PKI配置举例
本节介绍通过IKE方式创建安全联盟的实例。IKE认证策略采用PKI证书体系进行身份认证。
组网需求
在Hillstone安全网关A和Hillstone安全网关B之间建立一个安全隧道,PC1作为Hillstone安全网关A端的主机,IP地址为10.1.1.1,网关为10.1.1.2;Server1作为Hillstone安全网关B端的服务器,IP地址为192.168.1.1,网关是192.168.1.2。要求对PC1代表的子网(10.1.1.0/24)与server1代表的子网(192.168.1.0/24)之间的数据流进行安全保护。认证策略采用PKI证书体系,安全协议采用ESP协议,加密算法采用3DES,验证算法采用SHA1。下图为该例组网图:
配置步骤
实现以上需求,请按照以下步骤进行操作:
第一步:配置安全网关接口。
安全网关A
- 点击“配置
网络网络连接”,进入网络连接页面。
- 从接口列表中选中ethernet0/0,然后点击列表左上方的『编辑』按钮,弹出<接口配置>对话框。在该对话框做以下配置:
- 绑定安全域:三层安全域
- 安全域:trust
- 类型:静态IP
- IP地址:10.1.1.2
- 网络掩码:255.255.255.0
- 点击『确定』按钮保存所做配置并返回网络连接页面。
- 从接口列表中选中ethernet0/1,然后点击列表左上方的『编辑』按钮,弹出<接口配置>对话框。在该对话框做以下配置:
- 绑定安全域:三层安全域
- 安全域:untrust
- 类型:静态IP
- IP地址:1.1.1.1
- 网络掩码:255.255.255.0
- 点击『确定』按钮保存所做配置并返回网络连接页面。
- 点击接口列表左上角的『新建』,从下拉菜单中选择<隧道接口>,弹出<接口配置>对话框。在该对话框做以下配置:
- 名称:tunnel1
- 绑定安全域:三层安全域
- 安全域:trust
- 点击『确定』按钮保存所做配置并返回网络连接页面。
安全网关B
- 点击“配置网络网络连接”,进入网络连接页面。
- 从接口列表中选中ethernet0/0,然后点击列表左上方的『编辑』按钮,弹出<接口配置>对话框。在该对话框做以下配置:
- 绑定安全域:三层安全域
- 安全域:trust
- 类型:静态IP
- IP地址:192.168.1.2
- 网络掩码:255.255.255.0
- 点击『确定』按钮保存所做配置并返回网络连接页面。
- 从接口列表中选中ethernet0/1,然后点击列表左上方的『编辑』按钮,弹出<接口配置>对话框。在该对话框做以下配置:
- 绑定安全域:三层安全域
- 安全域:untrust
- 类型:静态IP
- IP地址:1.1.1.2
- 网络掩码:255.255.255.0
- 点击『确定』按钮保存所做配置并返回网络连接页面。
- 点击接口列表左上角的『新建』,从下拉菜单中选择<隧道接口>,弹出<接口配置>对话框。在该对话框做以下配置:
- 名称:tunnel1
- 绑定安全域:三层安全域
- 安全域:trust
- 点击『确定』按钮保存所做配置并返回网络连接页面。
第二步:配置安全网关策略规则。
安全网关A
- 点击“配置安全策略”,进入策略页面。
- 点击策略列表左上方的『新建』按钮,弹出<策略配置>对话框。在该对话框做以下配置:
- 源安全域:trust
- 源地址:Any
- 目的安全域:trust
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
- 再次点击策略列表左上方的『新建』按钮,弹出<策略配置>对话框。在该对话框做以下配置:
- 源安全域:untrust
- 源地址:Any
- 目的安全域:trust
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
安全网关B
- 点击“配置安全策略”,进入策略页面。
- 点击策略列表左上方的『新建』按钮,弹出<策略配置>对话框。在该对话框做以下配置:
- 源安全域:trust
- 源地址:Any
- 目的安全域:trust
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
- 再次点击策略列表左上方的『新建』按钮,弹出<策略配置>对话框。在该对话框做以下配置:
- 源安全域:untrust
- 源地址:Any
- 目的安全域:trust
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
第三步:配置P1提议,使用PKI身份认证方式。
安全网关A
- 从页面左侧导航树选择并点击“配置网络IPSec VPN”,进入IPSec VPN页面。点击『P1提议』标签,进入P1提议标签页。
- 点击P1提议列表左上方的『新建』按钮,弹出<阶段1提议配置>对话框,在该对话框做以下配置:
- 提议名称:P1
- 认证:RSA-Signature
- 验证算法:SHA
- 加密算法:3DES
- DH组:Group2
- 生存时间:86400
- 点击『确定』按钮将配置的P1提议添加进系统并且显示在P1提议列表中。
安全网关B
- 从页面左侧导航树选择并点击“配置网络IPSec VPN”,进入IPSec VPN页面。点击『P1提议』标签,进入P1提议标签页。
- 点击P1提议列表左上方的『新建』按钮,弹出<阶段1提议配置>对话框,在该对话框做以下配置:
- 提议名称:P1
- 认证:RSA-Signature
- 验证算法:SHA
- 加密算法:3DES
- DH组:Group2
- 生存时间:86400
- 点击『确定』按钮将配置的P1提议添加进系统并且显示在P1提议列表中。
第四步:PKI配置。
安全网关A
- 从工具栏的<对象用户>下拉菜单选择『PKI』,弹出<PKI管理>对话框。
- 点击<密钥>标签页的『新建』按钮,弹出<PKI密钥配置>对话框。在该对话框做以下配置:
- 点击『确定』按钮返回<PKI管理>对话框。
- 点击『信任域』标签,进入信任域标签页。点击该标签页的『新建』按钮,弹出<PKI配置>对话框。在该对话框做以下配置:
- 在<信任域>文本框指定信任域名称为“td1”,指定证书获取方法为“手动输入”。点击『下一步』。
- 导入CA根证书。点击『浏览』按钮选中根证书文件,然后点击『导入』。点击『下一步』。
- 为信任域指定密钥对为“111”,然后配置主题内容如下:
- 名称:aa
- 国家(地区):cn
- 位置:hd
- 州/省:bj
- 机构:hillstone
- 机构单元:rd
- 主题内容配置完成,点击对话框下方的『申请』按钮,生成的证书服务请求将显示在对话框下方。将请求发送至CA服务器申请本地证书。得到本地证书后,在<本地证书>部分导入本地证书。导入成功后点击『下一步』。
- 在该页面配置CRL相关选项,配置结果如下:
- 检查:强制
- 自动刷新:每天
- URL1:CA服务器地址
- 配置完成,点击『确定』按钮。
安全网关B
- 从工具栏的<对象用户>下拉菜单选择『PKI』,弹出<PKI管理>对话框。
- 点击<密钥>标签页的『新建』按钮,弹出<PKI密钥配置>对话框。在该对话框做以下配置:
- 点击『确定』按钮返回<PKI管理>对话框。
- 点击『信任域』标签,进入信任域标签页。点击该标签页的『新建』按钮,弹出<PKI配置>对话框。在该对话框做以下配置:
- 在<信任域>文本框指定信任域名称为“td2”,指定证书获取方法为“手动输入”。点击『下一步』。
- 导入CA根证书。点击『浏览』按钮选中根证书文件,然后点击『导入』。点击『下一步』。
- 为信任域指定密钥对为“222”,然后配置主题内容如下:
- 名称:aa
- 国家(地区):cn
- 位置:hd
- 州/省:bj
- 机构:hillstone
- 机构单元:rd
- 主题内容配置完成,点击对话框下方的『申请』按钮,生成的证书服务请求将显示在对话框下方。将请求发送至CA服务器申请本地证书。得到本地证书后,在<本地证书>部分导入本地证书。导入成功后点击『下一步』。
- 在该页面配置CRL相关选项,配置结果如下:
- 检查:强制
- 自动刷新:每天
- URL1:CA服务器地址
- 配置完成,点击『确定』按钮。
第五步:
配置ISAKMP网关。
安全网关A
- 从页面左侧导航树选择并点击“配置网络IPSec VPN”,进入IPSec VPN页面。点击『VPN对端列表』标签,进入VPN对端列表标签页。
- 点击VPN对端列表左上方的『新建』按钮,弹出<VPN对端配置>对话框,在该对话框做以下配置:
- 对端名称:east
- 接口:ethernet0/1
- 模式:主模式
- 类型:静态IP
- 对端IP地址:1.1.1.2
- 本地ID:ASN1-DN
- 对端ID:ASN1-DN,CN=bb,OU=rd,O=hillstone,L=hd,ST=bj,C=cn
- 提议1:p1
- 信任域:td1
- 点击『确定』按钮将配置的ISAKMP网关添加进系统并且显示在对端列表中。
安全网关B
- 从页面左侧导航树选择并点击“配置网络IPSec VPN”,进入IPSec VPN页面。点击『VPN对端列表』标签,进入VPN对端列表标签页。
- 点击VPN对端列表左上方的『新建』按钮,弹出<VPN对端配置>对话框,在该对话框做以下配置:
- 对端名称:east
- 接口:ethernet0/1
- 模式:主模式
- 类型:静态IP
- 对端IP地址:1.1.1.1
- 本地ID:ASN1-DN
- 对端ID:ASN1-DN,CN=aa,OU=rd,O=hillstone,L=hd,ST=bj,C=cn
- 提议1:p1
- 信任域:td2
- 点击『确定』按钮将配置的ISAKMP网关添加进系统并且显示在对端列表中。
第六步:配置P2提议。
安全网关A
- 从页面左侧导航树选择并点击“配置网络IPSec VPN”,进入IPSec VPN页面。点击『P2提议』标签,进入P2提议标签页。
- 点击P2提议列表左上方的『新建』按钮,弹出<阶段2提议配置>对话框,在该对话框做以下配置:
- 提议名称:P2
- 协议:ESP
- 验证算法1:SHA
- 加密算法1:3DES
- 点击『确定』按钮将配置的P2提议添加进系统并且显示在P2提议列表中。
安全网关B
- 从页面左侧导航树选择并点击“配置网络IPSec VPN”,进入IPSec VPN页面。点击『P2提议』标签,进入P2提议标签页。
- 点击P2提议列表左上方的『新建』按钮,弹出<阶段2提议配置>对话框,在该对话框做以下配置:
- 提议名称:P2
- 协议:ESP
- 验证算法1:SHA
- 加密算法1:3DES
- 点击『确定』按钮将配置的P2提议添加进系统并且显示在P2提议列表中。
第七步:配置名为VPN的隧道。
安全网关A
- 从页面左侧导航树选择并点击“配置网络IPSec VPN”,进入IPSec VPN页面。
- 点击IKE VPN列表左上方的『新建』按钮弹出<IKE VPN配置>对话框。在<步骤1:对端>部分点击<对端名称>文本框后的『导入』按钮,在下拉菜单中选择“east”。
- 点击<步骤2:隧道>进行VPN隧道配置。具体配置信息如下:
- 名称:VPN
- 模式:tunnel
- p2提议:P2
- 代理ID:手工
- 本地IP/掩码:10.1.1.0/24
- 远程IP/掩码:192.168.1.0/24
- 服务:Any
- 点击『确定』按钮将配置的隧道添加进系统并且显示在IKE VPN列表中。
- 点击“配置网络网络连接”,进入网络连接页面。
- 从接口列表中选中tunnel1,然后点击列表左上方的『编辑』按钮,弹出<接口配置>对话框。在该对话框<隧道绑定配置>部分做以下配置:
- 点击『确定』按钮保存所做配置并返回网络连接页面。
安全网关B
- 从页面左侧导航树选择并点击“配置网络IPSec VPN”,进入IPSec VPN页面。
- 点击IKE VPN列表左上方的『新建』按钮弹出<IKE VPN配置>对话框。在<步骤1:对端>部分点击<对端名称>文本框后的『导入』按钮,在下拉菜单中选择“east”。
- 点击<步骤2:隧道>进行VPN隧道配置。具体配置信息如下:
- 名称:VPN
- 模式:tunnel
- p2提议:P2
- 代理ID:手工
- 本地IP/掩码:192.168.1.0/24
- 远程IP/掩码:10.1.1.0/24
- 服务:Any
- 点击『确定』按钮将配置的隧道添加进系统并且显示在IKE VPN列表中。
- 点击“配置网络网络连接”,进入网络连接页面。
- 从接口列表中选中tunnel1,然后点击列表左上方的『编辑』按钮,弹出<接口配置>对话框。在该对话框<隧道绑定配置>部分做以下配置:
- 点击『确定』按钮保存所做配置并返回网络连接页面。
第八步:配置路由。
安全网关A
- 访问“配置网络路由”,进入目的路由页面。
- 点击目的路由列表左上方的『新建』按钮,弹出<目的路由配置>对话框。在该对话框做以下配置:
- 目的地:192.168.1.0
- 子网掩码:255.255.255.0
- 下一跳:接口
- 接口:tunnel1
- 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。
安全网关B
- 访问“配置网络路由”,进入目的路由页面。
- 点击目的路由列表左上方的『新建』按钮,弹出<目的路由配置>对话框。在该对话框做以下配置:
- 目的地:10.1.1.0
- 子网掩码:255.255.255.0
- 下一跳:接口
- 接口:tunnel1
- 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。