如何配置IPsecVPN的严格控制包过滤策略

发布时间:  2013-09-12 浏览次数:  176 下载次数:  0
问题描述
如何进行严格的包过滤控制策略
告警信息
处理过程
1、 首先关闭默认包过滤策略。
firewall packet-filter default deny all
2、 由于建立IPsec隧道,必须容许IPsec控制流量通过。 首先打开Local到Untrust区域 Inbound和Outbound的策略,容许IKE和ESP的流程通过。假设设备使用IKE和ESP协议建立IPsec。

定义IKE UDP端口号500和4500分别用于IKE交互和NAT-T交互
#
ip service-set ike_500 type object
service 0 protocol udp source-port 500 destination-port 500
#
ip service-set ike_4500 type object
service 0 protocol udp source-port 4500 destination-port 4500

定义IKE和ESP策略
#
policy interzone local untrust inbound
policy 10
  policy service service-set esp
  policy service service-set ike_500
  policy service service-set ike_4500
  policy source 192.13.2.2 0
  policy destination 192.13.2.1 0
#
policy interzone local untrust outbound
policy 10                               
  policy service service-set esp
  policy service service-set ike_500
  policy service service-set ike_4500
  policy source 192.13.2.1 0
  policy destination 192.13.2.2 0
3、 容许私网流量互通,即PCA访问PCB。
policy interzone trust untrust inbound
policy 10
  action permit
  policy source 192.168.1.0 0.0.0.255
  policy destination 192.168.0.0 0.0.0.255
#
policy interzone trust untrust outbound
policy 10
  action permit
  policy source 192.168.0.0 0.0.0.255
  policy destination 192.168.1.0 0.0.0.255
根因
在配置标准的Site2Site IPsec VPN的场景下,通常将所有默认包过滤策略打开。也就是使用firewall packet-filter default permit all,这样会引起相关的安全问题,导致内部网络受到外部Internet环境的攻击,如何进行严格的包过滤控制策略。
建议与总结
部署IPsec VPN功能时候,需要进行严格包过滤策略。
1、首先关闭默认包过滤策略。
2、由于建立IPsec隧道,必须容许IPsec流量通过,以便建立IPsec隧道。
3、容许私网流量互通,即内网之间互通B。

END