [HUAWEI_A-policy-security-rule-4] source-address 1.1.5.1 32 [HUAWEI_A-policy-security-rule-4] destination-address 1.1.3.1 32 [HUAWEI_A-policy-security-rule-4] action permit [HUAWEI_A-policy-security-rule-4] quit

D、配置IPSec策略。

配置访问控制列表,定义需要保护的数据流。

[HUAWEI_A]acl 3000 [HUAWEI_A-acl-adv-3000]rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 [HUAWEI_A-acl-adv-3000]quit

配置IPSec安全提议。

[HUAWEI_A] ipsec proposal tran1 [HUAWEI_A-ipsec-proposal-tran1] transform esp [HUAWEI_A-ipsec-proposal-tran1] encapsulation-mode tunnel [HUAWEI_A-ipsec-proposal-tran1] esp authentication-algorithm sha1 [HUAWEI_A-ipsec-proposal-tran1] esp encryption-algorithm aes-128 [HUAWEI_A-ipsec-proposal-tran1] quit

创建IKE安全提议。

[HUAWEI_A] ike proposal 1 [HUAWEI_A-ike-proposal-1] encryption-algorithm aes-128 [HUAWEI_A-ike-proposal-1] authentication-algorithm sha1 [HUAWEI_A-ike-proposal-1] dh group2 [HUAWEI_A-ike-proposal-1] quit

配置IKE对等体。

[HUAWEI_A] ike peer asa [HUAWEI_A-ike-peer-asa] undo version 2 [HUAWEI_A-ike-peer-asa] exchange-mode main [HUAWEI_A-ike-peer-asa] ike-proposal 1 [HUAWEI_A-ike-peer-asa] pre-shared-key Key123 [HUAWEI_A-ike-peer-asa] remote-address 1.1.5.1 [HUAWEI_A-ike-peer-asa] remote-address authentication-address 172.16.1.2 [HUAWEI_A-ike-peer-asa] nat traversal [HUAWEI_A-ike-peer-asa] quit

配置IPSec策略。

[HUAWEI_A] ipsec policy map1 1 isakmp [HUAWEI_A-ipsec-policy-isakmp-map1-1] ike-peer asa [HUAWEI_A-ipsec-policy-isakmp-map1-1] proposal tran1 [HUAWEI_A-ipsec-policy-isakmp-map1-1] security acl 3000 [HUAWEI_A-ipsec-policy-isakmp-map1-1] quit

在接口GigabitEthernet 1/0/2上应用IPSec策略。

[HUAWEI_A] interface GigabitEthernet 1/0/2 [HUAWEI_A-GigabitEthernet1/0/2] ipsec policy map1 [HUAWEI_A-GigabitEthernet1/0/2] quit

【2】配置华为防火墙_B(NAT设备)。

A、配置接口,并将接口加入到安全区域。

[HUAWEI_B] interface GigabitEthernet 0/0/1   [HUAWEI_B-GigabitEthernet0/0/1] ip address 1.1.5.1 255.255.255.0 [HUAWEI_B-GigabitEthernet0/0/1] ip service-manage ping permit [HUAWEI_B-GigabitEthernet0/0/1] quit [HUAWEI_B] firewall zone untrust [HUAWEI_B-zone-untrust] add interface GigabitEthernet 0/0/1 [HUAWEI_B-zone-untrust] quit [HUAWEI_B] interface GigabitEthernet 0/0/2 [HUAWEI_B-GigabitEthernet0/0/2] ip address 172.16.1.1 255.255.255.0 [HUAWEI_B-GigabitEthernet0/0/2] ip service-manage ping permit [HUAWEI_B-GigabitEthernet0/0/2] quit   [HUAWEI_B] firewall zone trust  [HUAWEI_B-zone-trust] add interface GigabitEthernet 0/0/2  [HUAWEI_B-zone-trust] quit

B、配置untrust和trust之间的安全策略。

[HUAWEI_B] security-policy [HUAWEI_B-policy-security] rule name 1 [HUAWEI_B-policy-security-rule-1] source-zone untrust [HUAWEI_B-policy-security-rule-1] destination-zone trust [HUAWEI_B-policy-security-rule-1] source-address 1.1.3.0 24 [HUAWEI_B-policy-security-rule-1] destination-address 172.16.1.0 24 [HUAWEI_B-policy-security-rule-1] action permit [HUAWEI_B-policy-security-rule-1] quit [HUAWEI_B-policy-security] rule name 2 [HUAWEI_B-policy-security-rule-2] source-zone trust [HUAWEI_B-policy-security-rule-2] destination-zone untrust [HUAWEI_B-policy-security-rule-2] source-address 172.16.1.0 24 [HUAWEI_B-policy-security-rule-2] destination-address 1.1.3.0 24 [HUAWEI_B-policy-security-rule-2] action permit [HUAWEI_B-policy-security-rule-2] quit

C、配置源NAT。

[HUAWEI_B] nat-policy [HUAWEI_B-policy-nat] rule name policy_nat1 [HUAWEI_B-policy-nat-rule-policy_nat1] source-zone trust [HUAWEI_B-policy-nat-rule-policy_nat1] destination-zone untrust [HUAWEI_B-policy-nat-rule-policy_nat1] source-address 172.16.1.0 24 [HUAWEI_B-policy-nat-rule-policy_nat1] action nat easy-ip [HUAWEI_B-policy-nat-rule-policy_nat1] quit [HUAWEI_B-policy-nat] quit

D、配置到总部、分支的路由。

[HUAWEI_B] ip route-static 10.1.3.0 255.255.255.0 172.16.1.2 [HUAWEI_B] ip route-static 10.1.1.0 255.255.255.0 1.1.5.2

【3】配置Cisco防火墙。

A、配置Cisco防火墙接口的IP地址。

ASA5520> en ASA5520# configure terminal ASA5520(config)# interface GigabitEthernet 0/1 ASA5520(config-if)# nameif in ASA5520(config-if)# security-level 90 ASA5520(config-if)# ip address 10.1.3.1 255.255.255.0 ASA5520(config-if)# exit ASA5520(config)# interface interface GigabitEthernet 0/2 ASA5520(config-if)# nameif out ASA5520(config-if)# security-level 10 ASA5520(config-if)# ip address 172.16.1.2 255.255.255.0 ASA5520(config-if)# exit

B、打开Cisco防火墙接口的访问控制。

ASA5520(config)# access-list 10 extended permit icmp any any ASA5520(config)# access-group 10 in interface in ASA5520(config)# access-group 10 out interface in ASA5520(config)# access-group 10 in interface out ASA5520(config)# access-group 10 out interface out

C、配置Cisco防火墙到Internet的缺省路由,假设下一跳地址为172.16.1.1。

ASA5520(config)# route out 0.0.0.0 0.0.0.0 172.16.1.1 1

D、配置IPSec。

配置ACL(访问控制列表),定义需要保护的数据流。

这里需要注意,Cisco防火墙的ACL用的是掩码,而华为防火墙用的是反掩码,两者存在不同。

ASA5520(config)# access-list ipsec permit ip 10.1.3.0 255.255.255.0 10.1.1.0 255.255.255.0

配置IPSec安全提议。

ASA5520(config)# crypto ipsec transform-set myset esp-aes esp-sha-hmac

创建IKE安全提议。

ASA5520(config-isakmp-policy)# crypto isakmp policy 10 ASA5520(config-isakmp-policy)# authentication pre-share ASA5520(config-isakmp-policy)# encryption aes ASA5520(config-isakmp-policy)# hash sha ASA5520(config-isakmp-policy)# group 2 ASA5520(config-isakmp-policy)# lifetime 86400

配置预共享密钥。

ASA5520(config)# crypto isakmp key Key123 address 1.1.3.1

配置IPSec策略。

在IPSec策略中引用前面配置的ACL、IPSec安全提议。

ASA5520(config)# crypto map ipsec_map 10 match address ipsec ASA5520(config)# crypto map ipsec_map 10 set peer 1.1.3.1 ASA5520(config)# crypto map ipsec_map 10 set transform-set myset

配置IPSec NAT穿越。

ASA5520(config)# crypto isakmp nat-traversal

在接口上应用IPSec策略。

ASA5520(config)# crypto map ipsec_map interface out

在接口上启用IPSec策略。

ASA5520(config)# crypto isakmp enable out

05

结果验证

【1】配置完成后,使用分支下的用户Ping总部下的用户。

【2】正常情况下,分支访问总部的数据流将会触发华为防火墙与Cisco防火墙之间建立IPSec隧道。此时在华为防火墙上查看IKE SA的建立情况,可以看到IKE SA已经建立成功。

<HUAWEI_A> display ike sa current ike sa number: 2 -------------------------------------------------------------------------------- ------------------   conn-id    peer     flag          phase vpn       -------------------------------------------------------------------------------- ------------------   179        1.1.5.1  RD|A          v1:2  public    178        1.1.5.1  RD|A          v1:1  public      flag meaning         RD--READY      ST--STAYALIVE     RL--REPLACED    FD--FADING    TO--TIMEOUT       TD--DELETING   NEG--NEGOTIATING  D--DPD          M--ACTIVE     S--STANDBY        A--ALONE            

【3】使用display ipsec sa命令查看IPSec的建立情况,可以看到IPSec SA也已建立成功。

<HUAWEI_A> display ipsec sa =============================== Interface: GigabitEthernet1/0/2     path MTU: 1500  ===============================   -----------------------------   IPSec policy name: "map1"       sequence number: 1              mode: isakmp     vpn: public      -----------------------------     connection id: 11               rule number: 5      encapsulation mode: tunnel      holding time: 0d 0h 0m 13s      tunnel local : 1.1.3.1    tunnel remote: 1.1.5.1     flow      source: 10.1.1.0/255.255.255.0 0/0          flow destination: 10.1.3.0/255.255.255.0 0/0          [inbound ESP SAs]                 spi: 4047945233 (0xf146be11)       vpn: public  said: 4  cpuid: 0x0000       proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1               sa remaining key duration (kilobytes/sec): 4608000/3587       max received sequence-number: 4           udp encapsulation used for nat traversal: Y         [outbound ESP SAs]                spi: 2917106907 (0xaddf84db)       vpn: public  said: 5  cpuid: 0x0000       proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1               sa remaining key duration (kilobytes/sec): 4608000/3587       max sent sequence-number: 5        udp encapsulation used for nat traversal: Y

如有侵权,请联系删除

华为防火墙与Cisco防火墙在NAT穿越场景下建立IPSec隧道(详解!)

原文始发于微信公众号(系统安全运维):华为防火墙与Cisco防火墙在NAT穿越场景下建立IPSec隧道(详解!)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月24日20:08:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   华为防火墙与Cisco防火墙在NAT穿越场景下建立IPSec隧道(详解!)https://cn-sec.com/archives/3092271.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息