1、H3C secPath F1000-A-E1防火墙:
支持外部***防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。
安全区域优先级:
非受信区(untrust): 5
非军事化区(dmz): 50
受信区(trust): 85
本地区域(local): 100
管理区域(manage): 100
2、ipsec ***的配置:实现两个内网互访
①配置访问控制列表,匹配保护的数据流
[R1]acl number 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0
0.0.0.255
rule deny ip source any destination any
②创建安全提议(传输集)
ipsec proposal hanming-set
encapsulation-mode tunnel (隧道模式,默认)
transform esp(|ah|ah-esp) (安全协议,默认esp)
esp enc des
esp auth sha1
③配置ike对等体、协商模式和秘钥
ike peer bj
pre-share hanming-key
remote-address 201.1.1.1
④配置ike协商方式的安全策略
ipsec policy hmmap 1 isakmp
security acl 3000
proposal hanming-set
ike-peer bj
⑤应用到接口
int e0/1/0
ipsec policy hmmap
3、配置NAPT,实现内网可以访问外网
①配置要NAT转换的acl,排除需要保护的***数据流(不转换NAT)
[R1]acl number 3001
rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0
0.0.0.255
rule permit ip any source destination any
②定义NAT转换后的地址池(NAPT只有一个地址)
nat address-group 1 200.0.0.10 200.0.0.10
③在外网接口上配置acl和NAT地址池的关联
int e0/1/0
nat outbound 3001 address-group 1
4、查看ike状态:dis ike sa
查看ipsec状态:dis ipsec sa
查看nat转换: dis nat session|statistics
