教程篇(7.0) 05. FortiGate基础架构 IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4

在本节课中你将了解IPsec VPN的架构组件以及如何配置它们。

本节课，你将学习上图显示的主题。

通过展示IPsec基础知识的能力，你将能够理解IPsec的概念和好处。

IPsec是什么？什么时候使用？

　　IPsec是一组与供应商无关的标准协议，用于连接两个物理上不同的LAN。尽管被互联网隔开，但这些局域网就像一个逻辑网络一样连接在一起。

　　在理论上，IPsec确实支持空加密，也就是说，你可以使VPN不加密流量。IPsec还支持空数据完整性。但这比普通交通有什么优势吗？不，没有人能够信任被攻击者注入攻击的流量。人们很少希望数据由未知的来源发送。大多数人还希望私人网络数据（如信用卡交易和医疗记录）保持隐私。

　　不管供应商是谁，IPsec VPN几乎总是有一些设置，允许他们提供三个重要的好处：

　　● 身份验证：验证两端的身份

　　● 数据完整性(或HMAC)：证明封装的数据在跨越潜在的恶意网络时没有被篡改

　　● 机密性(或加密)：确保只有预期的收件人可以阅读邮件

如果你要通过防火墙来传输VPN，那么了解允许哪些协议将会有所帮助。

　　IPsec是一套独立的协议。它包括：

　　● 因特网密钥交换 (IKE)：IKE用于验证对等体、交换密钥、协商将要使用的加密和校验；本质上，它是控制通道。

　　● AH包含认证头——校验数据完整性的校验和。

　　● 封装安全有效载荷(ESP)：ESP是封装的安全有效载荷——加密的有效载荷，本质上是数据通道。

　　因此，如果你需要通过防火墙传输IPsec流量，请记住：只允许一个协议或端口号通常是不够的。

　　创建VPN时，需要在两端都进行匹配，无论该VPN是在两台FortiGate设备之间、FortiGate和FortiClient之间，还是第三方设备和FortiGate之间。如果设置不匹配，隧道设置失败。

　　部分ISP阻断UDP端口500，导致IPsec VPN无法建立。你可以通过上图中的CLI命令配置IKE和IKE NAT-T的自定义端口。

　　缺省情况下，IKE流量的UDP端口号为500，但可以在端口1024 ~ 65535之间选择自定义端口。NAT-T模式下IKE流量的默认端口为4500，但可以在1024 ~ 65535之间修改为自定义端口。

IPsec提供IP(网络)层的服务。在隧道建立过程中，两端会协商使用的加密和认证算法。

　　隧道协商成功并正常运行后，对数据进行加密和封装，形成ESP报文。

封装是什么？这取决于所使用的封装模式。IPsec有两种运行模式：传输模式和隧道模式。

　　● 传输模式直接封装和保护第四层(传输层)及以上。原始的IP头不受保护，也不添加额外的IP头。

　　● 隧道模式为真正的隧道。整个IP包被封装，并在开始时添加一个新的IP头。当IPsec报文到达远端局域网并被解包后，原始报文可以继续其旅程。

　　请注意，在删除与VPN相关的报头后，传输模式数据包不能再被传输了；它里面没有第二个IP头，所以是不可路由的。因此，这种模式通常只用于端到端(或客户端到客户端)VPN。

IKE使用UDP端口500。如果NAT场景下启用NAT-T，IKE使用UDP端口4500。

　　IKE建立IPsec VPN隧道。FortiGate使用IKE方式与对等体协商，确定IPsec安全联盟(SA)。IPsec SA定义了FortiGate用来加密和解密对等体数据包的认证、密钥和设置。它基于互联网安全协会和密钥管理协议(ISAKMP)。

　　IKE定义了两个阶段：阶段1和阶段2。

　　IKE有两个版本：IKEv1和IKEv2。虽然IKEv2版本较新，协议操作也更简单，但由于IKEv1的应用范围更广，所以本节只讨论IKEv1。

为了建立IPsec隧道，两台设备都必须建立各自的SA和密钥，而IKE协议为SA和密钥的建立提供了便利。

　　IPsec体系结构以SA为基础，在IPsec中构建安全功能。SA是用来加密和验证通过隧道的数据的算法和参数的集合。在正常的双向流量中，该交换由一对SA保护，每个SA对应一个流量方向。从本质上讲，隧道的两边必须就安全规则达成一致。如果双方在发送数据和验证对方身份的规则上不能达成一致，则隧道不能建立。SA到期后需要由对等体重新协商。

　　IKE使用两个不同的阶段：阶段1和阶段2。每个阶段协商不同的SA类型。阶段1协商的SA称为IKE SA，阶段2协商的SA称为IPsec SA。FortiGate使用IKE SA建立安全通道，协商IPsec SA。FortiGate使用IPsec SA分别对通过隧道发送和接收的数据进行加密和解密。

当远程internet用户需要安全接入办公室访问企业资源时，可以使用远程接入VPN。远程用户连接到位于企业内网的VPN服务器(如FortiGate)，建立安全隧道。用户通过身份验证后，FortiGate根据授予该用户的权限提供对网络资源的访问。

　　在远程接入VPN中，FortiGate通常被配置为拨号服务器。在本课中，你将学习更多关于拨号VPN的知识。远程互联网用户的IP地址通常是动态的。由于FortiGate不知道远端用户的IP地址，因此只有远端用户才能发起VPN连接请求。

　　远端用户需要一个VPN客户端，如FortiClient。需要配置FortiClient以匹配VPN服务器的配置。FortiClient负责建立隧道，并通过隧道将流量路由到远程站点。

　　此外，你可以在FortiGate设备上为许多远程用户使用一个远程访问VPN配置。FortiGate为他们每个人建立了单独的隧道。

Site-to-site VPN又称LAN-to-LAN VPN。一个简单的site-to-site部署包括两个对等体直接通信，连接位于不同办公室的两个网络。

　　当需要连接两个以上的位置时，可以使用星型拓扑。在星型拓扑中，所有客户端通过一个中心hub连接。在上图显示的例子中，客户端(发起人)是FortiGate设备的分支机构。任何一个分支机构到达另一个分支机构时，其流量都必须经过这个中心。这种拓扑的一个优点是，所需的配置很容易管理。另一个优点是，只有总部的FortiGate设备必须非常强大，因为它同时处理所有的隧道，而分支机构的FortiGate设备需要的资源要少得多，因为它们只维护一条隧道。一个缺点是，通过总部进行分支机构之间的通信比直接连接要慢，特别是如果总部在物理上是遥远的。此外，如果总部的FortiGate设备发生故障，VPN故障将波及全公司。

　　在网状拓扑中，可以直接连接FortiGate设备，从而绕过总部。网格拓扑存在两种变化：全网格和部分网格。全网格连接了每个地点和其他地点。FortiGate设备的数量越多，每台FortiGate设备上需要配置的隧道数量就越多。例如，在一个有5个FortiGate设备的拓扑中，需要在每个设备上配置4个隧道，总共20个隧道。这种拓扑引起的延迟更少，对HQ带宽的要求也比星型拓扑少得多，但要求每个FortiGate设备都更强大。部分网格试图妥协，减少所需资源和延迟。如果每个位置之间不需要通信，可以采用局部网格。然而，每个FortiGate设备的配置都比星型设备复杂。特别是路由，可能需要广泛的规划。

　　通常，你拥有的位置越多，星型拓扑将比网格拓扑更便宜，但速度更慢。网格对中心位置的压力较小。它更能容错，但也更贵。

回顾一下，上图展示了VPN拓扑的高层比较。你应该选择最适合你的情况的拓扑。

每种VPN拓扑都有各自的优缺点。

　　ADVPN是FortiGate的一种功能，它实现了全网格拓扑的优点，同时具有更简单的配置和星型拓扑和部分网格拓扑的可伸缩性优点。

　　首先，向FortiGate设备添加用于构建星型或部分网格拓扑的VPN配置。然后在VPN上启用ADVPN功能。ADVPN在分支之间动态协商隧道(无需预先配置它们)，以获得全网格拓扑的好处。

　　ADVPN需要在IPsec隧道上运行动态路由协议，以便在动态VPN协商后，分支可以学习到其他分支的路由。

答案：B

答案：A

现在你已经了解了IPsec。接下来，你将了解IPsec的配置。

通过展示IPsec配置的能力，你将能够成功地确定你的IPsec VPN部署所需的设置。

当你在图形界面上创建IPsec隧道时，FortiGate会将你重定向到IPsec向导。该向导通过三到四步的流程简化了新VPN的创建。第一步是选择模板类型。如果你需要手动配置VPN，可以选择模板类型为“自定义”，在此基础上，FortiGate将直接进入新VPN的阶段1和阶段2设置。

　　如果你希望向导为你配置VPN，那么选择最适合你的VPN的模板类型(Site to Site、Hub-andSpoke或Remote Access)。之后，向导会向你询问关键信息，如远端网关信息、认证方式、涉及的接口、子网等。根据你提供的输入，向导应用一个预先配置的IPsec隧道模板，其中包括IPsec阶段1和阶段2设置以及其他相关的防火墙地址对象、路由设置和新隧道工作所需的防火墙策略。

　　此外，向导会显示一个网络图，该网络图会根据提供的输入进行更改。该图的目的是让管理员直观地了解向导根据接收到的输入配置的IPsec VPN部署。

　　在向导的末尾，向导提供了系统中配置更改的摘要，如果需要，管理员可以查看该摘要。

　　如果你是FortiGate新手，或者没有多少使用IPsec VPN的经验，建议使用IPsec向导。你可以稍后调整向导应用的配置，以满足你的特定需求。

IPsec向导的一个常用用途是为FortiClient用户配置远程接入VPN。向导为FortiClient用户启用IKE模式配置、XAuth和其他适当的设置。你在本课将了解更多的IKE模式配置和XAuth。

　　上图显示了IPsec向导用于协助管理员配置FortiClient VPN的四个步骤。

在应用新的IPsec隧道的配置时，IPsec向导使用上图显示的模板之一。

　　通过选择模板，然后单击查看，可以查看模板的设置。不能修改模板设置。

阶段1发生在隧道的每个对端(发起方和响应方)连接并开始建立VPN时。发起方是启动阶段1协商的对端，响应方是响应发起方请求的对端。

　　当对等体第一次连接时，通道是不安全的。中间的攻击者可以拦截未加密的密钥。双方对对方的身份都没有强有力的保证，那么他们如何交换敏感的私钥呢?他们不能。首先，对等体双方创建一条安全隧道。他们使用这个安全隧道来保护强认证，并在以后为隧道协商真正的密钥。

现在你将检查阶段1是如何工作的。

　　阶段1的目的是验证对等体的身份，并为协商阶段2的SA(或IPsec SA)建立安全通道，这些SA以后用于对对等体之间的流量进行加密和解密。为了建立此安全通道，对等体需要协商阶段1SA。此SA称为IKE SA，是双向的。

　　在IKEv1中，IKE SA协商有两种模式：主模式和野蛮模式。两端的设置必须一致；否则，阶段1协商失败，IPsec对等体无法建立安全通道。

　　在阶段1结束时，用协商出来的IKE SA来协商阶段2的DH密钥。DH使用公钥(两端都知道)加上一个称为nonce的数学因子，以生成公共私钥。使用DH，即使攻击者可以侦听包含公钥的消息，他们也不能确定密钥。

阶段1的配置在GUl中被分解为四个部分：网络、认证、阶段1提案和XAUTH。你将了解每个部分中可用的设置。你将在不同的图片中更详细地了解这些设置。

　　上图显示的部分对应于网络设置。本节介绍IPsec隧道的连通性相关设置：

　　● IP版本：选择IPsec隧道使用的IP版本。请注意，这只定义了隧道外层(经过封装后)的IP版本。封装的数据包(受保护的流量)可以是IPv4或IPv6，它们的IP版本在阶段2选择器中定义。

　　● 对端网关：定义远端网关类型。有三种类型：静态IP地址、拨号用户和动态DNS。在本课的后面，你将学习更多关于这些类型的内容。

　　● IP地址：远端网关的IP地址。仅当选择“静态IP地址”作为远端网关时，才会出现此字段。

　　● 接口：IPsec隧道在本端FortiGate上终止的接口。通常，这是连接到互联网或广域网的接口。你需要确保有一个通过此接口到远端网关的活动路由，否则隧道将无法运行。

　　● 本地网关：当隧道终止的接口上分配了多个地址，且需要指定隧道使用哪个地址时，启用此设置。当你启用此设置时，你会看到三个选项：主IP、附加的IP和指定。如果IP地址与主IP地址或从IP地址不一致，请选择指定。

　　● 模式配置：启用IKE自动配置。FortiGate作为一个IKE模式配置客户端，当你启用模式配置，并将远端网关设置为静态IP地址或动态DNS。如果将“远端网关”设置为“拨号用户”，FortiGate将作为IKE模式配置服务器，界面上会出现更多的配置选项。在本课中，你将学习更多关于模式配置的知识。

下面是网络部分GUI上的其他可用选项：

　　● NAT穿越：控制NAT穿越的行为。你将在本课的后面学习更多关于NAT穿越的知识。

　　● 保持存活：启用NAT穿越功能后，FortiGate会按照配置的频率发送keepalive探测。

　　● 对等体状态探测：使用对等体状态探测(DPD)检测死亡隧道。DPD模式有三种。按需模式是默认模式。在本课的后面部分，你将了解更多关于DPD的信息。

　　● 前向纠错：前向纠错(FEC)是一种技术，你可以使用它来减少在不可靠链路上建立的IPsec隧道中重传的数量，以使用更多带宽为代价。在出接口和入接口上都可以启用FEC，只有在关闭IPsec硬件卸载时才支持。在本课的后面，你将了解更多关于IPsec硬件卸载的内容。

　　● 高级：

　　● 添加路由：如果你使用IPsec上的动态路由协议，并且不希望FortiGate自动添加静态路由，则禁用add-route。

　　● 自动发现sender：如果你想在集线器中使用ADVPN，你必须启用set auto-discovery-sender。这个设置表示当IPsec流量通过hub时，它应该向流量的发起者发送一个快捷方式，表明它可能会建立一个更直接的连接(快捷方式)。

　　● 自动发现recelver。使能spoke中的ADVPN。使用此命令表示该IPsec隧道希望加入自动发现VPN。

　　● Exchange接口IP：在拨号或ADVPN中，该选项允许交换IPsec接口IP地址。这允许到集线器FortiGate设备的点到多点连接。

　　● 设备创建。当你启用设备创建时，内核为每个拨号客户端创建一个接口。对于拨号客户端数量较多的场景，建议关闭设备创建功能，以提高性能。

　　● 聚合成员：FortiGate支持将多个IPsec隧道聚合到一个接口中。如果你希望隧道成为聚合成员，则启用此选项。

在配置VPN的远端网关类型时，有三种选择：拨号用户、静态IP地址和动态DNS。

　　当对端IP地址未知时，使用拨号用户。拨号客户端通常由IP地址未知的对端作为拨号客户端，分支机构和移动VPN客户端通常使用动态IP地址，没有动态DNS。拨号客户端需要知道远端网关的IP地址或FQDN，远端网关作为拨号服务器。由于拨号服务器不知道对端地址，所以只有拨号客户端可以发起VPN隧道。

　　通常，拨号客户端是远程和移动的员工，他们的计算机或手持设备上有FortiClient。你还可以使用FortiGate设备作为远程办公室的拨号客户端。FortiGate上的一个拨号服务器配置可以用于多个远程办公室或用户的多个IPsec隧道。

　　当知道对端地址时，可以使用“静态IP地址”或“动态DNS”。如果选择“静态IP地址”，则需要提供IP地址。如果选择Dynamic DNS，则需要提供一个完全限定域名(FQDN)，并确保FortiGate能够解析该FQDN。当对等体两端都知道对端地址，即对等体两端的对端网关配置为“静态IP地址”或“动态DNS”时，任何对等体都可以发起VPN隧道。

　　请注意，在拨号设置中，拨号客户端只是一个VPN对等体，远端网关设置为静态IP地址或动态DNS。在设置VPN时，可以将不同类型的远端网关进行组合。由于明显的原因，如果隧道中的两个对等体都将远端网关设置为拨号用户，那么隧道将无法工作。

IKE模式配置类似于DHCP，因为服务器会将IP地址、子网掩码、DNS服务器等网络设置分配给客户端。此分配在IKE消息上进行。

　　当你在作为拨号服务器的FortiGate设备上启用模式配置时，它会将网络设置推送给拨号客户端。拨号客户端通常是FortiClient对等体，但也可以是FortiGate对等体。

　　IKE模式配置必须在对等体的两端都启用该功能才能生效。在FortiClient上，模式配置默认启用，但在FortiGate上，必须手动启用。

　　需要注意的是，只有对端网关为拨号用户时，界面上才会显示“IKE模式配置”的设置。FortiGate设备作为拨号客户端，在图形界面上可以选择“模式配置”，但不会显示附加设置。

在进行NAT转换的设备之间，ESP协议通常存在一些问题。其中一个原因是ESP协议不像TCP和UDP那样使用端口号来区分隧道。

　　为了解决这个问题，IPsec规格中增加了NAT-T。当两端都启用NAT-T功能时，对等体可以检测到路径上的任何NAT设备。如果发现NAT，则在两个对等体上发生以下情况：

　　● IKE协商将使用UDP端口4500。

　　● ESP报文封装在UDP端口4500。

　　因此，如果你有两个FortiGate设备，例如，一个具有NAT的ISP调制解调器，你可能需要启用此设置。

　　当NAT穿越设置为强制时，UDP端口4500总是被使用，即使在路径上没有NAT设备。

　　当启用NAT-T功能时，“Keepalive Frequency”选项显示FortiGate发送Keepalive探测的时间间隔(以秒为单位)。当NAT路径上有一台或多台路由器时，需要使用NAT-T。keepalive探测的目的是保持路径上那些路由器的IPsec连接处于激活状态。

当对等体协商出一条隧道的IPsec SA后，认为该隧道是up的，通常对等体不会再协商另一个IPsec SA，直到它过期。通常情况下，IPsec SA每隔几个小时就会到期一次。这意味着在IPsec SA到期之前，如果隧道路径上的网络中断，即使站点之间的通信中断，对等体也会继续通过隧道发送流量。

　　使能DPD功能后，会发送DPD探测来检测失效(或死亡)隧道，并在其IPsec SA到期前使其失效。当你有到相同目的地的冗余路径，并且当主连接无法保持站点之间的连通性时，你希望将故障转移到备份连接时，这种故障检测机制非常有用。

　　FortiGate支持三种DPD模式：

　　● On Demand：当隧道只有出方向流量而没有入方向流量时，FortiGate会发送DPD探测。因为网络应用程序通常是双向的，所以只观察出站方向上的流量可能是网络故障的迹象。

　　● On Idle：隧道内没有流量时，FortiGate会发送DPD探测。一个闲置的隧道并不一定意味着隧道已经死亡。如果你有许多隧道，则应避免这种模式，因为DPD引入的开销可能会非常耗费资源。

　　● Disabled：FortiGate只响应收到的DPD探测。FortiGate不会向对端发送DPD探测，因此不会检测到失效隧道。

　　默认情况下，DPD模式为On-Demand。在可伸缩性方面，随需应变是比空闲时更好的选择。

现在，你将了解阶段1配置中的身份验证部分：

　　● 方法：FortiGate支持两种认证方式：预共享密钥和签名。选择“预共享密钥”时，必须为对等体配置相同的预共享密钥。选择“签名”时，阶段1认证基于数字证书签名。在这种方法下，一个对等体上的数字签名通过安装在另一个对等体上的CA证书的存在来验证。也就是说，在对端，需要同时安装对端证书和颁发对端证书的CA证书。

　　● 版本：选择使用的IKE版本。当选择版本2时，野蛮和主模式消失眠，因为IKEv2不适用。

　　● 模式：IKEv1模式。有两种选择：野蛮(Aggressive)和主(Main) (ID保护)。在本课中，你将学习更多关于这些模式的知识。

IKE支持两种不同的协商模式：主模式和野蛮模式。你应该使用哪一个?

　　为了回答这个问题，我们可以分析三个类别：安全性、性能和部署。

　　在安全方面，主模式被认为更安全，因为预共享密钥哈希交换是加密的，而在野蛮模式下，哈希交换是不加密的。尽管攻击者仍然需要猜测清楚的文本预共享密钥才能成功攻击，但预共享密钥哈希已经在主模式下加密的事实大大降低了成功攻击的机会。

　　就性能而言，野蛮模式可能是一个更好的选择。因为在野蛮模式下，只交换了3个报文就完成了协商，而在主模式下，交换了6个报文。由于这个原因，当大量隧道在同一台FortiGate设备上终止时，可能需要使用野蛮模式，并且需要考虑性能问题。

　　野蛮模式的另一个用例是，当有多个拨号隧道在同一个FortiGate IP地址上终止时，对端使用对端ID进行认证，因为对端IP地址是动态的。由于野蛮模式协商时第一个报文发送对端ID信息，FortiGate可以将对端与正确的拨号隧道进行匹配。后者在主模式下是不可能的，因为对端ID信息是在最后一个报文中发送的，并且是在隧道被识别之后。

　　当两个对等体都知道对方的IP地址或FQDN时，你可能希望使用主模式来利用其更安全的协商优势。在这种情况下，FortiGate可以通过对端IP地址来识别对端，从而将其与正确的IPsec隧道关联起来。

现在，你将了解阶段1配置的阶段1建议部分。在协商IKE SA(或阶段1 SA)时，启用FortiGate支持的不同提议。

　　你可以组合不同的参数来满足你的安全需求。必须至少配置一种或几种加密和身份验证算法组合。

　　● 加密：选择数据加密和解密时使用的算法。

　　● 认证：选择验证数据完整性和真实性时使用的认证算法。

　　● Diffie-Hellman组：IKE SA协商时采用DH (Diffie-Hellman)算法。阶段1使用DH是强制的，不能禁用。必须选择至少一个DH组。DH组号越大，表示阶段1协商越安全。但是，DH组号越高，计算时间越长。

　　● 密钥生存时间：定义IKE SA的生存时间。生命周期结束时，重新协商IKE SA。

　　● 本地ID：如果对等体接受指定的对等体ID，则输入相同的对等体ID。

阶段1支持两种类型的身份验证：预共享密钥和数字签名。

　　XAuth扩展，有时称为阶段1.5，强制远程用户使用他们的凭证(用户名和密码)进行额外的身份验证。因此，如果启用它，将交换额外的身份验证数据包。有什么好处?更强的身份验证。

　　当对端网关为拨号用户时，FortiGate作为认证服务器。XAUTH部分显示了认证服务器类型选项：PAP服务器、CHAP服务器和Auto服务器。在上图所示的示例中，选择了Auto服务器，这意味着FortiGate自动检测客户机使用的身份验证协议。

　　选择认证服务器类型后，配置用户组匹配方式。有两个选项：从策略继承和选择。上图的示例中使用了后者，它允许你选择FortiGate上可用的一个用户组。请注意，选择“选择”时，需要为每一组需要不同网络访问策略的用户分别配置拨号VPN。

　　使用XAuth验证VPN用户的另一种方法是选择Inherit from policy。选择此选项后，FortiGate将根据用户匹配的IPsec策略进行认证，从而简化网络访问控制的配置。即针对不同的用户组配置多条策略来控制网络访问，而不是针对不同的用户组配置多条隧道。Inherit from policy选项遵循SSL VPN远程用户使用的类似身份验证方法。你将在另一课中学习更多关于SSL VPN的知识。

　　当“远端网关”设置为“静态IP地址”或“动态DNS”时，FortiGate作为客户端，XAUTH部分显示“客户端”选项为“类型”。然后可以设置FortiGate用来通过XAuth对远程对等体进行身份验证的凭据。

在阶段1建立了交换数据的安全通道之后，阶段2就开始了。

　　阶段2通过阶段1建立的安全通道为两个IPsec SA协商安全参数。ESP使用IPsec SA对站点间交换的流量进行加密和解密。

　　ESP开始后，阶段2不会结束。阶段2定期重新协商IPsec SA以维护安全。如果启用了完全向前保密，每次阶段2过期时，FortiGate都会使用DH重新计算新的密钥。这样，新的密钥就不会从旧的密钥派生而来，这使得攻击者更难以破解隧道。

　　每个阶段1可以有多个阶段2。这什么时候会发生?例如，你可能希望为每个子网使用不同的加密密钥，其流量正通过隧道。FortiGate如何选择使用哪个阶段2 ?通过检查哪个阶段2选择器(或快速模式选择器)匹配流量。

在阶段2中，必须定义IPsec隧道的加密域(或感兴趣的流量)。加密域指的是你希望用IPsec保护的流量，它由你的阶段2选择器配置决定。

　　你可以配置多个选择器，以对流量进行更细粒度的控制。配置阶段2选择器时，指定加密域的网络参数如下：

　　● 本地地址和远程地址：正如在上图的例子中所示，你可以使用不同的地址范围定义IPv4或IPv6地址。在选择“指定地址”或“指定IPv6地址”时，FortiGate允许选择系统中配置的IPv4或IPv6防火墙地址对象。

　　● 协议：在“高级”区域，默认为“全部”。

　　● “本地端口”和“远程端口”也显示在“高级”部分，默认设置为“全部”。这只适用于基于端口的流量，如TCP或UDP。在本课的后面部分，你将了解更多关于高级部分的内容。

　　需要注意的是，流量被防火墙策略接受后，如果没有匹配到配置的第二阶段选择器，流量在进入IPsec隧道之前会被丢弃。出于这个原因，通常使用防火墙策略过滤流量更直观。所以，如果你不想使用阶段2选择器过滤，你可以创建一个阶段2选择器与本地和远程地址设置为任何子网，像上图所示的示例中，然后使用防火墙政策来控制流量接受IPsec隧道。

　　另外，如果是点到点隧道，即远端网关没有设置为拨号用户时，对等体的阶段2选择器网络参数必须匹配。

对于每个阶段2选择器，你需要配置一个或多个阶段2方案。阶段2方案定义了对端支持的隧道数据加密和解密算法。通过配置多个安全提议，可以在协商IPsec SA时为远端对等体提供更多的选项。

　　与阶段1一样，你需要选择加密和身份验证算法的组合。有些算法被认为比其他算法更安全，因此请确保选择符合你的安全策略的算法。但是，请注意，算法的选择对FortiGate IPsec性能有直接影响。例如，3DES被认为是比DES和AES更耗费资源的加密算法，这意味着如果选择3DES作为加密算法，IPsec吞吐量可能会受到负面影响。另外，请注意，如果选择NULL作为加密算法，则不会加密流量。

　　此外，一些加密算法，如chacha2poly1305，不支持硬件卸载。也就是说,如果你有一个FortiGate设备包含网络处理器(NP)的单位，你可以获得更高的IPsec性能如果选择一种算法支持IPsec卸载你的NP单元模型，比如AES和DES。为IPsec硬件支持的加密算法列表卸载,请参考https://docs.fortinet.com。

　　配置阶段2方案时，可以选中“启用重放检测”，检测ESP报文的防重放攻击。注意，这是一个本地设置，因此，在阶段2协商中，它不包含在对等体提交的提议中。

　　同时，如果启用了完全向前保密功能，FortiGate在协商IPsec SA时使用DH协议来提高安全性。

IPsec SA会定期重新协商以提高安全性，但是什么时候会重新协商呢?这取决于阶段2方案上配置的关键生存期设置。

　　IPsec SA的超时时间由配置的超时时间类型和阈值决定。缺省情况下，“密钥生存时间”为“秒”(基于时间)。也就是说，当SA的生存时间达到设置的秒数(seconds)时，认为SA已经过期。也可以将密钥生存期设置为Kilobytes(基于容量的)，当使用该SA进行加密和解密的流量达到设置的阈值时，该SA将过期。或者，你也可以选择“Both”作为密钥生存期类型，FortiGate在此基础上跟踪SA的持续时间和流量。然后，当达到两个阈值中的任何一个时，就认为SA已经过期。请注意，关键的生存期阈值不一定要匹配隧道才会出现。当阈值不同时，对等体同意使用两者之间提供的最低阈值。

　　当IPsec SA到期时，FortiGate需要重新协商新的SA，以便在IPsec隧道中继续发送和接收流量。从技术上讲，FortiGate从相应的阶段2选择器中删除过期的SA，并安装新的SA。如果IPsec SA重协商时间过长，FortiGate可能会因为缺少主SA而导致感兴趣的流量下降。为了防止这种情况，你可以启用“自动协商”。当你这样做时，FortiGate不仅会在当前SA过期之前协商新的SA，而且还会立即开始使用新的SA。后者可以防止IPsec SA重协商导致流量中断。

　　启用自动协商的另一个好处是，即使在没有有趣的流量时，隧道也会自动出现并保持不变。当你启用Autokey Keep Alive并保持Auto-negotiate disabled时，隧道不会自动出现，除非有有趣的流量。然而，在隧道启动后，它会保持这种状态，因为FortiGate会周期性地通过隧道发送保持活动数据包。请注意，当你启用Auto-negotiate时，Autokey Keep Alive是隐式启用的。

在某些FortiGate型号上，你可以将IPsec流量的加密和解密工作转移到硬件上。所支持的算法依赖于FortiGate设备上的NP单元型号。IPsec硬件卸载支持的加密算法列表，请参见https://docs.fortinet.com。

　　默认情况下，支持的算法启用了硬件卸载。上图显示了在必要时可以用来禁用每个隧道的硬件卸载的命令。

　　最后，如果想在IPsec隧道中使用FEC，必须禁用IPsec offload功能。

答案：A

答案：B

你现在了解了IPsec配置。接来下，你将了解IPsec流量的路由和防火墙策略。

通过展示IPsec VPN路由和防火墙策略的能力，你将能够为你的IPsec VPN部署设置适当的路由和防火墙策略。

FortiGate支持两种类型的IPsec VPN：基于路由和基于策略。基于策略的IPsec VPN是一种传统的IPsec VPN，仅由于向后兼容性的原因才被支持，不建议在新的部署中使用。除非另有说明，本课中所有引用的IPsec VPN都是基于路由的IPsec VPN。

　　对于基于路由的IPsec VPN, FortiGate会自动添加一个带有VPN名称的虚拟接口。这意味着不仅可以为IPsec流量配置路由和防火墙策略，就像为非IPsec流量配置路由和防火墙策略一样，还可以利用到同一目的地的多个连接的存在来实现冗余。

　　基于路由的IPsec VPN的另一个好处是，你可以部署IPsec VPN的变体，如L2TP-over-IPsec和GRE-over-IPsec。此外，你还可以为可伸缩性和最佳路径选择启用动态路由协议。

虽然你可以为IPsec VPN使用动态路由协议，但本课只介绍静态路由的使用。

　　IPsec VPN所需的路由配置取决于所配置的远端网关类型。当配置远端网关为“拨号用户”，并开启“添加路由”功能时，FortiGate会自动为阶段2协商时对端呈现的本地网络添加一条静态路由。另外，只有在阶段2 up后，路由才会加入路由表。如果阶段2 down，静态路由将从路由表中删除。

　　当配置远端网关为“拨号用户”并关闭“添加路由”功能时，FortiGate不会自动添加静态路由。在这种情况下，使用动态路由协议在远端对等体之间交换路由信息。

　　当“远端网关”配置为“静态IP地址”或“动态DNS”时，必须配置静态路由。配置静态路由时，选择IPsec隧道的虚接口作为出接口。

你必须至少配置一条防火墙策略，在IPsec隧道上接收流量。否则，隧道就不会出现。

　　在为非IPsec流量配置防火墙策略时，策略决定了发起会话的流量的方向。IPsec流量也是如此。因此，通常需要为IPsec VPN配置至少两个防火墙策略：一个入站策略和一个出站策略。入站策略允许从远程站点发起的流量，而出站策略允许从本地网络发起的流量。

　　注意，策略的入/出接口都配置了虚拟隧道接口(或阶段1名称)。

答案：B

答案：A

现在你了解了IPsec流量的路由和防火墙策略。接下来，你将了解冗余VPN。

通过展示冗余VPN的能力，你将能够为你的IPsec VPN部署添加冗余。

如何使你的IPsec VPN部署更具弹性？提供第二个ISP连接到站点，并配置两个IPsec VPN。当主IPsec VPN故障时，可以使用另一条隧道。

　　冗余VPN有两种类型：

　　● 部分冗余：在一个对等体(通常是集线器，当主ISP故障时，有一个备用ISP可用)上，每个VPN在不同的物理端口上终止。这样，FortiGate可以使用另一条VPN。在另一端，每个VPN在同一个物理端口上终止，所以分支不能容错。

　　● 完全冗余：两个对等体在不同的物理端口上终止他们的VPN，所以他们都是容错的。

那么，如何配置部分冗余或完全冗余VPN呢?

　　首先，为每个路径创建一个阶段1，为主VPN创建一个阶段1，为备份VPN创建一个阶段1。还需要在两端启用DPD功能。

　　其次，为每个阶段1创建至少一个阶段2定义。

　　第三，每个VPN至少添加一条静态路由。主用VPN的路由距离必须小于或小于备份VPN的路由优先级。这导致FortiGate在主VPN可用时使用它。如果主VPN发生故障，FortiGate会自动使用备份路由。也可以使用动态路由协议，如OSPF、BGP等。

　　最后，配置防火墙策略，允许流量同时通过主备VPN。

答案：A

现在你了解了冗余VPN。接下来，你将了解如何监视IPsec VPN查看它们的日志。

通过展示监视和日志的能力，你将能够监视IPsec VPN并查看过去的事件。

GUI上的IPsec监视器小部件只显示阶段2的信息。如果需要获取阶段1的信息，则需要使用CLI。上图中的示例显示了get vpn ike gateway命令的输出信息，其中显示了阶段1的详细信息。

在GUI仪表板上，你可以使用IPsec小部件来监视IPsec VPN的状态。这个小部件只显示隧道的阶段2状态，而不是它的阶段1状态。

　　你也可以启动或断开单独的隧道，获得更多的细节。当你使用IPsec小部件启动或关闭隧道时，你只会影响隧道的阶段2状态，而不会影响它的阶段1状态。

　　如果隧道已启动，即阶段2已启动，则在隧道名称旁边显示一个绿色的向上箭头。如果是down，则显示一个红色的down箭头。

　　IPsec小部件还显示通过隧道发送和接收的数据量。

　　右键单击任一列时，将打开一个菜单，其中显示所有可用列的列表。你可以启用附加列，以获得关于IPsec隧道的进一步详细信息。

如果配置对端网关为“静态IP地址”或“动态DNS”，则阶段1出现后，这些隧道的静态路由在路由表中变为活跃状态。由于第一阶段默认开启了自动协商功能，因此会自动启动第一阶段协商。此行为允许FortiGate将感兴趣的流量匹配到正确的隧道。此外，如果阶段2没有启动，匹配静态路由的流量将触发阶段2协商，最终导致隧道(或阶段2)的出现。

　　当配置对端网关为“拨号用户”时，缺省情况下，阶段2出现后会为目的网络添加一条静态路由。静态路由的距离为15。如果阶段2故障，路由将从路由表中删除。

FortiGate缺省用于日志IPsec VPN事件。如需查看IPsec VPN事件日志，请单击日志&报表>事件>VPN事件。

　　日志用于跟踪阶段1和阶段2的协商进度，并报告隧道up和down事件、DPD故障等事件。更多IPsec日志信息请访问https://docs.fortinet.com。

答案：B

恭喜你！你已经学完了这一课。

　　现在，你将复习本课所涉及的目标。

上图展示了你在这节课中涉及的目标。

　　通过掌握本课所涵盖的目标，你了解了IPsec协议如何工作，以及如何在FortiGate上配置和监控IPsec VPN。

教程篇(7.0) 05. FortiGate基础架构 IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4相关推荐

教程篇(7.0) 03. FortiGate基础架构虚拟域(VDOM) ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何配置VDOM,并研究一些常用的示例. 本节课,你将学习上图显示的主题. 通过演示VDOM的能力,你将能够理解VDOM的主要优点和用例. 如果你希望将策略和管理员细分为多个 ...
教程篇(7.0) 06. FortiGate基础架构单点登录(FSSO) ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习Fortinet单点登录(FSSO).当你使用此功能时,你的用户不需要每次访问不同的网络资源时都登录. 本节课,你将学习这上图显示的主题. 通过展示理解SSO概念的能力,你将能 ...
教程篇(7.0) 01. FortiGate安全简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将了解FortiGate管理基础知识,以及你可以启用的用于扩展功能的FortiGate组件.这一课还包括关于FortiGate如何以及在何处适合你现有的网络架构的细节. 在本课中,你将 ...
教程篇(7.0) 06. FortiGate安全日志记录和监控 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何在FortiGate上配置本地和远程日志:查看.搜索和监控日志:并保护你的日志数据. 本节课,你将学习上图显示的主题. 完成本节后,你应该能够实现上图显示的目标. 通过展示 ...
教程篇(7.0) 11. FortiGate安全入侵防御和拒绝服务 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何使用FortiGate来保护你的网络免受入侵和拒绝服务(DoS)攻击. 本节课,你将学习上图显示的主题. 通过展示入侵防御系统(IPS)的能力,你应该能够实现一个有效的IP ...
教程篇(7.0) 07. 诊断和故障排除 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
在本课中,你将学习如何诊断和排除FortiClient问题和FortiClient EMS问题. 在这节课中,你将学习上图显示的主题. 通过展示处理和排除FortiClient问题的能力,你将能 ...
教程篇(7.0) 07. FortiGate基础架构高可用性(HA) ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将了解FortiGate高可用性(HA)的基础知识以及如何配置它.FortiGate HA提供了提高可靠性和性能的解决方案. 本节课,你将学习上图显示的主题. 通过展示在HA运行模式 ...
教程篇(7.0) 08. FortiGate基础架构诊断 ❀ Fortinet 网络安全专家 NSE 4
在本节课中,你将学习如何使用诊断命令和工具. 本节课,你将学习上图显示的主题. 通过展示一般诊断能力,你将能够发现有关FortiGate状态的一般信息. 为了定义任何问题,首先必须知道网络的正 ...
教程篇(7.0) 04. FortiGate基础架构二层交换 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何在FortiGate上使用透明操作模式和二层交换. 本节课,你将学习这上图显示的主题. 通过展示理解和配置VLAN的能力,你将能够有效地将你的网络划分为更小的逻辑段. V ...

教程篇(7.0) 05. FortiGate基础架构 IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.0) 05. FortiGate基础架构 IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4相关推荐

最新文章

热门文章