防火墙HA配置和策略明晰案例（防火墙设计策略）

防火墙HA配置和策略明晰案例（防火墙设计策略）

拓扑图：

PS：VRRP组的虚拟IP地址可以和实际物理地址不在同一网段。配置方法为：vrrp vrid 1 virtual-ip 10.3.0.2 255.255.255.0 standby即同一网段的虚拟IP地址不需要写掩码，不同一网段的虚拟IP地址需要写掩码来进行配 置。

2.上述配置完成后，防火墙同步配置开启。#配置安全策略和IPsec VPN。#配置安全策略security-policy rule name 1 心跳线策略source-zone dmzsource-zone localdestination-zone dmzdestination-zone localaction permitrule name 2 VPN交互访问策略source-zone localsource-zone trustdestination-zone untrustsource-address 1.1.1.0 mask 255.255.255.0source-address 10.3.0.0 mask 255.255.0.0destination-address 10.4.1.0 mask 255.255.255.0destination-address 4.4.4.0 mask 255.255.255.0action permitrule name 3 VPN交互响应策略source-zone localsource-zone untrustdestination-zone localdestination-zone trustsource-address 4.4.4.0 mask 255.255.255.0destination-address 1.1.1.0 mask 255.255.255.0action permitPs：此时FW1会收到由IPsec加密后的报文，该报文S.IP和D.IP是隧道两端的IP地址。安全策略严格匹配是要进行如rule 3 的策略配置。##配置IPsec：#acl number 3000rule 5 permit ip source 10.3.0.0 0.0.0.255 destination 10.4.1.0 0.0.0.255#ike proposal 10encryption-algorithm aes-256dh group14authentication-algorithm sha2-256authentication-method pre-shareintegrity-algorithm hmac-sha2-256prf hmac-sha2-256#ike peer anypre-shared-key Admin@123ike-proposal 10#ipsec proposal tran1esp authentication-algorithm sha2-256esp encryption-algorithm aes-256#ipsec policy-template policy1 1 主端采用策略模板来建立vpnsecurity acl 3000ike-peer anyproposal tran1#ipsec policy map1 10 isakmp template policy1#interface GigabitEthernet1/0/2undo shutdownip address 1.1.1.3 255.255.255.0vrrp vrid 2 virtual-ip 1.1.1.1 standbyservice-manage ping permitipsec policy map1#3.配置NAT策略配置地址池#nat address-group 1 0mode patsection 0 1.1.1.1 1.1.1.1#配置nat安全策略：#nat-policyrule name 1source-zone trustdestination-zone untrustsource-address 10.1.3.0 0.0.0.255source-address 10.3.0.0 mask 255.255.255.0destination-address 10.4.1.0 0.0.0.255destination-address 10.4.1.0 mask 255.255.255.0action no-natrule name natsource-zone trustdestination-zone untrustaction source-nat address-group 1#

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。