2022年防火墙配置VPN .pdf

PIX防火墙上实现 VPN 配置步骤ZDNet 网络安全频道更新时间：2007-10-08 作者：IT 专家网 来源：本文关键词：VPN 防火墙配置防火墙 IPSec PixVPN 已经得到越来越广泛的用户肯定，起如何配置和使用，也成为用户关注的热点，笔者将介绍如何在PIX 防火墙实现VPN 配置 在 PIX 防火墙用预共享密钥配置IPSec加密主要涉及到4 个关键任务：初始化准备为 IPSec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证方法，确定有关IPSec 对等体的详细信息，确定我们所需的IPSec特性，并确认现有的访问控制列表允许IPSec 数据流通过;步骤 1：根据对等体的数量和位置在IPSec 对等体间确定一个IKE(IKE阶段 1，或者主模式)策略;步骤 2：确定 IPSec(IKE阶段 2，或快捷模式)策略，包括IPSec对等体的细节信息，例如IP 地址及IPSec 变换集和模式;步骤 3：用”write terminal”、”show isakmp”、”show isakmp policy”、”show crypto map“命令及其他”show”命令来检查当前的配置;步骤 4：确认在没有使用加密前网络能够正常工作，用”ping”命令并在加密前运行测试数据流来排除基本的路由故障;步骤 5：确认在边界路由器和PIX 防火墙中已有的访问控制列表允许IPSec数据流通过，或者想要的数据流将可以被过滤出来。配置 IKE配置 IKE 涉及到启用IKE(和 isakmp是同义词)，创建 IKE 策略，和验证我们的配置;步骤 1：用”isakmp enable”命令来启用或关闭IKE;步骤 2：用”isakmp policy”命令创建 IKE 策略;步骤 3：用”isakmp key”命令和相关命令来配置预共享密钥;步骤 4：用”show isakmp policy”命令来验证IKE 的配置。配置 IPSecIPSec配置包括创建加密用访问控制列表，定义变换集，创建加密图条目，并将加密集应用到接口上去;名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 4 页 -步骤 1：用 access-list命令来配置加密用访问控制列表;access-list acl-name protocol src_addr src_mask 步骤 2：用 crypto ipsec transform-set 命令配置变换集;步骤 3：(任选)用 crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期;步骤 4：用 crypto map 命令来配置加密图;步骤 5：用 interface 命令和 crypto map map-name interface应用到接口上;步骤 6：用各种可用的show命令来验证IPSec的配置。测试和验证IPSec该任务涉及到使用show 、debug和相关的命令来测试和验证IPSec加密工作是否正常，并为之排除故障。一、基础知识：PPTP：点对点隧道 协议点对点隧道 协议（PPTP：Point to Point Tunneling Protocol）是一种支持多 协议虚拟专用网络的网络技术。通过该协议，远程用户能够通过Microsoft WindowsNT 工作站、Windows 95 和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地ISP，通过 Internet 安全链接到公司网络。PPTP 可以用于在IP 网络上建立PPP 会话隧道。在这种配置下，PPTP 隧道和 PPP 会话运行在两个相同的机器上，呼叫方充当PNS.PPTP 使用客户机服务器 结构来分离当前网络访问服务器 具备的一些功能并支持虚拟专用网络。PPTP 作为一个呼叫控制和管理协议，它允许服务器控制来自PSTN 或 ISDN 的拨入电路 交换呼叫访问并初始化外部电路交换连接。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 4 页 -PPTP 只能通过PAC 和 PNS 来实施，其它系统没有必要知道PPTP.拨号网络可与 PAC 相连接而无需知道PPTP.标准的 PPP 客户机软件可继续在隧道PPP 链接上操作。PPTP 使用 GRE 的扩展版本来传输用户PPP 包。这些增强允许为在PAC 和 PNS 之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP 没有规定特定的算法用于低层控制，但它确实定义了一些通信参数来支持这样的算法工作。二、配置1、命令行方式直接在PIX 上配置 PPTP的 VPN，即 PIX 作为 PPTP方式 VPDN的服务器ip local pool pptp 10.0.0.1-10.0.0.50/定义一个 pptp 方式的 vpdn拨入后获得的 IP 地址池，名字叫做pptp。此处地址段的定义范围不要和拨入后内网其他计算机的IP冲突，并且要根据拨入用户的数量来定义地址池的大小vpdn group PPTP-VPDN-GROUP accept dialin pptp vpdn group PPTP-VPDN-GROUP ppp authentication pap vpdn group PPTP-VPDN-GROUP ppp authentication chap vpdn group PPTP-VPDN-GROUP ppp authentication mschap vpdn group PPTP-VPDN-GROUP ppp encryption mppe auto/以上为配置 pptp的 vpdn组的相关属性vpdn group PPTP-VPDN-GROUP client configuration address local pptp/上面定义 pptp的 vpnd组使用本地地址池组pptp，为一开始定义的vpdn group PPTP-VPDN-GROUP pptp echo 60 vpdn group PPTP-VPDN-GROUP client authentication local/此处配置 pptp的 vpdn拨入用户口令认证为本地认证，当然也可以选择 AAA 服务器认证，本地认证属于比较方便的一种实现vpdn username test1 password*vpdn username test2 password*/上面为定义本地用户认证的用户帐号和密码，可以定义多个vpdn enable outside/在 pix 防火墙 的 outside口起用 vpdn功能，也可以在其他接口上应用名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 4 页 -2、使用 pix 防火墙 内部的某个 pptp的 VPDN 服务器作为专门的 VPN 服务器，只是在 pix 上开放相应的服务端口pptp使用 1723端口，而通常 pix 里面的服务器对外都是做的静态NAT 转换，但是光双向开放 1723端口仍旧无法建立pptp的 vpn连接，那么对于 pix 6.3以上版本的 pptp穿透可以用一条命令fixup protocol pptp 1723 来解决这个问题。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 4 页 -