Issuu on Google+

概念與範例 ScreenOS 參考指南

第5卷: 虛擬私人網路

版本 5.3.0,修訂本 B

Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000

www.juniper.net 產品編號 : 093-1663-000-TC,修訂本 B


Copyright Notice Copyright © 2006 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.

FCC Statement The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:

„

Reorient or relocate the receiving antenna.

„

Increase the separation between the equipment and receiver.

„

Consult the dealer or an experienced radio/TV technician for help.

„

Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.

Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.

Disclaimer THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.

Writers: Richard Biegel, Kristine Conley, Sharmila Kumar, Jozef Wroblewski Editor: Lisa Eldridge

ii

„


目錄 關於本卷

vii

文件慣例....................................................................................................... viii CLI 慣例.................................................................................................. viii 插圖慣例 .................................................................................................. ix 命名慣例和字元類型 ................................................................................. x WebUI 慣例 .............................................................................................. xi Juniper Networks 文件 ................................................................................... xii 第1章

網際網路通訊協定安全性

1

虛擬私人網路簡介 ...........................................................................................2 IPSec 概念........................................................................................................3 模式...........................................................................................................4 傳輸模式 .............................................................................................4 通道模式 .............................................................................................4 通訊協定 ...................................................................................................5 驗證標頭 .............................................................................................5 封裝安全性酬載 ..................................................................................6 金鑰管理 ...................................................................................................6 手動金鑰 .............................................................................................6 自動金鑰 IKE ......................................................................................6 安全性關聯................................................................................................7 通道交涉..........................................................................................................8 階段 1........................................................................................................8 主要模式和挑釁式模式 .......................................................................8 Diffie-Hellman 交換 ............................................................................ 9 階段 2......................................................................................................10 完美轉送安全性 ................................................................................10 重播保護 ...........................................................................................10 IKE 與 IPSec 封包...........................................................................................11 IKE 封包 ..................................................................................................11 IPSec 封包 ............................................................................................... 14

目錄

„

iii


概念與範例 ScreenOS 參考指南

第2章

公開金鑰密碼編譯

17

公開金鑰密碼編譯簡介 .................................................................................. 18 簽名認證 .................................................................................................18 確認數位簽名 ..........................................................................................18 公開金鑰基礎結構 .........................................................................................20 認證和 CRL .................................................................................................... 22 手動要求認證 ..........................................................................................23 載入認證和認證撤銷清單 ........................................................................25 組態 CRL 設定 .........................................................................................26 自動取得本機認證 ...................................................................................27 自動認證更新 ..........................................................................................30 金鑰組產生..............................................................................................31 線上認證狀態通訊協定 .................................................................................. 31 指定認證撤銷檢查方法............................................................................32 檢視狀態檢查屬性 ...................................................................................32 指定線上認證狀態通訊協定回應程式 URL...............................................32 移除狀態檢查屬性 ...................................................................................32 自助簽名認證.................................................................................................33 認證驗證 .................................................................................................34 手動建立自助簽名認證............................................................................35 設定管理員定義的自助簽名認證 .............................................................35 自動產生認證 ..........................................................................................39 刪除自助簽名認證 ...................................................................................40 第3章

虛擬私人網路準則

43

加密選項........................................................................................................44 站台到站台加密選項 ............................................................................... 44 撥接 VPN 選項.........................................................................................51 以路由為基礎和以政策為基礎的通道.............................................................57 封包流動 : 站台對站台 VPN ...........................................................................58 通道組態準則.................................................................................................63 以路由為基礎的虛擬私人網路安全性考量 ..................................................... 64 Null 路由 .................................................................................................65 撥接或租借線路....................................................................................... 66 VPN 故障後移轉至租借線路或 Null 路由 .................................................67 誘導式通道介面....................................................................................... 69 通道介面的虛擬路由器............................................................................70 重新路由至另一個通道............................................................................70

iv

„

目錄


目錄

第4章

站台對站台的虛擬私人網路

71

站台對站台 VPN 組態 ....................................................................................72 以路由為基礎的站台對站台 VPN,自動金鑰 IKE ....................................78 以政策為基礎的站台對站台 VPN,自動金鑰 IKE ....................................86 以路由為基礎的站台對站台 VPN,動態對等方 .......................................92 以政策為基礎的站台對站台 VPN,動態對等方 .....................................100 以路由為基礎的站台對站台 VPN,手動金鑰.........................................108 以政策為基礎的站台對站台 VPN,手動金鑰.........................................115 使用 FQDN 的動態 IKE 閘道 ........................................................................ 119 別名.......................................................................................................120 設定具有 FQDN 的自動金鑰 IKE 對等方................................................121 具有重疊位址的 VPN 站台 ...........................................................................129 透明模式 VPN ..............................................................................................139 第5章

撥接虛擬私人網路

147

撥接 .............................................................................................................148 以政策為基礎的撥接 VPN,自動金鑰 IKE .............................................148 以路由為基礎的撥接 VPN,動態對等方 ................................................154 以政策為基礎的撥接 VPN,動態對等方 ................................................160 用於撥接 VPN 使用者的雙向政策..........................................................165 群組 IKE ID .................................................................................................. 170 有認證的群組 IKE ID ............................................................................. 170 萬用字元和容器 ASN1-DN IKE ID 類型..................................................171 建立群組 IKE ID ( 認證 ) ........................................................................ 174 設定具預先共享金鑰的群組 IKE ID........................................................ 179 共享 IKE ID .................................................................................................. 184 第6章

第 2 層通道通訊協定

191

L2TP 簡介 ....................................................................................................191 封包的封裝和拆裝 .......................................................................................194 封裝.......................................................................................................194 拆裝.......................................................................................................195 設定 L2TP 參數 ............................................................................................196 L2TP 和 IPSec 上的 L2TP ............................................................................. 198 設定 L2TP..............................................................................................198 設定 IPSec 上的 L2TP ............................................................................203 IPSec 上的雙向 L2TP ............................................................................. 210

目錄

„

v


概念與範例 ScreenOS 參考指南

第7章

進階虛擬私人網路功能

217

NAT-Traversal ..............................................................................................218 探查 NAT...............................................................................................219 跨越 NAT 裝置.......................................................................................220 UDP 總和檢查碼....................................................................................222 Keepalive 封包 ......................................................................................223 初始程式 / 回應程式對稱 .......................................................................223 啟用 NAT-Traversal................................................................................ 224 VPN 監看 ..................................................................................................... 225 重新建立金鑰和最佳化選項...................................................................226 來源介面和目的地位址..........................................................................227 政策考量 ...............................................................................................228 組態 VPN 監看功能 ...............................................................................228 SNMP VPN 監看物件和陷阱...................................................................237 每個通道介面,多個通道............................................................................. 238 路由到通道的對應 .................................................................................239 遠端對等方的位址 .................................................................................240 手動和自動表項目 .................................................................................241 手動表項目 ..................................................................................... 241 自動表項目 ..................................................................................... 241 設定重疊子網路的通道介面上的 VPN .............................................243 連結自動路由和 NHTB 表項目 ........................................................ 262 使用自動路由表項目的 OSPF..........................................................273 備援 VPN 閘道 ............................................................................................. 275 VPN 群組...............................................................................................276 監看機制 ...............................................................................................276 IKE 活動訊號 ..................................................................................277 Dead 對等方偵測 ............................................................................277 IKE 修復程序 ..................................................................................279 TCP SYN 旗標檢查.................................................................................280 建立冗餘 VPN 閘道 .........................................................................281 建立背對背 VPN...........................................................................................287 建立集中星型 VPN .......................................................................................293 索引 ............................................................................................................................IX-I

vi

„

目錄


關於本卷 第 5 卷 : 虛擬私人網路 說明虛擬私人網路 (VPN) 概念及 ScreenOS VPN 特定功能。 本卷包含下列各章 : „

第 1 章,「網際網路通訊協定安全性」介紹「網際網路通訊協定安全性」 (IPSec) 的元素及其與 VPN 通道相關的方式。

„

第 2 章,「公開金鑰密碼編譯」簡介公開金鑰密碼編譯、認證使用以及在「公 開金鑰基礎結構」(PKI) 環境中如何使用認證撤銷清單 (CRL)。

„

第 3 章,「虛擬私人網路準則」說明 VPN 通道。

„

第 4 章,「站台對站台的虛擬私人網路」說明如何在兩台 Juniper Networks 安 全性裝置間設定站台對站台的 VPN 通道。

„

第 5 章,「撥接虛擬私人網路」說明如何設定撥接 VPN。

„

第 6 章,「第 2 層通道通訊協定」說明「第 2 層通道通訊協定」(L2TP) 並提供 L2TP 和 IPSec 上的 L2TP 的組態範例。

„

第 7 章,「進階虛擬私人網路功能」說明「網路位址轉譯」(NAT) 主題、VPN 監看及使用多重通道的 VPN。

„

vii


概念與範例 ScreenOS 參考指南

文件慣例 本文件使用幾種類型的慣例,以下部分將加以介紹 : „

本頁上的「CLI 慣例」

„

第 ix 頁上的「插圖慣例」

„

第 x 頁上的「命名慣例和字元類型」

„

第 xi 頁上的「WebUI 慣例」

CLI 慣例 下列慣例用於在範例及文字中呈現 CLI 指令的語法。 在範例中 : „

在中括弧 [ ] 中的任何內容都是可選的。

„

在大括弧 { } 中的任何內容都是必需的。

„

如果選項不止一個,則使用導線 ( | ) 分隔每個選項。例如 : set interface { ethernet1 | ethernet2 | ethernet3 } manage

意味著「設定 ethernet1、ethernet2 或 ethernet3 介面的管理選項」。 „

變數以斜體方式顯示 : set admin user name1 password xyz

在文字中 :

注意 :

viii

„ 文件慣例

„

指令以粗體方式顯示。

„

變數以斜體方式顯示。

當鍵入關鍵字時,只需輸入足夠的字母就可以專屬地識別單詞。例如,若要鍵入指 令 set admin user kathleen j12fmt54,只要鍵入 set adm u kath j12fmt54 即可。 儘管輸入指令時可以使用此捷徑,本文所述的所有指令都以完整的方式提供。


關於本卷

插圖慣例 下圖顯示貫穿本手冊的插圖所用的基本影像集 : 圖 1: 手冊插圖中的影像

自治系統

包含單一子網路的區域 網路 (LAN) ( 例如 : 10.1.1.0/24)

通用安全性裝置 網際網路

虛擬路由設定網域 動態 IP (DIP) 池

安全區

桌上型電腦

安全區介面

攜帶型電腦

白色 = 受保護區段介面 ( 例如 = Trust 區段 ) 黑色 = 區域外介面 ( 例如 = Untrust 區段 )

通道介面

通用網路裝置 ( 例如 : NAT 伺服器,存取集中器 )

伺服器

VPN 通道 集線器

路由器 IP 電話

交換機

文件慣例

„

ix


概念與範例 ScreenOS 參考指南

命名慣例和字元類型 關於 ScreenOS 組態中定義的物件 ( 如位址、admin 使用者、auth 伺服器、IKE 閘 道、虛擬系統、VPN 通道和區段 ) 的名稱,ScreenOS 採用下列慣例 : „

若名稱字串包含一個或多個空格,則必須以雙引號 ( " ) 包住整個字串,如 : set address trust "local LAN" 10.1.1.0/24

„

系統會刪除一組雙引號內文字的任何前導或結尾空格,例如," local LAN " 將 變為 "local LAN"。

„

多個連續空格會被視為單一空格。

„

儘管許多 CLI 關鍵字並不區分大小寫,但名稱字串是區分大小寫的。例如, "local LAN" 不同於 "local lan"。

ScreenOS 支援以下字元類型 :

注意 :

x

„ 文件慣例

„

單位元組字元集 (SBCS) 和多位元組字元集 (MBCS)。SBCS 的範例是 ASCII、歐 洲語和希伯萊語。MBCS ( 也稱為雙位元組字元集,DBCS) 的範例是中文、韓 文和日文。

„

ASCII 字元從 32 ( 十六進位 0x20) 到 255 (0xff),雙引號 ( " ) 除外,這些字元有 特殊的意義,可作為包含空格的名稱字串的開始或結尾指示符。

主控台連接只支援 SBCS。WebUI 對 SBCS 和 MBCS 都支援,取決於 Web 瀏覽器 所支援的字元集。


關於本卷

WebUI 慣例 尖角符號 ( > ) 表示 WebUI 中的瀏覽順序,您可按一下功能表選項及連結來依循該 順序。下圖顯示了前往位址組態對話方塊的依循路徑 - Objects > Addresses > List > New: 圖 2: WebUI 導覽

如要用 WebUI 執行任務,必須先瀏覽到相應的對話方塊,然後在該對話方塊中定 義物件和設定參數。每個任務的說明集分為瀏覽路徑及組態設定兩個部分 : 下圖列出了前往具有以下組態設定之位址組態對話方塊的路徑 : Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: addr_1 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.5/32 Zone: Untrust 圖 3: 瀏覽路徑與組態設定

文件慣例

„

xi


概念與範例 ScreenOS 參考指南

Juniper Networks 文件 要獲得任何 Juniper Networks 產品的技術文件,請造訪 www.juniper.net/techpubs/。 如需技術支援,請使用 http://www.juniper.net/support/ 的 Case Manager 連結來開 啟一個支援案例,或電洽 1-888-314-JTAC ( 美國境內 ) 或 1-408-745-9500 ( 美國境 外 )。 如果在本文件中發現任何錯誤或遺漏,請用下面的電子郵件位址與我們連絡 : techpubs-comments@juniper.net

xii

„

Juniper Networks 文件


第1章

網際網路通訊協定安全性 本章介紹「網際網路通訊協定安全性 (IPSec)」的元素並說明它們與虛擬私人網路 (VPN) 通道相關的方式。本章包括下列各節 : „

第 2 頁上的「虛擬私人網路簡介」

„

第 3 頁上的「IPSec 概念」

„

„

„

第 4 頁上的「模式」

„

第 5 頁上的「通訊協定」

„

第 6 頁上的「金鑰管理」

„

第 7 頁上的「安全性關聯」

第 8 頁上的「通道交涉」 „

第 8 頁上的「階段 1」

„

第 10 頁上的「階段 2」

第 11 頁上的「IKE 與 IPSec 封包」 „

第 11 頁上的「IKE 封包」

„

第 14 頁上的「IPSec 封包」

„

1


概念與範例 ScreenOS 參考指南

虛擬私人網路簡介 虛擬私人網路 (VPN) 提供跨越公用廣域網路 (WAN) ( 例如,網際網路 ) 在遠端電腦 之間安全通訊的方法。 VPN 連接可以連結兩個區域網路 (LAN) 或一個遠端撥接使用者和一個 LAN。在這 兩點間流動的通訊流量通過共享的資源,例如,路由器、交換機以及其他組成公用 WAN 的網路設備。若要在通過 WAN 時保證 VPN 通訊的安全性,兩個參與者會建 立一個「IP 安全性 (IPSec)」通道。 注意 :

術語「通道」並不表示是「傳輸」模式或「通道」模式 ( 請參閱第 4 頁上的「模 式」)。其所指的是 IPSec 連接。 IPSec 通道由一對指定安全參數指數 (SPI) 的單向「安全性應用程式 (SA)」 ( 位於通 道的兩端 )、目的 IP 位址以及使用的安全通訊協定 (「確認標頭」或「封裝安全性 酬載」) 組成。 如需 SPI 的詳細資訊,請參閱 第 7 頁上的「安全性關聯」。如需 IPSec 安全通訊 協定的詳細資訊,請參閱 第 5 頁上的「通訊協定」。 透過 SA,IPSec 通道可以提供下列安全功能 : „

私密性 ( 透過加密 )

„

內容完整性 ( 透過資料驗證 )

„

傳送者驗證和認可 ( 如果使用認證 ) ( 透過資料來源驗證 )

根據您的需要採用安全功能。如果僅需驗證 IP 封包來源和內容的完整性,您可以 不套用任何加密而驗證此封包。但是,如果僅想保護私密性,您可以不套用任何驗 證機制而對此封包加密。此外,也可以同時加密和驗證封包。大多數網路安全性設 計者都選擇加密、驗證,以及對其 VPN 通訊流量進行重播保護。 ScreenOS 支援 IPSec 技術,使用兩種金鑰建立機制建立 VPN 通道 :

2

„ 虛擬私人網路簡介

„

手動金鑰

„

使用預先共享金鑰或認證的「自動金鑰 IKE」


第 1 章 : 網際網路通訊協定安全性

IPSec 概念 「IP 安全性 (IPSec)」是一套用於在 IP 封包層處用密碼保護通訊的相關通訊協定。 IPSec 由兩種模式和兩種主要通訊協定組成 : „

傳輸模式和通道模式

„

用於驗證的「驗證標頭 (AH)」通訊協定和用於加密 ( 和驗證 ) 的「封裝安全性 酬載 (ESP)」通訊協定。

IPSec 也提供用於「安全性應用程式 (SA)」和金鑰分配的手動和自動交涉方法,包 括在「轉譯網域 (DOI)」中為其收集的所有屬性。請參閱 RFC 2407 和 RFC 2408。 圖 4: IPSec 架構 傳輸模式

通道模式

注意 : ScreenOS 不支 援具 AH 的 「透明」 模式。

AH 通訊協定

ESP 通訊協定

加密演算法 (DES,3DES)

驗證演算法 (MD5,SHA-1)

轉譯網域 (DOI)

SA 和 「金鑰管理」 ( 「手動」和 「自動」 )

注意 :

IPSec「轉譯網域 (DOI)」是一個文件,其中包含 VPN 通道成功交涉所需的所有安 全性參數定義,特別是 SA 和 IKE 交涉所需的所有屬性。

IPSec 概念

„

3


概念與範例 ScreenOS 參考指南

模式 IPSec 以兩種模式之一運作,即傳輸模式或通道模式。當通道兩端都是主機時,可 以使用任一模式。至少有一個通道終點是安全性閘道 ( 例如,路由器或防火牆 ) 時,就必須使用通道模式。Juniper Networks 安全性裝置一定會對 IPSec 通道執行 通道模式,並對 IPSec 上的 L2TP 通道執行傳輸模式。

傳輸模式 原始 IP 封包沒有封裝在另一個 IP 封包中,如圖 5 中所示。整個封包都可以驗證 ( 使用 AH),負載可以加密 ( 使用 ESP),原始標頭仍保留透過 WAN 傳送的純文字。 圖 5: 傳輸模式 IP 封包 傳輸模式 -- AH

原始

AH

負載

已驗證

傳輸模式 -- ESP

原始

ESP

負載 已加密 已驗證

通道模式 整個原始 IP 封包 ( 負荷和標頭 ) 都封裝在另一個 IP 負荷中,並且附加了新標頭, 如圖 6 中所示。整個原始封包可以進行加密、驗證或兩者兼具。有了 AH,也可以 驗證 AH 和新標頭。有了 ESP,也可以驗證 ESP 標頭。 圖 6: 通道模式 IP 封包 通道模式 -- AH

新標頭

AH 標頭

原始封包已封裝。 負載

原始標頭

已驗證

通道模式 -- ESP

新標頭

ESP 標頭

原始標頭

負載 已加密 已驗證

在站台對站台的 VPN 中,新標頭中使用的來源位址和目的位址是向外介面的 IP 位 址 ( 在 NAT 或「路由器」模式中 ),或是 VLAN1 IP 位址 ( 在「透明」模式中 );已 封裝的封包來源位址和目的位址是連接最終端點的位址。

4

„ IPSec 概念


第 1 章 : 網際網路通訊協定安全性

圖 7: 通道模式下站台對站台 VPN 裝置 -A 通道閘道

裝置 -B 通道閘道 網際網路

LAN

LAN 通道

1

2 B

A A

B

1

負載

2

A

B

A

負載

B

負載

原始封包已封裝。

在撥接 VPN 中,通道的 VPN 撥接用戶端沒有通道閘道;通道直接延伸到用戶端本 身。在這種情況下,在撥接用戶端傳送的封包上,新標頭和已封裝的原始標頭具有 相同的 IP 位址 : 即用戶端電腦的位址。 注意 :

某些 VPN 用戶端 ( 如 NetScreen-Remote) 允許定義虛擬內部 IP 位址。在這些情況 下,虛擬內部 IP 位址是來自用戶端的通訊流量的原始封包標頭中的來源 IP 位 址,ISP 動態分配給撥接用戶端的 IP 位址是外部標頭中的來源 IP 位址。

圖 8: 通道模式下的撥接 VPN 裝置 -B 通道閘道

網際網路 VPN 撥接用戶端

LAN 通道

A=1

A

B

2 1

負載

2

A

B

負載

B A

B

負載

原始封包已封裝。

通訊協定 IPSec 使用兩種通訊協定以保護 IP 層的通訊 : „

驗證標頭 (AH) - 驗證 IP 封包來源和確認其內容完整性的安全通訊協定。

„

封裝安全性酬載 (ESP) - 加密整個 IP 封包 ( 以及驗證其內容 ) 的安全通訊協定。

驗證標頭 「驗證標頭 (AH)」通訊協定提供確認內容真實性 / 完整性及封包來源的方法。可以 透過總和檢查碼來驗證此封包,總和檢查碼是使用金鑰和 MD5 或 SHA-1 雜湊功能 透過雜湊式訊息驗證程式碼 (HMAC) 計算得出的。

IPSec 概念

„

5


概念與範例 ScreenOS 參考指南

注意 :

„

「資訊整理」版本 5 (MD5) - 從隨意長度訊息和 16 位元組金鑰產生 128 位元 雜湊 ( 也稱為數位簽名或資訊整理 ) 的演算法。產生的雜湊 ( 如同輸入的指印 ) 會用來驗證內容和來源的真實性與完整性。

„

安全雜湊演算法 1 (SHA-1) - 從隨意長度訊息和 20 位元組金鑰產生 160 位元雜 湊的演算法。一般認為它比 MD5 更安全,因為它產生的雜湊更大。由於運算 處理在 ASIC 中執行,所以效能成本可以加以忽略。

如需 MD5 和 SHA-1 雜湊演算法的詳細資訊,請參閱以下的 RFC: (MD5) 1321、 2403、(SHA-1) 2404。如需 HMAC 的資訊,請參閱 RFC 2104。

封裝安全性酬載 「封裝安全性酬載 (ESP)」通訊協定提供確定私密性 ( 加密 )、來源驗證和內容完整 性 ( 驗證 ) 的方法。通道模式下的 ESP 封裝整個 IP 封包 ( 標頭和負載 ),然後將新 的 IP 標頭附加到剛加密的封包上。新 IP 標頭中包含有需要通過網路路由受保護資 料的目的位址。 利用 ESP,可以加密並驗證、僅加密或僅驗證。對於加密,可以選擇下列加密演算 法中的一種 : „

資料加密標準 (DES) - 帶有 56 位元金鑰的密碼區塊演算法。

„

三重 DES (3DES) - 使用 168 位元金鑰的 DES 增強版本,在其中套用了三次原 始 DES 演算法。DES 的效能更好,但卻無法用於許多絕密或機密材料傳輸。

„

進階加密標準 (AES) - 新興的加密標準,當全球的網際網路基礎設施都採用此 標準時,將提供和其他網路安全性裝置之間更強的交互操作性。ScreenOS 支 援使用 128 位元、192 位元和 256 位元金鑰的 AES。

對於驗證,可以使用 MD5 或 SHA-1 演算法。 注意 :

雖然可以選擇 NULL 進行驗證,但在此情況下已證實 IPSec 可能容易遭受攻擊。 因此,選擇 NULL 進行驗證是不明智的行為。

金鑰管理 金鑰的分配和管理是成功使用 VPN 的關鍵。IPSec 支援手動和自動金鑰分配方法。

手動金鑰 利用手動金鑰,通道兩端的管理員可以組態所有的安全性參數。對於靜態的小型網 路來說,���是一種可行的技術,在這種網路中,金鑰的分配、維護和追蹤都不太困 難。但是,要跨越長距離安全地配置手動金鑰組態則會有安全性問題。除了面對面 傳輸金鑰外,您不能完全保證在傳輸過程中金鑰不會被洩漏。同時,每次要變更金 鑰時,就像最初分配金鑰一樣,需面對同樣的安全性問題。

自動金鑰 IKE 需要建立和管理多個通道時,就需要一種不必手動組態每一個元素的方法。IPSec 使用「網際網路金鑰交換 (IKE)」通訊協定支援金鑰的自動產生和交涉以及安全性 應用程式。ScreenOS 中將此自動通道交涉稱為「自動金鑰 IKE」,並支援帶有預 先共享金鑰的「自動金鑰 IKE」和帶有認證的「自動金鑰 IKE」。 6

„ IPSec 概念


第 1 章 : 網際網路通訊協定安全性

具有預先共享金鑰的自動金鑰 IKE 透過使用預先共享金鑰的「自動金鑰 IKE」來驗證 IKE 會話中的參與者時,各端都 必須事先組態和安全地交換預先共享金鑰。在這種情況下,安全金鑰分配問題就和 使用手動金鑰時的問題相同。然而,一旦分配金鑰後,自動金鑰就可使用 IKE 通 訊協定,在預先確定的時間間隔內自動變更其金鑰 ( 與手動金鑰不同 )。經常變更 金鑰會大大提高安全性,自動變更金鑰會大大減少金鑰管理任務。但是,變更金鑰 會增加通訊流量虛耗,因此,過於頻繁地變更金鑰會降低資料傳輸效率。 注意 :

預先共享金鑰是用於加密和解密的金鑰,參與者雙方在開始通訊前都必須擁有此 金鑰。

具有認證的自動金鑰 IKE 當在「自動金鑰 IKE」交涉中使用認證驗證參與者時,雙方都會產生一個公開 / 私 密金鑰組 ( 請參閱第 17 頁上的「公開金鑰密碼編譯」) 並取得認證 ( 請參閱第 22 頁上的「認證和 CRL」)。只要雙方都信任發行的憑證授權單位 (CA),參與者就可 擷取對等方的公開金鑰並確認對等方的簽名。沒有必要對金鑰和 SA 進行追蹤, IKE 將自動進行追蹤。 注意 :

如需手動金鑰和「自動金鑰 IKE」通道的範例,請參閱第 71 頁上的「站台對站台 的虛擬私人網路」。

安全性關聯 安全性應用程式 (SA) 是 VPN 參與者之間用於確定通道安全有關方法和參數的單向 協議。完整的雙向通訊需要至少兩個 SA,每個導向使用一個。 SA 群組下列元件以用於保證通訊安全 : „

安全性演算法和金鑰

„

通訊協定模式 ( 傳送或通道 )

„

金鑰管理方法 ( 手動金鑰或「自動金鑰 IKE」)

„

SA 生命週期

對於向外 VPN 通訊流量,政策將調用和 VPN 通道相關聯的 SA。對於向內通訊流 量,安全性裝置透過使用以下的 triplet ( 三個一組 ) 來查詢 SA: „

目的地 IP

„

安全性通訊協定 (AH 或 ESP)

„

安全性參數索引 (SPI) 值

IPSec 概念

„

7


概念與範例 ScreenOS 參考指南

通道交涉 對於手動金鑰 IPSec 通道,由於已經預先定義了所有 SA 參數,就不必交涉要使用 哪個 SA。本質上,通道已經建立了。當通訊流量與使用該手動金鑰通道的政策相 配對時,或當路由器包含此通道時,安全性裝置將按所確定的方式僅加密和驗證資 料,並將其轉寄到目的閘道。 若要建立「自動金鑰 IKE」IPSec 通道,需要進行兩個階段的交涉 : „

在「階段 1」,參與者會建立一個將在其中交涉 IPSec SA 的安全通道。

„

在「階段 2」,參與者會交涉用於加密和驗證使用者資料連續交換的 IPSec SA。

階段 1 「自動金鑰 IKE」通道交涉的「階段 1」由如何驗證和保護通道的提議交換組成。 交換可以在兩種模式的其中一種中進行 : 挑釁式模式或主要模式。使用任一種模式 時,參與者會交換可接受的安全性服務提議,例如 : „

加密演算法 (DES 和 3DES) 和驗證演算法 (MD5 和 SHA-1)。如需這些演算法的 詳細資訊,請參閱 第 5 頁上的「通訊協定」。

„

Diffie-Hellman 群組 ( 請參閱第 9 頁上的「Diffie-Hellman 交換」。)

„

預先共享金鑰或 RSA/DSA 認證 ( 請參閱第 6 頁上的「自動金鑰 IKE」)。

當通道的兩端都同意接受所提出的至少一組「階段 1」安全參數,並處理參數時, 就結束一個成功的「階段 1」交涉。Juniper Networks 安全性裝置最多支援四個 「階段 1」交涉的提議,讓您可以定義對一系列安全性參數的限制程度,以便接受 金鑰交涉。 ScreenOS 提供的預先定義「階段 1」提議如下 : „

標準 : pre-g2-aes128-sha 和 pre-g2-3des-sha

„

相容 : pre-g2-3des-sha、pre-g2-3des-md5、pre-g2-des-sha 和 pre-g2-des-md5

„

基本 : pre-g1-des-sha 和 pre-g1-des-md5

也可以定義自訂的「階段 1」提議。

主要模式和挑釁式模式 「階段 1」可能發生在主要模式或挑釁式模式中。這兩種模式的描述如下。 主要模式 : 初始程式和接受方傳送三個雙向交換 ( 總共六條訊息 ) 以完成下列服務 :

8

„ 通道交涉

„

第一次交換 ( 訊息 1 和 2): 提議並接受加密和驗證演算法。

„

第二次交換 ( 訊息 3 和 4): 執行 Diffie-Hellman 交換,初始程式和接受方各提供 一個偽隨機號碼。

„

第三次交換 ( 訊息 5 和 6): 傳送並確認身份。


第 1 章 : 網際網路通訊協定安全性

在第三次交換訊息時傳輸的資訊由在前兩次交換中建立的加密演算法保護。因此, 在純文字中沒有傳輸參與者的身份。 挑釁式模式 : 初始程式和接受方到達相同的物件,但僅進行兩次交換,總共有三條 訊息 : „

第 1 條訊息 : 初始程式提議 SA、初始化 Diffie-Hellman 交換,並傳送一個偽隨 機號碼及其 IKE 身份。

„

第 2 條訊息 : 接受方接受 SA、驗證初始程式,並傳送一個偽隨機號碼及其 IKE 身份,以及傳送接受方的認證 ( 如果使用認證 )。

„

第 3 條訊息: 初始程式驗證接受方、確認交換,並傳送初始程式的認證 (如果使 用認證 )。

由於參與者的身份是在純文字中交換的 ( 在前兩條訊息中 ),所以 Aggressive Mode ( 挑釁式模式 ) 不提供身份保護。 注意 :

當撥接 VPN 使用者使用預先定義的金鑰交涉「自動金鑰 IKE」通道時,必須使用 Aggressive Mode ( 挑釁式模式 )。也請注意撥接 VPN 使用者也可以使用電子郵件 位址、完全合格的網域名稱 (FQDN) 或 IP 位址作為其 IKE ID。動態對等方可以使 用電子郵件位址或 FQDN,但不可以使用 IP 位址。

Diffie-Hellman 交換 Diffie-Hellman (DH) 交換允許參與者產生一個共享的秘密值。該技術的優點在於它 允許參與者在未保全的媒體上建立秘密值,而不把此秘密值透過網線傳遞。有五個 Diffie-Hellman 群組;ScreenOS 支援群組 1、2 和 5。在各群組的計算中所使用主 要模數的大小都有差異,如下所述 :

注意 :

„

DH 群組 1: 768 位元模數

„

DH 群組 2: 1024 位元模數

„

DH 群組 5: 1536 位元模數

「DH 組 1」安全性的強度已經降低,我們不建議使用。 一般認為模數越大,產生的金鑰就越安全;但是,模數越大,金鑰產生過程就越 長。由於每個 DH 群組的模數大小都不同,因此參與者必須同意使用相同的群組。

注意 :

如果組態多個 ( 最多四個 ) 「階段 1」交涉提議,請在所有的提議中使用相同的 Diffie-Hellman 群組。同樣的準則可套用到「階段 2」交涉的多個提議。

通道交涉

„

9


概念與範例 ScreenOS 參考指南

階段 2 當參與者建立了一個已驗證的安全通道後,會繼續執行「階段 2」,在此階段中, 他們將交涉 SA 以保護要透過 IPSec 通道傳輸的資料。 與「階段 1」的過程相似,參與者交換提議以確定要在 SA 中應用的安全參數。 「階段 2」提議也包括一個安全性通訊協定 (「封裝安全性酬載 (ESP)」或「驗證標 頭 (AH)」) 和選擇的加密和驗證演算法。如果需要「完美轉送安全性 (PFS)」,提 議中還可以指定一個 Diffie-Hellman 群組。 不管在「階段 1」中使用何種模式,「階段 2」總是在「快速」模式中執行,並且 包括三條訊息的交換。 Juniper Networks 安全性裝置最多支援四個「階段 2」交涉的提議,讓您可以定義 對一系列通道參數的限制程度,以便接受它們。ScreenOS 也提供重播保護功能。 使用此功能不需要交涉,因為封包一定會和序號一起傳送。您只能選擇要不要檢查 序號。( 有關重播保護的詳細資訊,請參閱第 10 頁上的「重播保護」。) ScreenOS 提供的預先定義「階段 2」提議如下 : „

標準 : g2-esp-3des-sha 和 g2-esp-aes128-sha

„

相容 : nopfs-esp-3des-sha、nopfs-esp-3des-md5、nopfs-esp-des-sha 和 nopfs-esp-des-md5

„

基本 : nopfs-esp-des-sha 和 nopfs-esp-des-md5

也可以定義自訂的「階段 2」提議。 在「階段 2」中,對等方也交換 proxy ID。proxy ID 是一個三部份組合,由本機 IP 位址、遠端 IP 位址和服務組成。兩個對等方的 proxy ID 必須配對,這意味著兩個 對等方的 proxy ID 中指定的服務必須相同,並且為一個對等方指定的本機 IP 位址 必須與為另一個對等方指定的遠端 IP 位址相同。

完美轉送安全性 「完美轉送安全性 (PFS)」是一種用於衍生「階段 2」金鑰的方法,與前述金鑰無 關。此外,「階段 1」提議會建立金鑰 (SKEYID_d 金鑰 ),從其中將衍生所有的 「階段 2」金鑰。SKEYID_d 金鑰可以用最低的 CPU 處理產生「階段 2」金鑰。 不巧的是,如果某個未授權方得到 SKEYID_d 金鑰的存取權,將洩漏所有的加密 金鑰。 PFS 透過對每個「階段 2」通道強制產生新的 Diffie-Hellman 金鑰交換來解決此安 全風險。雖然在啟用 PFS 後,「階段 2」中的重新建立金鑰過程可能需要稍微更長 的時間,但使用 PFS 比較安全。

重播保護 當有人截取一系列封包並稍後使用封包大量攻擊系統、導致服務中斷 (DoS) 或進入 受信任的網路時會發生重播攻擊。重播保護功能會讓安全性裝置檢查每一個 IPSec 封包,以檢視以前是否接收過此封包。如果封包到達時在指定的序列範圍外,安全 性裝置會拒絕封包。

10

„ 通道交涉


第 1 章 : 網際網路通訊協定安全性

IKE 與 IPSec 封包 IPSec VPN 通道包含兩個主要元素 : „

通道設定 : 對等方先建立安全性關聯 (SA),此關聯可定義用於保護傳遞於它們 之間的通訊流量的參數。每一端的管理員可手動定義 SA,也可以透過 IKE「階 段 1」和「階段 2」交涉動態定義 SA。「階段 1」可發生在主要模式或挑釁式 模式中。階段 2 始終發生在快速模式中。

„

套用的安全性 : IPSec 會使用 SA 中已定義的安全性參數 ( 對等方均同意 ),在通 道建立期間保護在兩個通道端點之間傳送的通訊流量。IPSec 可套用於兩種模 式之一,即傳輸模式或通道模式。兩種模式都支援兩個 IPSec 通訊協定 - 封裝 安全性負載 (Encapsulating Security Payload,ESP) 與驗證標頭 (Authentication Header,AH)。

如欲得知在 VPN 通道的 IKE 和 IPSec 階段進行的封包處理說明,請參閱本頁的 「IKE 封包」及第 14 頁上的「IPSec 封包」。這些章節分別顯示 IKE 及 IPSec 的封 包標題。

IKE 封包 當明文封包到達安全性裝置,需要通道開通但該通道又無活動的階段 2 SA 時,安 全性裝置會開始進行 IKE 交涉 ( 並卸除封包 )。IP 封包標頭中的來源和目的地位址 分別是本機和遠端 IKE 閘道的來源和目的地位址。在 IP 封包負載中,有一個封裝 ISAKMP (IKE) 封包的 UDP 片段。IKE 封包的格式與「階段 1」和「階段 2」相同。 注意 :

卸除初始 IP 封包時,來源主機會重新將其傳送。一般而言,在第二個封包到達安 全性裝置前,IKE 交涉已經完成,安全性裝置會在轉寄該封包前,使用 IPSec 保 護它 ( 以及會話中的所有後續封包 )。

IKE 與 IPSec 封包

„

11


概念與範例 ScreenOS 參考指南

圖 9: IKE 封包 ( 對於「階段 1」及「階段 2」) IP 標頭

UDP 標頭

ISAKMP 標頭

負載

注意 : ISAKMP 是 IKE 使用的封包格式。

IP 標頭 標頭長度

版本

封包總長度 ( 以位元組為單位 )

服務類型 0

識別 活動時間 (TTL)

D

M

片段偏移

通訊協定 (UDP 使用 17)

標頭總和檢查碼

來源位址 ( 本機對等方的閘道 ) 目的地位址 ( 遠端對等方的閘道 ) IP 選項 ( 如果有的話 )

填補

IP 負載 UDP 標頭 來源連接埠 (IKE 使用 500)

目的地連接埠 (IKE 使用 500) 總和檢查碼

長度 UDP 負載 ISAKMP 標頭 ( 對於 IKE) 初始程式的 Cookie 回應程式的 Cookie ( 第一個封包使用 0000) 下一個負載

主要版本

次要版本

交換類型

旗標

訊息 ID 訊息長度 ISAKMP 負載

Next Payload 欄位包含一個數字,此數字表示下列負載類型之一 :

12

„ IKE 與 IPSec 封包

„

0002 - SA 交涉負載 : 包含「階段 1」或「階段 2」SA 的定義。

„

0004 - 提議負載 : 可以是「階段 1」或「階段 2」提議。

„

0008 - 轉換負載 : 轉換負載會被封裝成提議負載,而提議負載又被封裝成 SA 負載。

„

0010 - 金鑰交換 (KE) 負載 : 包含執行金鑰交換所必備的資訊,例如 Diffie-Hellman 公共值。


第 1 章 : 網際網路通訊協定安全性

„

0020 - 識別 (IDx) 負載。 „

在階段 1 中,IDii 表示初始程式 ID,而 IDir 表示回應程式 ID。

„

在階段 2 中,IDui 表示使用者初始程式,IDur 表示使用者回應程式。 ID 屬於 IKE ID 類型 ( 例如 FQDN、U-FQDN、IP 位址和 ASN.1_DN)。

„

0040 - 認證 (CERT) 負載。

„

0080 - 認證要求 (CERT_REQ) 負載。

„

0100 - 雜湊 (HASH) 負載 : 包含特定雜湊功能的整理輸出結果。

„

0200 - 簽名 (SIG) 負載 : 包含數位簽名。

„

0400 - 亂數 (Nx) 負載 : 包含交換時所必備的某些偽隨機資訊。

„

0800 - 通知負載。

„

1000 - ISAKMP 刪除負載。

„

2000 - 供應商 ID (VID) 負載 : 可涵蓋在「階段 1」交涉的任意處。ScreenOS 使 用它來標記對 NAT-T 的支援。

每個 ISAKMP 負載均以相同的通用標頭作為開始,如圖 10 中所示。 圖 10: 通用 ISAKMP 負載標頭 下一個標頭

負載長度 ( 以位元組為單位 )

已保留 負載

可能會有多個 ISAKMP 負載鏈結在一起,Next Header 欄位中的值用來表示每個後 續負載類型。值 0000 表示最後一個 ISAKMP 負載。請參閱第 14 頁上的圖 11 以檢 視範例。

IKE 與 IPSec 封包

„

13


概念與範例 ScreenOS 參考指南

圖 11: 具有通用 ISAKMP 負載的 ISAKMP 標頭 初始程式的 SPI 回應程式的 SPI ( 第一個封包使用 0000) 下一個負載 (SA 使用 0002)

主要版本

次要版本

交換類型

旗標

ISAKMP 標頭

訊息 ID 訊息總長度 下一個標頭 ( 提議使用 0004)

SA 負載長度

已保留

SA 負載

SA 負載 下一個標頭 ( 轉換使用 0008)

提議負載長度

已保留

提議 負載

提議負載 下一個標頭 ( 末尾使用 0000)

已保留

轉換負載長度

轉換 負載

轉換負載

IPSec 封包 在 IKE 交涉已完成,且兩個 IKE 閘道已建立「階段 1」和「階段 2」安全性關聯 (SA) 之後,安全性裝置會將 IPSec 保護功能套用於後續的明文 IP 封包,這些封包 是由 IKE 閘道後方的主機傳送給另一個閘道後方的主機的 ( 假定政策允許此通訊流 量 )。如果「階段 2 SA」在通道模式下指定封裝安全性通訊協定 (ESP),則封包即 如下所示。安全性裝置會將兩個額外的標頭新增到初始主機傳送的原始封包中。 注意 :

若需有關 ESP 的資訊,請參閱第 6 頁上的「封裝安全性酬載」。如需���關通道模 式的資訊,請參閱第 4 頁上的「通道模式」。

圖 12: IPSec 封包 - 通道模式下的封裝安全性負載 (ESP) IPSec 封包 透過 IKE 閘道傳送 IP2 標頭

ESP 標頭

原始封包 透過初始主機傳送 IP1 標頭

TCP 標頭

負載

本機閘道會將 這些標頭新增到封包中。

如圖 12 所示,初始主機建構的封包包括負載、TCP 標頭,以及內部 IP 標頭 (IP1)。 安全性裝置新增的外部 IP 標頭 (IP2) 包含作為目的地 IP 位址之遠端閘道的 IP 位 址,以及作為來源 IP 位址之本機安全性裝置的 IP 位址。安全性裝置也會將 ESP 標 頭新增至外部與內部 IP 標頭之間。ESP 標頭包含的資訊可讓遠端對等方正確地處 理其所收到的封包。此於第 15 頁上的圖 13 中加以說明。

14

„ IKE 與 IPSec 封包


第 1 章 : 網際網路通訊協定安全性

圖 13: 外部 IP 標頭 (IP2) 及 ESP 標頭 外部 IP 標頭 (IP2) 版本

標頭長度

封包總長度 ( 以位元組為單位 )

服務類型 0

識別

D

M

通訊協定 (ESP 使用 17)

活動時間 (TTL)

片段偏移 標頭總和檢查碼

來源位址 ( 本機對等方的閘道 ) 目的地位址 ( 遠端對等方的閘道 ) IP 選項 ( 如果有的話 )

填補

負載 ESP 標頭 遠端對等方的安全性參數索引 (SPI)* 序號 * 初始化向量 * (IV) - 資料欄位的前 8 個八位元組

已驗證

負載資料 ** ( 可變 )

已加密 填補 ** 0-255 位元組 )

填補長度 **

下一個標頭 (IP 使用 4)**

驗證資料 ( 可變 ) * = 已經過驗證的封包區段 ** = 已經過加密的封包區段

Next Header 欄位可指明負載欄位內的資料類型。在通道模式下,此值為 4,代表 IP-in-IP。如果 ESP 套用於 Transport 模式,則此值可指明「傳輸」層通訊協定,例 如 TCP 使用 6,或 UDP 使用 17。

IKE 與 IPSec 封包

„

15


概念與範例 ScreenOS 參考指南

圖 14: 內部 IP 標頭 (IP1) 及 TCP 標頭 內部 IP 標頭 (IP1) 版本

封包總長度 ( 以位元組為單位 )

服務類型

標頭長度

0

識別

D

M

通訊協定 (TCP 使用 6)

活動時間 (TTL)

片段偏移 標頭總和檢查碼

來源位址 ( 初始主機 ) 目的地位址 ( 接收主機 ) IP 選項 ( 如果有的話 )

填補

負載

TCP 標頭 目的地連接埠

來源連接埠 序號 確認號碼 標頭長度

已保留 總和檢查碼

U A R C G K

P S H

R S T

S Y N

F I N

緊急指標

Padding 選項 ( 若有的話 ) 資料

16

„ IKE 與 IPSec 封包

視窗大小

填補


第2章

公開金鑰密碼編譯 本章簡介公開金鑰密碼編譯,以及在「公開金鑰基礎結構 (PKI)」環境中如何使用 認證和認證撤銷清單 (CRL)。本章包含下列主題 : „

第 18 頁上的「公開金鑰密碼編譯簡介」 „

第 18 頁上的「簽名認證」

„

第 18 頁上的「確認數位簽名」

„

第 20 頁上的「公開金鑰基礎結構」

„

第 22 頁上的「認證和 CRL」

„

„

„

第 25 頁上的「載入認證和認證撤銷清單」

„

第 26 頁上的「組態 CRL 設定」

„

第 27 頁上的「自動取得本機認證」

„

第 30 頁上的「自動認證更新」

第 31 頁上的「線上認證狀態通訊協定」 „

第 31 頁上的「金鑰組產生」

„

第 32 頁上的「指定認證撤銷檢查方法」

„

第 32 頁上的「指定線上認證狀態通訊協定回應程式 URL」

第 33 頁上的「自助簽名認證」 „

第 32 頁上的「移除狀態檢查屬性」

„

第 35 頁上的「手動建立自助簽名認證」

„

第 35 頁上的「設定管理員定義的自助簽名認證」

„

第 40 頁上的「刪除自助簽名認證」

„

17


概念與範例 ScreenOS 參考指南

公開金鑰密碼編譯簡介 在公開金鑰密碼編譯中,使用公開 / 私密金鑰組加密和解密資料。用公開金鑰加密 的資料 ( 所有者公開給其他人使用 ) 只能用相應的私密金鑰 ( 所有者保密並加以保 護 ) 解密。例如,如果 Alice 想傳送加密訊息給 Bob,Alice 可用 Bob 的公開金鑰來 加密此訊息,然後傳送給他。然後,Bob 用他的私密金鑰將訊息解密。 反之亦然;也就是,用私密金鑰加密資料,並用相應的公開金鑰將資料解密。這就 是所謂的建立數位簽名。例如,如果 Alice 想將她的身份用作訊息傳送者,可以用 她的私密金鑰來加密訊息並傳送給 Bob。然後,Bob 用 Alice 的公開金鑰將訊息解 密,因此確認 Alice 確實是傳送者。 公開 / 私密金鑰組對於數位認證的使用也非常重要。( 由 CA) 簽名認證,然後 ( 由 接收者 ) 確認簽名的程序如下列小節所述。

簽名認證 1. 發佈認證的「認證授權單位 (CA)」用雜湊演算法 (SHA-1 或 MD5) 雜湊認證, 以產生整理。 2. 然後 CA「簽名」認證,方法是用其私密金鑰加密整理訊息。結果就是數位 簽名。 3. 然後 CA 將數位簽名的認證傳送給發出要求的人。

確認數位簽名 1. 接收者取得認證後,也會產生另一個整理訊息,方法是將相同的雜湊演算法 (SHA-1 或 MD5) 套用到認證檔案。 2. 接收者使用 CA 的公開金鑰將數位簽名解密。 3. 接收者將解密的整理和剛產生的整理進行比較。如果這兩個配對,接收者就能 確認 CA 簽名的完整,進而確認隨附認證的完整性。

18

„ 公開金鑰密碼編譯簡介


第 2 章 : 公開金鑰密碼編譯

圖 15: 數位簽名確認 傳送者 (CA) 1. CA 使用 MD5 或 SHA-1 雜湊演算法從認證產生整理。

整理 A

2. CA 使用其私密金鑰來加密整理 A。結果是整理 B,即 數位簽名。

認證 雜湊演算法 (MD5 或 SHA-1)

3. CA 將數位簽名的認證傳送給發出要求的人。 整理 B CA 的私密金鑰

接收者 1. 接收者使用 MD5 或 SHA-1 從認證產生整理 A。 2. 接收者使用 CA 的公開金鑰將整理 B 解密。 3. 接收者比較整理 A 與整理 B。如果配對,接收者即確認 認證沒有被修改。

整理 A 比較

認證 雜湊演算法 (MD5 或 SHA-1) 整理 B CA 的私密金鑰

在 IKE 會話中,兩個參與者之間傳送數位簽名訊息的程序非常相似,下面是不同 之處 : „

傳送者不是從 CA 認證產生整理,而是從 IP 封包負載的資料中產生。

„

參與者不使用 CA 的公開 / 私密金鑰組,而是使用傳送者的公開 / 私密金鑰組。

公開金鑰密碼編譯簡介

„

19


概念與範例 ScreenOS 參考指南

公開金鑰基礎結構 「公開金鑰基礎結構 (PKI)」是指為成功執行公開金鑰密碼編譯所需的信任階層結 構。若要確認認證的可信任度,必須能夠追蹤已確認 CA 的路徑 ( 從將本機認證發 回給 CA 網域之根權限的 CA 開始 )。 圖 16: 信任 PKI 階層 - CA 網域 根層級 CA 確認次級 CA。

次級 CA 確認本機認證 和其他 CA。

本機認證包含使用者的 公開金鑰。

20

„ 公開金鑰基礎結構


第 2 章 : 公開金鑰密碼編譯

如果僅在組織內使用認證,該組織可以有自己的 CA 網域,在其中公司 CA 發佈並 批准員工的認證。如果該組織隨後想讓其員工能與另一 CA 網域內的員工 ( 例如, 同樣擁有自己 CA 網域的另一組織中的員工 ) 交換認證,這兩個 CA 可以開發交叉 認證;也就是他們同意信任對方的授權。在這種情況下,PKI 結構不是垂直延伸, 而是水平延伸。 圖 17: 交叉認證 CA 網域 - B

CA 網域 - A

交叉認證

由於這些 CA 彼此進行交叉認證,CA 網域 A 中的使用者可對 CA 網域 B 中的使用者使用其認證和金鑰組。

為了方便和實用,PKI 的管理和執行方式必須透明。為達成此目標,ScreenOS 會 執行下列作業 : 1. 建立認證要求時,產生公開 / 私密金鑰組。 2. 以文字檔案形式提供作為認證要求一部分的公開金鑰,以傳輸到「認證確認機 構 (CA)」進行認證登記 (PKCS10 檔案 )。 3. 支援將本機認證 (CA 認證 ) 及認證撤銷清單 ( 子介面 CRL) 載入裝置。 注意 :

「認證授權單位」通常會提供 CRL。雖然能將 CRL 載入安全性裝置中,但載入後 卻不能檢視。 也可以在線上指定重新整理 CRL 的時間間隔。如需 CRL 的詳細資訊,請參閱 第 22 頁上的「認證和 CRL」。 4. 建立 IPSec 通道時提供認證傳輸。 5. 支援在 PKI 階層中向上通過八級 CA 授權機構的認證路徑確認。

公開金鑰基礎結構

„

21


概念與範例 ScreenOS 參考指南

6. 支援 PKCS #7 加密標準,這表示安全性裝置可以接受 X.509 認證及 PKCS #7 封套內封裝的 CRL。PKCS #7 支援讓您可以在單一 PKI 要求中提交多個 X.509 認證。現在您可以將 PKI 組態為同時確認所有從發佈 CA 提交的認證。 注意 :

ScreenOS 支援最多 7 KB 大小的 PKCS #7 檔案。 7. 支援透過 LDAP 或 HTTP 的線上 CRL 擷取。

認證和 CRL 數位認證是一種電子方式,透過受信任的第三方的字詞來確認您的身份,此第三方 即所謂的「認證授權單位 (CA)」。您使用的 CA 伺服器可由獨立 CA 或您自己的組 織 ( 在此情況下,您成為自己的 CA) 擁有及操作。如果使用獨立的 CA,您必須和 該 CA 連絡取得 CA 和 CRL 伺服器的位址 ( 以便取得認證及認證撤銷清單 ),並取得 提交個人認證要求時所需的資訊。您是自己的 CA 時,此類資訊自行確定。 注意 :

ScreenOS 支援下列 CA: Baltimore、Entrust、Microsoft、Netscape、RSA Keon 和 Verisign。 ScreenOS 含有從防毒 (AV) 模式檔案伺服器和「深入檢查」(DI) 攻擊物件資料庫 伺服器下載的,可用於認證的 CA 認證。如需所有病毒防護模式檔案伺服器的詳 細資訊,請參閱第 4-53 頁上的「防毒掃描」。如需所有「深入檢查」攻擊物件 資料庫伺服器的詳細資訊,請參閱第 4-96 頁上的「攻擊物件資料庫伺服器」。 若要在建立安全 VPN 連接時使用數位認證來驗證您的身份,必須先進行下列操作 : „

在安全性裝置上產生金鑰,將其傳送給 CA 以獲取個人認證 ( 也稱為本機認 證 ),並將此認證載入安全性裝置。

„

取得發佈個人認證之 CA 的 CA 認證 ( 主要用於確認將對您進行確認的 CA 的身 份 ),並將 CA 認證載入安全性裝置。您可以手動執行這項工作,或使用「簡 易認證登記通訊協定 (SCEP)」自動執行此工作。

„

如果該認證沒有包含認證分配點 (CDP) 副檔名,而且不能透過 LDAP 或 HTTP 自動擷取 CRL,您可以手動擷取 CRL,並將其載入安全性裝置。

在交易過程中,有幾個事件會使撤銷認證成為必要。如果懷疑認證已經洩漏,或當 認證持有者離開公司時,您可能會希望撤銷認證。可在本機完成管理認證撤銷和確 認 ( 這是有限制的解決方案 ),或者參考 CA 的 CRL ( 可按每天、每週或每月的時間 間隔或按 CA 設定的預設時間間隔自動在線上存取 )。 若要使用手動方法取得已簽名的數位認證,必須按下面的順序完成幾件工作 : 1. 產生公開 / 私密金鑰組。 2. 填寫認證要求。 3. 將要求提交給選擇的 CA。 4. 收到已簽名的認證後,必須將其與 CA 認證一道載入安全性裝置。

22

„ 認證和 CRL


第 2 章 : 公開金鑰密碼編譯

現在您有下列項目,可用於下列用途 :

注意 :

„

安全性裝置的本機認證,可對每個通道連接驗證您的身份

„

CA 認證 ( 其公開金鑰 ),用於確認對等方的認證

„

如果「認證撤銷清單 (CRL)」包括在 CA 認證中,由 CRL 來識別無效的認證

CA 認證可能附帶有 CRL,並儲存在 ScreenOS 資料庫中。或者,對於儲存在 CA 的資料庫中的 CRL,CA 認證可能包含 CRL URL (LDAP 或 HTTP)。如果這兩種方 法都無法讓您取得 CRL,可按第 26 頁上的「組態 CRL 設定」中的說明,在安全 性裝置中手動輸入 CRL URL 的預設伺服器設定。 收到這些檔案 ( 認證檔案通常有副檔名 .cer,而 CRL 通常有副檔名 .crl) 後,用 第 23 頁上的「手動要求認證」中說明的程序將它們載入安全性裝置。

注意 :

如果計劃使用電子郵件提交 PKCS10 檔案以取得認證,必須正確組態 ScreenOS 設定,以便能傳送電子郵件給系統管理員。必須設定主要 DNS 伺服器和次要 DNS 伺服器,並指定 SMTP 伺服器及電子郵件地址設定。

手動要求認證 要求認證時,安全性裝置會產生金鑰組。公開金鑰合併在要求本身內,而且最終會 合併到從 CA 收到數位簽名的本機認證中。 在下面的範例中,安全性管理員將為加州 Sunnyvale 的 Juniper Networks 開發部的 Michael Zhang 產生認證要求。此認證將由 IP 位址為 10.10.5.44 的安全性裝置使 用。管理員指示安全性裝置透過電子郵件將要求傳送到安全性管理員的信箱 admin@juniper.net。然後,安全性管理員將此要求複製並貼上到 CA 認證登記網站 中的認證要求文字欄位中。完成登記過程後,CA 通常使用電子郵件將認證傳回給 安全性管理員。 注意 :

僅透過 CLI 才能取得名為 domain-component 的特殊認證識別字串。裝置可以使 用認證中的此值讓 IPSec 登入至 VPN 閘道。例如,裝置可將此值作為群組 IKE ID,接受包含 "DC=Engineering, DC=NewYork" 的 ASN1_DN 類型 IKE 識別。 產生認證要求前,請確認已經設定了系統時鐘,並將主機名稱和網域名稱指派給 安全性裝置。( 如果安全性裝置在 NSRP 叢集中,用叢集名稱取代主機名稱。如 需詳細資訊,請參閱第 11-8 頁上的「建立 NSRP 叢集」。)

認證和 CRL

„

23


概念與範例 ScreenOS 參考指南

WebUI 1.

認證產生

Objects > Certificates > New: 輸入下面的內容,然後按一下 Generate: Name: Michael Zhang Phone: 408-730-6000 Unit/Department: Development Organization: Juniper Networks County/Locality: Sunnyvale State: CA Country: US E-mail: mzhang@juniper.net IP Address: 10.10.5.44 Write to file: ( 選擇 ) RSA: ( 選擇 ) Create new key pair of 1024 length: ( 選擇 )

裝置會產生 PKCS #10 檔案,並提示您透過電子郵件傳送此檔案,將其儲存到 磁片上,或透過「簡易認證登記通訊協定」(SCEP) 自動登記。 選擇 E-mail to 選項,鍵入 admin@juniper.net,然後按一下 OK。 注意 :

有些 CA 不支援認證中的電子郵件位址。如果在本機認證要求中沒有包括電子郵 件位址,則將安全性裝置組態成動態對等方時,您就不能將電子郵件位址當作本 機 IKE ID。但您可以使用完全合格的網域名稱 ( 如果它在本機認證中 ),或者不填 寫本機 ID 欄位。依預設,安全性裝置會傳送其 hostname.domainname。如果您沒 有指定動態對等方的本機 ID,請在對等方 ID 欄位中輸入 IPSec 通道另一端裝置 上對等方的 hostname.domainname。 值 1024 表示金鑰組的位元長度。如果使用 SSL 的認證 ( 請參閱第 3-4 頁上的 「安全通訊端階層」),請務必使用您的瀏覽器也支援的位元長度。 使用電子郵件位址會假設您已經為 SMTP 伺服器組態 IP 位址 : set admin mail server-name { ip_addr | dom_name }。 2.

認證要求

安全性管理員開啟檔案並複製其內容,小心注意要複製全部的文字,但不包括 文字前後的任何空格。( 開始於 "-----BEGIN CERTIFICATE REQUEST-----",結束 於 "-----END CERTIFICATE REQUEST-----"。) 然後安全性管理員遵循 CA 網站上的認證要求說明,需要時將 PKCS #10 檔案 貼到適當的欄位中。 3.

認證擷取

安全性管理員透過電子郵件從 CA 收到認證時,將其轉寄給您。將其複製到文 字檔案,並儲存到您的工作站 ( 以便稍後透過 WebUI 載入安全性裝置 ),或儲 存到 TFTP 伺服器 ( 稍後透過 CLI 載入 )。

24

„ 認證和 CRL


第 2 章 : 公開金鑰密碼編譯

CLI 1.

認證產生

set pki x509 dn country-name US set pki x509 dn email mzhang@juniper.net set pki x509 dn ip 10.10.5.44 set pki x509 dn local-name "Santa Clara" set pki x509 dn name "Michael Zhang" set pki x509 dn org-name "Juniper Networks" set pki x509 dn org-unit-name Development set pki x509 phone 408-730-6000 set pki x509 dn state-name CA set pki x509 default send-to admin@juniper.net exec pki rsa new-key 1024 注意 :

使用電子郵件位址會假設您已經為 SMTP 伺服器組態 IP 位址 : set admin mail server-name { ip_addr | dom_name }。 認證要求透過電子郵件傳送到 admin@juniper.net。 2.

認證要求

安全性管理員開啟檔案並複製其內容,小心注意要複製全部的文字,但不包括 文字前後的任何空格。( 開始於 "-----BEGIN CERTIFICATE REQUEST-----",結束 於 "-----END CERTIFICATE REQUEST-----"。) 然後安全性管理員遵循 CA 網站上的認證要求說明,需要時將 PKCS #10 檔案 貼到適當的欄位中。 3.

認證擷取

安全性管理員透過電子郵件從 CA 收到認證時,將其轉寄給您。將其複製到文 字檔案,並儲存到您的工作站 ( 以便稍後透過 WebUI 載入安全性裝置 ),或儲 存到 TFTP 伺服器 ( 稍後透過 CLI 載入 )。

載入認證和認證撤銷清單 CA 將下列三個檔案傳回給您,以便載入安全性裝置 : „

CA 認證,包含 CA 的公開金鑰

„

識別本機機器的本機認證 ( 您的公開金鑰 )

„

CRL,列出被 CA 撤銷的所有認證

對於 WebUI 範例,您已將檔案下載到管理員工作站上名為 C:\certs\ns 的目錄。 對於 CLI 範例,您已經下載 IP 位址為 198.168.1.5 的 TFTP 伺服器上的 TFTP 根目錄。 注意 :

使用 ScreenOS 2.5 或更新版本組態的 Juniper Networks 安全性裝置 ( 包括虛擬系 統 ) 支援載入多個來自不同 CA 的本機認證。 本範例說明如何載入兩個名為 auth.cer (CA 認證 ) 和 local.cer ( 您的公開金鑰 ) 的認 證檔案,以及名為 distrust.crl 的 CRL 檔案。

認證和 CRL

„

25


概念與範例 ScreenOS 參考指南

WebUI 1. Objects > Certificates: 選擇 Load Cert,然後按一下 Browse。 2. 瀏覽到 C:\certs 目錄,選擇 auth.cer,然後按一下 Open。 目錄路徑和檔案名稱 (C:\certs\ns\auth.cer) 出現在 File Browse 欄位中。 3. 按一下 Load。 載入 auth.cer 認證檔案。 4. Objects > Certificates: 選擇 Load Cert,然後按一下 Browse。 5. 瀏覽到 C:\certs 目錄,選擇 local.cer,然後按一下 Open。 目錄路徑和檔案名稱 (C:\certs\ns\local.cer) 出現在 File Browse 欄位中。 6. 按一下 Load。 載入 auth.cer 認證檔案。 7. Objects > Certificates: 選擇 Load CRL,然後按一下 Browse。 8. 瀏覽到 C:\certs 目錄,選擇 distrust.crl,然後按一下 Open。 9. 按一下 Load。 載入 distrust.crl CRL 檔案。 CLI exec pki x509 tftp 198.168.1.5 cert-name auth.cer exec pki x509 tftp 198.168.1.5 cert-name local.cer exec pki x509 tftp 198.168.1.5 crl-name distrust.crl

組態 CRL 設定 在階段 1 交涉中,參與者會檢查 CRL 清單以查看 IKE 交換期間收到的認證是否仍 然有效。如果 CA 認證沒有隨附 CRL,並且後者未載入 ScreenOS 資料庫,安全性 裝置會嘗試透過 LDAP 或 HTTP CRL 位置 ( 在 CA 認證內定義 ) 擷取 CRL。如果未 在 CA 認證內定義 URL 位址,安全性裝置會使用為該 CA 認證定義的伺服器 URL。 如果沒有為某個特定的 CA 認證定義 CRL URL,安全性裝置會參考預設 CRL URL 位址上的 CRL 伺服器。 注意 :

X509 認證中的 CRL 分佈點副檔名 (.cdp) 可以是 HTTP URL 或 LDAP URL。 載入 CRL 時,可使用 ScreenOS 2.5 及更新版本來停用檢查 CRL 數位簽名。然 而,停用 CRL 認證檢查會影響裝置的安全性。 在本範例中,先組態 Entrust CA 伺服器每天檢查 CRL,方法是連接到位址為 2.2.2.121 的 LDAP 伺服器,並找出 CRL 檔案。然後組態預設認證確認設定,以使 用位址為 10.1.1.200 之公司的 LDAP 伺服器,並每天檢查 CRL。

26

„ 認證和 CRL


第 2 章 : 公開金鑰密碼編譯

注意 :

Entrust CA 認證的索引 (IDX) 編號為 1。若要檢視安全性裝置上載入的所有 CA 認 證的 IDX 編號清單,請使用下面的 CLI 指令 : get pki x509 list ca-cert。 WebUI Objects > Certificates (Show: CA) > Server Settings ( 對於 NetScreen): 輸入下 面的內容,然後按一下 OK: X509 Cert_Path Validation Level: Full CRL Settings: URL Address: ldap:///CN=Entrust,CN=en2001,CN=PublicKeyServices, CN=Services,CN=Configuration,DC=EN2001,DC=com?CertificateRevocati onList?base?objectclass=CRLDistributionPoint LDAP Server: 2.2.2.121 Refresh Frequency: Daily

Objects > Certificates > Default Cert Validation Settings: 輸入下面的內容,然 後按一下 OK: X509 Certificate Path Validation Level: Full Certificate Revocation Settings: Check Method: CRL URL Address: ldap:///CN=NetScreen,CN=safecert,CN=PublicKeyServices, CN=Services,CN=Configuration,DC=SAFECERT,DC=com?CertificateRevoc ationList?base?objectclass=CRLDistributionPoint LDAP Server: 10.1.1.200

CLI set pki authority 1 cert-path full set pki authority 1 cert-status crl url "ldap:///CN=Entrust,CN=en2001, CN=PublicKeyServices,CN=Services,CN=Configuration,DC=EN2000,DC=com? CertificateRevocationList?base?objectclass=CRLDistributionPoint" set pki authority 1 cert-status crl server-name 2.2.2.121 set pki authority 1 cert-status crl refresh daily set pki authority default cert-path full set pki authority default cert-status crl url "ldap:///CN=NetScreen, CN=safecert,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=SAFE CERT, DC=com?CertificateRevocationList?base?objectclass=CRLDistributionPoint" set pki authority default cert-status crl server-name 10.1.1.200 set pki authority default cert-status crl refresh daily save

自動取得本機認證 若要在建立安全 VPN 連接時使用數位認證來驗證您的身份,必須先進行下列操作 : „

取得想要從中取得個人認證的認證授權單位 (CA) 認證,然後將 CA 認證載入安 全性裝置。

„

從先前已經載入了 CA 認證的 CA 中取得本機認證 ( 也稱為個人認證 ),然後將 本機認證載入安全性裝置。您可以手動執行這項工作,或使用「簡易認證登記 通訊協定 (SCEP)」自動執行。

認證和 CRL

„

27


概念與範例 ScreenOS 參考指南

因為要求本機認證的手動方法的步驟需要您在認證之間複製資訊,所以過程可能比 較長。若要繞過這些步驟,可以使用自動方法。 請注意,使用 SCEP 前必須執行下列工作 : „

組態並啟用 DNS。( 請參閱第 2-205 頁上的「網域名稱系統支援」。)

„

設定系統時鐘。( 請參閱第 2-239 頁上的「系統時鐘」。)

„

為安全性裝置指派主機名稱和網域名稱。( 如果安全性裝置在 NSRP 叢集中, 用叢集名稱取代主機名稱。如需詳細資訊,請參閱第 11-8 頁上的「建立 NSRP 叢集」。)

在本範例中,使用自動方法要求本機認證。使用具 Verisign CA 的 SCEP。設定下列 CA 設定 :

注意 :

„

完整認證路徑確認

„

RA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe

對網路伺服器來說,「通用閘道介面 (CGI)」是將使用者要求傳遞至應用程式和接 收傳回資料的標準方法。CGI 是「超文字傳輸通訊協定 (HTTP)」的一部分。即使 沒有 RA,您也必須指定 RA CGI 路徑。如果沒有 RA,使用為 CA CGI 指定的值。 „

CA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe

„

自動確認 CA 認證的完整性

„

CA ID,識別 SCEP 伺服器,其中 Verisign SCEP 伺服器使用網域名稱,如 juniper.net 或 Verisign 為貴公司設定的網域

„

詢問密碼

„

每三十分鐘的自動認證輪詢 ( 預設為不輪詢 )

然後產生 RSA 金鑰組,指定 1024 位元的金鑰長度,並初始化 SCEP 操作,以便用 上述 CA 設定從 Verisign CA 要求本機認證。 使用 WebUI 時,用名稱參考 CA 認證。使用 CLI 時,用索引 (IDX) 編號參考 CA 認 證。在本範例中,Verisign CA 的索引編號為 "1"。若要檢視 CA 認證的索引編號, 請使用下面的指令 : get pki x509 list ca-cert。輸出內容會顯示每個認證的 IDX 編 號和 ID number。記下 IDX 編號,並在指令中參考 CA 認證時使用此編號。

28

„ 認證和 CRL


第 2 章 : 公開金鑰密碼編譯

WebUI 1.

CA 伺服器設定

Objects > Certificates > Show CA > Server Settings ( 對於 Verisign): 輸入下面 的內容,然後按一下 OK: X509 certificate path validation level: Full SCEP Settings: RA CGI: http://ipsec.verisigncom/cgi-bin/pkiclient.exe CA CGI: http://ipsec.verisigncom/cgi-bin/pkiclient.exe

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 CA Server Settings 組態頁面 : Polling Interval: 30 Certificate Authentication: Auto Certificate Renew: 14 2.

本機認證要求

Objects > Certificates > New: 輸入下面的內容,然後按一下 Generate: Name: Michael Zhang Phone: 408-730-6000 Unit/Department: Development Organization: Juniper Networks County/Locality: Sunnyvale State: CA Country: US Email: mzhang@juniper.net IP Address: 10.10.5.44 Key Pair Information: RSA: ( 選擇 ) Create new key pair of 1024 length. 注意 :

值 1024 表示金鑰組的位元長度。如果使用 SSL 的認證,請務必使用您的瀏覽器 也支援的位元長度。 發出 get pki x509 pkcs CLI 指令,使安全性裝置產生 PKCS #10 檔案,然後執 行以下操作 :

3.

„

將 PKCS #10 認證要求檔案傳送到電子郵件位址

„

將之儲存到磁片

„

傳送檔案到支援「簡易認證登記通訊協定 (SCEP)」的 CA,以自動登記。

自動登記

選擇 Automatically enroll to 選項,選擇 Existing CA server settings 選項, 然後從下拉式清單中選擇 Verisign。 請與 Verisign 連絡,告知您的認證要求。必須在他們授權此認證要求後,您才 能下載認證。

認證和 CRL

„

29


概念與範例 ScreenOS 參考指南

CLI 1.

CA 伺服器設定

set pki authority 1 cert-path full set pki authority 1 scep ca-cgi "http://ipsec.verisign.com/cgi-bin /pkiclient.exe" set pki authority 1 scep ra-cgi "http://ipsec.verisign.com/cgi-bin /pkiclient.exe" set pki authority 1 scep polling-int 30 set pki authority 1 scep renew-start 14 注意 :

對網路伺服器來說,「通用閘道介面 (CGI)」是將使用者要求傳遞至應用程式和 接收傳回資料的標準方法。CGI 是「超文字傳輸通訊協定 (HTTP)」的一部分。 即使沒有 RA,您也必須指定 RA CGI 路徑。如果沒有 RA,使用為 CA CGI 指定 的值。 2.

本機認證要求

set pki x509 dn country-name US set pki x509 dn email mzhang@juniper.net set pki x509 dn ip 10.10.5.44 set pki x509 dn local-name "Santa Clara" set pki x509 dn name "Michael Zhang" set pki x509 dn org-name "Juniper Networks" set pki x509 dn org-unit-name Development set pki x509 phone 408-730-6000 set pki x509 dn state-name CA exec pki rsa new 1024 3.

自動登記

exec pki x509 scep 1

如果這是從此 CA 要求的第一個認證,會出現提示,顯示 CA 認證的指印值。您必 須與 CA 聯繫以確認這是正確的 CA 認證。 請與 Verisign 連絡,告知您的認證要求。必須在他們授權此認證要求後,您才能下 載認證。

自動認證更新 可啟用安全性裝置,以自動更新其透過「簡易認證登記通訊協定」(SCEP) 獲得的 認證。此功能使您在安全性裝置上的認證到期前,不必記住更新認證,同時,透過 同一權杖,有助於始終維持有效的認證。 預設情況下停用此功能。您可以設定安全性裝置,以便在認證到期前自動傳送要求 更新認證。您可以使用日數和分鐘數來設定時間,讓安全性裝置在認證到期前傳送 認證更新請求。透過為每個認證設定不同的時間,您可防止安全性裝置同時更新所 有認證。 要讓此功能正常執行,安全性裝置必須能夠到達 SCEP 伺服器,並且在更新過程期 間,在安全性裝置上必須存在認證。而且,要讓此功能正常執行,您還必須確定發 佈認證的 CA 可以執行以下操作 : „

30

„ 認證和 CRL

支援自動核准認證要求。


第 2 章 : 公開金鑰密碼編譯

„

返回相同的 DN ( 網域名稱 )。換句話說,CA 不能修改新認證中的主題名稱和 SubjectAltName 副檔名。

對所有 SCEP 認證或每個認證,您可以啟用和停用 SCEP 認證自動更新功能。

金鑰組產生 安全性裝置會將預先產生的金鑰保存在記憶體中。預先產生之金鑰的數量取決於裝 置模式。正常操作過程中,安全性裝置每次使用認證都產生一個新金鑰,從而可以 設法得到足夠的金鑰來更新認證。產生金鑰的過程常常被人忽視,因為需要金鑰 前,裝置已產生了一個新金鑰。如果安全性裝置一次更新大量的認證,從而很快用 完金鑰,則可能會用完預先產生的金鑰,並且不得不為每個新的請求快速產生金 鑰。在這種情況下,產生金鑰可能會影響到安全性裝置的效能,尤其是在高可用性 (HA) 環境中,在此環境中,安全性裝置的效能可能會降低長達若干分鐘。 安全性裝置上預先產生的金鑰組的數量取決於模式。如需詳細資訊,請參閱 Juniper Networks 安全性產品的說明書。

線上認證狀態通訊協定 當安全性裝置執行一個使用認證的操作時,驗證該認證的有效性通常很重要。認證 在無效或撤消過程中可能會變為無效。檢查認證狀態的預設方法是使用認證撤消清 單 (CRL)。「線上認證狀態通訊協定 (OCSP)」是一種檢查認證狀態的替換方法。 OCSP 可提供有關認證的其他資訊,並能以更適時的方式提供狀態檢查。 安全性裝置使用 OCSP 時,稱為 OCSP 用戶端 ( 或要求者 )。此用戶端將確認要求 傳送到稱為 OCSP 回應程式的伺服器裝置。ScreenOS 支援 RSA Keon 和 Verisign 作 為 OCSP 回應程式。用戶端的要求包含要檢查的認證識別。您必須先將其組態為能 夠識別 OCSP 回應程式的位置,然後安全性裝置才能執行 OCSP 操作。 注意 :

在過去大量的預估過程中,我們還成功測試了 Valicert OCSP 回應程式。 收到要求後,OCSP 回應程式確認認證的狀態資訊是可用的,然後將目前狀態傳回 安全性裝置。OCSP 回應程式的回應包括認證的撤消狀態、回應程式的名稱、以及 該回應的有效時間間隔。除非回應為錯誤訊息,否則回應程式會使用回應程式的私 密金鑰來簽名回應。安全性裝置透過使用回應程式的認證驗證回應程式簽名的有效 性。回應程式的認證可能嵌入 OCSP 回應,或在本機儲存並在 OCSP 組態中指定。 如果認證在本機儲存,請使用以下指令指定本機儲存的認證。 set pki authority id_num1 cert-status ocsp cert-verify id id_num2

id_num1 識別發佈已驗證認證的 CA 認證,而 id_num2 識別裝置用來驗證 OCSP 回應簽名的本機儲存的認證。 如果回應程式的認證未嵌入 OCSP 回應或沒有在本機儲存,則安全性裝置會透過使 用發佈審議中認證的 CA 認證來驗證簽名。 您可以使用 CLI 指令為 OCSP 組態安全性裝置。多數的 CLI 指令使用識別號碼,為 撤銷參考 URL 和 CA 認證建立關聯。您可以使用下面的 CLI 指令取得此 ID number: get pki x509 list ca-cert

線上認證狀態通訊協定

„

31


概念與範例 ScreenOS 參考指南

注意 :

列出 CA 認證時,安全性裝置將 ID number 以動態方式指派給 CA 認證。修改認 證記憶體後,此號碼可能會變更。

指定認證撤銷檢查方法 若要為特殊 CA 的認證指定撤銷檢查方法 (CRL、OCSP 或無方法 ),請使用下面的 CLI 語法 : set pki authority id_num cert-status revocation-check { CRL | OCSP | none }

其中 id_num 是認證的識別號碼。 下面的範例指定 OCSP 撤銷檢查 : set pki authority 3 cert-status revocation-check ocsp

ID number 3 識別 CA 的認證。

檢視狀態檢查屬性 若要顯示特殊 CA 的狀態檢查屬性,請使用下面的 CLI 語法 : get pki authority id_num cert-status

其中 id_num 是由 CA 發佈的認證的識別號碼。 若要顯示發佈了認證 7 的 CA 的狀態檢查屬性 : get pki authority 7 cert-status

指定線上認證狀態通訊協定回應程式 URL 若要指定特殊認證的 OCSP 回應程式的 URL 字串,請使用下面的 CLI 語法 : set pki authority id_num cert-status ocsp url url_str

若要指定 CA ( 其認證在索引 5 中 ) 的 OCSP 回應程式 (http:\\192.168.10.10) 的 URL 字串,請使用下面的 CLI 語法 : set pki authority 5 cert-status ocsp url http:\\192.168.10.10

若要刪除認證 5 的 CRL 伺服器的 URL (http:\\192.168.2.1): unset pki authority 5 cert-status ocsp url http:\\192.168.2.1

移除狀態檢查屬性 若要刪除發佈了特殊認證的 CA 的所有認證狀態檢查屬性,請使用下面的語法 : unset pki authority id_num cert-status

若要刪除與認證 1 相關的所有撤銷屬性,請使用下面的語法 : unset pki authority 1 cert-status

32

„ 線上認證狀態通訊協定


第 2 章 : 公開金鑰密碼編譯

自助簽名認證 自助簽名認證是指經過某個單位簽名並發給該單位的認證;也就是說,認證的發行 者與發行對象相同。例如,所有根認證授權單位 (Certificate Authority,CA) 的 CA 認證都是自助簽名的。 當您首次開啟安全性裝置的電源時,因為沒有已組態好的安全通訊端階層 (Secure Sockets Layer,SSL) 的認證,所以裝置會在電源開啟時自動產生自助簽名的認證。 建立自動產生之自助簽名認證的安全性裝置是使用該自助簽名認證的唯一裝置。該 裝置絕對不會將此認證匯出至外部。即使安全性裝置在 NetScreen 冗餘通訊協定 (NetScreen Redundancy Protocol,NSRP) 叢集中,它也不會在同步化叢集內其他 成員的 PKI 物件時,將使用其他認證類型的自動產生自助簽名認證納入。( 但 NSRP 成員的確會交換手動產生之自助簽名認證。如需有關手動產生自助簽名認證 的資訊,請參閱第 35 頁上的「手動建立自助簽名認證」。) 雖然您無法匯出自動產生之自助簽名認證,但可複製其主旨名稱和指印。然後您可 將其傳送給遠端管理員,遠端管理員之後再使用該主旨名稱和指印來驗證 SSL 交 涉期間所接收到的自助簽名認證。檢查主旨名稱和指印是遏止「攔截式攻擊」的一 種重要防範措施,所謂的「攔截式攻擊」,是指某個人截取 SSL 連線嘗試,並以 他自己的自助簽名認證回應,假裝其為目標安全性裝置。( 如需有關驗證自助簽名 認證的詳細資訊,請參閱第 34 頁上的「認證驗證」。) 您可在建立連至安全性裝置的安全通訊端階層 (Secure Sockets Layer,SSL) 連線時 使用自助簽名認證。當您透過 WebUI 管理裝置時,SSL 可提供驗證和加密功能讓您 保護管理式通訊流量的安全。您甚至可以組態安全性裝置,使其將使用 HTTP ( 預 設連接埠 80) 的管理式連線嘗試重新導向至 SSL ( 預設連接埠 443)。 注意 :

如需有關 SSL 的詳細資訊 ( 包括 HTTP 到 SSL 重新導向機制 ),請參閱第 3-4 頁上 的「安全通訊端階層」。 依照預設,安全性裝置會將自動產生的自助簽名認證供 SSL 交涉使用。這是預設 的 SSL 認證。如果您之後安裝 CA 簽名認證,或是組態安全性裝置,使其產生另一 個自助簽名認證,則可使用其他認證的一個供 SSL 使用。如果您刪除自動產生的 自助簽名認證,且不分配另一個認證給 SSL 使用,下次重新啟動裝置時,安全性 裝置會自動產生另一個自助簽名認證。

注意 :

如需瞭解如何建立另一個自助簽名認證,請參閱第 35 頁上的「手動建立自助簽 名認證」。如需瞭解如何刪除自動產生的自助簽名認證,請參閱第 40 頁上的 「刪除自助簽名認證」。

自助簽名認證

„

33


概念與範例 ScreenOS 參考指南

認證驗證 在 SSL 詢問期間,安全性裝置會傳送一個認證至 SSL 用戶端,以驗證它本身的身 份。當安全性裝置傳送自助簽名認證時,SSL 用戶端無法透過檢查發行 CA 的簽名 來驗證該認證,因為沒有任何 CA 發行它。當安全性裝置顯示自助簽名認證以供建 立 SSL 會話使用時,管理員電腦上的瀏覽器仍會嘗試以它自己的 CA 存放區內的 CA 認證來驗證該 NetScreen 裝置。如果它找不到這樣的授權單位,瀏覽器會顯示 一則如圖 18 中所示的訊息,提示管理員接受或拒絕認證。 圖 18: 自助簽名認證的安全警示

如果這是您第一次在安全性裝置初次啟動後與其連接,系統時鐘可能會不正確。認 證的有效期間也可能因此而不正確。即使您先設定系統時鐘,然後再重新產生自助 簽名認證,瀏覽器還是始終找不到驗證 CA,因此管理員必須準備好在每次安全性 裝置將自助簽名認證用於 SSL 連線時,都會看到上述訊息之一。 如果不借助於中立協力廠商 CA 的認證驗證,透過 SSL 登入的管理員就可能無法確 定收到的自助簽名認證是否確實來自他嘗試連線的安全性裝置。( 畢竟,認證有可 能來自使用「攔截式攻擊」的侵略者,嘗試假冒安全性裝置。) 管理員可使用自助 簽名認證的主旨名稱和指印,來驗證他收到的認證。您可傳送主旨名稱和指印給管 理員,這樣之後安全性裝置提供自助簽名認證以驗證它本身的身份時,管理員就可 以驗證該自助簽名認證。 若要檢視自動產生之自助簽名認證的主旨名稱和指印,請使用下列指令 : ns-> get pki x509 cert system ... CN=0043022002000186,CN=system generated,CN=self-signed, ... finger print (md5) <e801eae4 56699fbc 324e38f2 4cfa5d47> finger print (sha) <0113f5ec 6bd6d32b 4ef6ead9 f809eead 3a71435b> 注意 :

您無法透過 WebUI 檢視自動產生之自助簽名認證的詳細資訊。 檢視主旨名稱和指印之後,可複製並傳送它們 ( 使用您選擇的安全頻帶外方法 ) 給 之後即將透過 SSL 與安全性裝置連線的管理員。當管理員的 SSL 用戶端在 SSL 詢 問期間收到來自安全性裝置的認證,可將收到之認證中的主旨名稱和指印與他之前 收到的頻帶外主旨名稱和指印加以比對。如果兩者一樣,他即可確定該認證是真實 的認證。因為沒有值得信任的協力廠商 CA 授權單位可驗證認證,如果缺乏可比對 的主旨名稱和指紋,遠端管理員將無法確定該認證是否為真實認證。

34

„ 自助簽名認證


第 2 章 : 公開金鑰密碼編譯

手動建立自助簽名認證 當您首次開啟安全性裝置的電源時,裝置會自動產生一個自助簽名認證,以便支援 初始連線所使用的 SSL。不過,您可能想要產生與安全性裝置自動產生之認證不同 的自助簽名認證。下列是將自動產生之自助簽名認證更換成管理員定義之自助簽名 認證的一些可能的原因 :

注意 :

„

自動產生之自助簽名認證使用固定的金鑰大小 1024 位元。為配合您的需求, 您可能需要更大或更小的金鑰大小,您可在產生自己的自助簽名金鑰時控制金 鑰大小。

„

您可能想要使用主旨名稱與自動建立之認證不同的自助簽名認證。

„

您可能需要多個自助簽名認證。在支援虛擬系統的安全性裝置上,根系統可與 所有虛擬系統共享自動產生的自助簽名認證。不過,vsys 管理員可能比較希望 產生他們自己的自助簽名認證,進而需要他們的管理員檢查這些特定認證的主 旨名稱和指印,而非檢查共享認證的屬性。

vsys 管理員自行產生的自助簽名認證與自動產生的自助簽名認證不同,後者絕對 不會向建立之處所屬的裝置以外的地方傳遞,而手動產生的自助簽名認證會在 NSRP 叢集內的安全性裝置將 PKI 物件與叢集內其他成員加以同步化時,連同其 他認證一起同步化。 雖然您可組態自助簽名認證的各種組成元件 ( 例如辨別名稱 (Distinguished Name,DN) 欄位、主旨替代名稱和金鑰大小 ),下列公用名稱 (Common Name, CN) 元素卻一律會出現在 DN 的結尾 : "CN = dev_serial_num, CN = NetScreen self-signed" 雖然自助簽名認證的主要用途是為建立連至安全性裝置的安全通訊端階層 (Secure Sockets Layer,SSL) 連線提供立即的支援,但您實際上可以像使用任何其他 CA 簽 名認證一樣使用此認證。自助簽名認證包括下列用途 :

注意 :

„

建立安全通訊端階層 (Secure Sockets Layer,SSL) 連線以保護傳遞至安全性裝 置的管理式通訊流量

„

保護 NetScreen-Security Manager (NSM) 和安全性裝置之間通訊流量的安全

„

建立 VPN 通道時驗證 IKE 對等方

對於最新的 ScreenOS 版本,我們只支援自助簽名認證用於 SSL。

設定管理員定義的自助簽名認證 在下例中,定義下列組成自助簽名認證的元件,將其用於 SSL: „

Distinguished Name/Subject Name: „

Name: 4ssl

„

Organization: jnpr

„

FQDN: www.juniper.net 自助簽名認證

„

35


概念與範例 ScreenOS 參考指南

„

Key type and length: RSA,1024 位元

定義完畢後,即可產生認證並加以檢視。然後您可複製主旨名稱和指紋 ( 又稱為 「拇指印」) 並將其傳送給其他透過 SSL 登入並管理安全性裝置的管理員。 當管理員嘗試使用 SSL 登入時,安全性裝置就會將此認證傳送給他。管理員收到 認證時,可開啟認證並將認證中的主旨名稱和指印與他之前收到的資訊加以比對。 如果兩者一樣,他即可確定該認證是真實的認證。 WebUI 1.

定義認證屬性

Objects > Certificates > New: 輸入下面的內容,然後按一下 Generate: Certificate Subject Information: Name: 4ssl Organization: jnpr FQDN: www.juniper.net Key Pair Information: RSA: ( 選擇 ) Create new key pair of 1024 length. 2.

產生自助簽名認證

安全性裝置產生金鑰之後,會編寫一個認證要求。按一下 Generate Self-Signed Cert。 3.

檢視自助簽名認證

Objects > Certificates > Show Local: 按一下剛才建立之認證的 Detail。 Certificate Details 頁面隨即顯示,如圖 19 中所示。 圖 19: 認證詳細資訊

您可複製此頁面中的主旨名稱和指印,然後將其傳送給其他想要使用 SSL 來管理 安全性裝置的管理員。當管理員初始化 SSL 連線時,就可以使用此資訊確保他們 收到的認證確實來自安全性裝置。

36

„ 自助簽名認證


第 2 章 : 公開金鑰密碼編譯

CLI 1.

定義認證屬性

set pki x509 dn name 4ssl set pki x509 dn org-name jnpr set pki x509 cert-fqdn www.juniper.net save 2.

產生自助簽名認證

若要產生 Juniper Networks 安全性裝置用於其認證要求的公開 / 私密金鑰組,請輸 入下列指令 : exec pki rsa new-key 1024

安全性裝置產生金鑰組之後,隨即編寫下列認證要求 : -----BEGIN CERTIFICATE REQUEST----MIIB0jCCATsCAQAwZTENMAsGA1UEChMESk5QUjEZMBcGA1UEAxMQMDA0MzAyMj Aw MjAwMDE4NjEQMA4GA1UEAxMHcnNhLWtleTEYMBYGA1UEAxMPd3d3Lmp1bmlwZ XIu bmV0MQ0wCwYDVQQDEwQ1c3NsMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQK BgQDP aAtelkL4HxQmO1w1jv9NMmrWnzdVYnGrKrXnw2MaB3xEgouWrlymEkZetA2ouKeA D24SL0h1YvJ7Sd9PvkhwHOnvP1zkOCWA84TgvxBzcAyeBnS1UpSwcC0admX0Da6 T 80EUuGrmUWodddRFUc8o5d2VGTUOM7WgcFDZRSGQGwIDAQABoC0wKwYJKoZIh vcN AQkOMR4wHDAaBgNVHREEEzARgg93d3cuanVuaXBlci5uZXQwDQYJKoZIhvcNAQEF BQADgYEAgvDXI4H905y/2+k4omo9Y4XQrgq44Rj3jqXAYYMgQBd0Q8HoyL5NE3+i QUkiYjMTWO2wIWzEr4u/tdAISEVTu03achZa3zIkUtn8sD/VYKhFlyPCBVvMiaHd FzIHUgBuMrr+awowJDG6wARhR75w7pORXy7+aAmvIjew8YRre9s= -----END CERTIFICATE REQUEST-----

若要瞭解金鑰組的 ID 編號,請使用下面的指令 : get pki x509 list key-pair Getting OTHER PKI OBJECT ... IDX ID num X509 Certificate Subject Distinguish Name ======================================================== 0000 176095259 CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=0043022002000186, O=jnpr, ========================================================

若要產生自助簽名認證,請輸入下列指令,該指令參考您從前一指令的輸出中取得 的金鑰組 ID 編號 : exec pki x509 self-signed-cert key-pair 176095259

自助簽名認證

„

37


概念與範例 ScreenOS 參考指南

3.

檢視自助簽名認證

若要檢視剛才建立的自助簽名認證,請輸入下列指令 : get pki x509 list local-cert Getting LOCAL CERT ... IDX ID num X509 Certificate Subject Distinguish Name ======================================================== 0000 176095261 LOCAL CERT friendly name <29> LOCAL CERT friendly name <29> CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=004302200200 0186, O=jnpr, Expire on 10-19-2009 17:20, Issued By: CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=004302200200 0186, O=jnpr, ========================================================

若要檢視認證的更多詳細資訊,請輸入下列帶有認證的 ID 編號的指令 : get pki x509 cert 176095261 -0001 176095261 LOCAL CERT friendly name <29> CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=0043022002 000186, O=jnpr, Expire on 10-19-2009 17:20, Issued By: CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=004302200200 0186, O=jnpr, Serial Number: <9d1c03365a5caa172ace4f82bb5ec9da> subject alt name extension: email(1): ( 空白 ) fqdn(2): (www.juniper.net) ipaddr(7): ( 空白 ) no renew finger print (md5) <be9e0280 02bdd9d1 175caf23 6345198e> finger print (sha) <87e0eee0 c06f9bac 9098bd02 0e631c1b 26e37e0e> subject name hash: <d82be8ae 4e71a576 2e3f06fc a98319a3 5c8c6c27> use count: <1> flag <00000000>

您可複製此輸出結果中的主旨名稱和指紋,然後將其傳送給其他想要使用 SSL 來 管理安全性裝置的管理員。當管理員初始化 SSL 連線時,就可以使用此資訊確保 他們收到的認證確實來自安全性裝置。

38

„ 自助簽名認證


第 2 章 : 公開金鑰密碼編譯

自動產生認證 首次開啟安全性裝置的電源時,它會自動產生一個自助簽名認證。此認證的主要用 途是在首次啟動安全性裝置後即可支援 SSL。若要檢視此認證,請使用下面的 CLI 指令 : get pki x509 cert system CN=0010062001000021,CN=system generated,CN=self-signed, Expire on 08- 3-2014 16:19, Issued By: CN=0010062001000021,CN=system generated,CN=self-signed, Serial Number: <c927f2044ee0cf8dc931cdb1fc363119> finger print (md5) <fd591375 83798574 88b3e698 62890b5d> finger print (sha) <40a1bda8 dcd628fe e9deaee1 92a2783c 817e26d9> subject name hash: <0324d38d 52f814fe 647aba3a 86eda7d4 a7834581>

預設情況下,如符合下列條件,安全性裝置會在啟動過程中自動產生自助簽名認證 : „

裝置上沒有任何自動產生的自助簽名認證。

„

未指派任何用於 SSL 的認證。

您可使用下面的指令來檢視是否已有任何為 SSL 組態的認證 : get ssl web SSL enable. web SSL port number(443). web SSL cert: Default - System Self-Signed Cert. web SSL cipher(RC4_MD5).

在以上的輸出結果中,您會發現 SSL 正在使用自動產生的 (「系統產生的」) 自助 簽名認證。 圖 20 顯示安全性裝置啟動時用來產生認證的決策路徑。

自助簽名認證

„

39


概念與範例 ScreenOS 參考指南

圖 20: 自動產生認證的決策路徑 啟動過程 開始

已有自動 產生自助 簽名認證

已有 SSL 的 認證

不自動產生自助 簽名認證。

否 自動產生自助簽名 認證。

如果您刪除自動產生的自助簽名認證,請指派另一個要用於 SSL 的認證,然後重 設裝置,安全性裝置不會在啟動過程中重新產生另一個自助簽名認證。如果您接下 來變更了 SSL 組態,使它沒有任何指派的認證,然後又重設了裝置,則安全性裝 置不會在下次的啟動過程中,自動重新產生新的自助簽名認證。

刪除自助簽���認證 您可像刪除任何類型的認證一樣刪除自動或手動產生的自助簽名認證。也許您會取 得另一個您比較希望用於 SSL 的 CA 簽名認證,而不希望使用自助簽名認證。不論 是哪一個原因,若要刪除自動產生的自助簽名認證,請使用下面的 CLI 指令 : delete pki object-id system

若要刪除管理員組態的自助簽名認證,請使用下面的指令,其中 id_num 是要刪除 之認證的 ID 編號 : delete pki object-id id_num

如果刪除自動產生的自助簽名認證,之後又希望安全性裝置產生另一個自助簽名認 證,請執行下面的操作 : „

不指派任何其他用於 SSL 的認證 ( 可使用此指令 : unset ssl cert)。

„

重設安全性裝置。

安全性裝置可將原先傳送給裝置本身的 HTTP 通訊流量 ( 預設連接埠 80) 重新導向 至 SSL ( 預設連接埠 443)。因此,為了確保 SSL 有認證可用,在啟動過程中,安全 性裝置一律會檢查是否已有自動產生的自助簽名認證,或是否已指派了另一個認證 供 SSL 使用。如果沒有自動產生的自助簽名認證,也沒有任何其他指派給 SSL 使 用的認證,安全性裝置就會自動產生一個自助簽名認證。

40

„ 自助簽名認證


第 2 章 : 公開金鑰密碼編譯

注意 :

您只能利用 CLI 刪除自動產生的自助簽名認證。 若要瞭解認證的 ID 編號,請使用下面的指令 : get pki x509 list local-cert。 如需有關將 HTTP 通訊流量重新導向到 SSL 的資訊,請參閱第 3-7 頁上的「將 HTTP 重新導向到 SSL」。

自助簽名認證

„

41


概念與範例 ScreenOS 參考指南

42

„ 自助簽名認證


第3章

虛擬私人網路準則 設定虛擬私人網路 (VPN) 通道時,ScreenOS 提供多種加密選項。即使是設定單一 通道,也必須進行選擇。本章前半部分先對基本的站台到站台 VPN 和基本的撥接 VPN 的所有選項加以概述,然後介紹選擇一個選項或其他選項的一種或多種原因。 本章的後半部分將探討以政策為基礎和以路由為基礎的 VPN 通道之間的不同。它 還檢查以路由為基礎和以政策為基礎的站台到站台「自動金鑰 IKE VPN」通道的封 包流,以檢視封包所經歷的向外和向內處理階段。本章結束時介紹了組態通道時要 記住的一些 VPN 組態技巧。 本章包括下列各節 : „

第 44 頁上的「加密選項」 „

第 44 頁上的「站台到站台加密選項」

„

第 51 頁上的「撥接 VPN 選項」

„

第 57 頁上的「以路由為基礎和以政策為基礎的通道」

„

第 58 頁上的「封包流動 : 站台對站台 VPN」

„

第 63 頁上的「通道組態準則」

„

第 64 頁上的「以路由為基礎的虛擬私人網路安全性考量」 „

第 65 頁上的「Null 路由」

„

第 66 頁上的「撥接或租借線路」

„

第 67 頁上的「VPN 故障後移轉至租借線路或 Null 路由」

„

第 69 頁上的「誘導式通道介面」

„

第 70 頁上的「通道介面的虛擬路由器」

„

第 70 頁上的「重新路由至另一個通道」

„

43


概念與範例 ScreenOS 參考指南

加密選項 設定 VPN 時,必須對要使用的加密作出多種決定。會出現有關哪個 Diffie-Hellman 群組正是要選擇的群組、哪種加密演算法能提供安全和效能之間的最佳平衡等問 題。本節介紹設定基本的站台到站台 VPN 通道和基本的撥接 VPN 通道所需的全部 加密選項,並說明每個選項的一個或多個優點,以說明您作出決定。 您必須作出的第一個決定就是通道是針對站台到站台 VPN 通道 ( 兩個安全性裝置 間 ),還是針對撥接 VPN 通道 ( 從 NetScreen-Remote VPN 用戶端到安全性裝置 )。 儘管這是一個網路決定,但是兩種通道間的差別還是會影響某些加密選項。因此, 以兩張不同的圖說明選項 : „

「站台到站台加密選項」說明第 45 頁上的圖 21,「站台到站台 VPN 通道的 加密選項」。

„

「撥接 VPN 選項」說明第 51 頁上的圖 22,「撥接 VPN 通道的加密選項」。

決定要組態站台到站台通道還是撥接通道之後,即可參照圖 21 或圖 22 作為準 則。每個圖都介紹設定通道時必須作出的加密選擇。每個圖的後面是選擇圖中出現 的每個選項的原因。 注意 :

組態兩種通道的範例在第 4 章,「站台對站台的虛擬私人網路」和第 5 章,「撥 接虛擬私人網路」中。

站台到站台加密選項 組態基本的站台到站台 VPN 通道時,必須在圖 21 中所示的加密選項中進行選擇。 圖後介紹每個選項的優點。 注意 :

44

„ 加密選項

第 45 頁上的圖 21 顯示建議的選項 ( 以粗體顯示 )。如需不同的 IPSec 選項的背 景資訊,請參閱第 1 頁上的「網際網路通訊協定安全性」。


第 3 章 : 虛擬私人網路準則

圖 21: 站台到站台 VPN 通道的加密選項 1. 金鑰方法 : 自動金鑰 IKE 的手動金鑰 ? 自動金鑰 IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 或 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 手動金鑰 ? 2. 模式 : 挑釁式模式或主要模式 ? 3. 驗證類型 : 認證或預先共享金鑰 ?

6. IKE Diffie-Hellman 群組 : 1 或 2 或 5?

4. 認證類型 : RSA 或 DSA?

7. IKE 加密和 驗證演算法 : AES 或 DES 或 3DES 與 MD5 或 SHA-1?

5. 位元長度 : 512 或 768 或 1024 或 2048?

13. IPSec 通訊協定 : ESP . . . . . . . . 或 . . . . . . . . AH? 14. 模式 : 通道模式或傳輸模式 15. ESP 選項 : 加密或加密 /Auth 或 16. 加密演算法 : AES 或 DES 或 3DES?

9. 遠端 IKE ID: IP 位址或 U-FQDN 或 FQDN 或 ASN1-DN?

8. 本機 IKE ID: IP 位址或 U-FQDN 或 FQDN 或 ASN1-DN?

17. Auth 演算法 : MD5 或 SHA-1?

10. 反重播 檢查 : 11. 完美轉送安全性 : 是或否 ? 12. IPSec Diffie-Hellman 群組 : 1 或 2 或 5?

階段 1 - IKE 閘道

1.

階段 2 - VPN 通道

金鑰方法 : 自動金鑰 IKE 的手動金鑰 ?

自動金鑰 IKE „

建議

„

提供自動金鑰更新和金鑰重新整理,因而增強了安全性

手動金鑰 „

用於除錯 IKE

„

消除建立通道時的 IKE 交涉延遲

2.

模式 : 挑釁式模式或主要模式 ?

挑釁式模式

動態分配其中一個 IPSec 對等方的 IP 位址及使用預先共享金鑰時,需使用此模式 主要模式 „

建議

„

提供身份保護

„

撥接使用者擁有靜態 IP 位址時或如果認證用於驗證時,可以使用此模式

加密選項

„

45


概念與範例 ScreenOS 參考指南

驗證類型 : 預先共享金鑰或認證 ?

3. 認證 „

建議

„

由於可以驗證具有認證授權機構 (CA) 的認證,因此提供比預先共享金鑰更高 的安全級別。( 如需詳細資訊,請參閱第 17 頁上的「公開金鑰密碼編譯」。)

預先共享的金鑰

由於不需要「公開金鑰基礎結構」(PKI),因此使用更方便,設定更快速 4.

認證類型 : RSA 或 DSA?

具體取決於從其獲得認證的 CA。兩種認證類型沒有優點。 5.

位元長度 : 512 或 768 或 1024 或 2048?

512

使處理開支最少 768 „

提供比 512 位元更高的安全等級

„

使處理開支比 1024 和 2048 位元的更少

1024 „

建議

„

提供比 512 和 768 位元更高的安全等級

„

使處理開支比 2048 位元的更少

2048

提供最高的安全等級 6.

IKE Diffie-Hellman 群組 : 1 或 2 或 5?

Diffie-Hellman 群組 1 „

使處理開支比 Diffie-Hellman 群組 2 和 5 的更少

„

加快 Juniper Networks 安全性硬體中提供的處理速度

Diffie-Hellman 群組 2 „

建議

„

使處理開支比 Diffie-Hellman 群組 5 的更少

„

提供比 Diffie-Hellman 群組 1 更高的安全等級

„

加快 Juniper Networks 安全性硬體中提供的處理速度

Diffie-Hellman 群組 5

提供最高的安全等級

46

„ 加密選項


第 3 章 : 虛擬私人網路準則

7.

IKE 加密和 Auth 演算法 : AES 或 DES 或 3DES 及 MD5 或 SHA-1?

AES „

建議

„

如果金鑰長度全部相等,則比 DES 和 3DES 的加密性更強

„

加快 Juniper Networks 安全性硬體中提供的處理速度

„

用於「聯邦資訊處理標準」(FIPS) 和「通用準則 EAL4」標準的經核准加密演 算法

DES „

使處理開支比 3DES 和 AES 的更少

„

在遠端對等方不支援 AES 時非常有用

3DES „

提供比 DES 更高的加密安全等級

„

加快 Juniper Networks 安全性硬體中提供的處理速度

MD5

使處理開支比 SHA-1 的更少 SHA-1 „

建議

„

提供比 MD5 更高的加密安全等級

„

FIPS 接受的唯一驗證演算法

8.

本機 IKE ID: IP 位址 ( 預設 ) 或 U-FQDN 或 FQDN 或 ASN1-DN?

IP 位址 „

建議

„

本機安全性裝置具有靜態 IP 位址時才能使用

„

使用預先共享金鑰驗證時的預設 IKE ID

„

如果 IP 位址出現在 SubjectAltName 欄位中,則可與認證配合使用

U-FQDN

使用者完全合格的網域名稱 (U-FQDN - 電子郵件位址 ): 如果 U-FQDN 出現在 SubjectAltName 欄位中,則可與預先共享金鑰或認證配合使用 FQDN „

完全合格的網域名稱 (FQDN): 如果 FQDN 出現在 SubjectAltName 欄位中,則 可與預先共享金鑰或認證配合使用

„

對於具有動態 IP 位址的 VPN 閘道很有用

„

使用 RSA 或 DSA 認證驗證時的預設 IKE ID

加密選項

„

47


概念與範例 ScreenOS 參考指南

ASN1-DN „

只能與認證配合使用

„

在 CA 不支援其發佈之認證的 SubjectAltName 欄位時很有用

9.

遠端 IKE ID: IP 位址 ( 預設 ) 或 U-FQDN 或 FQDN 或 ASN1-DN?

IP 位址 „

建議

„

使用預先共享金鑰驗證並且對等方是安全性裝置時,不需要輸入靜態 IP 位址 處對等方的遠端 IKE ID

„

可用於具有靜態 IP 位址的裝置

„

如果 IP 位址出現在 SubjectAltName 欄位中,則可與預先共享金鑰或認證配合 使用

U-FQDN

使用者完全合格的網域名稱 (U-FQDN - 電子郵件位址 ): 如果 U-FQDN 出現在 SubjectAltName 欄位中,則可與預先共享金鑰或認證配合使用 FQDN „

完全合格的網域名稱 (FQDN): 如果 FQDN 出現在 SubjectAltName 欄位中,則 可與預先共享金鑰或認證配合使用

„

對於具有動態 IP 位址的 VPN 閘道很有用

„

使用認證驗證並且對等方是安全性裝置時,不需要輸入遠端 IKE ID

ASN1-DN „

只能與認證配合使用

„

在 CA 不支援其發佈的認證中的 SubjectAltName 欄位時很有用

10. 反重播檢查 : 否或是 ? 是 „

建議

„

允許收件人檢查封包標頭中的序號,以防止用心不良者重新傳送截取的 IPSec 封包時導致的「服務中斷」(DoS) 攻擊

停用此項可能會解決與協力廠商對等方的相容性問題

48

„ 加密選項


第 3 章 : 虛擬私人網路準則

11. 完美轉送安全性 : 否或是 ? 是 „

建議

„

完美轉送安全性 (PFS): 由於對等方執行第二個 Diffie-Hellman 交換生成用於 IPSec 加密 / 解密的金鑰,因此提供增強的安全性

否 „

提供更快的通道設定

„

使「階段 2」IPSec 交涉期間處理開支更少

12. IPSec Diffie-Hellman 群組 : 1 或 2 或 5? Diffie-Hellman 群組 1 „

使處理開支比 Diffie-Hellman 群組 2 和 5 的更少

„

加快 Juniper Networks 安全性硬體中提供的處理速度

Diffie-Hellman 群組 2 „

建議

„

使處理開支比 Diffie-Hellman 群組 5 的更少

„

提供比 Diffie-Hellman 群組 1 更高的安全等級

„

加快 Juniper Networks 安全性硬體中提供的處理速度

Diffie-Hellman 群組 5

提供最高的安全等級 13. IPSec 通訊協定 : ESP 或 AH? ESP „

建議

„

封裝安全性負載 (ESP): 透過加密和封裝原始 IP 封包可提供機密性,同時透過 驗證提供完整性

„

可提供單獨加密或單獨驗證

AH

驗證標頭 (AH): 提供整個 IP 封包的驗證,包括 IPSec 標頭和外部 IP 標頭 14. 模式 : 通道模式或傳輸模式 ? Tunnel „

建議

„

由於隱藏了初始 IP 標頭,因此增加了私密性

傳輸模式

對於 IPSec 上的 L2TP 通道支援,此模式是必需的

加密選項

„

49


概念與範例 ScreenOS 參考指南

15. ESP 選項 : 加密或加密 /Auth 或 Auth? 加密 „

提供比使用加密 / 驗證更快的效能並使處理開支更少

„

用於要求機密性但不要求驗證的情況

加密 /Auth „

建議

„

用於需要機密性和驗證的情況

Auth

用於需要驗證但不要求機密性的情況。也許資訊不是保密時,但確定此資訊確實來 自聲稱傳送它的人,以及在傳輸過程中沒有任何人篡改內容是很重要的。 16. 加密演算法 : AES 或 DES 或 3DES? AES „

建議

„

如果金鑰長度全部相等,則比 DES 和 3DES 的加密性更強

„

加快 Juniper Networks 安全性硬體中提供的處理速度

„

用於 (FIPS) 和「通用準則 EAL4」標準的核准加密演算法

DES „

使處理開支比 3DES 和 AES 的更少

„

在遠端對等方不支援 AES 時非常有用

3DES „

提供比 DES 更高的加密安全等級

„

加快 Juniper Networks 安全性硬體中提供的處理速度

17. Auth 演算法 : MD5 或 SHA-1? MD5

使處理開支比 SHA-1 的更少 SHA-1

50

„ 加密選項

„

建議

„

提供比 MD5 更高的加密安全等級


第 3 章 : 虛擬私人網路準則

使用上述清單中建議的選項,具有靜態 IP 位址的兩台安全性裝置間的通用站台到 站台 VPN 組態將由以下元件組成 : „ 自動金鑰 IKE

„ 完美轉送安全性 (PFS) = 是

„ Main Mode ( 主要模式 )

„

„ 1024 位元認證 (RSA 或 DSA)

„ 封裝安全性負載 (ESP)

„ 階段 1 Diffie-Hellman 群組 2

„ 通道模式

„ 加密 = AES

„ 加密 / 驗證

„ 驗證 = SHA-1

„ 加密 = AES

„ IKE ID = IP 位址 ( 預設 )

„ 驗證 = SHA-1

階段 2 Diffie-Hellman 群組 2

„ 反重播保護 = 是

撥接 VPN 選項 組態基本的撥接 VPN 通道時,必須在圖 22 中所示的加密選項中進行選擇。圖後 介紹每個選項的優點。 注意 :

圖 22 顯示建議的選項 ( 以粗體顯示 )。如需不同的 IPSec 選項的背景資訊,請參 閱第 1 頁上的「網際網路通訊協定安全性」。

圖 22: 撥接 VPN 通道的加密選項 金鑰方法 = 自動金鑰 IKE 1. 模式 : 挑釁式模式或主要模式 ?

3. 認證類型 : RSA 或 DSA?

6. IKE 加密和 驗證演算法 : AES 或 DES 或 3DES 與 MD5 或 SHA-1?

4. 位元長度 : 512 或 768 或 1024 或 2048? 7. 本機 IKE ID: IP 位址 ( 預設 ) 或 U-FQDN 或 FQDN 或 ASN1-DN?

12. IPSec 通訊協定 : ESP . . . . . . . . 或 . . . . . . . . AH?

5. IKE Diffie-Hellman 群組 : 1 或 2 或 5?

2. 驗證類型 : 認證或預先共享金鑰 ?

8. 遠端 IKE ID: IP 位址 ( 預設 ) 或 U-FQDN 或 FQDN 或 ASN1-DN?

13. 模式 : 通道模式或傳輸模式 14. ESP 選項 : 加密或加密 /Auth 或 Auth? 15. 加密演算法 : AES 或 DES 或 3DES?

16. Auth 演算法 : MD5 或 SHA-1?

9. 反重播檢查 : 是或否 ? 10. 完美轉送安全性 : 是或否 ? 11. IPSec Diffie-Hellman 群組 : 1 或 2 或 5?

階段 1 - IKE 閘道

階段 2 - VPN 通道

加密選項

„

51


概念與範例 ScreenOS 參考指南

模式 : 挑釁式模式或主要模式 ?

1.

Aggressive „

建議

„

其中一個 IPSec 對等方的 IP 位址被動態分配以及預先共享金鑰被使用時,此 模式是必需的

„

可與認證或預先共享金鑰配合使用進行驗證

主要模式

提供身份保護 驗證類型 : 預先共享金鑰或認證 ?

2. 認證 „

建議

„

由於可以驗證具有認證授權機構 (CA) 的認證,因此提供比預先共享金鑰更高 的安全級別。( 如需詳細資訊,請參閱第 17 頁上的「公開金鑰密碼編譯」。)

預先共享的金鑰

由於不需要「公開金鑰基礎結構」(PKI),因此使用更方便,設定更快速 3.

認證類型 : RSA 或 DSA?

具體取決於從其獲得認證的 CA。兩種認證類型沒有優點。 4.

位元長度 : 512 或 768 或 1024 或 2048?

512

使處理開支最��� 768 „

提供比 512 位元更高的安全等級

„

使處理開支比 1024 和 2048 位元的更少

1024 „

建議

„

提供比 512 和 768 位元更高的安全等級

„

使處理開支比 2048 位元的更少

2048

提供最高的安全等級 5.

IKE Diffie-Hellman 群組 : 1 或 2 或 5?

Diffie-Hellman 群組 1

52

„ 加密選項

„

使處理開支比 Diffie-Hellman 群組 2 和 5 的更少

„

加快 Juniper Networks 安全性硬體中提供的處理速度


第 3 章 : 虛擬私人網路準則

Diffie-Hellman 群組 2 „

建議

„

使處理開支比 Diffie-Hellman 群組 5 的更少

„

提供比 Diffie-Hellman 群組 1 更高的安全等級

„

加快 Juniper Networks 安全性硬體中提供的處理速度

Diffie-Hellman 群組 5

提供最高的安全等級 6.

IKE 加密和 Auth 演算法 : AES 或 DES 或 3DES 及 MD5 或 SHA-1?

AES „

建議

„

如果金鑰長度全部相等,則比 DES 和 3DES 的加密性更強

„

加快 Juniper Networks 安全性硬體中提供的處理速度

„

用於 (FIPS) 和「通用準則 EAL4」標準的核准加密演算法

DES „

使處理開支比 3DES 和 AES 的更少

„

在遠端對等方不支援 AES 時非常有用

3DES „

提供比 DES 更高的加密安全等級

„

加快 Juniper Networks 安全性硬體中提供的處理速度

MD5

使處理開支比 SHA-1 的更少 SHA-1 „

建議

„

提供比 MD5 更高的加密安全等級

7.

本機 IKE ID: IP 位址 ( 預設 ) 或 U-FQDN 或 FQDN 或 ASN1-DN?

IP 位址 ( 預設 ) „

不要求輸入具有靜態 IP 位址的裝置的 IKE ID

„

可用於具有靜態 IP 位址的裝置

„

如果 IP 位址出現在 SubjectAltName 欄位中,則可與預先共享金鑰或認證配合 使用

加密選項

„

53


概念與範例 ScreenOS 參考指南

U-FQDN „

建議

„

使用者完全合格的網域名稱 (U-FQDN - 電子郵件位址 ): 如果 U-FQDN 出現在 SubjectAltName 欄位中,則可與預先共享金鑰或認證配合使用

FQDN „

完全合格的網域名稱 (FQDN): 如果 FQDN 出現在 SubjectAltName 欄位中,則 可與預先共享金鑰或認證配合使用

„

對於具有動態 IP 位址的 VPN 閘道很有用

ASN1-DN „

只能與認證配合使用

„

在 CA 不支援其發佈的認證中的 SubjectAltName 欄位時很有用

8.

遠端 IKE ID: IP 位址 ( 預設 ) 或 U-FQDN 或 FQDN 或 ASN1-DN?

IP 位址 ( 預設 ) „

不要求輸入具有靜態 IP 位址的裝置的 IKE ID

„

可用於具有靜態 IP 位址的裝置

„

如果 IP 位址出現在 SubjectAltName 欄位中,則可與預先共享金鑰或認證配合 使用

U-FQDN „

建議

„

使用者完全合格的網域名稱 (U-FQDN - 電子郵件位址 ): 如果 U-FQDN 出現在 SubjectAltName 欄位中,則可與預先共享金鑰或認證配合使用

FQDN „

完全合格的網域名稱 (FQDN): 如果 FQDN 出現在 SubjectAltName 欄位中,則 可與預先共享金鑰或認證配合使用

„

對於具有動態 IP 位址的 VPN 閘道很有用

ASN1-DN „

只能與認證配合使用

„

在 CA 不支援其發佈的認證中的 SubjectAltName 欄位時很有用

9.

反重播檢查 : 否或是 ?

是 „

建議

„

允許收件人檢查封包標頭中的序號,以防止用心不良者重新傳送截取的 IPSec 封包時導致的「服務中斷」(DoS) 攻擊

停用此項可能會解決與協力廠商對等方的相容性問題

54

„ 加密選項


第 3 章 : 虛擬私人網路準則

10. 完美轉送安全性 : 否或是 ? 是 „

建議

„

完美轉送安全性 (PFS): 由於對等方執行第二個 Diffie-Hellman 交換生成用於 IPSec 加密 / 解密的金鑰,因此提供增強的安全性

否 „

提供更快的通道設定

„

使「階段 2」IPSec 交涉期間處理開支更少

11. IPSec Diffie-Hellman 群組 : 1 或 2 或 5? Diffie-Hellman 群組 1 „

使處理開支比 Diffie-Hellman 群組 2 和 5 的更少

„

加快 Juniper Networks 安全性硬體中提供的處理速度

Diffie-Hellman 群組 2 „

建議

„

使處理開支比 Diffie-Hellman 群組 5 的更少

„

提供比 Diffie-Hellman 群組 1 更高的安全等級

„

加快 Juniper Networks 安全性硬體中提供的處理速度

Diffie-Hellman 群組 5

提供最高的安全等級 12. IPSec 通訊協定 : ESP 或 AH? ESP „

建議

„

封裝安全性負載 (ESP): 透過加密和封裝原始 IP 封包可提供機密性,同時透過 驗證提供完整性

„

可提供單獨加密或單獨驗證

AH

驗證標頭 (AH): 提供整個 IP 封包的驗證,包括 IPSec 標頭和外部 IP 標頭 13. 模式 : 通道模式或傳輸模式 ? Tunnel „

建議

„

由於隱藏了初始 IP 標頭,因此增加了私密性

Transport

對於 IPSec 上的 L2TP 通道支援,此模式是必需的

加密選項

„

55


概念與範例 ScreenOS 參考指南

14. ESP 選項 : 加密或加密 /Auth 或 Auth? 加密 „

提供比使用加密 / 驗證更快的效能並使處理開支更少

„

用於要求機密性但不要求驗證的情況

加密 /Auth „

建議

„

用於需要機密性和驗證的情況

Auth

用於需要驗證但不要求機密性的情況。也許資訊不是保密時,但確定此資訊確實來 自聲稱傳送它的人,以及在傳輸過程中沒有任何人篡改內容是很重要的。 15. 加密演算法 : AES 或 DES 或 3DES? AES „

建議

„

如果金鑰長度全部相等,則比 DES 和 3DES 的加密性更強

„

加快 Juniper Networks 安全性硬體中提供的處理速度

„

用於 (FIPS) 和「通用準則 EAL4」標準的核准加密演算法

DES „

使處理開支比 3DES 和 AES 的更少

„

在遠端對等方不支援 AES 時非常有用

3DES „

提供比 DES 更高的加密安全等級

„

加快 Juniper Networks 安全性硬體中提供的處理速度

16. Auth 演算法 : MD5 或 SHA-1? MD5

使處理開支比 SHA-1 的更少 SHA-1

56

„ 加密選項

„

建議

„

提供比 MD5 更高的加密安全等級


第 3 章 : 虛擬私人網路準則

使用上述清單中建議的選項,具有靜態 IP 位址的兩台安全性裝置間的通用撥接 VPN 組態將由以下元件組成 : „ Aggressive Mode ( 挑釁式模式 )

„ 完美轉送安全性 (PFS) = 是

„ 1024 位元認證 (RSA 或 DSA)

„ 階段 2 Diffie-Hellman 群組 2

„ 階段 1 Diffie-Hellman 群組 2

„ 封裝安全性負載 (ESP)

„ 加密 = AES

„ 通道模式

„ 驗證 = SHA-1

„ 加密 / 驗證

„ IKE ID = U-FQDN ( 電子郵件位址 )

„ 加密 = AES

„ 反重播保護 = 是

„ 驗證 = SHA-1

以路由為基礎和以政策為基礎的通道 VPN 支援的安全性裝置的組態非常靈活。可以建立以路由為基礎和以政策為基礎 的 VPN 通道。另外,每種通道都可使用「手動金鑰」或「自動金鑰 IKE」管理用 於加密和驗證的金鑰。 利用以政策為基礎的 VPN 通道,通道被當作物件 ( 或建構區塊 ),與來源、目的、 服務和動作一起,組成允許 VPN 通訊流量的政策。( 實際上,VPN 政策動作是通 道,但如果未申明,則暗指動作允許。) 在以政策為基礎的 VPN 組態中,政策特別 按名稱參照 VPN 通道。 利用以路由為基礎的 VPN,政策不特別參照 VPN 通道。相反,政策參照目的位 址。安全性裝置進行路由查詢以找到必須透過其傳送通訊流量到達該位址的介面 時,透過通道介面找到路由,它被連結到特定 VPN 通道。 注意 :

通常,一個通道介面被連結到一個單一通道。還可將一個通道介面連結到多個通 道。如需詳細資訊,請參閱第 238 頁上的「每個通道介面,多個通道」。 因此,利用以政策為基礎的 VPN 通道,可將一個通道視為政策結構中的一個元 素。利用以路由為基礎的 VPN 通道,可將一個通道當作傳輸通訊流量的方法,同 時將一個政策當作允許或拒絕傳送該通訊流量的方法。 可建立的以政策為基礎的 VPN 通道的數量由裝置所支援的政策數量限制。可建立 的以路由為基礎的 VPN 通道的數量,由裝置所支援的路由項目或通道介面的數量 加以限制 ( 以數量較少者為準 )。 設定對 VPN 通訊流量的精確限制時,要想保存通道資源,以路由為基礎的 VPN 通 道組態是一個很好的選擇。儘管可以建立參照相同 VPN 通道的多個政策,但是每 個政策都建立一個擁有遠端對等方的單獨的 IPSec 安全性關聯 (SA),每個聯盟都被 視為一個單獨的 VPN 通道。利用以路由為基礎的 VPN 方案,通訊流量的調整與其 傳輸方式不成對。可組態多個政策以調整在兩個站台間流過單個 VPN 通道的通訊 流量,但只有一個 IPSec SA 在工作。另外,以路由為基礎的 VPN 組態允許您建立 參照到達 VPN 通道的目的政策,其中的動作為拒絕,與以政策為基礎的 VPN 組態 不同 ( 如前面所述 ),其中的動作必須是通道,暗指允許。

以路由為基礎和以政策為基礎的通道

„

57


概念與範例 ScreenOS 參考指南

以路由為基礎的 VPN 提供的另一個優點是透過 VPN 通道交換動態路由資訊。可在 連結到 VPN 通道的通道介面上啟用一個動態路由通訊協定的實例,如「邊界閘道 通訊協定」(BGP)。本機路由實例將透過通道的路由資訊與連結到另一端的通道介 面上啟用的鄰接方進行交換。 通道未連接執行動態路由通訊協定的大型網路,以及不需要保存通道或定義各種政 策來篩選透過通道的通訊流量時,以政策為基礎的通道很有意義。另外,由於在撥 接 VPN 用戶端之外沒有任何網路,因此對於撥接 VPN 組態來說,以政策為基礎的 VPN 通道可能是一個很好的選擇。 也就是說,撥接用戶端支援 NetScreen-Remote 所支援的虛擬內部 IP 位址時,還有 使用以路由為基礎的 VPN 組態的強制原因。以路由為基礎的撥接 VPN 通道有以下 優點 :

注意 :

„

可將其通道介面連結到要求或不要求政策執行的任何區域。

„

與以政策為基礎的 VPN 組態不同,可定義路由強制通訊流量透過通道。

„

以路由為基礎的 VPN 通道簡化了向集中星型組態新增星型的操作 ( 請參閱 第 293 頁上的「建立集中星型 VPN」)。

„

透過將遠端用戶端位址組態為 255.255.255.255/32,可調整 proxy ID 以接受 撥接 VPN 用戶端的任何 IP 位址。

„

可在通道介面上定義一個或多個對應的 IP (MIP) 位址。

如需撥接用戶端的以路由為基礎的 VPN 組態的範例,請參閱第 154 頁上的「以 路由為基礎的撥接 VPN,動態對等方」。

封包流動 : 站台對站台 VPN 根據相互關係來說,為更好地瞭解包含建立 IPSec 通道的各種元件如何工作,本節 著眼於透過通道的封包流的處理 ( 安全性裝置傳送向外 VPN 通訊流量及接收向內 VPN 通訊流量時 )。先介紹以路由為基礎的 VPN 的處理,緊接著是附錄,記錄與 以政策為基礎的 VPN 不同的流量中的兩個位置。 總部在東京的公司在巴黎新開了一個分公司,需要透過 IPSec 通道來連接這兩個站 台。該通道使用「手動金鑰 IKE」、ESP 通訊協定、用 AES 加密以及用 SHA-1 驗 證預先共享金鑰,並且啟用反重播檢查。保護每個站台的安全性裝置處於 NAT 模 式,並且所有區域都在 trust-vr 路由網域中。位址如第 59 頁上的圖 23 中所示。

58

„ 封包流動 : 站台對站台 VPN


第 3 章 : 虛擬私人網路準則

圖 23: 站台對站台 VPN 通道

Trust 區域

Untrust 區域

東京 分公司 tunnel.1, 10.1.2.1/24

Outgoing Interface: ethernet3, 1.1.1.1/24

ethernet1 10.1.1.1/24

外部路由器 : 1.1.1.250

10.1.1.5 網際網路

東京 LAN

巴黎 LAN

VPN1

10.2.2.5 外部路由器 : 2.2.2.250

ethernet1 10.2.2.1/24

Outgoing Interface: ethernet3, 2.2.2.2/24 tunnel.2, 10.2.1.1/24 Untrust 區域

Trust 區域

巴黎 分公司

封包的路徑來自東京 LAN 中的 10.1.1.5/32,發往巴黎 LAN 中的 10.2.2.5/32,透 過 IPSec 通道傳送,如以下小節所述。 東京 ( 發起方 )

1. 10.1.1.5 處的主機將目的為 10.2.2.5 的封包傳送到 10.1.1.1,其為 IP 位址 ethernet1,並且是主機的 TCP/IP 設定中組態的預設閘道。 2. 封包到達連結到 Trust 區域的 ethernet1。 3. 此時,如果啟用了 Trust 區段的 SCREEN 選項 ( 如 IP 位址詐騙偵測 ),則安全 性裝置啟動 SCREEN 模組。SCREEN 檢查會產生下列三個結果中的一種 : „

若 SCREEN 機制偵測到異常行為 ( 組態為阻斷封包 ),則安全性裝置會將幫 包卸除,並在事件記錄中產生一個項目。

„

若 SCREEN 機制偵測到異常行為 ( 組態為記錄事件,但不阻斷封包 ),則安 全性裝置會將事件記錄在 ethernet1 的 SCREEN 計數器清單中,然後繼續 進行下一步。

„

若 SCREEN 機制未偵測到任何異常行為,安全性裝置即會繼續進行 下一步。

若您尚未啟用 Trust 區域的任何 SCREEN 選項,安全性裝置會立即繼續進行下 一個步驟。 4. 會話模組會執行會話查詢,嘗試將封包和現有的會話配對。 如果封包與現有會話無法配對,安全性裝置會執行「第一個封包處理」,這個 程序包括剩下的步驟。 如果封包和現有會話配對,安全性裝置會執行「快速處理」,使用現有會話項 目中的可用資訊來處理封包。「快速處理」會繞過路由和政策尋找,因為繞過 步驟產生的資訊已經在會話的第一個處理期間取得。

封包流動 : 站台對站台 VPN

„

59


概念與範例 ScreenOS 參考指南

5. 若要決定目的區域,路由模組執行 10.2.2.5 的路由尋找。( 路由模組會使用入 口介面來決定使用哪一個虛擬路由器進行路由查詢。) 找到路由條目,透過連 結到名為 "vpn1" 的 VPN 通道的 tunnel.1 介面,將通訊流量連結到 10.2.2.5。 此通道介面在 Untrust 區域中。透過決定入口和出口介面,安全性裝置已經確 定了來源和目的區域,並且現在可以進行政策尋找。 6. 若要決定目的區域,路由模組執行 10.2.2.5 的路由尋找。( 路由模組會使用入 口介面來決定使用哪一個虛擬路由器進行路由查詢。) 找到路由條目,透過連 結到名為 "vpn1" 的 VPN 通道的 tunnel.1 介面,將通訊流量連結到 10.2.2.5。 此通道介面在 Untrust 區域中。透過決定入口和出口介面,安全性裝置已經確 定了來源和目的區域,並且現在可以進行政策尋找。 7. 若要決定目的區域,路由模組執行 10.2.2.5 的路由尋找。( 路由模組會使用入 口介面來決定使用哪一個虛擬路由器進行路由查詢。) 找到路由條目,透過連 結到名為 "vpn1" 的 VPN 通道的 tunnel.1 介面,將通訊流量連結到 10.2.2.5。 此通道介面在 Untrust 區域中。透過決定入口和出口介面,安全性裝置已經確 定了來源和目的區域,並且現在可以進行政策尋找。 8. 若要決定目的區域,路由模組執行 10.2.2.5 的路由尋找。( 路由模組會使用入 口介面來決定使用哪一個虛擬路由器進行路由查詢。) 找到路由條目,透過連 結到名為 "vpn1" 的 VPN 通道的 tunnel.1 介面,將通訊流量連結到 10.2.2.5。 此通道介面在 Untrust 區域中。透過決定入口和出口介面,安全性裝置已經確 定了來源和目的區域,並且現在可以進行政策尋找。 „

如果 IPSec 模組發現含有對等方的啟動的「階段 2」SA,則繼續步驟 10。

„

如果 IPSec 模組未發現含有對等方的啟動的「階段 2」SA,則卸除該封包 並觸發 IKE 模組。

9. 若要決定目的區域,路由模組執行 10.2.2.5 的路由尋找。( 路由模組會使用入 口介面來決定使用哪一個虛擬路由器進行路由查詢。) 找到路由條目,透過連 結到名為 "vpn1" 的 VPN 通道的 tunnel.1 介面,將通訊流量連結到 10.2.2.5。 此通道介面在 Untrust 區域中。透過決定入口和出口介面,安全性裝置已經確 定了來���和目的區域,並且現在可以進行政策尋找。 „

如果 IKE 模組發現含有對等方的啟動的「階段 1」SA,則使用此 SA 與 「階段 2」SA 交涉。

„

如果 IKE 模組未發現含有對等方的啟動的「階段 1」SA,則開始「主要」 模式下的「階段 1」交涉,然後開始「階段 2」交涉。

10. 若要決定目的區域,路由模組執行 10.2.2.5 的路由尋找。( 路由模組會使用入 口介面來決定使用哪一個虛擬路由器進行路由查詢。) 找到路由條目,透過連 結到名為 "vpn1" 的 VPN 通道的 tunnel.1 介面,將通訊流量連結到 10.2.2.5。 此通道介面在 Untrust 區域中。透過決定入口和出口介面,安全性裝置已經確 定了來源和目的區域,並且現在可以進行政策尋找。 11. 若要決定目的區域,路由模組執行 10.2.2.5 的路由尋找。( 路由模組會使用入 口介面來決定使用哪一個虛擬路由器進行路由查詢。) 找到路由條目,透過連 結到名為 "vpn1" 的 VPN 通道的 tunnel.1 介面,將通訊流量連結到 10.2.2.5。 此通道介面在 Untrust 區域中。透過決定入口和出口介面,安全性裝置已經確 定了來源和目的區域,並且現在可以進行政策尋找。

60

„ 封包流動 : 站台對站台 VPN


第 3 章 : 虛擬私人網路準則

巴黎 ( 接收方 )

1. 封包到達 2.2.2.2,它是連結到 Untrust 區域的介面 ethernet3 的 IP 位址。 2. 使用 SPI、目的 IP 位址以及包含在外部封包標頭中的 IPSec 通訊協定,IPSec 模組嘗試尋找含有初始對等方和金鑰的啟動「階段 2」SA,以便對該封包進行 驗證和解密。「階段 2」SA 檢查可以產生下列三種結果之一 : „

如果 IPSec 模組發現含有對等方的啟動的「階段 2」SA,則繼續步驟 4。

„

如果 IPSec 模組未發現含有對等方的啟動的「階段 2」SA (但可以使用來源 IP 位址而不是 SPI 配對啟動的「階段 2」SA),則卸除該封包,產生一個事 件紀錄項目,並將收到錯誤 SPI 的通知傳送到初始對等方。

„

如果 IPSec 模組未發現含有對等方的啟動的「階段 2」SA,則卸除該封包 並觸發 IKE 模組。

3. IKE 模組檢查含有遠端對等方的啟動的「階段 1」SA 是否存在。「階段 1」SA 檢查可以產生下列結果之一 : „

如果 IKE 模組發現含有對等方的啟動的「階段 1」SA,則使用此 SA 與 「階段 2」SA 交涉。

„

如果 IKE 模組未發現含有對等方的啟動的「階段 1」SA,則開始「主要」 模式下的「階段 1」交涉,然後開始「階段 2」交涉。

4. IPSec 模組執行反重播檢查。此檢查可以產生下列兩種結果之一 : „

如果由於偵測到安全性裝置已經收到的序號,因此該封包未透過反重播檢 查,則安全性裝置將卸除該封包。

„

如果該封包透過反重播檢查,則安全性裝置繼續下一步驟。

5. IPSec 模組嘗試對封包進行驗證。此驗證檢查可以產生下列兩種結果之一 : „

如果該封包未透過驗證檢查,則安全性裝置將卸除該封包。

„

如果該封包透過驗證檢查,則安全性裝置繼續下一步驟。

6. 使用「階段 2」SA 和金鑰,IPSec 模組解密該封包,找出其原始來源位址 (10.1.1.5) 及其最終目的 (10.2.2.5)。得知該封包來自 vpn1,它連結到 tunnel.1。之後,安全性裝置處理該封包,假設其入口介面是 tunnel.1 而不是 ethernet3。此時,還調整反重播滑動視窗。 7. 若您已啟用 Untrust 區域的 SCREEN 選項,安全性裝置此時即會啟動 SCREEN 模組。SCREEN 檢查會產生下列三個結果中的一種 : „

若 SCREEN 機制偵測到異常行為 ( 組態為阻斷封包 ),則安全性裝置會將幫 包卸除,並在事件記錄中產生一個項目。

„

若 SCREEN 機制偵測到異常行為 ( 組態為記錄事件,但不阻斷封包 ),則安 全性裝置會將事件記錄在 ethernet3 的 SCREEN 計數器清單中,然後繼續 進行下一步。

„

若 SCREEN 機制未偵測到任何異常行為,安全性裝置即會繼續進行 下一步。

封包流動 : 站台對站台 VPN

„

61


概念與範例 ScreenOS 參考指南

8. 會話模組會執行會話查詢,嘗試將封包和現有的會話配對。然後執行「首包處 理」或「快速處理」。 如果封包和現有會話配對,安全性裝置會執行「快速處理」,使用現有會話項 目中的可用資訊來處理封包。「快速處理」會跳過除最後兩個步驟 ( 加密封包 和轉寄封包 ) 之外的所有步驟,因為跳過的步驟產生的資訊已經在會話的第一 個封包處理期間獲得。 9. 位址對應模組會檢查對應的 IP (MIP) 或虛擬 IP (VIP) 組態是否使用目的 IP 位址 10.2.2.5。因為 MIP 或 VIP 組態中未使用 5.5.5.5,所以安全性裝置會繼續進行 下一個步驟。 10. 路由模組首先使用入口介面確定進行路由尋找所使用的虛擬路由器 ( 本實例中 為 trust-vr)。然後執行對 trust-vr 中 10.2.2.5 的路由尋找,發現可透過 ethernet1 存取。透過確定入口介面 (tunnel.1) 和出口介面 (ethernet1),從而安 全性裝置可以確定來源和目的區域。tunnel.1 介面被連結到 Untrust 區域,而 ethernet1 被連結到 Trust 區域。現在,安全性裝置可以進行政策尋找。 11. 政策引擎從 Untrust 區域到 Trust 區域檢查其政策清單,並找到准許存取的 政策。 12. 安全性裝置透過 ethernet1 將封包轉寄到其目的 10.2.2.5。

附錄 : 以政策為基礎的 VPN 以政策為基礎的 VPN 組態的封包流與以路由為基礎的 VPN 組態的封包流有兩點不 同 : 路由尋找和政策尋找。 東京 ( 發起方 )

路由尋找和隨後的政策尋找發生之前,向外封包流的第一階段與以路由為基礎和以 政策為基礎的 VPN 組態相同 : „

路由尋找 : 若要決定目的區域,路由模組對 10.2.2.5 執行路由尋找。由於沒有 為該特定位址找到項目,因此路由模組將該位址解析到一個透過 ethernet3 的 路由,ethernet3 被連結到 Untrust 區域。透過決定入口和出口介面,從而安全 性裝置確定來源和目的位址,並且現在可以執行政策尋找。

„

政策尋找 : 政策引擎在 Trust 和 Untrust 區域間執行政策尋找。尋找與來源位址 和區域、目的位址和區域以及服務配對,並且找到參照名為 vpn1 的 VPN 通道 的政策。

然後,安全性裝置透過 ethernet1 將封包轉寄到其目的 10.2.2.5。 巴黎 ( 接收方 )

除了通道不是連結到通道介面,而是連結到通道區域之外,接受方一端的向內封包 流的大部分階段都與以路由為基礎和以政策為基礎的 VPN 組態相同。安全性裝置 瞭解封包來自連結到 Untrust-Tun 通道區域的 vpn1,其承載區域為 Untrust 區域。 與以路由為基礎的 VPN 不同,安全性裝置將 ethernet3 而不是 tunnel.1 視為解密 封包的入口介面。 封包流在封包解密完成後變更。此時,路由和政策尋找出現以下不同 : „

62

„ 封包流動 : 站台對站台 VPN

路由尋找 : 路由模組對 10.2.2.5 執行尋找,並發現可透過連結到 Trust 區域的 ethernet1 對其進行存取。透過知道 Untrust 區域是來源區域 ( 由於 vpn1 被連 結到 Untrust-Tun 通道區域,其承載區域為 Untrust 區域 ) 及確定以出口介面為


第 3 章 : 虛擬私人網路準則

基礎的目的區域 (ethernet1 被連結到 Trust 區域 ),現在安全性裝置可以從 Untrust 區域到 Trust 區域檢查引用 vpn1 的政策。 „

政策尋找 : 政策引擎從 Untrust 區域到 Trust 區域檢查其政策清單,找到一個參 照名為 vpn1 的 VPN 通道並准許存取 10.2.2.5 的政策。

然後安全性裝置將該封包轉寄到其目的。

通道組態準則 本節說明組態 VPN 通道的一些準則。組態 IPSec VPN 通道時,可能需考慮下列 事項 : „

ScreenOS 最多支援四個「階段 1」交涉的方案及最多四個「階段 2」交涉的方 案。必須組態對等方以接受由其他對等方提供的至少一個「階段 1」方案和一 個「階段 2」方案。如需「階段 1」和「階段 2」IKE 交涉的資訊,請參閱第 8 頁上的「通道交涉」。

„

如果想使用認證進行驗證,並且有一個以上在安全性裝置上載入的本機認證, 則必須指定希望每個 VPN 通道組態使用的認證。如需認證的詳細資訊,請參 閱第 2 章,「公開金鑰密碼編譯」。

„

對於以政策為基礎的基本 VPN:

„

注意 :

„

使用政策中使用者定義的位址,而不是預定義位址 "Any"。

„

在 VPN 的兩端組態的政策中指定的位址和服務必須配對。

„

對雙向 VPN 通訊流量使用對稱政策。

兩個對等方的 proxy ID 必須配對,這意味著兩個對等方的 proxy ID 中指定的 服務相同,並且為一個對等方指定的本機 IP 位址與為另一個對等方指定的遠 端 IP 位址相同。

proxy ID 是一個三部分組合,由本機 IP 位址、遠端 IP 位址和服務組成。 „

對於以路由為基礎的 VPN 組態,proxy ID 是使用者可組態的。

„

對於以政策為基礎的 VPN 組態,預設情況下,安全性裝置從政策 ( 參照政 策清單中該 VPN 通道 ) 中指定的來源位址、目的位址和服務獲得 proxy ID。還可為以政策為基礎的 VPN 定義 proxy ID,該 ID 取代獲得的 proxy ID。

確定 proxy ID 配對的最簡單的方法是使用 0.0.0.0/0 作為本機位址,使用 0.0.0.0/0 作為遠端位址,使用 "any" 作為服務。不是使用 proxy ID 進行存取控制,而是使 用政策對進出 VPN 的通訊流量進行控制。如需含有使用者可組態的 proxy ID 的 VPN 組態的範例,請參閱第 71 頁上的「站台對站台的虛擬私人網路」中以路由為 基礎的 VPN 範例。 注意 :

遠端位址為撥接 VPN 用戶端的虛擬內部位址時,請使用 255.255.255.255/32 作 為 proxy ID 中的遠端 IP 位址 / 網路遮罩。

通道組態準則

„

63


概念與範例 ScreenOS 參考指南

„

只要對等方的 proxy ID 設定配對,一個對等方是否定義以路由為基礎的 VPN 以及另一個對等方是否定義以政策為基礎的 VPN 並不重要。如果對等方 1 使 用以政策為基礎的 VPN 組態並且對等方 2 使用以路由為基礎的 VPN 組態,則 對等方 2 必須定義與從對等方 1 的政策獲得的 proxy ID 配對的 proxy ID。如 果對等方 1 使用 DIP 集區執行來源網路位址轉譯 (NAT-src),則使用該 DIP 集 區的位址和網路遮罩作為對等方 2 的 proxy ID 中的遠端位址。例如 :

當 DIP 集區為 :

在 Proxy ID 中使用 :

1.1.1.8 - 1.1.1.8

1.1.1.8/32

1.1.1.20 - 1.1.1.50

1.1.1.20/26

1.1.1.100 - 1.1.1.200

1.1.1.100/25

1.1.1.0 - 1.1.1.255

1.1.1.0/24

如需 proxy ID 與 NAT-src 和 NAT-dst 配合使用的詳細資訊,請參閱第 129 頁上的 「具有重疊位址的 VPN 站台」。 注意 :

對等方 1 還可定義與對等方 2 的 proxy ID 配對的 proxy ID。對等方 1 的使用者定 義的 proxy ID 取代安全性裝置從政策元件獲得的 proxy ID。 „

由於 proxy ID 支援單個服務或所有服務,因此從參照服務群組的以政策為基 礎的 VPN 匯出的 proxy ID 中的服務被認為是 "any"。

„

兩個對等方都具有靜態 IP 位址時,他們都可使用預設 IKE ID ( 為其 IP 位址 )。 一個對等方或撥接使用者擁有動態分配的 IP 位址時,該對等方或使用者必須使 用另一種 IKE ID。FQDN 對於動態對等方是一個很好的選擇,而 U-FQDN ( 電 子郵件位址 ) 對於撥接使用者是一個很好的選擇。可以使用具有預先共享金鑰 和認證的 FQDN 和 U-FQDN IKE ID 類型 ( 如果 FQDN 或 U-FQDN 在認證的 SubjectAltName 欄位中出現 )。如果使用認證,則動態對等方或撥接使用者也 可使用 ASN1-DN 的全部或部分作為 IKE ID。

以路由為基礎的虛擬私人網路安全性考量 雖然路由變更不會影響以政策為基礎的 VPN,但以路由為基礎的 VPN 卻又是另外 一回事。安全性裝置可透過以路由為基礎的 VPN 通道,使用靜態路由和動態路由 設定通訊協定的組合來路由封包。只要沒有發生路由變更,安全性裝置就會持續不 斷地加密並轉寄封包至通道介面 ( 與以路由為基礎的 VPN 通道連結 )。 不過,使用含有以路由為基礎的 VPN 通道組態的 VPN 監看時,通道的狀態可能會 從工作中變為不工作中。出現這種情況時,引用通道介面 ( 與該通道連結 ) 的所有 路由表項目都會變為不活動。然後,安全性裝置對最初希望加密及透過通道 ( 連結 到該通道介面 ) 傳送的通訊流量進行路由查詢時,將繞過引用通道介面的路由,並 搜尋具有下一個最長配對項目的路由。找到的路由可能是預設路由。然後,安全性 裝置使用此路由將未加密的通訊流量 ( 也就是明文或純文字的通訊流量 ) 透過非通 道介面傳送到公開 WAN。 為避免原先由 VPN 通道傳遞的通訊流量以明文格式重新路由至公開 WAN,您可組 態安全性裝置,使其透過下列任一因應方法將這類通訊流量重新路由至另一個通 道、重新路由至租借線路,或是直接將其卸除 :

64

„ 以路由為基礎的虛擬私人網路安全性考量


第 3 章 : 虛擬私人網路準則

„

本頁中的 「Null 路由」 ( 當通往通道介面的路由不活動時卸除通訊流量 )

„

第 66 頁上的「撥接或租借線路」 (當通往通道介面的路由不活動時將通訊流量 重新路由至備用的安全路徑 )

„

第 69 頁上的「誘導式通道介面」 ( 當通往通道介面的路由不活動時卸除通訊 流量 )

„

第 70 頁上的「通道介面的虛擬路由器」 (當通往通道介面的路由不活動時卸除 通訊流量 )

„

第 70 頁上的「重新路由至另一個通道」 (當通往通道介面的路由不活動時將通 訊流量重新路由至備用的 VPN 通道 )

Null 路由 如果 VPN 通道的狀態變成「不工作中」,安全性裝置會使參考該通道介面的所有路 由變成「不活動」狀態。如果通往通道介面的路由變得無法使用,且次要選擇是預 設路由 ( 舉例而言 ),則安全性裝置會使用預設路由來轉寄原先由 VPN 通道傳遞的 通訊流量。為避免以純文字格式將通訊流量傳送到公開 WAN,當路由發生變更時, 您可使用 null 路由。null 路由會以通過通道介面的路由目的地位址為目標,但它會 改為將通訊流量導向至 Null 介面。Null 介面是一種邏輯介面,可以卸除傳來的通訊 流量。為 null 路由指定一個比使用通道介面之路由更高的計量值 ( 更遠離零 ),使 null 路由變成非偏好路由。 注意 :

舊於 ScreenOS 5.1.0 的版本不支援 null 介面。不過,您可使用誘導式通道介面來 完成相同的目標。如需詳細資訊,請參閱第 69 頁上的「誘導式通道介面」。 例如,如果您建立通過 tunnel.1 到遠端 LAN (IP 位址 10.2.2.0/24) 的靜態路由,它 會自動收到其計量值的預設值 1: set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1 get route … Dest-Routes for <trust-vr> (4 entries) ID

IP-Prefix

Interface

Gateway

P

Pref

Mtr

Vsys

*

3

0.0.0.0/0

eth3

1.1.1.250

S

20

1

Root

*

2

1.1.1.0/24

eth3

0.0.0.0

C

0

0

Root

*

1

10.1.1.0/24

eth1

0.0.0.0

C

0

0

Root

*

4

10.2.2.0/24

tun.1

0.0.0.0

S

20

1

Root

在上述路由設定表中,星號 ( * ) 表示路由處於活動狀態,S 表示「靜態路由」, C 表示「已連接路由」。 在上述路由設定表中,安全性裝置有兩個路由可到達 10.2.2.0/24 子網路中的任何 位址。第一個選擇是路由 #4,因為它與該位址有最長的配對。第二個選擇為預設 路由 (0.0.0.0/0)。

以路由為基礎的虛擬私人網路安全性考量

„

65


概念與範例 ScreenOS 參���指南

之後如果您透過 Null 介面新增另一個通往 10.2.2.0/24 的路由,並為它指定一個大 於 1 的值,該路由會變成通往 10.2.2.0/24 子網路中任意位址的第二路由設定選 擇。如果透過 tunnel.1 通往 10.2.2.0/24 的路由不活動,安全性裝置會使用通往 Null 介面的路由。安全性裝置會將 10.2.2.0/24 的通訊流量轉寄至該介面,然後將 其卸除。 set vrouter trust-vr route 10.2.2.0/24 interface null metric 10 get route … Dest-Routes for <trust-vr> (5 entries) ID

IP-Prefix

Interface

Gateway

P

Pref

Mtr Vsys

*

3

0.0.0.0/0

eth3

1.1.1.250

S

20

1

Root

*

2

1.1.1.0/24

eth3

0.0.0.0

C

0

0

Root

*

1

10.1.1.0/24

eth1

0.0.0.0

C

0

0

Root

4

10.2.2.0/24

tun.1

0.0.0.0

S

20

1

Root

5

10.2.2.0/24

null

0.0.0.0

S

20

10

Root

*

在上述的路由設定表中,透過 tunnel.1 通往 10.2.2.0/24 的路由不活動 ( 從最左欄 中的缺少星號可作出此判斷 )。因此,安全性裝置會搜尋與目的地位址具有最長配 對的下一個路由,並找到路由 #5。( 僅次於路由 #5 的選擇為 ID #3 的預設路由。) 然後安全性裝置將 10.2.2.0/24 的通訊流量轉寄至 null 介面,該介面會卸除通訊流 量。因此,如果使用 tunnel.1 的路由不活動,安全性裝置就會卸除 10.2.2.0/24 的 通訊流量,而非使用路由 #3 將通訊流量以明文格式從 ethernet3 轉寄至位於 1.1.1.250 的路由器。

撥接或租借線路 如果您不想在通往遠端對等方的通道不活動時卸除傳送至該對等方的通訊流量,則 可為該對等方新增備用的路由,透過撥接或租借線路傳遞通訊流量。此備用路由使 用的目的地 IP 位址與透過 VPN 通道路由的目的地 IP 位址相同,但出口介面不 同,計量值也並非偏好。如果透過 VPN 通道的路由不活動,安全性裝置會透過撥 接或租借線路將通訊流量重新路由至遠端對等方。 即使使用撥接或租借線路作為次要選擇的路由,首要與次要選擇路由仍有可能同時 變為不活動。然後安全性裝置會改用第三個選擇,該選擇可能是預設路由。如果已 經預知會發生這種情況,可將撥接或租借線路路由設為第二選擇,將 null 路由設 為第三選擇 ( 請參閱第 65 頁上的「Null 路由」)。圖 24 顯示這些用來處理路由故 障後移轉的選項如何進行協同作業。

66

„ 以路由為基礎的虛擬私人網路安全性考量


第 3 章 : 虛擬私人網路準則

圖 24: VPN 通訊流量的路由故障後移轉替代選擇 首要選擇 : 通往遠端對等方的 VPN 通道。 ethernet1 10.1.1.1/24

本機 安全性 裝置

Trust 區域

Untrust 區域

ethernet3 1.1.1.1/24

本機 LAN

tunnel.1

次要選擇 : 透過撥接或租借線路通 往 VPN 對等方的靜態路由。它的計 量值大於使用 VPN 通道之路由的計 量值。此路由設定選項會將通訊流 量以明文格式透過受保護的線路轉 寄至對等方。

網際網路

遠端 VPN 對等方 遠端 LAN

VPN 通道 ethernet4 1.2.2.1/24 撥接或 租借線路

Null 介面 卸除 通訊流量

第三選擇 : 計量值大於撥接或租 借線路之計量值的 null 路由。此選 項會卸除通訊流量。

VPN 故障後移轉至租借線路或 Null 路由 在下例中,您希望通訊流量從裝置 -A 後方的分公司,透過安全 VPN 連線送達裝 置 -B 後方的企業網路。如果通道失敗,您希望通訊流量透過租借線路傳遞至總部 辦公室。如果 VPN 通道和租借線路都失敗,您希望裝置 -A 卸除通訊流量,而非以 明文格式將其傳送至網際網路。 在裝置 -A 上建立通往 10.2.2.0/24 的三個路由,並為每個路由指派不同的計量值 : „

偏好路由 - 使用 tunnel.1,與 vpn1 ( 計量值 = 1) 連結

„

次要路由 - 使用 ethernet4 和位於 1.2.2.5 的閘道,以使用租借線路 ( 計量值 = 2)

„

第三路由 - 使用 null 介面卸除通訊流量 ( 計量值 = 10)

當您建立偏好路由時,將預設計量值 (1) 用於靜態路由。指派計量值 2 給次要路 由;也就是使用租借線路的備用路由 ( 如第 68 頁上的圖 25 所示 )。它的計量值小 於使用 VPN 通道之偏好路由的計量值。安全性裝置不使用次要路由,除非使用 VPN 通道的偏好路由失敗。 最後,新增具有計量值 10 的 NULL 路由。如果偏好路由失敗,然後次要路由又失 敗,安全性裝置就會卸除所有封包。所有安全區都在 trust-vr 路由設定網域中。 注意 :

本範例僅顯示裝置 -A 上四個路由的組態 ( 三個故障後移轉路由,加上一個預設 路由 )。

以路由為基礎的虛擬私人網路安全性考量

„

67


概念與範例 ScreenOS 參考指南

圖 25: 路由故障後移轉至租借線路再至 Null 路由 通訊流量從分公司傳遞至 總部辦公室。

路由偏好 : 1. tunnel.1 -> vpn1 2. ethernet4 -> 租借線路 3. null 介面 -> 卸除

ethernet3 1.1.1.1/24

閘道 1.1.1.250

ethernet3 2.2.2.2/24

tunnel.1 LAN 10.1.1.0/24

裝置 -A

tunnel.1 裝置 -B

網際網路

LAN 10.2.2.0/24

vpn1 租借線路 ( 備用路由 )

NULL 路由

閘道 : 1.2.2.5/24 ethernet4 1.2.2.1/24

ethernet4 2.3.3.2/24

WebUI ( 裝置 -A) Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250 Metric: 1

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 0.0.0.0 Metric: 1

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: ethernet4 Gateway IP Address: 1.2.2.5 Metric: 2

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10

68

„ 以路由為基礎的虛擬私人網路安全性考量


第 3 章 : 虛擬私人網路準則

CLI ( 裝置 -A) set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1 set vrouter trust-vr route 10.2.2.0/24 interface ethernet4 gateway 1.2.2.5 metric 2 set vrouter trust-vr route 10.2.2.0/24 interface null metric 10 save

執行 get route 指令可確認新路由是否顯示出來。 isg2000-C-> get route

IPv4 Dest-Routes for <untrust-vr> (0 entries) -------------------------------------------------------------------------------H: Host C: Connected S: Static A: Auto-Exported I: Imported R: RIP P: Permanent D: Auto-Discovered iB: IBGP eB: EBGP O: OSPF E1: OSPF external type 1 E2: OSPF external type 2

IPv4 Dest-Routes for <trust-vr> (7 entries) -------------------------------------------------------------------------------ID IP-Prefix Interface Gateway P Pref Mtr Vsys -------------------------------------------------------------------------------* 8 0.0.0.0/0 eth1/1 10.100.37.1 S 20 1 Root * 7 1.1.1.1/32 eth1/2 0.0.0.0 H 0 0 Root * 3 192.168.1.1/32 mgt 0.0.0.0 H 0 0 Root * 2 192.168.1.0/24 mgt 0.0.0.0 C 0 0 Root * 4 10.100.37.0/24 eth1/1 0.0.0.0 C 0 0 Root * 5 10.100.37.170/32 eth1/1 0.0.0.0 H 0 0 Root * 6 1.1.1.0/24 eth1/2 0.0.0.0 C 0 0 Root

ID 5 的路由表項目將 10.2.2.0/24 的通訊流量導向 tunnel.1 然後通過 VPN 通道。它 是通訊流量到達 10.2.2.0 網路的偏好路由。如果該通道失敗,次要偏好路由就是 路由項目 6,該路由項目使用租借線路通過位於 1.2.2.5 的閘道。如果路由項目 6 的連線失敗,路由項目 7 會變成下一偏好路由,然後安全性裝置將 10.2.2.0/24 的 通訊流量導向 null 介面,該介面會卸除通訊流量。

誘導式通道介面 即使不在 VPN 通道中使用通訊流量故障後移轉至空介面 ( 然後卸除通訊流量 ) 的功 能,仍可使用非活動狀態的通道介面來達到相同的目標。 注意 :

舊於 ScreenOS 5.1.0 的版本不支援空介面 ( 請參閱第 65 頁上的「Null 路由」)。 不過,您可使用誘導式通道介面來完成相同的目標。 若要設定誘導式通道介面,請執行下面的操作 : 1. 建立第二個通道介面,但不將其連結到一個 VPN 通道。相反,將其連結到一 個通道區域,該區域在與第一個通道介面相同的虛擬路由網域中。

注意 :

如果一個通道介面被連結到一個通道區域,則其狀態始終為連接。

以路由為基礎的虛擬私人網路安全性考量

„

69


概念與範例 ScreenOS 參考指南

2. 使用第二個通道介面定義通往相同目的地的第二個路由,並為其分配較偏好路 由更高的計量值 ( 更遠離零 )。 如果活動通道介面的狀態從工作中變為不工作中並且參照該介面的路由表項目 變成不活動狀態,所有的後續路由查詢都能找到這個到不活動通道介面的第二 個路由。安全性裝置將通訊流量轉寄到第二個通道介面,由於它未連結到 VPN 通道,因此裝置將卸除通訊流量。

通道介面的虛擬路由器 為避免通過 VPN 通道的路由停用,致使原先應該通過該通道的通訊流量,因故障 後移轉機制而使用預設路由,可建立 VPN 通訊流量專用的一種特殊虛擬路由設定 網域。若要建立該網域,請執行以下步驟 : 1. 建立單獨的虛擬路由器,用於指向通道介面的所有路由,並為其命名,例如 "VR-VPN"。 2. 建立一個安全區域 ( 例如,名為「VPN 區域」),並將其連結到 VR-VPN。 3. 將所有通道介面連結到 VPN 區段,並將希望到達 VPN 通道的遠端站點的所有 位址放在此區段中。 4. 為希望加密和透過通道傳送的通訊流量組態其他所有虛擬路由器中到 VR-VPN 的靜態路由。必要時,為從 VR-VPN 到其他虛擬路由器的已加密通訊流量定義 靜態路由。如果向內 VPN 通訊流量從遠端站點初始化,要允許該通訊流量透 過通道,這些路由是必需的。 如果通道介面的狀態從連接改變為中斷,安全性裝置會依然將通訊流量轉寄到 VR-VPN,由於到該介面的路由目前處於非活動狀態,並且沒有其他配對路 由,因此安全性裝置會卸除通訊流量。

重新路由至另一個通道 您可組態兩個或更多通往同一遠端對等方的 VPN 通道。如果一個通道不工作,安 全性裝置會透過另一個 VPN 通道重新路由通訊流量。如需有關組態額外 VPN 通道 的資訊和範例,請參閱以下內容 :

70

„

第 11-46 頁上的「雙 Untrust 介面」

„

第 11-52 頁上的「活動至備份通道故障後移轉」

„

第 11-57 頁上的「雙重活動通道」

„

第 11-61 頁上的「將權重套用於通道故障後移轉」

„ 以路由為基礎的虛擬私人網路安全性考量


第4章

站台對站台的虛擬私人網路 本章說明如何在兩台 Juniper Networks 安全性裝置間組態站台對站台的虛擬私人網 路 (VPN) 通道。分析以路由為基礎和以政策為基礎的 VPN 通道,介紹設定通道時 必須考量的各種元素,並提供幾個範例。 本章包括下列各節 : „

„

第 72 頁上的「站台對站台 VPN 組態」 „

第 78 頁上的「以路由為基礎的站台對站台 VPN,自動金鑰 IKE」

„

第 86 頁上的「以政策為基礎的站台對站台 VPN,自動金鑰 IKE」

„

第 92 頁上的「以路由為基礎的站台對站台 VPN,動態對等方」

„

第 100 頁上的「以政策為基礎的站台對站台 VPN,動態對等方」

„

第 108 頁上的「以路由為基礎的站台對站台 VPN,手動金鑰」

„

第 115 頁上的「以政策為基礎的站台對站台 VPN,手動金鑰」

第 119 頁上的「使用 FQDN 的動態 IKE 閘道」 „

第 120 頁上的「別名」

„

第 121 頁上的「設定具有 FQDN 的自動金鑰 IKE 對等方」

„

第 129 頁上的「具有重疊位址的 VPN 站台」

„

第 139 頁上的「透明模式 VPN」

„

71


概念與範例 ScreenOS 參考指南

站台對站台 VPN 組態 IPSec VPN 通道存在於兩個閘道之間,每個閘道都需要一個 IP 位址。當兩個閘道 都有靜態 IP 位址時,可以組態下列各種通道 : „

站台對站台 VPN,自動金鑰 IKE 通道 ( 有預先共享金鑰或認證 )

„

站台對站台 VPN,手動金鑰通道

當一個閘道有靜態位址,而另一個閘道有動態分配的位址時,可以組態下列各種 通道 : „

動態對等站台對站台 VPN,自動金鑰 IKE 通道 ( 有預先共享金鑰或認證 )

在此處使用時,靜態站台對站台的 VPN 包括連接兩個站台的 IPSec 通道,每個站 台都有作為安全閘道運作的安全性裝置。在兩個裝置上都被用作向外介面的實體介 面或子介面都有固定的 IP 位址,內部主機也有靜態 IP 位址。如果安全性裝置在 「透明」模式中,會將 VLAN1 位址當作向外介面的 IP 位址使用。對於靜態站台對 站台的 VPN,由於遠端閘道的 IP 位址保持不變因而可以到達,因此通道任一端的 主機都可初始化 VPN 通道設定。 如果其中一個安全性裝置的向外介面有動態指派的 IP 位址,則該裝置的術語是 「動態對等方」,並有不同的 VPN 組態。對於動態對等站台對站台的 VPN,由於 只有那些位於動態對等方後面的主機的遠端閘道才有固定的 IP 位址,並因而可以 從其本機閘道到達,因只有這些主機才能初始化 VPN 通道設定。但是,建立動態 對等方和靜態對等方之間的通道後,如果目的主機有固定的 IP 位址,則任一閘道 後面的主機都可以初始化 VPN 通訊流量。 注意 :

如需可用的 VPN 選項的背景資訊,請參閱第 1 頁上的「網際網路通訊協定安全 性」。如需從多種選項中進行選擇的導引,請參閱第 43 頁上的「虛擬私人網路 準則」。 站台對站台 VPN 通道的組態需要協調通道組態以及其他設定 ( 介面、位址、路由 和政策 )。本節 VPN 組態的三個範例的環境如下 : 東京分公司想透過 IPSec VPN 通 道與巴黎分公司進行安全通訊。

72

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

圖 26: 站台對站台 VPN 通道組態

Trust 區域

東京 分公司

Untrust 區域 tunnel.1,未編號

ethernet1 10.1.1.1/24 NAT

ethernet3,1.1.1.1/24 外部路由器,1.1.1.250

LAN 10.1.1.0/24

東京 安全性裝置

網際網路 Tunnel: vpn1

巴黎 安全性裝置

外部路由器,2.2.2.250

LAN 10.2.2.0/24

ethernet1 10.2.2.1/24

ethernet3,2.2.2.2/24 tunnel.1,未編號 Untrust 區域

巴黎 分公司

Trust 區域

兩個分公司的管理員組態以下設定 : „

介面 - 安全區域和通道

„

位址

„

VPN ( 下列之一 ) „

自動金鑰 IKE

„

動態對等

„

手動金鑰

„

路由

„

政策

站台對站台 VPN 組態

„

73


概念與範例 ScreenOS 參考指南

圖 27: 站台對站台通道的組態 - 介面

Trust 區域

東京 分公司

Untrust 區域 tunnel.1,未編號

ethernet1 10.1.1.1/24 NAT

Eth3,1.1.1.1/24 東京 安全性裝置 網際網路

巴黎 安全性裝置 ethernet1 10.2.2.1/24 NAT

Eth3,2.2.2.2/24 tunnel.1,未編號 Untrust 區域

1.

巴黎 分公司

Trust 區域

介面 - 安全區域和通道

東京分公司的管理員使用圖 27 上半部中顯示的設定來組態安全區域和通道介面。 同樣的,巴黎分公司的管理員使用該圖下半部中顯示的設定來組態安全區域和通道 介面。 Ethernet3 將成為 VPN 通訊流量的向外介面及從通道另一端傳送的 VPN 通訊流量 的遠端閘道。 Ethernet1 處於 NAT 模式,因此每個 admin 都可以為所有內部主機分配 IP 位址, 然而,當通訊流量從 Trust 區域傳遞到 Untrust 區域時,安全性裝置會將封包標頭 中的來源 IP 位址轉譯為 Untrust 區域介面 ethernet3 的位址 ( 東京為 1.1.1.1,巴黎 為 2.2.2.2)。 對於以路由為基礎的 VPN,每個 admin 都將通道介面 tunnel.1 連結到 VPN 通道 vpn1。透過定義到遠端辦公室 LAN 的位址空間的路由,安全性裝置可將為該 LAN 連結的所有通訊流量引導到 tunnel.1 介面,從而透過通道連結了 tunnel.1 的通道。 由於不需要以政策為基礎的 NAT 服務,因此,以路由為基礎的 VPN 組態不要求 tunnel.1 具有 IP 位址 / 網路遮罩,以政策為基礎的 VPN 組態甚至不需要通道介面。

74

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

圖 28: 站台對站台通道的組態 - 位址

東京 分公司

Trust 區域

Trust_LAN Trust, 10.1.1.0/24 東京 Untrust 10.1.1.0/24

ethernet1 10.1.1.1/24 NAT

Untrust 區域 tunnel.1,未編號 ethernet3,1.1.1.1/24

東京 安全性裝置

巴黎 Untrust, 10.2.2.0/24

LAN

網際網路

LAN

Trust_LAN Trust 10.2.2.0/24

巴黎 安全性裝置 ethernet1 10.2.2.1/24 NAT

ethernet3,2.2.2.2/24 tunnel.1,未編號 Untrust 區域

2.

巴黎 分公司

Trust 區域

位址

admin 定義位址,以備以後在向內和向外政策中使用。東京分公司的管理員定義 圖 28 上半部中顯示的位址。同樣的,巴黎分公司的管理員定義該圖下半部中顯示 的位址。 對以政策為基礎的 VPN,安全性裝置從政策獲得 proxy ID。由於 VPN 通道兩端的 安全性裝置使用的 proxy ID 必須完全配對,因此,如果在通道一端使用更為具體 的位址,則在通道另一端不能使用 IP 位址為 0.0.0.0/0 的預定義位址 "ANY"。例如 : 如果東京的 proxy ID 如下所示 : From: 0.0.0.0/0 To: 10.2.2.0/24 Service: ANY

並且如果巴黎的 proxy ID 如下所示 : To: 10.1.1.0/24 From: 10.2.2.0/24 Service: ANY

則 proxy ID 不配對,並且 IKE 交涉將失敗。 注意 :

從 ScreenOS 5.0.0 開始,還可為以政策為基礎的 VPN 組態中參照的 VPN 通道定 義 proxy ID。 對於以路由為基礎的 VPN,可以使用 "0.0.0.0/0-0.0.0.0/0-any" 為 proxy ID 定義本 機和遠端 IP 位址及服務類型。然後可使用更為嚴格的政策,根據來源位址、目的 位址和服務類型篩選向內和向外 VPN 通訊流量。

站台對站台 VPN 組態

„

75


概念與範例 ScreenOS 參考指南

圖 29: 站台對站台通道組態 - VPN 通道

Trust_LAN Trust, 10.1.1.0/24

Tunnel.1,未編號 ethernet3,1.1.1.1/24

ethernet1 10.1.1.1/24 NAT

東京 Untrust 10.1.1.0/24

Untrust 區域

東京 分公司

Trust 區域

東京 安全性裝置

LAN

Trust_LAN Trust 10.2.2.0/24

網際網路

LAN

Tunnel: vpn1

巴黎 安全性裝置 ethernet1 10.2.2.1/24 NAT

ethernet3,2.2.2.2/24 tunnel.1,未編號 巴黎 分公司

Untrust 區域

3.

巴黎 Untrust, 10.2.2.0/24

Trust 區域

VPN

可以組態下列三個 VPN 中的一個 : „

自動金鑰 IKE 「自動金鑰 IKE」方法使用預先共享金鑰或認證,按照使用者定義的間隔 ( 稱 為金鑰生命週期 ) 自動重新整理 ( 即變更 ) 加密和驗證金鑰。實際上,儘管非 常短的生命週期可能會降低整體效能,但是經常更新這些金鑰會加強安全性。

„

動態對等 動態對等方是具有動態指派的 IP 位址的遠端閘道。由於每次 IKE 交涉開始時 遠端對等方的 IP 位址可能不同,因此對等方後面的主機必須初始化 VPN 通訊 流量。另外,如果使用預先共享金鑰進行驗證,在挑釁式模式下「階段 1」交 涉的第一個訊息期間,對等方必須傳送 IKE ID 以對自身進行識別。

„

手動金鑰 「手動金鑰」方法要求手動設定及更新加密和驗證金鑰。對於小型的 VPN 通 道組,此方法是一個可行的選項。

圖 30: 站台對站台通道的組態 - 路由 trust-vr Dst 10.2.2.0/24 使用 tunnel. 1

Trust 區域

Dst 10.2.2.0/24 使用 NULL Metric: 50

ethernet1 10.1.1.1/24 NAT

Dst 0.0.0.0/0 使用 eth3 閘道 : 1.1.1.250

LAN

Trust_LAN Trust, 10.1.1.0/24 東京 Untrust, 10.1.1.0/24

76

„ 站台對站台 VPN 組態

東京 分公司

Null 介面

Untrust 區域 tunnel.1,未編號 ethernet3,1.1.1.1/24 外部路由器,1.1.1.250 網際網路

LAN

Tunnel: vpn1 外部路由器,2.2.2.250 ethernet3,2.2.2.2/24

Null 介面

tunnel.1,未編號 Untrust 區域

巴黎 分公司

Trust_LAN Trust, 10.2.2.0/24 巴黎 Untrust, 10.2.2.0/24 trust-vr Dst 10.1.1.0/24 使用 tunnel.1

Dst 10.1.1.0/24 ethernet1 使用 NULL 10.2.2.1/24 Metric: 50 NAT Trust 區域

Dst 0.0.0.0/0 使用 eth3 閘道 : 2.2.2.250


第 4 章 : 站台對站台的虛擬私人網路

4.

路由

每個站台的管理員必須至少組態以下路由 :

注意 :

„

用於要到達使用 tunnel.1 的遠端 LAN 上位址的通訊流量的路由

„

用於其他所有通訊流量的預設路由,包括透過 ethernet3 到達網際網路然後到 達分公司位址 ( 東京分公司為 1.1.1.250,巴黎分公司為 2.2.2.250) 之外的外部 路由器的外部 VPN 通道通訊流量。外部路由器是預設閘道,安全性裝置將路 由表中沒有特定路由的任何通訊流量轉寄到該閘道。

如果東京分公司的安全性裝置從其 ISP 動態收到其外部 IP 位址 ( 即,從巴黎分公 司來說,東京分公司的安全性裝置是其動態對等 ),則 ISP 為東京裝置自動提供 預設閘道 IP 位址。 „

組態一個 null 路由,這樣如果 tunnel.1 的狀態變成「中斷」,且參考 tunnel.1 的所有路由都停用,則安全性裝置不會使用預設的路由,將前往遠端 LAN 的 通訊流量透過 ethernet3 在未經加密的情況下轉寄出去。null 路由使用遠端 LAN 作為目的地位址,但它會使通訊流量指向 Null 介面,Null 介面是一種會 將收到的通訊流量卸除的邏輯介面。為 null 路由指定一個比使用 tunnel.1 通往 遠端 LAN 的路由還要高的計量值 ( 遠離零 ),使 null 路由在使用優先順序上低 於參考 tunnel.1 介面的路由。

圖 31: 站台對站台通道的組態 - 政策 trust-vr Dst 10.2.2.0/24 使用 tunnel. 1 Dst 0.0.0.0/0 使用 eth1 閘道 : 1.1.1.250 Trust_LAN Trust, 10.1.1.0/24

東京 分公司

Trust 區域

ethernet1 10.1.1.1/24 NAT

Null 介面

trust-vr Dst 10.1.1.0/24 使用 tunnel. 1

Untrust 區域

Dst 0.0.0.0/0 使用 eth3 閘道 : 2.2.2.250

tunnel.1,未編號 ethernet3,1.1.1.1/24 外部路由器,1.1.1.250 網際網路

LAN

LAN

Tunnel: vpn1

東京 Untrust, 10.1.1.0/24

外部路由器,2.2.2.250

Null 介面

ethernet3,2.2.2.2/24 tunnel.1,未編號

Trust -> Untrust Trust_LAN -> 巴黎 ANY, Permit

Untrust 區域

巴黎 分公司

Trust_LAN Trust, 10.2.2.0/24

巴黎 ethernet1 Untrust, 10.2.2.1/24 10.2.2.0/24 NAT Trust -> Untrust Trust_LAN -> 巴黎 ANY, Permit Trust 區域 Untrust -> Trust 巴黎 -> Trust_LAN ANY, Permit

Untrust -> Trust 巴黎 -> Trust_LAN ANY, Permit

5.

政策

每個站台的 admin 定義允許這兩個分公司間通訊流量的政策 : „

允許從 Trust 區域中的 "Trust_LAN" 到 Untrust 區域中的「巴黎」或「東京」的 任何種類的通訊流量的政策

„

允許從 Untrust 區域中的「巴黎」或「東京」到 Trust 區域中的 "Trust_LAN" 的 任何種類的通訊流量的政策

由於到遠端站台的偏好路由指定連結到 VPN 通道 vpn1 的 tunnel.1,因此政策不需 要參照 VPN 通道。

站台對站台 VPN 組態

„

77


概念與範例 ScreenOS 參考指南

以路由為基礎的站台對站台 VPN,自動金鑰 IKE 在本範例中,使用預先共享的秘密或一對認證 ( 每個通道終點一個 )「自動金鑰 IKE」通道在東京和巴黎分公司之間提供安全連接。對於「階段 1」和「階段 2」 安全層級,指定「階段 1」提議 ( 對預先共享金鑰方法為 pre-g2-3des-sha,對認證 為 rsa-g2-3des-sha),並對「階段 2」選擇預先定義的 "Compatible" 提議集。所有 區域都在 trust-vr 中。 圖 32: 以路由為基礎的站台對站台 VPN,自動金鑰 IKE 在東京的安全性裝置 上組態的區域拓樸 東京

Trust 區域

在巴黎的安全性裝置 上組態的區域拓樸 巴黎

東京

Untrust 區域

東京 Trust 區域 eth1,10.1.1.1/24

Untrust 區域 向外介面 Untrust 區域 eth3,1.1.1.1/24 閘道 1.1.1.250

向外介面 Untrust 區域 eth3,2.2.2.2/24 閘道 2.2.2.250 網際網路

巴黎

Trust 區域

巴黎 Trust 區域 eth1,10.2.2.1/24

VPN 通道 通道介面 Tunnel.1

通道介面 Tunnel.1

使用預先共享的秘密或認證設定以路由為基礎的「自動金鑰 IKE」通道時,包括下 列步驟 : 1. 為連結到安全區和通道介面的實體介面指派 IP 位址。 2. 組態 VPN 通道、在 Untrust 區域內指定其向外介面、將其連結到通道介面,並 組態其 Proxy-ID。 3. 在 Trust 和 Untrust 區域的通訊錄中輸入本機及遠端端點的 IP 位址。 4. 在 trust-vr 中輸入到外部路由器的預設路由,並輸入透過通道介面到目的地的 路由以及到目的地的 null 路由。將更高的計量值 ( 更遠離零 ) 指派給 null 路 由,使它變成通往目的地作為次要選擇的路由。然後,如果通道介面的狀態變 成「中斷」且參考該介面的路由停用,安全性裝置就會使用 null 路由,這個路 由基本上會卸除所有傳送至它的通訊流量,而不會像預設路由那樣將未經加密 的通訊流量轉寄。 5. 設定 VPN 通訊流量在每個站點間通行的政策。 在下面的範例中,預先共享金鑰為 h1p8A24nG5。假設兩個參與者都已有 RSA 認 證,並使用 Entrust 作為憑證授權單位 (CA)。( 如需取得和載入認證的資訊,請參 閱第 22 頁上的「認證和 CRL」。)

78

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

WebUI ( 東京 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet3 (trust-vr) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Paris_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Untrust 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Paris Security Level: Custom Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: 2.2.2.2

站台對站台 VPN 組態

„

79


概念與範例 ScreenOS 參考指南

預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)

(或) 認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Preferred certificate (optional) Peer CA: Entrust Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Tokyo_Paris Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_Paris

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Security Level: Compatible Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.1.1.0/24 Remote IP/Netmask: 10.2.2.0/24 Service: ANY 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: Tunnel.1 Gateway IP Address: 0.0.0.0

80

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To Paris Source Address: Trust_LAN Destination Address: Paris_Office Service: ANY Action: Permit Position at Top: ( 選擇 )

Policies > (From: Untrust, To: Trust) > New: 輸入下面的內容,然後按一下 OK: Name: From Paris Source Address: Paris_Office Destination Address: Trust_LAN Service: ANY Action: Permit Position at Top: ( 選擇 )

WebUI ( 巴黎 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.2.2.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.2.2.2/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet3 (trust-vr)

站台對站台 VPN 組態

„

81


概念與範例 ScreenOS 參考指南

位址

2.

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Tokyo_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Tokyo Security Level: Custom Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: 1.1.1.1 預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)

(或) 認證

Outgoing Interface: ethernet3 > Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Preferred certificate (optional) Peer CA: Entrust Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: Name: Paris_Tokyo Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_Tokyo

82

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Security Level: Compatible Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.2.2.0/24 Remote IP/Netmask: 10.1.1.0/24 Service: ANY 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: Tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To Tokyo Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Tokyo_Office Service: ANY Action: Permit Position at Top: ( 選擇 )

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Name: From Tokyo Source Address: Address Book Entry: ( 選擇 ), Tokyo_Office Destination Address: Address Book Entry: ( 選擇 ), Trust_LAN Service: ANY Action: Permit Position at Top: ( 選擇 ) 站台對站台 VPN 組態

„

83


概念與範例 ScreenOS 參考指南

CLI ( 東京 ) 介面

1.

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 位址

2.

set address trust Trust_LAN 10.1.1.0/24 set address untrust Paris_Office 10.2.2.0/24 3.

VPN

預先共享的金鑰

set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn Tokyo_Paris gateway To_Paris sec-level compatible set vpn Tokyo_Paris bind interface tunnel.1 set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any

(或) 認證

set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway To_Paris cert peer-ca 1 set ike gateway To_Paris cert peer-cert-type x509-sig set vpn Tokyo_Paris gateway To_Paris sec-level compatible set vpn Tokyo_Paris bind interface tunnel.1 set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any 注意 :

數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get ike ca。 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1 set vrouter trust-vr route 10.2.2.0/24 interface null metric 10 5.

政策

set policy top name "To Paris" from trust to untrust Trust_LAN Paris_Office any permit set policy top name "From Paris" from untrust to trust Paris_Office Trust_LAN any permit save

84

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

CLI ( 巴黎 ) 介面

1.

set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 位址

2.

set address trust Trust_LAN 10.2.2.0/24 set address untrust Tokyo_Office 10.1.1.0/24 3.

VPN

預先共享的金鑰

set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible set vpn Paris_Tokyo bind interface tunnel.1 set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any

(或) 認證

set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway To_Tokyo cert peer-ca 1 set ike gateway To_Tokyo cert peer-cert-type x509-sig set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible set vpn Paris_Tokyo bind interface tunnel.1 set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1 set vrouter trust-vr route 10.1.1.0/24 interface null metric 10 5.

政策

set policy top name "To Tokyo" from trust to untrust Trust_LAN Tokyo_Office any permit set policy top name "From Tokyo" from untrust to trust Tokyo_Office Trust_LAN any permit save

站台對站台 VPN 組態

„

85


概念與範例 ScreenOS 參考指南

以政策為基礎的站台對站台 VPN,自動金鑰 IKE 在本範例中,使用預先共享的秘密或一對認證 ( 每個通道終點一個 )「自動金鑰 IKE」通道在東京和巴黎分公司之間提供安全連接。對於「階段 1」和「階段 2」 安全層級,指定「階段 1」提議 ( 對預先共享金鑰方法為 pre-g2-3des-sha,對認證 為 rsa-g2-3des-sha),並對「階段 2」選擇預先定義的 "Compatible" 提議集。所有 區域都在 trust-vr 中。 圖 33: 以政策為基礎的站台對站台 VPN,自動金鑰 IKE

在東京的安全性裝置 上組態的區域拓樸 東京 Trust 區域

在巴黎的安全性裝置 上組態的區域拓樸 巴黎

Untrust-Tun 區域

Untrust 區域

Untrust 區域

東京 Trust 區域 eth1,10.1.1.1/24

巴黎

東京

向外介面 Untrust 區域 eth3,1.1.1.1/24 閘道 1.1.1.250

向外介面 Untrust 區域 eth3,2.2.2.2/24 閘道 2.2.2.250 網際網路

Untrust-Tun 區域

Trust 區域

巴黎 Trust 區域 eth1,10.2.2.1/24

VPN 通道

用有預先共享金鑰或認證的「自動金鑰 IKE」設定「自動金鑰 IKE」通道時,包括 下列步驟 : 1. 定義安全區介面 IP 位址。 2. 為本機及遠端端點實體產生通訊錄項目。 3. 定義遠端閘道和金鑰交換模式,並指定預先共享金鑰或認證。 4. 建立「自動金鑰 IKE VPN」。 5. 設定到外部路由器的預設路由。 6. 組態政策。 在下面的範例中,預先共享金鑰為 h1p8A24nG5。假設兩個參與者都已有 RSA 認 證,並使用 Entrust 作為憑證授權單位 (CA)。( 如需取得和載入認證的資訊,請參 閱第 22 頁上的「認證和 CRL」。)

86

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

WebUI ( 東京 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Paris_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Untrust 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Paris Security Level: Custom Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: 2.2.2.2 預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 OK 返回基本 Gateway 組 態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)

(或)

站台對站台 VPN 組態

„

87


概念與範例 ScreenOS 參考指南

認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 OK 返回基本 Gateway 組 態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Main (ID Protection) Preferred certificate (optional) Peer CA: Entrust Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Tokyo_Paris Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_Paris 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To/From Paris Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Paris_Office Service: ANY Action: Tunnel Tunnel VPN: Tokyo_Paris Modify matching bidirectional VPN policy: ( 選擇 ) Position at Top: ( 選擇 )

WebUI ( 巴黎 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.2.2.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

88

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.2.2.2/24 位址

2.

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Tokyo_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Tokyo Security Level: Custom Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: 1.1.1.1 預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)

(或) 認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Main (ID Protection) Preferred certificate (optional) Peer CA: Entrust Peer Type: X509-SIG

站台對站台 VPN 組態

„

89


概念與範例 ScreenOS 參考指南

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Paris_Tokyo Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_Tokyo 路由

4.

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250 政策

5.

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To/From Tokyo Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Tokyo_Office Service: ANY Action: Tunnel Tunnel VPN: Paris_Tokyo Modify matching bidirectional VPN policy: ( 選擇 ) Position at Top: ( 選擇 )

CLI ( 東京 ) 介面

1.

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 位址

2.

set address trust Trust_LAN 10.1.1.0/24 set address untrust paris_office 10.2.2.0/24 3.

VPN

預先共享的金鑰

set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn tokyo_paris gateway to_paris sec-level compatible

(或) 認證

set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway to_paris cert peer-ca 1 set ike gateway to_paris cert peer-cert-type x509-sig set vpn tokyo_paris gateway to_paris sec-level compatible

90

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

注意 :

數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get ike ca。 路由

4.

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 政策

5.

set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_office any tunnel vpn tokyo_paris set policy top name "To/From Paris" from untrust to trust paris_office Trust_LAN any tunnel vpn tokyo_paris save

CLI ( 巴黎 ) 介面

1.

set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 位址

2.

set address trust Trust_LAN 10.2.2.0/24 set address untrust tokyo_office 10.1.1.0/24 3.

VPN

預先共享的金鑰

set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn paris_tokyo gateway to_tokyo sec-level compatible

(或) 認證

set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway to_tokyo cert peer-ca 1 set ike gateway to_tokyo cert peer-cert-type x509-sig set vpn paris_tokyo gateway to_tokyo tunnel proposal nopfs-esp-3des-sha 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 5.

政策

set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_office any tunnel vpn paris_tokyo set policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LAN any tunnel vpn paris_tokyo save

站台對站台 VPN 組態

„

91


概念與範例 ScreenOS 參考指南

以路由為基礎的站台對站台 VPN,動態對等方 在本範例中,使用預先共享的金鑰或一對認證 ( 每個通道終點一個 )「自動金鑰 IKE VPN」通道在保護東京和巴黎分公司的安全性裝置之間提供安全連接。巴黎分 公司的安全性裝置的 Untrust 區域介面具有一個靜態 IP 位址。服務於東京分公司 的 ISP 透過 DHCP 為 Untrust 區域介面以動態方式指派 IP 位址。由於只有巴黎的 安全性裝置具有其 Untrust 區域的固定位址,因此 VPN 通訊流量必須來自東京分 公司的主機。建立通道後,通過該通道的通訊流量可源自任一端。所有的安全區和 通道區都在 trust-vr 中。 圖 34: 以路由為基礎的站台對站台 VPN,動態對等方 在巴黎的安全性裝置上 組態的區域拓樸

在東京的安全性裝置上 組態的區域拓樸 東京

東京

巴黎

Trust 區域

Untrust 區域

東京 Trust 區域 eth1,10.1.1.1/24

Untrust 區域 向外介面 Untrust 區域 eth3 和閘道 由 ISP 動態指派

向外介面 Untrust 區域 eth3,2.2.2.2/24 閘道 2.2.2.250

巴黎

Trust 區域

巴黎 Trust 區域 eth1,10.2.2.1/24

網際網路 VPN 通道 通道介面 Tunnel.1

通道介面 Tunnel.1 DHCP 伺服器 2.1.1.5

預先共享金鑰為 h1p8A24nG5。假設兩位參與者都已從憑證授權單位 (CA) Verisign 取得 RSA 認證,而且電子郵件位址 pmason@abc.com 出現在裝置 -A 上的本機認證 中 ( 如需取得並下載認證的詳細資訊,請參閱第 22 頁上的「認證和 CRL」)。對於 「階段 1」和「階段 2」安全層級,指定「階段 1」提議 ( 對預先共享金鑰方法為 pre-g2-3des-sha,對認證為 rsa-g2-3des-sha),並對「階段 2」選擇 "Compatible" 提議集。 在 VPN 通道每一端的安全性裝置上輸入三個路由 : „

在 trust-vr 中輸入到外部路由器的預設路由

„

透過通道介面通往目的地的路由

„

通往目的地的 null 路由。將更高的計量值 ( 更遠離零 ) 指派給 null 路由,使它 變成通往目的地作為次要選擇的路由。然後,如果通道介面的狀態變成「中 斷」且參考該介面的路由停用,安全性裝置就會使用 null 路由,這個路由基本 上會卸除所有傳送至它的通訊流量,而不會像預設路由那樣將未經加密的通訊 流量轉寄。

最後,組態允許在兩個站台之間傳遞雙向通訊流量的政策。

92

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

WebUI ( 東京 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按���下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 Apply: Zone Name: Untrust

輸入下面的內容,然後按一下 OK: Obtain IP using DHCP: ( 選擇 ) 注意 :

不能透過 WebUI 指定 DHCP 伺服器的 IP 位址,但可以透過 CLI 這麼做。 Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet3 (trust-vr) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Paris_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Untrust 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Paris Security Level: Custom Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: 2.2.2.2

站台對站台 VPN 組態

„

93


概念與範例 ScreenOS 參考指南

預先共享的金鑰

Preshared Key: h1p8A24nG5 Local ID: pmason@abc.com Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Aggressive

(或) 認證

Local ID: pmason@abc.com Outgoing Interface: ethernet3 注意 :

U-FQDN "pmason@abc.com" 必須出現在認證的 SubjectAltName 欄位中。 > Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Aggressive Preferred Certificate (optional): Peer CA: Verisign Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Tokyo_Paris Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_Paris

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface: ( 選擇 ), tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.1.1.0/24 Remote IP/Netmask: 10.2.2.0/24 Service: ANY

94

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 0.0.0.0 注意 :

ISP 透過 DHCP 以動態方式提供閘道 IP 位址。 Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: Tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Paris_Office Service: Any Action: Permit Position at Top: ( 選擇 )

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Paris_Office Destination Address: Address Book Entry: ( 選擇 ), Trust_LAN Service: Any Action: Permit Position at Top: ( 選擇 )

站台對站台 VPN 組態

„

95


概念與範例 ScreenOS 參考指南

WebUI ( 巴黎 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.2.2.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address: 2.2.2.2/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet3 (trust-vr) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Tokyo_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Tokyo Security Level: Custom Remote Gateway Type: Dynamic IP Address: ( 選擇 ), Peer ID: pmason@abc.com

96

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Aggressive

(或) 認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Aggressive Preferred Certificate (optional): Peer CA: Verisign Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Paris_Tokyo Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_Tokyo

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface: ( 選擇 ), tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.2.2.0/24 Remote IP/Netmask: 10.1.1.0/24 Service: ANY 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: ( 選擇 ), 2.2.2.250

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: Tunnel.1 Gateway IP Address: 0.0.0.0

站台對站台 VPN 組態

„

97


概念與範例 ScreenOS 參考指南

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Tokyo_Office Service: Any Action: Permit Position at Top: ( 選擇 )

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Tokyo_Office Destination Address: Address Book Entry: ( 選擇 ), Trust_LAN Service: Any Action: Permit Position at Top: ( 選擇 )

CLI ( 東京 ) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 dhcp client set interface ethernet3 dhcp client settings server 1.1.1.5 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 2.

位址

set address trust Trust_LAN 10.1.1.0/24 set address untrust Paris_Office 10.2.2.0/24 3.

VPN

預先共享的金鑰

set ike gateway To_Paris address 2.2.2.2 aggressive local-id pmason@abc.com outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn Tokyo_Paris gateway To_Paris tunnel sec-level compatible set vpn Tokyo_Paris bind interface tunnel.1 set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any

(或)

98

„ 站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

認證

set ike gateway To_Paris address 2.2.2.2 aggressive local-id pmason@abc.com outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway To_Paris cert peer-ca 1 set ike gateway To_Paris cert peer-cert-type x509-sig set vpn Tokyo_Paris gateway To_Paris tunnel sec-level compatible set vpn Tokyo_Paris bind interface tunnel.1 set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any 注意 :

U-FQDN "pmason@abc.com" 必須出現在認證的 SubjectAltName 欄位中。 數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get ike ca。 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1 set vrouter trust-vr route 10.2.2.0/24 interface null metric 10 注意 :

ISP 透過 DHCP 以動態方式提供閘道 IP 位址,所以不能在此處指定。 5.

政策

set policy top from trust to untrust Trust_LAN Paris_Office any permit set policy top from untrust to trust Paris_Office Trust_LAN any permit save

CLI ( 巴黎 ) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 2.

位址

set address trust Trust_LAN 10.2.2.0/24 set address untrust Tokyo_Office 10.1.1.0/24 3.

VPN

預先共享的金鑰

set ike gateway To_Tokyo dynamic pmason@abc.com aggressive outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level compatible set vpn Paris_Tokyo bind interface tunnel.1 set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any

(或)

站台對站台 VPN 組態

„

99


概念與範例 ScreenOS 參考指南

認證

set ike gateway To_Tokyo dynamic pmason@abc.com aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway To_Tokyo cert peer-ca 1 set ike gateway To_Tokyo cert peer-cert-type x509-sig set vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level compatible set vpn Paris_Tokyo bind interface tunnel.1 set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any 注意 :

數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get ike ca。 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1 set vrouter trust-vr route 10.1.1.0/24 interface null metric 10 5.

政策

set policy top from trust to untrust Trust_LAN Tokyo_Office any permit set policy top from untrust to trust Tokyo_Office Trust_LAN any permit save

以政策為基礎的站台對站台 VPN,動態對等方 在本範例中,VPN 通道安全地將裝置 -A 後面的 Trust 區域中的使用者連接到企業 DMZ 區域郵件伺服器,伺服器由裝置 -B 保護。裝置 -B 的 Untrust 區域介面有靜態 IP 位址。服務於裝置 -A 的 ISP 透過 DHCP 為其 Untrust 區域介面以動態方式指派 IP 位址。因為只有裝置 -B 有其 Untrust 區域的固定位址,所以 VPN 通訊流量必須 來自裝置 -A 後面的主機。裝置 -A 建立通道之後,通過該通道的通訊流量可來自任 一端。所有區域都在 trust-vr 路由設定網域中。

100

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

圖 35: 以政策為基礎的站台對站台 VPN,動態對等方 在分公司的裝置 -A 上組 態的區域拓撲。 A

在企業網站的裝置 -B 上 組態的區域拓撲。 B

A

Untrust 區域

Trust 區域

分公司 Trust 區域 eth1, 10.1.1.1/24

B DMZ 區域

Untrust 區域 向外介面 Untrust 區域 eth3 和閘道 動態指派 由 ISP

向外介面 Untrust 區域 eth3, 2.2.2.2/24 閘道 2.2.2.250

總部辦公室 DMZ 區域 eth2, 3.3.3.3/24 郵件伺服器 3.3.3.5

網際網路 裝置 - A SMTP 或 POP3 要求 ID

Authentication User User Name: pmason Password: Nd4syst4

Phil

VPN 通道

裝置 - B

IDENT 要求

DHCP 伺服器 2.1.1.5 注意 : 在產生到企業郵件伺服器的 SMTP 或 POP3 連接前,Phil 必須先初始化 HTTP、FTP,或 Telnet 連接,以便讓裝置 -A 進行驗證。

在本範例中,本機 auth 使用者 Phil ( 登入名稱 : pmason;密碼 : Nd4syst4) 要從企 業網站的郵件伺服器取得他的電子郵件。嘗試這樣做時,將對他進行兩次驗證 : 首 先,在允許來自他的通訊流量通過通道之前,裝置 -A 在本機驗證 Phil;接下來, 郵件伺服器程式會驗證他,並透過通道傳送 IDENT 要求。 注意 :

因為 Phil 是一個驗證使用者,在他能提出 POP3 或 SMTP 要求之前,必須先初始 化 HTTP、FTP 或 Telnet 連接,以便裝置 -A 能回應防火牆使用者 / 登錄提示來加 以驗證。由裝置 -A 驗證後,他就可以透過 VPN 通道連絡企業郵件伺服器。 只有在裝置 -A 和裝置 -B 的管理員為郵件伺服器 (TCP,埠 113) 新增自訂服務,並 設定政策以允許通訊流量透過通道到達 10.10.10.0/24 子網路時,郵件伺服器才 能透過通道傳送 IDENT 要求。 預先共享金鑰為 h1p8A24nG5。假設兩位參與者都已從憑證授權單位 (CA) Verisign 取得 RSA 認證,而且電子郵件位址 pmason@abc.com 出現在裝置 -A 上的本機認證 中 ( 如需取得並下載認證的詳細資訊,請參閱第 22 頁上的「認證和 CRL」)。對於 「階段 1」和「階段 2」安全層級,指定「階段 1」提議 ( 對預先共享金鑰方法為 pre-g2-3des-sha,對認證為 rsa-g2-3des-sha),並對「階段 2」選擇預先定義的 "Compatible" 提議集。

站台對站台 VPN 組態

„

101


概念與範例 ScreenOS 參考指南

WebUI ( 裝置 -A) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Obtain IP using DHCP: ( 選擇 ) 注意 :

不能透過 WebUI 指定 DHCP 伺服器的 IP 位址,但可以透過 CLI 這麼做。 2.

使用者

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: pmason Status: Enable Authentication User: ( 選擇 ) User Password: Nd4syst4 Confirm Password: Nd4syst4 3.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trusted network IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Mail Server IP Address/Domain Name: IP/Netmask: ( 選擇 ), 3.3.3.5/32 Zone: Untrust 4.

服務

Objects > Services > Custom > New: 輸入下面的內容,然後按一下 OK: Service Name: Ident Service Timeout: Use protocol default: ( 選擇 ) Transport Protocol: TCP ( 選擇 ) Source Port: Low 0, High 65535 Destination Port: Low 113, High 113

102

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

Objects > Services > Group > New: 輸入下面的內容,移動下列服務,然後 按一下 OK: Group Name: Remote_Mail Group Members << Available Members: HTTP FTP Telnet Ident MAIL POP3 5.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Mail Security Level: Custom Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: 2.2.2.2 預先共享的金鑰

Preshared Key: h1p8A24nG5 Local ID: pmason@abc.com Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Aggressive

(或) 認證

Local ID: pmason@abc.com Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Aggressive Preferred Certificate (optional): Peer CA: Verisign Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: Name: branch_corp Security Level: Compatible Remote Gateway Tunnel: To_Mail

站台對站台 VPN 組態

„

103


概念與範例 ScreenOS 參考指南

6.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 0.0.0.0 注意 :

ISP 透過 DHCP 以動態方式提供閘道 IP 位址。 7.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Trusted network Destination Address: Address Book Entry: ( 選擇 ), Mail Server Service: Remote_Mail Action: Tunnel VPN Tunnel: branch_corp Modify matching bidirectional VPN policy: ( 選擇 ) Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : Authentication: ( 選擇 ) Auth Server: 本機 User: ( 選擇 ), Local Auth User - pmason

WebUI ( 裝置 -B) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet2): 輸入下面的內容,然後按一下 OK: Zone Name: DMZ Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 3.3.3.3/24

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.2.2.2/24 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Mail Server IP Address/Domain Name: IP/Netmask: ( 選擇 ), 3.3.3.5/32 Zone: DMZ

104

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: branch office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust 3.

服務

Objects > Services > Custom > New: 輸入下面的內容,然後按一下 OK: Service Name: Ident Service Timeout: Use protocol default: ( 選擇 ) Transport Protocol: TCP ( 選擇 ) Source Port: Low 0, High 65535 Destination Port: Low 113, High 113

Objects > Services > Group > New: 輸入下面的內容,移動下列服務,然後 按一下 OK: Group Name: Remote_Mail Group Members << Available Members: Ident MAIL POP3 4.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_branch Security Level: Custom Remote Gateway Type: Dynamic IP Address: ( 選擇 ), Peer ID: pmason@abc.com 預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Aggressive

(或)

站台對站台 VPN 組態

„

105


概念與範例 ScreenOS 參考指南

認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Aggressive Preferred Certificate (optional): Peer CA: Verisign Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: corp_branch Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_branch 5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250 6.

政策

Policies > (From: DMZ, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Mail Server Destination Address: Address Book Entry: ( 選擇 ), branch office Service: Remote_Mail Action: Tunnel VPN Tunnel: corp_branch Modify matching bidirectional VPN policy: ( 選擇 ) Position at Top: ( 選擇 )

CLI ( 裝置 -A) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 dhcp client set interface ethernet3 dhcp client settings server 1.1.1.5 2.

使用者

set user pmason password Nd4syst4 3.

位址

set address trust "trusted network" 10.1.1.0/24 set address untrust "mail server" 3.3.3.5/32

106

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

服務

4.

set set set set set set set set 5.

service ident protocol tcp src-port 0-65535 dst-port 113-113 group service remote_mail group service remote_mail add http group service remote_mail add ftp group service remote_mail add telnet group service remote_mail add ident group service remote_mail add mail group service remote_mail add pop3

VPN

預先共享的金鑰

set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn branch_corp gateway to_mail sec-level compatible

(或) 認證

set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway to_mail cert peer-ca 1 set ike gateway to_mail cert peer-cert-type x509-sig set vpn branch_corp gateway to_mail sec-level compatible 注意 :

U-FQDN "pmason@abc.com" 必須出現在認證的 SubjectAltName 欄位中。 數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get ike ca。 6.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 注意 :

ISP 透過 DHCP 以動態方式提供閘道 IP 位址。 7.

政策

set policy top from trust to untrust "trusted network" "mail server" remote_mail tunnel vpn branch_corp auth server Local user pmason set policy top from untrust to trust "mail server" "trusted network" remote_mail tunnel vpn branch_corp save

CLI ( 裝置 -B) 1.

介面

set set set set 2.

interface ethernet2 zone dmz interface ethernet2 ip 3.3.3.3/24 interface ethernet3 zone untrust interface ethernet3 ip 2.2.2.2/24

位址

set address dmz "mail server" 3.3.3.5/32 set address untrust "branch office" 10.1.1.0/24

站台對站台 VPN 組態

„

107


概念與範例 ScreenOS 參考指南

服務

3.

set set set set set 4.

service ident protocol tcp src-port 0-65535 dst-port 113-113 group service remote_mail group service remote_mail add ident group service remote_mail add mail group service remote_mail add pop3

VPN

預先共享的金鑰

set ike gateway to_branch dynamic pmason@abc.com aggressive outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn corp_branch gateway to_branch tunnel sec-level compatible

(或) 認證

set ike gateway to_branch dynamic pmason@abc.com aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway to_branch cert peer-ca 1 set ike gateway to_branch cert peer-cert-type x509-sig set vpn corp_branch gateway to_branch sec-level compatible 注意 :

數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get ike ca。 5.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 6.

政策

set policy top from dmz to untrust "mail server" "branch office" remote_mail tunnel vpn corp_branch set policy top from untrust to dmz "branch office" "mail server" remote_mail tunnel vpn corp_branch save

以路由為基礎的站台對站台 VPN,手動金鑰 在本範例中,「手動金鑰」通道在東京和巴黎分公司之間提供安全通訊通道。每個 站台的 Trust 區域都處於 NAT 模式。位址如下 : „

„

東京 : „

Trust 區域介面 (ethernet1): 10.1.1.1/24

„

Untrust 區域介面 (ethernet3): 1.1.1.1/24

巴黎 : „

Trust 區域介面 (ethernet1): 10.2.2.1/24

„

Untrust 區域介面 (ethernet3): 2.2.2.2/24

Trust 與 Untrust 安全區都在 trust-vr 路由設定網域中。Untrust 區域介面 (ethernet3) 當作 VPN 通道的向外介面。

108

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

圖 36: 以路由為基礎的站台對站台 VPN,手動金鑰 在巴黎的安全性裝置上 組態的區域拓樸。

在東京的安全性裝置上 組態的區域拓樸。 東京

東京

巴黎

Untrust 區域

Untrust 區域

Trust 區域

巴黎

東京 Trust 區域 eth1,10.1.1.1/24

向外介面 Untrust 區域 eth3,1.1.1.1/24 閘道 1.1.1.250

向外介面 Untrust 區域 eth3,2.2.2.2/24 閘道 2.2.2.250

Trust 區域

巴黎 Trust 區域 eth1,10.2.2.1/24

網際網路 VPN 通道 通道介面 Tunnel.1

通道介面 Tunnel.1

若要設定通道,請在通道兩端的安全性裝置上執行下列步驟 : 1. 為連結到安全區和通道介面的實體介面指派 IP 位址。 2. 組態 VPN 通道、在 Untrust 區域內指定其向外介面,並將其連結到通道介面。 3. 在 Trust 和 Untrust 區域的通訊錄中輸入本機及遠端端點的 IP 位址。 4. 在 trust-vr 中輸入到外部路由器的預設路由,並輸入透過通道介面到目的地的 路由以及到目的地的 null 路由。將更高的計量值 ( 更遠離零 ) 指派給 null 路 由,使它變成通往目的地作為次要選擇的路由。然後,如果通道介面的狀態變 成「中斷」且參考該介面的路由停用,安全性裝置就會使用 null 路由,這個路 由基本上會卸除所有傳送至它的通訊流量,而不會像預設路由那樣將未經加密 的通訊流量轉寄。 5. 設定 VPN 通訊流量在每個站點間通行的政策。 WebUI ( 東京 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

站台對站台 VPN 組態

„

109


概念與範例 ScreenOS 參考指南

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet3 (trust-vr) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Paris_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Untrust 3.

VPN

VPNs > Manual Key > New: 輸入下面的內容,然後按一下 OK: VPN Tunnel Name: Tokyo_Paris Gateway IP: 2.2.2.2 Security Index: 3020 (Local), 3030 (Remote) Outgoing Interface: ethernet3 ESP-CBC: ( 選擇 ) Encryption Algorithm: 3DES-CBC Generate Key by Password: asdlk24234 Authentication Algorithm: SHA-1 Generate Key by Password: PNas134a

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Manual Key 通道組態頁面 : Bind to: Tunnel Interface, tunnel.1 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

110

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To Paris Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Paris_Office Service: ANY Action: Permit Position at Top: ( 選擇 )

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Name: From Paris Source Address: Address Book Entry: ( 選擇 ), Paris_Office Destination Address: Address Book Entry: ( 選擇 ), Trust_LAN Service: ANY Action: Permit Position at Top: ( 選擇 )

WebUI ( 巴黎 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.2.2.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

站台對站台 VPN 組態

„

111


概念與範例 ScreenOS 參考指南

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.2.2.2/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet3 (trust-vr) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Tokyo_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust 3.

VPN

VPNs > Manual Key > New: 輸入下面的內容,然後按一下 OK: VPN Tunnel Name: Paris_Tokyo Gateway IP: 1.1.1.1 Security Index: 3030 (Local), 3020 (Remote) Outgoing Interface: ethernet3 ESP-CBC: ( 選擇 ) Encryption Algorithm: 3DES-CBC Generate Key by Password: asdlk24234 Authentication Algorithm: SHA-1 Generate Key by Password: PNas134a

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Manual Key 通道組態頁面 : Bind to: Tunnel Interface, tunnel.1 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250

112

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To Tokyo Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Tokyo_Office Service: ANY Action: Permit Position at Top: ( 選擇 )

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Name: From Tokyo Source Address: Address Book Entry: ( 選擇 ), Tokyo_Office Destination Address: Address Book Entry: ( 選擇 ), Trust_LAN Service: ANY Action: Permit Position at Top: ( 選擇 )

CLI ( 東京 ) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 2.

位址

set address trust Trust_LAN 10.1.1.0/24 set address untrust Paris_Office 10.2.2.0/24

站台對站台 VPN 組態

„

113


概念與範例 ScreenOS 參考指南

3.

VPN

set vpn Tokyo_Paris manual 3020 3030 gateway 2.2.2.2 outgoing-interface ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a set vpn Tokyo_Paris bind interface tunnel.1 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1 set vrouter trust-vr route 10.2.2.0/24 interface null metric 10 5.

政策

set policy top name "To Paris" from trust to untrust Trust_LAN Paris_Office any permit set policy top name "From Paris" from untrust to trust Paris_Office Trust_LAN any permit save

CLI ( 巴黎 ) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 2.

位址

set address trust Trust_LAN 10.2.2.0/24 set address untrust Tokyo_Office 10.1.1.0/24 3.

VPN

set vpn Paris_Tokyo manual 3030 3020 gateway 1.1.1.1 outgoing-interface ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a set vpn Paris_Tokyo bind interface tunnel.1 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1 set vrouter trust-vr route 10.1.1.0/24 interface null metric 10 5.

政策

set policy top name "To Tokyo" from trust to untrust Trust_LAN Tokyo_Office any permit set policy top name "From Tokyo" from untrust to trust Tokyo_Office Trust_LAN any permit save

114

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

以政策為基礎的站台對站台 VPN,手動金鑰 在本範例中,「手動金鑰」通道在東京和巴黎分公司之間提供安全通訊通道,使用 以 3DES 加密並經 SHA-1 驗證的 ESP。每個站台的 Trust 區域都處於 NAT 模式。位 址如下 : 東京 :

„

„

信任介面 (ethernet1): 10.1.1.1/24

„

不信任的介面 (ethernet3): 1.1.1.1/24

巴黎 :

„

„

信任介面 (ethernet1): 10.2.2.1/24

„

不信任的介面 (ethernet3): 2.2.2.2/24

Trust 和 Untrust 安全區,以及 Untrust-Tun 通道區在 trust-vr 路由設定網域中。 Untrust 區域介面 (ethernet3) 當作 VPN 通道的向外介面。 圖 37: 以政策為基礎的站台對站台 VPN,手動金鑰

在巴黎的安全性裝置 上組態的區域拓樸。

在東京的安全性裝置 上組態的區域拓樸。 東京

Trust 區域

巴黎

Untrust-Tun 區域

Untrust 區域

Untrust 區域

東京 Trust 區域 ethernet1,10.1.1.1/24

巴黎

東京

向外介面 Untrust 區域 ethernet3,1.1.1.1/24 閘道 1.1.1.250

向外介面 Untrust 區域 ethernet3,2.2.2.2/24 閘道 2.2.2.250

網際網路

Untrust-Tun 區域

Trust 區域

巴黎 Trust 區域 ethernet1,10.2.2.1/24

VPN 通道

若要設定通道,請在通道兩端的安全性裝置上執行下列五個步驟 : 1. 將 IP 位址指派給連結到安全區的實體介面。 2. 組態 VPN 通道,並指定其在 Untrust 區域中的向外介面。 3. 在 Trust 和 Untrust 位址通訊錄中輸入本機及遠端端點的 IP 位址。 4. 輸入到外部路由器的預設路由。 5. 設定 VPN 通訊流量雙向通過通道的政策。

站台對站台 VPN 組態

„

115


概念與範例 ScreenOS 參考指南

WebUI ( 東京 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Paris_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Untrust 3.

VPN

VPNs > Manual Key > New: 輸入下面的內容,然後按一下 OK: VPN Tunnel Name: Tokyo_Paris Gateway IP: 2.2.2.2 Security Index: 3020 (Local), 3030 (Remote) Outgoing Interface: ethernet3 ESP-CBC: ( 選擇 ) Encryption Algorithm: 3DES-CBC Generate Key by Password: asdlk24234 Authentication Algorithm: SHA-1 Generate Key by Password: PNas134a

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Manual Key 通道組態頁面 : Bind to: Tunnel Zone, Untrust-Tun

116

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To/From Paris Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Paris_Office Service: ANY Action: Tunnel Tunnel VPN: Tokyo_Paris Modify matching bidirectional VPN policy: ( 選擇 ) Position at Top: ( 選擇 )

WebUI ( 巴黎 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.2.2.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.2.2.2/24 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Tokyo_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust

站台對站台 VPN 組態

„

117


概念與範例 ScreenOS 參考指南

3.

VPN

VPNs > Manual Key > New: 輸入下面的內容,然後按一下 OK: VPN Tunnel Name: Paris_Tokyo Gateway IP: 1.1.1.1 Security Index (HEX number): 3030 (Local), 3020 (Remote) Outgoing Interface: ethernet3 ESP-CBC: ( 選擇 ) Encryption Algorithm: 3DES-CBC Generate Key by Password: asdlk24234 Authentication Algorithm: SHA-1 Generate Key by Password: PNas134a

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Manual Key 通道組態頁面 : Bind to: Tunnel Zone, Untrust-Tun 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To/From Tokyo Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Tokyo_Office Service: ANY Action: Tunnel Tunnel VPN: Paris_Tokyo Modify matching bidirectional VPN policy: ( 選擇 ) Position at Top: ( 選擇 )

CLI ( 東京 ) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2.

位址

set address trust Trust_LAN 10.1.1.0/24 set address untrust paris_office 10.2.2.0/24 3.

VPN

set vpn tokyo_paris manual 3020 3030 gateway 2.2.2.2 outgoing-interface ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a set vpn tokyo_paris bind zone untrust-tun

118

„

站台對站台 VPN 組態


第 4 章 : 站台對站台的虛擬私人網路

4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 5.

政策

set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_office any tunnel vpn tokyo_paris set policy top name "To/From Paris" from untrust to trust paris_office Trust_LAN any tunnel vpn tokyo_paris save

CLI ( 巴黎 ) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 2.

位址

set address trust Trust_LAN 10.2.2.0/24 set address untrust tokyo_office 10.1.1.0/24 3.

VPN

set vpn paris_tokyo manual 3030 3020 gateway 1.1.1.1 outgoing-interface ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a set vpn paris_tokyo bind zone untrust-tun 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 5.

政策

set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_office any tunnel vpn paris_tokyo set policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LAN any tunnel vpn paris_tokyo save

使用 FQDN 的動態 IKE 閘道 對於動態獲取 IP 位址的 IKE 對等方,可在遠端閘道的本機組態中指定完全合格的 網域名稱 (FQDN)。例如,網際網路服務提供商 (ISP) 有可能透過 DHCP 將 IP 位址 分配給客戶。ISP 從大型位址集區提取位址,並在客戶上線時分配這些位址。儘管 IKE 對等方擁有不變的 FQDN,但其 IP 位址的變更無法預測。IKE 對等方可使用三 種方法維護從 FQDN 到動態指派的 IP 位址的「網域名稱系統」(DNS) 對應 ( 此程 序稱為動態 DNS)。 „

如果遠端 IKE 對等方是安全性裝置,則安全性裝置每次從 ISP 收到新的 IP 位 址時,admin 可手動通知 DNS 伺服器更新 FQDN 到 IP 位址的對應。

„

如果遠端 IKE 對等方是另一種 VPN 終端裝置,其上執行有動態 DNS 軟體,則 該軟體可自動將其位址變更通知 DNS 伺服器,這樣伺服器可更新 FQDN 到 IP 位址的對應表。

„

如果遠端 IKE 對等方是安全性裝置或其他任何種類的 VPN 終端裝置,則其後面 的主機可執行 FQDN 到 IP 位址自動更新程式,提醒 DNS 伺服器位址已變更。

使用 FQDN 的動態 IKE 閘道

„

119


概念與範例 ScreenOS 參考指南

圖 38: 具動態 IP 位址的 IKE 對等方 IKE 對等方

本機安全性裝置 網際網路

www.jnpr.net VPN 通道

1.1.1.202 = www.jnpr.net

1. DHCP 伺服器從 IP 位址集區提取 1.1.1.202 並將該位址分 配給 IKE 對等方。

IP 集區

2. IKE 對等方將新的位址通知 DNS 伺服器,這樣伺服器可 更新 FQDN 到 IP 位址的對應表。 1.1.1.10 1.1.7.9

DHCP 伺服器

DNS 伺服器

無需知道遠端 IKE 對等方的目前 IP 位址,現在即可使用其 FQDN ( 而不是 IP 位址 ) 為該對等方組態「自動金鑰 IKE VPN」通道。

別名 如果本機安全性裝置查詢的 DNS 伺服器只返回一個 IP 位址,則還可使用遠端 IKE 對等方的 FQDN 的別名。如果 DNS 伺服器傳回多個 IP 位址,則本機裝置使用接收 到的第一個位址。由於對 DNS 伺服器的回應中位址的順序沒有保證,因此本機安 全性裝置可能使用錯誤的 IP 位址,並且 IKE 交涉可能會失敗。 圖 39: 多個 DNS 回應導致 IKE 交涉成功或失敗 本機安全性裝置

本機安全性裝置希望與其遠端對 等方建立 IKE VPN 通道。它將 www.jnpr.net 用作遠端閘道位址。

本機安全性裝置

DNS 查詢 : www.jnpr.net = IP ?

遠端 IKE 對等方

DNS 伺服器

DNS 回覆 : 裝置使用此 IP 位址。

www.jnpr.net = 1.1.1.202 www.jnpr.net = 1.1.1.114 www.jnpr.net = 1.1.1.20

本機安全性裝置

本機安全性裝置

120

„

使用 FQDN 的動態 IKE 閘道

如果遠端 IKE 對等方位於 1.1.1.202, 則 IKE 交涉成功。

如果遠端 IKE 對等 方位於 1.1.1.114 或者 1.1.1.20,則 IKE 交 涉就會失敗。

遠端 IKE 對等方

遠端 IKE 對等方


第 4 章 : 站台對站台的虛擬私人網路

設定具有 FQDN 的自動金鑰 IKE 對等方 在本範例中,「自動金鑰 IKE VPN」通道使用預先共享機密或一對認證 ( 通道兩端 各一個 ),提供東京和巴黎兩個分公司之間的安全連接。巴黎分公司擁有動態指派 的 IP 位址,因此東京分公司將遠端對等方的 FQDN (www.nspar.com) 用作其 VPN 通道組態中遠端閘道的位址。 如圖 40 所示的組態針對以路由為基礎的 VPN 通道。對於「階段 1」和「階段 2」 安全層級,指定「階段 1」提議 ( 對預先共享金鑰方法為 pre-g2-3des-sha,對認證 為 rsa-g2-3des-sha),並對「階段 2」選擇預先定義的 "Compatible" 提議集。所有 區域都在 trust-vr 中。 圖 40: 具有 FQDN 的自動金鑰 IKE 對等方 在東京的安全性裝置 上組態的區域拓樸

在巴黎的安全性裝置 上組態的區域拓樸

東京 Trust 區域

Untrust 區域

Untrust 區域

東京 Trust 區域 ethernet1,10.1.1.1/24

巴黎

東京

巴黎

向外介面 Untrust 區域 ethernet3,1.1.1.1/24 閘道 1.1.1.250

向外介面 Untrust 區域 ethernet3,透過 DHCP 的 IP 和閘道 www.nspar.com

Trust 區域

巴黎 Trust 區域 ethernet1,10.2.2.1/24

網際網路 VPN 通道 通道介面 : tunnel.1 遠端閘道 : www.nspar.com

通道介面 : tunnel.1 遠端閘道 : 1.1.1.1

使用預先共享的秘密或認證設定以路由為基礎的「自動金鑰 IKE」通道時,包括下 列步驟 : 1. 為連結到安全區和通道介面的實體介面指派 IP 位址。 2. 定義遠端閘道和金鑰交換模式,並指定預先共享金鑰或認證 3. 組態 VPN 通道、在 Untrust 區域內指定其向外介面、將其連結到通道介面,並 組態其 Proxy-ID。 4. 在 Trust 和 Untrust 位址通訊錄中輸入本機及遠端端點的 IP 位址。 5. 在 trust-vr 中輸入到外部路由器的預設路由,並輸入透過通道介面到目的地的 路由以及到目的地的 null 路由。將更高的計量值 ( 更遠離零 ) 指派給 null 路 由,使它變成通往目的地作為次要選擇的路由。然後,如果通道介面的狀態變 成「中斷」且參考該介面的路由停用,安全性裝置就會使用 null 路由,這個路 由基本上會卸除所有傳送至它的通訊流量,而不會像預設路由那樣將未經加密 的通訊流量轉寄。 6. 設定通訊流量在每個站點間通行的政策。

使用 FQDN 的動態 IKE 閘道

„

121


概念與範例 ScreenOS 參考指南

在下面的範例中,預先共享金鑰為 h1p8A24nG5。假設兩個參與者都已有 RSA 認 證,並使用 Entrust 作為憑證授權單位 (CA)。( 如需取得和載入認證的資訊,請參 閱第 17 頁上的「公開金鑰密碼編譯」)。 WebUI ( 東京 ) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet3 (trust-vr) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Paris_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Untrust 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Paris Security Level: Custom Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: www.nspar.com

122

„

使用 FQDN 的動態 IKE 閘道


第 4 章 : 站台對站台的虛擬私人網路

預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)

(或) 認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Preferred certificate (optional) Peer CA: Entrust Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Tokyo_Paris Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_Paris

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Security Level: Compatible Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.1.1.0/24 Remote IP/Netmask: 10.2.2.0/24 Service: ANY 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 0.0.0.0 注意 :

ISP 透過 DHCP 以動態方式提供閘道 IP 位址。

使用 FQDN 的動態 IKE 閘道

„

123


概念與範例 ScreenOS 參考指南

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.2.2.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To Paris Source Address: Trust_LAN Destination Address: Paris_Office Service: ANY Action: Permit Position at Top: ( 選擇 )

Policies > Policy (From: Untrust, To: Trust) > New Policy: 輸入下面的內容,然 後按一下 OK: Name: From Paris Source Address: Paris_Office Destination Address: Trust_LAN Service: ANY Action: Permit Position at Top: ( 選擇 )

WebUI ( 巴黎 ) 1.

主機名稱和網域名稱

Network > DNS: 輸入下面的內容,然後按一下 Apply: Host Name: www Domain Name: nspar.com 2.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.2.2.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

124

„

使用 FQDN 的動態 IKE 閘道


第 4 章 : 站台對站台的虛擬私人網路

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Obtain IP using DHCP: ( 選擇 )

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet3 (trust-vr) 3.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.2.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Tokyo_Office IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust 4.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Tokyo Security Level: Custom Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: 1.1.1.1 預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Main (ID Protection)

(或)

使用 FQDN 的動態 IKE 閘道

„

125


概念與範例 ScreenOS 參考指南

認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Preferred certificate (optional) Peer CA: Entrust Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: Name: Paris_Tokyo Security Level: Custom Remote Gateway: Predefined: ( 選擇 ), To_Tokyo

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Security Level: Compatible Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.2.2.0/24 Remote IP/Netmask: 10.1.1.0/24 Service: ANY 5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10

126

„

使用 FQDN 的動態 IKE 閘道


第 4 章 : 站台對站台的虛擬私人網路

政策

6.

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Name: To Tokyo Source Address: Trust_LAN Destination Address: Tokyo_Office Service: ANY Action: Permit Position at Top: ( 選擇 )

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Name: From Tokyo Source Address: Tokyo_Office Destination Address: Trust_LAN Service: ANY Action: Permit Position at Top: ( 選擇 )

CLI ( 東京 ) 介面

1.

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 位址

2.

set address trust Trust_LAN 10.1.1.0/24 set address untrust paris_office 10.2.2.0/24 3.

VPN

預先共享的金鑰

set ike gateway to_paris address www.nspar.com main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn tokyo_paris gateway to_paris sec-level compatible set vpn tokyo_paris bind interface tunnel.1 set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any

(或) 認證

set ike gateway to_paris address www.nspar.com main outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway to_paris cert peer-ca 1 set ike gateway to_paris cert peer-cert-type x509-sig set vpn tokyo_paris gateway to_paris sec-level compatible set vpn tokyo_paris bind interface tunnel.1 set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any 注意 :

數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get ike ca。

使用 FQDN 的動態 IKE 閘道

„

127


概念與範例 ScreenOS 參考指南

路由

4.

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1 set vrouter trust-vr route 10.2.2.0/24 interface null metric 10 政策

5.

set policy top name "To Paris" from trust to untrust Trust_LAN paris_office any permit set policy top name "From Paris" from untrust to trust paris_office Trust_LAN any permit save

CLI ( 巴黎 ) 主機名稱和網域名稱

1.

set hostname www set domain nspar.com 介面

2.

set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip dhcp-client enable set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 位址

3.

set address trust Trust_LAN 10.2.2.0/24 set address untrust tokyo_office 10.1.1.0/24 4.

VPN

預先共享的金鑰

set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn paris_tokyo gateway to_tokyo sec-level compatible set vpn paris_tokyo bind interface tunnel.1 set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any

(或) 認證

set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway to_tokyo cert peer-ca 1 set ike gateway to_tokyo cert peer-cert-type x509-sig set vpn paris_tokyo gateway to_tokyo sec-level compatible set vpn paris_tokyo bind interface tunnel.1 set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any 5.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1 set vrouter trust-vr route 10.1.1.0/24 interface null metric 10

128

„

使用 FQDN 的動態 IKE 閘道


第 4 章 : 站台對站台的虛擬私人網路

6.

政策

set policy top name "To Tokyo" from trust to untrust Trust_LAN tokyo_office any permit set policy top name "From Tokyo" from untrust to trust tokyo_office Trust_LAN any permit save

具有重疊位址的 VPN 站台 由於私人 IP 位址的範圍相對較小,因此兩個 VPN 對等方的受保護網路的位址很可 能重疊。對於具有重疊位址的兩個端項目間的雙向 VPN 通訊流量,通道兩端的安 全性裝置必須將來源和目的網路位址轉譯 (NAT-src 和 NAT-dst) 套用於透過它們的 VPN 通訊流量。 注意 :

當兩個網路的 IP 位址範圍部分或全部相同時產生重疊位址空間。 對於 NAT-src,通道兩端的介面在互為唯一的子網路中必須具有 IP 位址,每個子網 路都具有動態 IP (DIP) 集區。然後,調整向外 VPN 通訊流量的政策可以套用使用 DIP 集區位址的 NAT-src,將原始來源位址轉譯為中性位址空間中的位址。

注意 :

DIP 集區中的位址範圍必須在與通道介面相同的子網路中,但是集區不可以包括 可能也在此子網路中的介面 IP 位址、任何 MIP 或 VIP 位址。對於安全區介面, 您也可以在與介面 IP 位址不同的子網路中定義擴展的 IP 位址和隨附的 DIP 集 區。如需詳細資訊,請參閱第 2-137 頁上的「在不同子網路中使用 DIP」。 在向內 VPN 通訊流量上提供 NAT-dst 的選項有以下兩個 : „

以政策為基礎的 NAT-dst: 政策可套用 NAT-dst,將向內 VPN 通訊流量轉譯為一 個位址,該位址位於與通道介面相同的子網路中 ( 但與向外 VPN 通訊流量所使 用的本機 DIP 集區在不同的範圍 ),或該位址是安全性裝置的路由表中擁有的 另一個子網路中的位址。( 如需組態 NAT-dst 時路由注意事項資訊,請參閱 第 8-29 頁上的「NAT-Dst 的路由設定」。)

„

對應 IP (MIP): 政策可以將 MIP 參照為目的位址。MIP 將相同子網路中的位址 用作通道介面 ( 但與用作向外 VPN 通訊流量的本機 DIP 集區在不同的範圍 )。 ( 如需 MIP 的資訊,請參閱第 8-59 頁上的「對應的 IP 位址」。)

具有重疊位址的站台間的 VPN 通訊流量在兩個方向都要求進行位址轉譯。由於向 外通訊流量上的來源位址與向內通訊流量上的目的位址不能相同 (NAT-dst 位址或 MIP 不能在 DIP 集區中 ),因此向內和向外政策中參照的位址不能對稱。 希望安全性裝置在透過相同通道的雙向 VPN 通訊流量上執行來源和目的位址轉譯 時,有以下兩種選擇 : „

可為以政策為基礎的 VPN 組態定義 proxy ID。在政策中明確參照 VPN 通道 時,安全性裝置從引用該通道的政策元件中獲得 proxy ID。首次建立政策以及 此後每次將裝置重新開機時,安全性裝置都會獲得 proxy ID。但是,如果手動 為政策中參照的 VPN 通道定義 proxy ID,則安全性裝置套用使用者定義的 proxy ID,而不套用從該政策獲得的 proxy ID。

具有重疊位址的 VPN 站台

„

129


概念與範例 ScreenOS 參考指南

注意 :

proxy ID 是 IKE 對等方之間的一種協議,如果通訊流量與本機位址、遠端位址和 服務的一個指定組合配對,則允許通訊流量透過通道。 „

可使用以路由為基礎的 VPN 通道組態,該組態必須具有使用者定義的 proxy ID。具有以路由為基礎的 VPN 通道組態後,不能在政策中明確參照 VPN 通 道。相反地,政策控制對特定目的的存取 ( 允許或拒絕 )。到該目的的路由指 向依次連結到 VPN 通道的通道介面。由於 VPN 通道不直接與來源位址、目的 位址和服務中獲得的 proxy ID 的政策關聯,因此必須手動為其定義 proxy ID。( 注意,以路由為基礎的 VPN 組態還允許建立多個政策,使用單個 VPN 通道,即單個「階段 2」SA。)

在說明具有重疊位址空間的兩個站台間 VPN 通道的圖 41 中,考量其中的位址。 圖 41: 在對等方站台的重疊位址 VPN 通道

裝置 -A 內部位址空間 10.1.1.0/24

裝置 -B

tunnel.1 10.10.1.1/24

tunnel.2 10.20.2.1/24

內部位址空間 10.1.1.0/24

政策中的位址 MIP 10.20.2.5 ( 到 10.1.1.5) DIP 10.20.2.2 - 10.20.2.2

10.10.1.2 - 10.10.1.2 DIP 10.10.1.5 ( 到 10.1.1.5) MIP

如果圖 41 中的安全性裝置從政策獲得 proxy ID ( 如在以政策為基礎的 VPN 組態中 的那樣 ),則向內和向外政策產生以下 proxy ID: 裝置 -A

裝置 -B 本機

遠端

服務

向外

10.10.1.2/32

10.20.2.5/32

Any

向內

10.10.1.5/32

10.20.2.2/32

Any

本機

遠端

服務

向內

10.20.2.5/32

10.10.1.2/32

Any

向外

10.20.2.2/32

10.10.1.5/32

Any

如該表所示,有兩個 proxy ID: 一個用於向外 VPN 通訊流量,另一個用於向內 VPN 通訊流量。裝置 -A 首次將通訊流量從 10.10.1.2/32 傳送到 10.20.2.5/32 時,兩個 對等方執行 IKE 交涉,並產生「階段 1」和「階段 2」安全性關聯 (SA)。「階段 2」SA 為裝置 -A 產生上述的向外 proxy ID,為裝置 -B 產生向內 proxy ID。 然後,如果裝置 -B 將通訊流量傳送到裝置 -A,則從 10.20.2.2/32 到 10.10.1.5/32 的通訊流量的政策尋找會指出對於這種 proxy ID 沒有啟動的「階段 2」SA。因 此,兩個對等方使用現有的「階段 1」SA ( 假設其生命週期還沒有到期 ) 與不同的 「階段 2」SA 交涉。產生的 proxy ID 在上述顯示為裝置 -A 的向內 proxy ID 及裝 置 -B 的向外 proxy ID。由於位址不對稱並且需要不同的 proxy ID,因此有兩個 「階段 2」SA ( 兩個 VPN 通道 )。

130

„

具有重疊位址的 VPN 站台


第 4 章 : 站台對站台的虛擬私人網路

若要為雙向 VPN 通訊流量只建立一個通道,可以定義以下具有位址的 proxy ID, 位址範圍包括通道兩端已轉譯的來源和目的位址 : 裝置 -A 本機

裝置 -B 遠端

服務

本機

10.10.1.0/24 10.20.2.0/24 Any

遠端

服務

10.20.2.0/24 10.10.1.0/24 Any 或者

0.0.0.0/0

0.0.0.0/0

Any

0.0.0.0/0

0.0.0.0/0

Any

上述的 proxy ID 包括在兩個站台間的向內和向外 VPN 通訊流量中出現的位址。位 址 10.10.1.0/24 包括 DIP 集區 10.10.1.2 - 10.10.1.2 及 MIP 10.10.1.5。同樣,位址 10.20.2.0/24 包括 DIP 集區 10.20.2.2 -10.20.2.2 及 MIP 10.20.2.5。上述的 proxy ID 是對稱的,即裝置 -A 的本機位址是裝置 -B 的遠端位址,反之亦然。如果裝置 -A 將通訊流量傳送到裝置 -B,則「階段 2」SA 及 proxy ID 也套用於從裝置 -B 傳 送到裝置 -A 的通訊流量。因此,單個「階段 2」SA ( 即單個 VPN 通道 ) 是兩個站 台間雙向通訊流量所需的 SA。 注意 :

位址 0.0.0.0/0 包括所有 IP 位址,從而也包括 DIP 集區及 MIP 的位址。 在相同裝置上組態的 NAT-src 和 NAT-dst 的位址在不同的子網路中時,要為具有重 疊位址空間的兩個站台間的雙向通訊流量建立一個 VPN 通道,該通道的 proxy ID 必須是 ( 本機 IP) 0.0.0.0/0 - ( 遠端 IP) 0.0.0.0/0 - 服務類型。如果要在 proxy ID 中 使用更為嚴格的位址,則 NAT-src 和 NAT-dst 的位址必須在相同的子網路中。 在���範例中,組態一個企業網站的「裝置 -A」和分公司的「裝置 -B」之間的 VPN 通道。VPN 端項位址空間重疊,它們都使用 10.1.1.0/24 子網路中的位址。若要解 決此衝突,使用 NAT-src 轉譯向外 VPN 流量上的來源位址以及用 NAT-dst 轉譯向內 VPN 流量上的目的位址。政策允許企業 LAN 中的所有位址到達分公司站台的 FTP 伺服器,並且允許分公司站台的所有位址到達企業網站的 FTP 伺服器。

注意 :

如需來源和目的網路位址轉譯 (NAT-src 和 NAT-dst) 的詳細資訊,請參閱第 8 卷 : 位址轉譯。 通道兩端的通道組態使用以下參數 : AutoKey IKE、預先共享金鑰 ("netscreen1"),及針對「階段 1」與「階段 2」方案而預先定義為 "Compatible" 的安全性層級。( 如需這些方案的詳細資訊,請參閱第 8 頁上的「通道交涉」。) 企業網站的裝置-A 上的向外介面為 ethernet3,其 IP 位址為 1.1.1.1/24,並連結到 Untrust 區域上。分公司的裝置 -B 將該位址用作遠端 IKE 閘道。 分公司的裝置 -B 上的向外介面為 ethernet3,其 IP 位址為 2.2.2.2/24,並連結到 Untrust 區域上。企業網站的裝置 -A 將該位址用作遠端 IKE 閘道。 兩個安全性裝置上的 Trust 區域介面為 ethernet1,其 IP 位址為 10.1.1.1/24。兩個 安全性裝置上的所有區域都在 trust-vr 路由網域中。

具有重疊位址的 VPN 站台

„

131


概念與範例 ScreenOS 參考指南

圖 42: 具有 NAT-Src 和 NAT-Dst 的通道介面 在分公司的裝置 - A 上組 態的區域拓撲。 A

在 branch1 辦公室的裝置 - B 上 組態的區域拓撲。

B

Trust 區域

B

Untrust 區域

serverA 10.1.1.5

Trust 區域

Untrust 區域

閘道 1.1.1.250 網路 A 10.1.1.0/24

A

網際網路

裝置 - A

serverB 10.1.1.5

閘道 2.2.2.250 裝置 - B

網路 B 10.1.1.0/24

Tunnel.1 10.10.1.1/24

Tunnel.1 10.20.1.1/24

DIP 5 10.10.1.2 - 10.10.1.2 NAT-Dst 10.10.1.5 -> 10.1.1.5

DIP 6 10.20.1.2 - 10.20.1.2 NAT-Dst 10.20.1.5 -> 10.1.1.5

網路 A 上的使用者可以存取伺服器 B。網路 B 上的使用者可以存取伺服器 A。 所有通訊流都流經兩個站台之間的 VPN 通道。 裝置 - A

網路 A

serverB

裝置 - B VPN 通道 "vpn1"

serverA

網路 B

WebUI ( 裝置 -A) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Fixed IP: ( 選擇 ) IP Address/Netmask: 10.10.1.1/24

132

„

具有重疊位址的 VPN 站台


第 4 章 : 站台對站台的虛擬私人網路

2.

DIP

Network > Interfaces > Edit ( 對於 tunnel.1) > DIP > New: 輸入下面的內 容,然後按一下 OK: ID: 5 IP Address Range: ( 選擇 ), 10.10.1.2 ~ 10.10.1.2 Port Translation: ( 選擇 ) In the same subnet as the interface IP or its secondary IPs: ( 選擇 ) 3.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: virtualA IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.10.1.5/32 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: branch1 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.20.1.2/32 Zone: Untrust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: serverB IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.20.1.5/32 Zone: Untrust 4.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: branch1 Type: Static IP: ( 選擇 ), Address/Hostname: 2.2.2.2 Preshared Key: netscreen1 Security Level: Compatible Outgoing Interface: ethernet3 注意 :

雖然在這個案例向外介面與所連結的通道介面位於相同區域內,但他們不需要位 址相同區域內。

具有重疊位址的 VPN 站台

„

133


概念與範例 ScreenOS 參考指南

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.10.1.0/24 Remote IP/Netmask: 10.20.1.0/24 Service: ANY 5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.20.1.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.20.1.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 6.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), corp Destination Address: Address Book Entry: ( 選擇 ), serverB Service: FTP Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Source Translation: ( 選擇 ) DIP On: 5 (10.10.1.2-10.10.1.2)/X-late

134

„

具有重疊位址的 VPN 站台


第 4 章 : 站台對站台的虛擬私人網路

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), branch1 Destination Address: Address Book Entry: ( 選擇 ), virtualA Service: FTP Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Destination Translation: ( 選擇 ) Translate to IP: ( 選擇 ), 10.1.1.5 Map to Port: ( 清除 )

WebUI ( 裝置 -B) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.2.2.2/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Fixed IP: ( 選擇 ) IP Address/Netmask: 10.20.1.1/24 2.

DIP

Network > Interfaces > Edit ( 對於 tunnel.1) > DIP > New: 輸入下面的內 容,然後按一下 OK: ID: 6 IP Address Range: ( 選擇 ), 10.20.1.2 ~ 10.20.1.2 Port Translation: ( 選擇 ) In the same subnet as the interface IP or its secondary IPs: ( 選擇 )

具有重疊位址的 VPN 站台

„

135


概念與範例 ScreenOS 參考指南

3.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: branch1 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: virtualB IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.20.1.5/32 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.10.1.2/32 Zone: Untrust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: serverA IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.10.1.5/32 Zone: Untrust 4.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: corp Type: Static IP: ( 選擇 ), Address/Hostname: 1.1.1.1 Preshared Key: netscreen1 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.20.1.0/24 Remote IP/Netmask: 10.10.1.0/24 Service: ANY 注意 :

136

„

具有重疊位址的 VPN 站台

雖然在這個案例向外介面與所連結的通道介面位於相同區域內,但他們不需要位 址相同區域內。


第 4 章 : 站台對站台的虛擬私人網路

5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.10.1.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.10.1.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 6.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), corp Destination Address: Address Book Entry: ( 選擇 ), serverA Service: FTP Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Source Translation: ( 選擇 ) DIP on: 6 (10.20.1.2-10.20.1.2)/X-late

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), corp Destination Address: Address Book Entry: ( 選擇 ), virtualB Service: FTP Action: Permit Position at Top: ( 選擇 )

具有重疊位址的 VPN 站台

„

137


概念與範例 ScreenOS 參考指南

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Destination Translation: ( 選擇 ) Translate to IP: 10.1.1.5 Map to Port: ( 清除 )

CLI ( 裝置 -A) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.10.1.1/24 2.

DIP

set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2 3.

位址

set set set set 4.

address trust corp 10.1.1.0/24 address trust virtualA 10.10.1.5/32 address untrust branch1 10.20.1.2/32 address untrust serverB 10.20.1.5/32

VPN

set ike gateway branch1 address 2.2.2.2 outgoing-interface ethernet3 preshare netscreen1 sec-level compatible set vpn vpn1 gateway branch1 sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 any 注意 :

雖然在這個案例向外介面與所連結的通道介面位於相同區域內,但他們不需要位 址相同區域內。 5.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 10.20.1.0/24 interface tunnel.1 set vrouter trust-vr route 10.20.1.0/24 interface null metric 10 6.

政策

set policy top from trust to untrust corp serverB ftp nat src dip-id 5 permit set policy top from untrust to trust branch1 virtualA ftp nat dst ip 10.1.1.5 permit save

CLI ( 裝置 -B) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.20.1.1/24 138

„

具有重疊位址的 VPN 站台


第 4 章 : 站台對站台的虛擬私人網路

2.

DIP

set interface tunnel.1 dip 6 10.20.1.2 10.20.1.2 3.

位址

set set set set 4.

address trust branch1 10.1.1.0/24 address trust virtualB 10.20.1.5/32 address untrust corp 10.10.1.2/32 address untrust serverA 10.10.1.5/32

VPN

set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare netscreen1 sec-level compatible set vpn vpn1 gateway corp sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 any 注意 :

雖然在這個案例向外介面與所連結的通道介面位於相同區域內,但他們不需要位 址相同區域內。 5.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 set vrouter trust-vr route 10.10.1.0/24 interface tunnel.1 set vrouter trust-vr route 10.10.1.0/24 interface null metric 10 6.

政策

set policy top from trust to untrust branch1 serverA ftp nat src dip-id 6 permit set policy top from untrust to trust corp virtualB ftp nat dst ip 10.1.1.5 permit save

透明模式 VPN 安全性裝置介面處於「透明」模式時 ( 即,這些介面無 IP 位址並且在 OSI 模型中 的「第二層」執行 ),可將 VLAN1 IP 位址用作 VPN 終止點。VPN 通道代替向外介 面,如果在介面處於「路由」或 NAT 模式時 ( 即,這些介面具有 IP 位址並且在 「第三層」執行 ) 使用,則參照向外區域。依預設,通道將 V1-Untrust 區域用作向 外區域。如果有多個介面連結到相同的向外區域,則 VPN 通道可使用這些介面中 的任一個。 注意 :

OSI 模型是網路通訊協定架構的網路產業標準模型。OSI 模型共有 7 層,其中 Layer 2 ( 第 2 層 ) 是資料連結層,Layer 3 ( 第 3 層 ) 是網路層。 在本版發行時,介面處於「透明」模式的安全性裝置僅支援以政策為基礎的 VPN。如需「透明」模式的詳細資訊,請參閱第 2-78 頁上的「透明模式」。 兩台安全性裝置的介面不必都處於「透明」模式。通道一端的裝置的介面可以處 於「透明」模式,而另一裝置的介面可以處於「路由」或 NAT 模式。 在本範例中,將在兩個安全性裝置間 ( 具有在「透明」模式下執行的介面 ) 設定以 政策為基礎的「自動金鑰 IKE VPN」通道。

透明模式 VPN

„

139


概念與範例 ScreenOS 參考指南

注意 :

兩台安全性裝置的介面不必都處於「透明」模式。通道一端的裝置的介面可以處 於「透明」模式,而另一裝置的介面可以處於「路由」或 NAT 模式。 通道兩端的安全性裝置的主要組態元素如下 :

組態元素

裝置 -A

裝置 -B

V1-Trust 區域

Interface: ethernet1, 0.0.0.0/0 ( 啟用本機管理員的管理 )

Interface: ethernet1, 0.0.0.0/0 ( 啟用本機管理員的管理 )

V1-Untrust 區域

Interface: ethernet3, 0.0.0.0/0

Interface: ethernet3, 0.0.0.0/0

VLAN1 介面

IP Address: 1.1.1.1/24 Manage IP: 1.1.1.21

IP Address: 2.2.2.2/24 Manage IP: 2.2.2.3

位址

local_lan: 1.1.1.0/24 in V1-Trust peer_lan: 2.2.2.0/24 in V1-Untrust

local_lan: 2.2.2.0/24 in V1-Trust peer_lan: 1.1.1.0/24 in V1-Untrust

IKE 閘道

gw1, 2.2.2.2, preshared key h1p8A24nG5, gw1, 1.1.1.1, preshared key h1p8A24nG5, security: compatible security: compatible

VPN 通道

security: compatible

security: compatible

政策

local_lan -> peer_lan, any service, vpn1 peer_lan -> local_lan, any service, vpn1

local_lan -> peer_lan, any service, vpn1 peer_lan -> local_lan, any service, vpn1

外部路由器

IP Address: 1.1.1.250

IP Address: 2.2.2.250

路由

0.0.0.0/0,使用 VLAN1 介面 至閘道 1.1.1.250

0.0.0.0/0,使用 VLAN1 介面 至閘道 2.2.2.250

1.透過使用管理 IP 位址接收管理通訊流量及使用 VLAN1 位址終止 VPN 通訊流量,可從 VPN 通訊流量分離管理通訊 流量。

為介面處於「透明」模式的安全性裝置組態以政策為基礎的「自動金鑰 IKE」通道 包括以下步驟 : 1. 從實體介面移除所有 IP 位���,並將介面連結到第 2 層安全區域。 2. 為 VLAN1 介面分配並管理 IP 位址。 3. 在 V1-Trust 和 V1-Untrust 區域的通訊錄中輸入本機及遠端端點的 IP 位址。 4. 組態 VPN 通道,並將其向外區域指定為 V1-Untrust 區域。 5. 在 trust-vr 中輸入到外部路由器的預設路由。 6. 設定 VPN 通訊流量在每個站點間通行的政策。 WebUI ( 裝置 -A) 1.

注意 :

140

„

透明模式 VPN

介面

將 VLAN1 IP 位址移動到不同的子網路會使安全性裝置移除包括前一個 VLAN1 介 面的所有路由。透過 WebUI 組態安全性裝置時,工作站必須到達第一個 VLAN1 位址,然後必須位於與新位址相同的子網路中。變更 VLAN1 位址後,必須變更 工作站的 IP 位址,以便該位址位於與新的 VLAN1 位址相同的子網路中。還可能 必須將工作站重新定位到實際上與安全性裝置相鄰的子網路。


第 4 章 : 站台對站台的虛擬私人網路

Network > Interfaces > Edit ( 對於 VLAN1 介面 ): 輸入下面的內容,然後按一 下 OK: IP Address/Netmask: 1.1.1.1/24 Manage IP: 1.1.1.2 Management Services: WebUI, Telnet, Ping 注意 :

為 V1-Trust 區域和 VLAN1 介面上的 WebUI、Telnet 和 Ping 啟用管理選項,以便 V1-Trust 區域中的本機 admin 可以存取 VLAN1 管理 IP 位址。如果透過 WebUI 的 管理在 VLAN1 和 V1-Trust 區域介面上尚未啟用,則無法透過 WebUI 到達安全性 裝置來設定這些設定。相反地,首先必須透過主控台連接在這些介面上設定 WebUI 可管理性。 Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Management Services: WebUI, Telnet Other Services: Ping

選擇下面的內容,然後按一下 OK: Zone Name: V1-Trust IP Address/Netmask: 0.0.0.0/0

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: V1-Untrust IP Address/Netmask: 0.0.0.0/0 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: local_lan IP Address/Domain Name: IP/Netmask: ( 選擇 ), 1.1.1.0/24 Zone: V1-Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: peer_lan IP Address/Domain Name: IP/Netmask: ( 選擇 ), 2.2.2.0/24 Zone: V1-Untrust 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: gw1 Security Level: Compatible Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: 2.2.2.2 Preshared Key: h1p8A24nG5 Outgoing Zone: V1-Untrust

透明模式 VPN

„

141


概念與範例 ScreenOS 參考指南

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), gw1 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: VLAN1 (VLAN) Gateway IP Address: 1.1.1.250 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), local_lan Destination Address: Address Book Entry: ( 選擇 ), peer_lan Service: ANY Action: Tunnel Tunnel VPN: vpn1 Modify matching bidirectional VPN policy: ( 選擇 ) Position at Top: ( 選擇 )

WebUI ( 裝置 -B) 1.

注意 :

介面

將 VLAN1 IP 位址移動到不同的子網路會使安全性裝置移除包括前一個 VLAN1 介 面的所有路由。透過 WebUI 組態安全性裝置時,工作站必須到達第一個 VLAN1 位址,然後必須位於與新位址相同的子網路中。變更 VLAN1 位址後,必須變更 工作站的 IP 位址,以便該位址位於與新的 VLAN1 位址相同的子網路中。還可能 必須將工作站重新定位到實際上與安全性裝置相鄰的子網路。 Network > Interfaces > Edit ( 對於 VLAN1 介面 ): 輸入下面的內容,然後按一 下 OK: IP Address/Netmask: 2.2.2.2/24 Manage IP: 2.2.2.3 Management Services: WebUI, Telnet, Ping

注意 :

142

„

透明模式 VPN

如果透過 WebUI 的管理在 VLAN1 和 V1-Trust 區域介面上尚未啟用,則無法透過 WebUI 到達安全性裝置來設定這些設定。相反地,首先必須透過主控台連接在這 些介面上設定 WebUI 可管理性。


第 4 章 : 站台對站台的虛擬私人網路

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Management Services: WebUI, Telnet Other Services: Ping

選擇下面的內容,然後按一下 OK: Zone Name: V1-Trust IP Address/Netmask: 0.0.0.0/0

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: V1-Untrust IP Address/Netmask: 0.0.0.0/0 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: local_lan IP Address/Domain Name: IP/Netmask: ( 選擇 ), 2.2.2.0/24 Zone: V1-Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: peer_lan IP Address/Domain Name: IP/Netmask: ( 選擇 ), 1.1.1.0/24 Zone: V1-Untrust 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: gw1 Security Level: Compatible Remote Gateway Type: Static IP Address: ( 選擇 ), IP Address/Hostname: 1.1.1.1 Preshared Key: h1p8A24nG5 Outgoing Zone: V1-Untrust

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), gw1 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: VLAN1 (VLAN) Gateway IP Address: 2.2.2.250

透明模式 VPN

„

143


概念與範例 ScreenOS 參考指南

5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), local_lan Destination Address: Address Book Entry: ( 選擇 ), peer_lan Service: ANY Action: Tunnel Tunnel VPN: vpn1 Modify matching bidirectional VPN policy: ( 選擇 ) Position at Top: ( 選擇 )

CLI ( 裝置 -A) 1.

介面和區域

unset interface ethernet1 ip unset interface ethernet1 zone set interface ethernet1 zone v1-trust set zone v1-trust manage web set zone v1-trust manage telnet set zone v1-trust manage ping unset interface ethernet3 ip unset interface ethernet3 zone set interface ethernet3 zone v1-untrust set interface vlan1 ip 1.1.1.1/24 set interface vlan1 manage-ip 1.1.1.2 set interface vlan1 manage web set interface vlan1 manage telnet set interface vlan1 manage ping 注意 :

為 V1-Trust 區域和 VLAN1 介面上的 WebUI、Telnet 和 Ping 啟用管理選項,以便 V1-Trust 區域中的本機 admin 可以存取 VLAN1 管理 IP 位址。 2.

位址

set address v1-trust local_lan 1.1.1.0/24 set address v1-untrust peer_lan 2.2.2.0/24 3.

VPN

set ike gateway gw1 address 2.2.2.2 main outgoing-interface v1-untrust preshare h1p8A24nG5 sec-level compatible set vpn vpn1 gateway gw1 sec-level compatible 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250 5.

政策

set policy top from v1-trust to v1-untrust local_lan peer_lan any tunnel vpn vpn1 set policy top from v1-untrust to v1-trust peer_lan local_lan any tunnel vpn vpn1 save

144

„

透明模式 VPN


第 4 章 : 站台對站台的虛擬私人網路

CLI ( 裝置 -B) 1.

介面和區域

unset interface ethernet1 ip unset interface ethernet1 zone set interface ethernet1 zone v1-trust set zone v1-trust manage unset interface ethernet3 ip unset interface ethernet3 zone set interface ethernet3 zone v1-untrust set interface vlan1 ip 2.2.2.2/24 set interface vlan1 manage-ip 2.2.2.3 set interface vlan1 manage 2.

位址

set address v1-trust local_lan 2.2.2.0/24 set address v1-untrust peer_lan 1.1.1.0/24 3.

VPN

set ike gateway gw1 address 1.1.1.1 main outgoing-interface v1-untrust preshare h1p8A24nG5 sec-level compatible set vpn vpn1 gateway gw1 sec-level compatible 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 2.2.2.250 5.

政策

set policy top from v1-trust to v1-untrust local_lan peer_lan any tunnel vpn vpn1 set policy top from v1-untrust to v1-trust peer_lan local_lan any tunnel vpn vpn1 save

透明模式 VPN

„

145


概念與範例 ScreenOS 參考指南

146

„

透明模式 VPN


第5章

撥接虛擬私人網路 Juniper Networks 安全性裝置可支援撥接虛擬私人網路 (VPN) 連接。可以具有靜態 IP 位址的安全性裝置,以保證有 NetScreen-Remote 用戶端或有動態 IP 位址的其 他安全性裝置的 IPSec 通道的安全。 本章包括下列各節 : „

„

„

第 148 頁上的「撥接」 „

第 148 頁上的「以政策為基礎的撥接 VPN,自動金鑰 IKE」

„

第 154 頁上的「以路由為基礎的撥接 VPN,動態對等方」

„

第 160 頁上的「以政策為基礎的撥接 VPN,動態對等方」

„

第 165 頁上的「用於撥接 VPN 使用者的雙向政策」

第 170 頁上的「群組 IKE ID」 „

第 170 頁上的「有認證的群組 IKE ID」

„

第 171 頁上的「萬用字元和容器 ASN1-DN IKE ID 類型」

„

第 174 頁上的「建立群組 IKE ID ( 認證 )」

„

第 179 頁上的「設定具預先共享金鑰的群組 IKE ID」

第 184 頁上的「共享 IKE ID」

„

147


概念與範例 ScreenOS 參考指南

撥接 您可以為每個 VPN 撥接使用者組態通道,或將使用者安排到只需組態一個通道的 VPN 撥接群組中。也可建立一組 IKE ID 使用者,讓您可以定義一位使用者,將其 IKE ID 當作撥接 IKE 使用者 IKE ID 的一部分。有大型撥接使用者群組時,這個方 法特別節省時間,因為您不必個別組態每個 IKE 使用者。 注意 :

如需建立 IKE 使用者群組的詳細資訊,請參閱第 9-51 頁上的「IKE 使用者和使用 者群組」。如需「群組 IKE ID」功能的詳細資訊,請參閱第 170 頁上的「群組 IKE ID」。 如果撥接用戶端可以支援 NetScreen-Remote 所支援的虛擬內部 IP 位址,您也可以 建立動態對等方撥接 VPN、「自動金鑰 IKE」通道 ( 具有預先共享金鑰或認證 ) 可 以用靜態 IP 位址組態 Juniper Networks 安全閘道,以保證有 NetScreen-Remote 用 戶端或有動態 IP 位址的其他安全性裝置的 IPSec 通道的安全。

注意 :

如需可用的 VPN 選項的背景資訊,請參閱第 1 頁上的「網際網路通訊協定安全 性」。如需從多種選項中進行選擇的導引,請參閱第 43 頁上的「虛擬私人網路 準則」。 可為 VPN 撥接使用者組態以政策為基礎的 VPN 通道。對於撥接動態對等方用戶 端,可以組態以政策或路由為基礎的 VPN。由於撥接動態對等方用戶端可以支援 NetScreen-Remote 支援的虛擬網際網路 IP 位址,因此可組態經由指定的通道介面 到該虛擬網際網路位址的路由設定表項目。這樣讓您可以組態安全性裝置和該對等 方之間以路由為基礎的 VPN 通道。

注意 :

撥接動態對等方用戶端是撥接用戶端,支援虛擬網際網路 IP 位址。 除了撥接用戶端的內部 IP 位址為虛擬位址外,撥接動態對等方與站台對站台動態 對等方幾乎一樣。

以政策為基礎的撥接 VPN,自動金鑰 IKE 在本範例中,使用預先共享金鑰或一對認證 ( 通道的每端一個 ) 的「自動金鑰 IKE」通道在 IKE 使用者 Wendy 和 UNIX 伺服器之間提供安全通訊通道。通道再次 使用采用 3DES 加密以及 SHA-1 驗證的 ESP。 注意 :

148

„

撥接

預先共享金鑰為 h1p8A24nG5。假設兩個參與者都已有認證。如需認證的詳細資 訊,請參閱第 22 頁上的「認證和 CRL」。


第 5 章 : 撥接虛擬私人網路

用有預先共享金鑰或認證的「自動金鑰 IKE」設定「自動金鑰 IKE」通道時,您需 要在企業網站執行下列組態 : 1. 為 Trust 和 Untrust 區域組態介面,兩個區域都在 trust-vr 路由設定網域中。 2. 在 Trust 區域通訊錄中輸入 UNIX 伺服器的位址。 3. 將 Wendy 定義為 IKE 使用者。 4. 組態遠端閘道和「自動金鑰 IKE VPN」。 5. 設定預設路由。 6. 建立從 Untrust 區域到 Trust 區域、允許從撥接使用者存取 UNIX 的政策。 圖 43: 以政策為基礎的撥接 VPN,自動金鑰 IKE 向外介面 Untrust 區域 ethernet3,1.1.1.1/24 閘道 1.1.1.250

遠端使用者 : Wendy NetScreen-Remote

總部辦公室 Trust 區域 ethernet1,10.1.1.1/24

UNIX 伺服器 10.1.1.5 網際網路

LAN

VPN 通道

Untrust 區域

Trust 區域

預先共享金鑰為 h1p8A24nG5。本範例假設兩個參與者都已有 Verisign 發佈的 RSA 認證,而且 NetScreen-Remote 上的本機認證包含 U-FQDN wparker@email.com。 ( 如需取得和載入認證的資訊,請參閱第 22 頁上的「認證和 CRL」。) 對於「階段 1」和「階段 2」安全層級,指定「階段 1」提議 ( 對預先共享金鑰方法為 pre-g2-3des-sha,對認證為 rsa-g2-3des-sha),並對「階段 2」選擇預先定義的 "Compatible" 提議集。 WebUI 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

撥接

„

149


概念與範例 ScreenOS 參考指南

位址

2.

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: UNIX IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.5/32 Zone: Trust 使用者

3.

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Wendy Status: Enable ( 選擇 ) IKE User: ( 選擇 ) Simple Identity: ( 選擇 ) IKE Identity: wparker@email.com 4.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: Wendy_NSR Security Level: Custom Remote Gateway Type: Dialup User: ( 選擇 ), User: Wendy 認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Aggressive Preferred Certificate (optional): Peer CA: Verisign Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Wendy_UNIX Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), Wendy_NSR

(或)

150

„

撥接


第 5 章 : 撥接虛擬私人網路

預先共享的金鑰

小心 : 挑釁式模式並不安全。由於通訊協定的限制,撥接 VPN 使用者無法一起使 用主要模式 IKE 和預先共享的金鑰 (PSK)。此外,在任何時候使用挑釁式模式都 是不明智的,因為此模式本身就有安全性的問題。因此,最好使用 PKI 認證和主 要模式來組態撥接 VPN 使用者。 Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Aggressive 5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250 6.

政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Dial-Up VPN Destination Address: Address Book Entry: ( 選擇 ), UNIX Service: ANY Action: Tunnel Tunnel VPN: Wendy_UNIX Modify matching bidirectional VPN policy: ( 清除 ) Position at Top: ( 選擇 )

CLI 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2.

位址

set address trust unix 10.1.1.5/32 3.

使用者

set user wendy ike-id u-fqdn wparker@email.com

撥接

„

151


概念與範例 ScreenOS 參考指南

4.

VPN

認證

set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway wendy_nsr cert peer-ca 1 set ike gateway wendy_nsr cert peer-cert-type x509-sig set vpn wendy_unix gateway wendy_nsr sec-level compatible 注意 :

數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get pki x509 list ca-cert。 (或) 預先共享的金鑰

小心 : 挑釁式模式並不安全。由於通訊協定的限制,撥接 VPN 使用者無法一起使 用主要模式 IKE 和預先共享的金鑰 (PSK)。此外,在任何時候使用挑釁式模式都 是不明智的,因為此模式本身就有不安全的問題。因此,最好使用 PKI 認證和主 要模式來組態撥接 VPN 使用者。 set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn wendy_unix gateway wendy_nsr sec-level compatible 5.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 6.

政策

set policy top from untrust to trust "Dial-Up VPN" unix any tunnel vpn wendy_unix save

NetScreen-Remote 安全政策編輯器 1. 按一下 Options > Secure > Specified Connections。 2. 按一下 Add a new connection,在出現的新連接圖示旁鍵入 UNIX。 3. 組態連接選項 : Connection Security: Secure Remote Party Identity and Addressing: ID Type: IP Address, 10.1.1.5 Protocol: All Connect using Secure Gateway Tunnel: ( 選擇 ) ID Type: IP Address, 1.1.1.1

4. 按一下位於 UNIX 圖示左邊的 + 符號以展開連接政策。 5. 按一下 My Identity: 請執行下面的操作之一 : 按一下 Pre-shared Key > Enter Key: 鍵入 h1p8A24nG5,然後按一下 OK。 ID Type: ( 選擇 E-mail Address),然後鍵入 wparker@email.com。 (或) 152

„

撥接


第 5 章 : 撥接虛擬私人網路

從 Select Certificate 下拉式清單中選擇認證。 ID Type: ( 選擇 E-mail Address) 注意 :

來自認證的電子郵件位址會自動出現在識別字欄位中。 6. 按一下 Security Policy 圖示,選擇 Aggressive Mode,然後清除 Enable Perfect Forward Secrecy (PFS)。 7. 按一下位於 Security Policy 圖示左邊的 + 符號,然後按一下位於 Authentication (Phase 1) 和 Key Exchange (Phase 2) 左邊的 + 符號以更進一步 展開政策。 8. 按一下 Authentication (Phase 1) > Proposal 1: 選擇下列驗證方法和演算法 : Authentication Method: Pre-Shared Key

(或) Authentication Method: RSA Signatures Encrypt Alg: Triple DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

9. 按一下 Key Exchange (Phase 2) > Proposal 1: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Tunnel

10. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Tunnel

11. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Tunnel

12. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel

13. 按一下 File > Save Changes。 撥接

„

153


概念與範例 ScreenOS 參考指南

以路由為基礎的撥接 VPN,動態對等方 在本範例中,VPN 通道將 NetScreen-Remote 後面的使用者安全地連接到安全性裝 置的 Untrust 區域介面,該裝置保護了 DMZ 區域中的郵件伺服器。Untrust 區域介 面有靜態 IP 位址。NetScreen-Remote 用戶端有動態指派的外部 IP 位址和靜態 ( 虛 擬 ) 的內部 IP 位址。安全性裝置的管理員必須知道對等方的內部 IP 位址,目的有 以下兩個 : „

管理員可在政策中使用它。

„

管理員可建立路由,將位址與連結到相應通道通道的介面相連結。

NetScreen-Remote 用戶端建立通道後,通過該通道的通訊流可源自任一端。安全 性裝置的所有區域都在 trust-vr 路由設定網域中。 圖 44: 以路由為基礎的撥接 VPN,動態對等方 遠端使用者 : Phil NetScreen-Remote

向外介面 ethernet3 1.1.1.1/24 Untrust 區域

SMTP 要求

總部辦公室 ethernet2 1.2.2.1/24

DMZ 區域

閘道 1.1.1.250

郵件伺服器 1.2.2.5

網際網路 IDENT 要求

VPN 通道

內部 IP 位址 10.10.10.1

外部 IP 位址 動態

通道介面 Tunnel.1

在本範例中,Phil 要從公司網站的郵件伺服器取得他的電子郵件。當他嘗試取郵件 時,郵件伺服器程式會對他進行驗證,透過通道向他傳送 IDENT 要求。 注意 :

只有在安全性管理員為郵件伺服器 (TCP,連接埠 113) 新增自訂服務,並設定向 外政策,允許通訊流量透過通道到達 10.10.10.1 時,郵件伺服器才能透過通道傳 送 IDENT 要求。 預先共享金鑰為 h1p8A24nG5。本範例假定兩個參與者都已有 Verisign 發佈的 RSA 認證,而且 NetScreen-Remote 上的本機認證包含 U-FQDN pm@juniper.net。( 如需 取得和載入認證的資訊,請參閱第 22 頁上的「認證和 CRL」。) 對於「階段 1」和 「階段 2」安全層級,指定「階段 1」提議 ( 對預先共享金鑰方法為 pre-g2-3des-sha,對認證為 rsa-g2-3des-sha),並對「階段 2」選擇預先定義的 "Compatible" 提議集。 在安全性裝置上輸入下列三個路由 : „

在 trust-vr 中輸入到外部路由器的預設路由

„

透過通道介面通往目的地的路由

„

通往目的地的 null 路由。將更高的計量值 ( 更遠離零 ) 指派給 null 路由,使它 變成通往目的地作為次要選擇的路由。然後,如果通道介面的狀態變成「中 斷」且參考該介面的路由停用,安全性裝置就會使用 null 路由,這個路由基本 上會卸除所有傳送至它的通訊流量,而不會像預設路由那樣將未經加密的通訊 流量轉寄。

最後,建立政策讓通訊流量在 Phil 和郵件伺服器之間雙向傳遞。 154

„

撥接


第 5 章 : 撥接虛擬私人網路

WebUI 1.

介面

Network > Interfaces > Edit ( 對於 ethernet2): 輸入下面的內容,然後按一下 OK: Zone Name: DMZ Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.2.2.1/24

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet3 (trust-vr) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Mail Server IP Address/Domain Name: IP/Netmask: ( 選擇 ), 1.2.2.5/32 Zone: DMZ

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Phil IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.10.10.1/32 Zone: Untrust 3.

服務

Objects > Services > Custom > New: 輸入下面的內容,然後按一下 OK: Service Name: Ident Service Timeout: Use protocol default: ( 選擇 ) Transport Protocol: TCP ( 選擇 ) Source Port: Low 1, High 65535 Destination Port: Low 113, High 113

Objects > Services > Group > New: 輸入下面的內容,移動下列服務,然後 按一下 OK: Group Name: Remote_Mail Group Members << Available Members: Ident MAIL POP3

撥接

„

155


概念與範例 ScreenOS 參考指南

4.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Phil Security Level: Custom Remote Gateway Type: Dynamic IP Address: ( 選擇 ), Peer ID: pm@juniper.net 預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Aggressive

(或) 認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Aggressive Preferred Certificate (optional): Peer CA: Verisign Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: corp_Phil Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_Phil

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface: ( 選擇 ), tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 1.2.2.5/32 Remote IP/Netmask: 10.10.10.1/32 Service: Any

156

„

撥接


第 5 章 : 撥接虛擬私人網路

5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.10.10.1/32 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 10.10.10.1/32 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 6.

政策

Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Phil Destination Address: Address Book Entry: ( 選擇 ), Mail Server Service: Remote_Mail Action: Permit Position at Top: ( 選擇 )

Policies > (From: DMZ, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Mail Server Destination Address: Address Book Entry: ( 選擇 ), Phil Service: Remote_Mail Action: Permit Position at Top: ( 選擇 )

CLI 1.

介面

set set set set set set

interface ethernet2 zone dmz interface ethernet2 ip 1.2.2.1/24 interface ethernet3 zone untrust interface ethernet3 ip 1.1.1.1/24 interface tunnel.1 zone untrust interface tunnel.1 ip unnumbered interface ethernet3

撥接

„

157


概念與範例 ScreenOS 參考指南

位址

2.

set address dmz "Mail Server" 1.2.2.5/32 set address untrust phil 10.10.10.1/32 服務

3.

set set set set set 4.

service ident protocol tcp src-port 1-65535 dst-port 113-113 group service remote_mail group service remote_mail add ident group service remote_mail add mail group service remote_mail add pop3

VPN

預先共享的金鑰

set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn corp_phil gateway to_phil sec-level compatible set vpn corp_phil bind interface tunnel.1 set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip 10.10.10.1/32 any

(或) 認證

set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway to_phil cert peer-ca 1 set ike gateway to_phil cert peer-cert-type x509-sig set vpn corp_phil gateway to_phil sec-level compatible set vpn corp_phil bind interface tunnel.1 set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip 10.10.10.1/32 any 注意 :

數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get pki x509 list ca-cert。 5.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 10.10.10.1/32 interface tunnel.1 set vrouter trust-vr route 10.10.10.1/32 interface null metric 10 6.

政策

set policy top from dmz to untrust "Mail Server" phil remote_mail permit set policy top from untrust to dmz phil "Mail Server" remote_mail permit save

NetScreen-Remote 1. 按一下 Options > Global Policy Settings,然後選擇 Allow to Specify Internal Network Address 核取方塊。 2. Options > Secure > Specified Connections。 3. 按一下 Add a new connection 按鈕,在出現的新連接圖示旁鍵入 Mail。

158

„

撥接


第 5 章 : 撥接虛擬私人網路

4. 組態連接選項 : Connection Security: Secure Remote Party Identity and Addressing: ID Type: IP Address, 1.2.2.5 Protocol: All Connect using Secure Gateway Tunnel: ( 選擇 ) ID Type: IP Address, 1.1.1.1

5. 按一下位於 UNIX 圖示左邊的 + 符號以展開連接政策。 6. 按一下 Security Policy 圖示,選擇 Aggressive Mode,然後清除 Enable Perfect Forward Secrecy (PFS)。 7. 按一下 My Identity,並執行下列操作之一 : 按一下 Pre-shared Key > Enter Key: 鍵入 h1p8A24nG5,然後按一下 OK。 ID Type: E-mail Address; pm@juniper.net Internal Network IP Address: 10.10.10.1

(或) 從 Select Certificate 下拉式清單中,選擇包含電子郵件位址 "pm@juniper.net" 的認證。 ID Type: E-mail Address; pm@juniper.net Internal Network IP Address: 10.10.10.1

8. 按一下位於 Security Policy 圖示左邊的 + 符號,然後按一下位於 Authentication (Phase 1) 和 Key Exchange (Phase 2) 左邊的 + 符號以更進一步 展開政策。 9. 按一下 Authentication (Phase 1) > Proposal 1: 選擇下列驗證方法和演算法 : Authentication Method: Pre-Shared Key

(或) Authentication Method: RSA Signatures Encrypt Alg: Triple DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

10. 按一下 Key Exchange (Phase 2) > Proposal 1: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Tunnel

11. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Tunnel 撥接

„

159


概念與範例 ScreenOS 參考指南

12. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Tunnel

13. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel

14. 按一下 File > Save Changes。

以政策為基礎的撥接 VPN,動態對等方 在本範例中,VPN 通道將 NetScreen-Remote 後面的使用者安全地連接到安全性裝 置的 Untrust 區域介面,該裝置保護了 DMZ 區域中的郵件伺服器。Untrust 區域介 面有靜態 IP 位址。NetScreen-Remote 用戶端有動態指派的外部 IP 位址和靜態 ( 虛 擬 ) 的內部 IP 位址。安全性裝置的管理員必須知道用戶端的內部 IP 位址,以便能 將它新增到「不信任」通訊薄中,用於來自該來源的通道流量的政策中。 NetScreen-Remote 用戶端建立通道後,通過該通道的通訊流可源自任一端。 圖 45: 以政策為基礎的撥接 VPN,動態對等方 遠端使用者 : Phil NetScreen-Remote

向外介面 Untrust 區域 ethernet3,1.1.1.1/24 閘道 1.1.1.250

SMTP 要求

總部辦公室 DMZ 區域 ethernet2,1.2.2.1/24 郵件伺服器 1.2.2.5

網際網路 IDENT 要求

VPN 通道

內部 IP 位址 10.10.10.1

外部 IP 位址 動態

Untrust 區域

DMZ 區域

在本範例中,Phil 要從公司網站的郵件伺服器取得他的電子郵件。當他嘗試取郵件 時,郵件伺服器程式會對他進行驗證,透過通道向他傳送 IDENT 要求。 注意 :

只有在安全性管理員為郵件伺服器 (TCP,連接埠 113) 新增自訂服務,並設定向 外政策,允許通訊流量透過通道到達 10.10.10.1 時,郵件伺服器才能透過通道傳 送 IDENT 要求。 預先共享金鑰為 h1p8A24nG5。本範例假設兩個參與者都有 Verisign 發佈的 RSA 認證,���且 NetScreen-Remote 上的本機認證包含 U-FQDN pm@juniper.net。( 如需 取得和載入認證的資訊,請參閱第 22 頁上的「認證和 CRL」。) 對於「階段 1」和 「階段 2」安全層級,指定「階段 1」提議 ( 對預先共享金鑰方法為 pre-g2-3des-sha,對認證為 rsa-g2-3des-sha),並對「階段 2」選擇預先定義的 "Compatible" 提議集。

160

„

撥接


第 5 章 : 撥接虛擬私人網路

WebUI 1.

介面

Network > Interfaces > Edit ( 對於 ethernet2): 輸入下面的內容,然後按一下 OK: Zone Name: DMZ Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.2.2.1/24

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Mail Server IP Address/Domain Name: IP/Netmask: ( 選擇 ), 1.2.2.5/32 Zone: DMZ

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Phil IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.10.10.1/32 Zone: Untrust 3.

服務

Objects > Services > Custom > New: 輸入下面的內容,然後按一下 OK: Service Name: Ident Service Timeout: Use protocol default: ( 選擇 ) Transport Protocol: TCP ( 選擇 ) Source Port: Low 1, High 65535 Destination Port: Low 113, High 113

Objects > Services > Group > New: 輸入下面的內容,移動下列服務,然後 按一下 OK: Group Name: Remote_Mail Group Members << Available Members: Ident MAIL POP3

撥接

„

161


概念與範例 ScreenOS 參考指南

4.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: To_Phil Security Level: Custom Remote Gateway Type: Dynamic IP Address: ( 選擇 ), Peer ID: pm@juniper.net 預先共享的金鑰

Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Aggressive

(或) 認證

Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Aggressive Preferred Certificate (optional): Peer CA: Verisign Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: corp_Phil Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), To_Phil 5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

162

„

撥接


第 5 章 : 撥接虛擬私人網路

政策

6.

Policies > (From: Untrust, To: DMZ) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Phil Destination Address: Address Book Entry: ( 選擇 ), Mail Server Service: Remote_Mail Action: Tunnel VPN Tunnel: corp_Phil Modify matching bidirectional VPN policy: ( 選擇 ) Position at Top: ( 選擇 )

CLI 介面

1.

set set set set

interface ethernet2 zone dmz interface ethernet2 ip 1.2.2.1/24 interface ethernet3 zone untrust interface ethernet3 ip 1.1.1.1/24

位址

2.

set address dmz "mail server" 1.2.2.5/32 set address untrust phil 10.10.10.1/32 服務

3.

set set set set set 4.

service ident protocol tcp src-port 1-65535 dst-port 113-113 group service remote_mail group service remote_mail add ident group service remote_mail add mail group service remote_mail add pop3

VPN

預先共享的金鑰

set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn corp_phil gateway to_phil sec-level compatible

(或) 認證

set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway to_phil cert peer-ca 1 set ike gateway to_phil cert peer-cert-type x509-sig set vpn corp_phil gateway to_phil sec-level compatible 注意 :

數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get pki x509 list ca-cert。 5.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250

撥接

„

163


概念與範例 ScreenOS 參考指南

6.

政策

set policy top from untrust to dmz phil "mail server" remote_mail tunnel vpn corp_phil set policy top from dmz to untrust "mail server" phil remote_mail tunnel vpn corp_phil save

NetScreen-Remote 1. 按一下 Options > Global Policy Settings,然後選擇 Allow to Specify Internal Network Address。 2. Options > Secure > Specified Connections。 3. 按一下 Add a new connection,在出現的新連接圖示旁鍵入 Mail。 4. 組態連接選項 : Connection Security: Secure Remote Party Identity and Addressing: ID Type: IP Address, 1.2.2.5 Protocol: All Connect using Secure Gateway Tunnel: ( 選擇 ) ID Type: IP Address, 1.1.1.1

5. 按一下位於 UNIX 圖示左邊的 + 符號以展開連接政策。 6. 按一下 Security Policy 圖示,選擇 Aggressive Mode,然後清除 Enable Perfect Forward Secrecy (PFS)。 7. 按一下 My Identity,並執行下列操作之一 : 按一下 Pre-shared Key > Enter Key: 鍵入 h1p8A24nG5,然後按一下 OK。 Internal Network IP Address: 10.10.10.1 ID Type: E-mail Address; pm@juniper.net

(或) 從 Select Certificate 下拉式清單中,選擇包含電子郵件位址 "pmason@email.com" 的認證。 Internal Network IP Address: 10.10.10.1 ID Type: E-mail Address; pm@juniper.net

8. 按一下位於 Security Policy 圖示左邊的 + 符號,然後按一下位於 Authentication (Phase 1) 和 Key Exchange (Phase 2) 左邊的 + 符號以更進一步 展開政策。

164

„

撥接


第 5 章 : 撥接虛擬私人網路

9. 按一下 Authentication (Phase 1) > Proposal 1: 選擇下列驗證方法和演算法 : Authentication Method: Pre-Shared Key

(或) Authentication Method: RSA Signatures Encrypt Alg: Triple DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

10. 按一下 Key Exchange (Phase 2) > Proposal 1: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Tunnel

11. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Tunnel

12. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Tunnel

13. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel

14. 按一下 File > Save Changes。

用於撥接 VPN 使用者的雙向政策 可以為撥接 VPN 建立雙向政策。此組態提供的功能與動態對等方 VPN 組態類似。 但是,使用動態對等方 VPN 組態,安全性裝置管理員必須知道撥接使用者的內部 IP 位址空間,以便在組態向外政策時,管理員可將其用作目的位址 ( 請參閱第 160 頁上的「以政策為基礎的撥接 VPN,動態對等方」。) 使用撥接 VPN 使用者組 態,LAN 站台的管理員不需要知道撥接使用者的內部位址空間。保護 LAN 的安全 性裝置使用預定義的位址 "Dial-Up VPN" 作為向內政策中的來源位址及向外政策中 的目的位址。 此功能為撥接 VPN 通道建立雙向政策,在建立連接後允許來自 VPN 連接的 LAN 端的通訊流量。( 遠端端點必須首先啟動通道建立。) 請注意,與撥接動態對等方 VPN 通道不同,此功能要求向內和向外政策上的服務相同。

撥接

„

165


概念與範例 ScreenOS 參考指南

注意 :

ScreenOS 不支援參照撥接 VPN 組態的雙向政策中的服務群組和位址群組。 兩個或多個同時連接的撥接 VPN 使用者的內部位址空間可能會重疊。例如,撥接 使用者 A 和 B 可能都具有內部 IP 位址空間 10.2.2.0/24。如果出現這種情況,安全 性裝置會透過在政策清單中找到的第一個政策中參照的 VPN 向使用者 A 和使用者 B 傳送所有向外的 VPN 通訊流量。例如,如果將 VPN 參照到使用者 A 的向外政策 首先出現在政策清單中,則安全性裝置就會將預定給使用者 A 和 B 的所有向外 VPN 通訊流量傳送到使用者 A。 同樣,撥接使用者的內部位址可能與其他任何政策中的位址重疊,無論其他政策是 否參照 VPN 通道。如果出現這種情況,安全性裝置會套用與來源位址、目的位 址、來源連接埠號碼、目的連接埠號碼及服務的基本通訊流量內容配對的第一個政 策。為避免具有動態產生的位址的雙向撥接 VPN 政策取代具有靜態位址的另一個 政策,Juniper Networks 建議將雙向撥接 VPN 政策放在政策清單中較低的位置。 在本範例中,為具有 IKE ID jf@ns.com 的 IKE 使用者 dialup-j 組態名為 VPN_dial 的 撥接「自動金鑰 IKE VPN」通道的雙向政策。對於「階段 1」交涉,使用方案 pre-g2-3des-sha 以及預先共享金鑰 Jf11d7uU。為「階段 2」交涉選擇預定義的 "Compatible" 方案集。 IKE 使用者從 Untrust 區域啟用到安全性裝置的 VPN 連接,以訪問 Trust 區域中的 企業伺服器。IKE 使用者建立 VPN 連接後,通訊流量可從通道的任一端發起。 Trust 區段介面為 ethernet1,其 IP 位址為 10.1.1.1/24,在 NAT 模式中。Untrust 區域介面為 ethernet3,其 IP 位址為 1.1.1.1/24。預設路由指向 1.1.1.250 處的外 部路由器。 WebUI 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24 2.

物件

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: trust_net IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

166

„

撥接


第 5 章 : 撥接虛擬私人網路

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: dialup-j Status: Enable IKE User: ( 選擇 ) Simple Identity: ( 選擇 ); jf@ns.com 3.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: dialup1 Security Level: Custom Remote Gateway Type: Dialup User: ( 選擇 ); dialup-j Preshared Key: Jf11d7uU

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): pre-g2-3des-sha Mode (Initiator): Aggressive

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: VPN_dial Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: dialup1 Type: Dialup User: ( 選擇 ); dialup-j Preshared Key: Jf11d7uU Security Level: Compatible Outgoing Interface: ethernet3 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet1 Gateway IP Address: 1.1.1.250 5.

政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Dial-Up VPN Destination Address: Address Book Entry: ( 選擇 ), trust_net Service: ANY Action: Tunnel VPN Tunnel: VPN_dial Modify matching bidirectional VPN policy: ( 選擇 )

撥接

„

167


概念與範例 ScreenOS 參考指南

CLI 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2.

物件

set address trust trust_net 10.1.1.0/24 set user dialup-j ike-id u-fqdn jf@ns.com 3.

VPN

set ike gateway dialup1 dialup dialup-j aggressive outgoing-interface ethernet3 preshare Jf11d7uU proposal pre-g2-3des-sha set vpn VPN_dial gateway dialup1 sec-level compatible 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 5.

政策

set policy from untrust to trust "Dial-Up VPN" trust_net any tunnel vpn VPN_dial set policy from trust to untrust trust_net "Dial-Up VPN" any tunnel vpn VPN_dial save

NetScreen-Remote 安全政策編輯器 1. 按一下 Options > Secure > Specified Connections。 2. 按一下 Add a new connection,在出現的新連接圖示旁鍵入 Corp。 3. 組態連接選項 : Connection Security: Secure Remote Party Identity and Addressing ID Type: IP Subnet Subnet: 10.1.1.0 Mask: 255.255.255.0 Protocol: All Connect using Secure Gateway Tunnel: ( 選擇 ) ID Type: IP Address, 1.1.1.1

4. 按一下位於 UNIX 圖示左邊的 + 符號以展開連接政策。 5. 按一下 My Identity: 請執行下面的操作之一 : 按一下 Pre-shared Key > Enter Key: 鍵入 Jf11d7uU,然後按一下 OK。 ID Type: ( 選擇 E-mail Address),然後鍵入 jf@ns.com。 6. 按一下 Security Policy 圖示,選擇 Aggressive Mode,然後清除 Enable Perfect Forward Secrecy (PFS)。 7. 按一下位於 Security Policy 圖示左邊的 + 符號,然後按一下位於 Authentication (Phase 1) 和 Key Exchange (Phase 2) 左邊的 + 符號以更進一步 展開政策。

168

„

撥接


第 5 章 : 撥接虛擬私人網路

8. 按一下 Authentication (Phase 1) > Proposal 1: 選擇下列驗證方法和演算法 : Authentication Method: Pre-Shared Key

(或) Authentication Method: RSA Signatures Encrypt Alg: Triple DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

9. 按一下 Key Exchange (Phase 2) > Proposal 1: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Tunnel

10. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Tunnel

11. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Tunnel

12. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel

13. 按一下 File > Save Changes。

撥接

„

169


概念與範例 ScreenOS 參考指南

群組 IKE ID 某些組織有許多撥接 VPN 使用者。例如,一個銷售部門可能有幾百名使用者,其中 許多使用者在離開工作場所時需要保證撥接通訊的安全。由於使用者數量非常多, 為每位使用者分別建立單獨的使用者定義、撥接 VPN 組態及政策就很不切實際。 為了避免這種難題,「群組 IKE ID」方法會建立一個用於多個使用者的使用者定 義。群組 IKE ID 使用者定義會套用到所有擁有辨別名稱 (dn) 中有指定值的認證的 使用者,或 VPN 用戶端上的完整 IKE ID 和預先共享金鑰與安全性裝置上的部分 IKE ID 和預先共享金鑰配對的所有使用者。 注意 :

撥接 IKE 使用者連接到安全性裝置時,安全性裝置先提取並使用完整 IKE ID 以搜 尋其對等方閘道記錄,以防使用者不屬於群組 IKE ID 使用者群組的情況。如果完 整 IKE ID 搜尋並未產生配對項目,則安全性裝置會檢查向內的嵌入式 IKE ID 和 組態的群組 IKE ID 使用者之間的部分 IKE ID 配對。 將單一群組 IKE ID 使用者新增到 IKE 撥接 VPN 使用���群組中,並指定該群組支援 的最大同時連接數量。同時會話的最大數量不能超過允許的最大「階段 1 SA」數 量,或平台上允許的 VPN 通道最大數量。

有認證的群組 IKE ID 有認證的「群組 IKE ID」是一項技術,用於對一組沒有為每個使用者組態單獨使 用者設定檔的撥接 IKE 使用者執行 IKE 驗證。相反,安全性裝置使用包含部分 IKE ID 的單一群組 IKE ID 使用者設定檔。撥接 IKE 使用者可成功建立連接到安全性裝 置的 VPN 通道,前提是在他的 VPN 用戶端上的 VPN 組態指定了包含辨別名稱元 素的認證,這些元素與作為安全性裝置上的群組 IKE ID 使用者設定檔中的部分 IKE ID 定義組態的元素配對。 圖 46: 有認證的群組 IKE ID 撥接使用者群組 撥接 IKE 使用者

完整 IKE ID ( 辨別名稱 ) 認證 DN: cn=alice ou=eng -------------------

群組 IKE ID 使用者 ASN1-DN IKE ID 類型 部分 IKE ID: ou=eng

認證 DN: cn=bob ou=eng ------------------認證 DN: cn=carol ou=sales -------------------

170

„

群組 IKE ID

若要驗證使用者,裝置會把和撥接使用 者群組相關聯的 distinguished name ( 辨別 名稱 )(dn) 的具體元素與認證中相應的元 素,以及初始 「階段 1」封包隨附的用 於 IKE ID 負載的 dn 進行比較。

注意 : 因為 Carol 的認證中的 dn 不包括 ou=eng,所以裝置拒絕連接要求。


第 5 章 : 撥接虛擬私人網路

您可以設定有認證的群組 IKE ID,方法如下 : 在安全性裝置上 :

1. 建立有部分 IKE 識別的群組 IKE ID 使用者 ( 如 ou=sales,o=netscreen),並指 定可使用群組 IKE ID 設定檔進行登入的撥接使用者數目。 2. 將新的群組 IKE ID 使用者指派給撥接使用者群組,並命名群組。 注意 :

只可以將一組 IKE ID 使用者放在 IKE 使用者群組中。 3. 在撥接自動金鑰 IKE VPN 組態中,指定撥接使用者群組的名稱、「階段 1」交 涉為「挑釁式」模式,以及用於驗證的認證 (RSA 或 DSA,取決於在撥接 VPN 用戶端載入的認證類型 )。 4. 建立政策,允許向內通訊流量通過指定的撥接 VPN。 在 VPN 用戶端上 :

1. 取得並載入認證,其辨別名稱包含的資訊和在安全性裝置上部分 IKE ID 中定 義的資訊相同。 2. 對於「階段 1」交涉,使用挑釁式模式組態連接到安全性裝置的 VPN 通道,指 定之前已經載入的認證,並為本機 IKE ID 類型選擇 Distinguished Name。 之後,每個具有認證 ( 辨別名稱元素與群組 IKE ID 使用者設定檔中定義的部分 IKE ID 配對 ) 的個別撥接 IKE 使用者都可以成功建立連接到安全性裝置的 VPN 通道。 例如,如果群組 IKE ID 使用者的 IKE ID 為 OU=sales,O=netscreen,安全性裝置 會接受來自任何使用者的「階段 1」交涉,這些使用者具有在辨別名稱中包含這些 元素的認證。可連接到安全性裝置的此類撥接 IKE 使用者的最大數量,取決於在 群組 IKE ID 使用者設定檔指定的同時會話的最大數量。

萬用字元和容器 ASN1-DN IKE ID 類型 為群組 IKE 使用者定義 IKE ID 時,必須使用版本 1 的「抽象語法符號」辨別名稱 (ASN1-DN) 作為識別組態的 IKE ID 類型。這個符號是一連串的值,順序通常 ( 但並 非總是 ) 是從一般到特殊。請參閱圖 47 以檢視範例。

群組 IKE ID

„

171


概念與範例 ScreenOS 參考指南

圖 47: ASN1 辨別名稱 ASN1-DN: C=us,ST=ca,L=sunnyvale,O=juniper,OU=sales,CN=jozef

C=us

一般

ST=ca

圖例 : C = 國家 / 地區 ST = 州

L=sunnyvale

L = 地區

O=juniper

OU = 組織單位

O = 組織 CN = 公用名稱

OU=sales CN=jozef 特殊

組態群組 IKE ID 使用者時,必須將對等方的 ASN1-DN ID 指定為下列兩種類型 之一 : „

萬用字元: 如果撥接 IKE 使用者的 ASN1-DN 識別欄位中的值與群組 IKE 使用者 的 ASN1-DN 識別欄位中的值配對,ScreenOS 會驗證撥接 IKE 使用者的 ID。 對於每個識別欄位,萬用字元 ID 只支援一個值 ( 例如,支援 "ou=eng" 或 "ou=sw",但不支援 "ou=eng,ou=sw")。兩個 ASN1-DN 字串中的識別欄位 順序並不重要。

„

容器 : 如果撥接 IKE 使用者的 ASN1-DN 識別欄位中的值與群組 IKE 使用者的 ASN1-DN 識別欄位中的值完全配對,ScreenOS 會驗證撥接 IKE 使用者的 ID。 對於每個識別欄位,容器 ID 類型支援多個項目 ( 例如, "ou=eng,ou=sw,ou=screenos")。兩個 ASN1-DN 字串在識別欄位中的值排序 必須相同。

為遠端 IKE 使用者組態 ASN1-DN ID 時,指定類型為「萬用字元」或「容器」,並 定義期望在對等方的認證中收到的 ASN1-DN ID ( 例如,"c=us,st=ca,cn=kgreen")。 為本機 IKE ID 組態 ASN1-DN ID 時,使用以下關鍵字 : [DistinguishedName]。包含 括弧而且其拼寫完全如前所示。 萬用字元 ASN1-DN IKE ID

萬用字元 ASN1-DN 要求遠端對等方的辨別名稱 IKE ID 中的值與群組 IKE 使用者的 部分 ASN1-DN IKE ID 中的值配對,這些值在 ASN1-DN 字串中的先後順序並不重 要。例如,如果撥接 IKE 使用者的 ID 和群組 IKE 使用者的 ID 如下 : „

撥接 IKE 使用者的完整 ASN1-DN IKE ID: CN=kristine,OU=finance,O=juniper,ST=ca,C=us

„

群組 IKE 使用者的部分 ASN1-DN IKE ID: C=us,O=juniper

隨後萬用字元 ASN1-DN IKE ID 成功配對這兩個 IKE ID,即使兩個 ID 中的值順序 不同。

172

„

群組 IKE ID


第 5 章 : 撥接虛擬私人網路

圖 48: 成功的萬用字元 ASN1-DN 驗證 撥接 IKE 使用者的 ASN1-DN IKE ID 撥接 IKE 使用者的 ASN1-DN 包含在群 組 IKE 使用者的 ASN1-DN 中指定的值。 值的順序並不重要。

組 IKE 使用者的萬用字元 ASN1-DN IKE ID

E= CN=kristine

E=

驗證成功

C=us

OU=finance

ST=

O=juniper

L=

L=

O=juniper

ST=ca

OU=

C=us

CN=

容器 ASN1-DN IKE ID

容器 ASN1-DN ID 允許群組 IKE 使用者的 ID 可以在每個識別欄位中有多個項目。 如果撥接使用者的 ID 包含的值與群組 IKE 使用者 ID 中的值完全配對,則 ScreenOS 會驗證群組 IKE 使用者。與萬用字元類型不同的是,在撥接 IKE 使用者 和群組 IKE 使用者的 ID 中,ASN1-DN 欄位的順序必須一樣,並且這些欄位中多個 值的順序也必須一樣。

群組 IKE ID

„

173


概念與範例 ScreenOS 參考指南

圖 49: 使用容器 ASN1-DN ID 驗證成功與失敗 群組 IKE 使用者的容器 ASN1-DN IKE ID

撥接 IKE 使用者的 ASN1-DN IKE ID 第一個撥接 IKE 使用者 的 ASN1-DN 包含與群組 IKE 使用者的 ASN1-DN 完全配對 ASN1-DN. OU ID 欄位中多個項目的順 序也相同。

E=

E=

C=us

C=us

ST=ca

驗證成功

ST=

L= sf

L=

O=juniper

O=juniper

OU=mkt,OU=dom,OU=west

OU=mkt,OU=dom,OU=west

CN=rick

CN=

撥接 IKE 使用者的 ASN1-DN IKE ID

第二個撥接 IKE 使用者的 ASN1-DN 包含與群組 IKE 使用者的 ASN1-DN 完全 配對 ASN1-DN. 但是,OU ID 欄位中多個項目的順 序不一樣。

群組 IKE 使用者的容器 ASN1-DN IKE ID

E=

E=

C=us

C=us

ST=ca

驗證失敗

ST=

L= la

L=

O=juniper

O=juniper

OU=mkt,OU=west,OU=dom

OU=mkt,OU=dom,OU=west

CN=tony

CN=

建立群組 IKE ID ( 認證 ) 在本範例中,建立名為 User1 的新群組 IKE ID 使用者定義。將其組態為最多從有 RSA 認證的 VPN 用戶端同時接受 10 個「階段 1」交涉,認證包含 O=netscreen 和 OU=marketing。憑證授權單位 (CA) 是 Verisign。將撥接 IKE 使用者群組命名為 office_1。

174

„

群組 IKE ID


第 5 章 : 撥接虛擬私人網路

圖 50: 群組 IKE ID 向外介面 Untrust 區域 ethernet3,1.1.1.1/24

Trust 區域 ethernet1,10.1.1.1/24 NAT 模式

Untrust 區域 撥接使用者的 IKE ID 為 : o=juniper ou=marketing

Trust 區域 LAN

網際網路 VPN 通道

閘道 1.1.1.250

web1 10.1.1.5

群組 IKE ID 使用者設定檔 使用者名稱 : User1 使用者群組 : office_1 辨別名稱 : o=juniper ou=marketing

撥接 IKE 使用者傳送辨別名稱作為其 IKE ID。此群組中撥接 IKE 使用者認證中的 辨別名稱 (dn) 可能以下列連在一起的字串方式出現 : C=us,ST=ca,L=sunnyvale,O=netscreen,OU=marketing,CN=carrie nowocin,CN=a2010002,CN=ns500, CN=4085557800,CN=rsa-key,CN=10.10.5.44

因為值 O=netscreen 和 OU=marketing 會出現在對等方的認證中,而且使用者使 用辨別名稱作為其 IKE ID 類型,所以安全性裝置會驗證使用者。 對於「階段 1」和「階段 2」安全層級,指定一個「階段 1」提議 ( 對於認證為 rsa-g2-3des-sha),並為「階段 2」選擇預先定義的 "Compatible" 提議集。 組態撥接 VPN 和政策,允許 HTTP 通訊流量透過 VPN 通道到達 Web 伺服器 Web1。其中也包括遠端 VPN 用戶端 ( 使用 NetScreen-Remote) 的組態。 WebUI 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 OK: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: web1 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.5/32 Zone: Trust

群組 IKE ID

„

175


概念與範例 ScreenOS 參考指南

3.

使用者

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: User1 Status Enable: ( 選擇 ) IKE User: ( 選擇 ) Number of Multiple Logins with same ID: 10 Use Distinguished Name For ID: ( 選擇 ) OU: marketing Organization: juniper

Objects > User Groups > Local > New: 在 Group Name 欄位中鍵入 office_1,執行下面的操作,然後按一下 OK: 選擇 User1,然後使用 << 按鈕將之從 Available Members 欄中移動到 Group Members 欄中。 4.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: Corp_GW Security Level: Custom Remote Gateway Type: Dialup User Group: ( 選擇 ), Group: office_1 Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: Custom Phase 1 Proposal ( 對於 Custom Security Level): rsa-g2-3des-sha Mode (Initiator): Aggressive Preferred Certificate (optional): Peer CA: Verisign Peer Type: X509-SIG

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Corp_VPN Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), Corp_GW 5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

176

„

群組 IKE ID


第 5 章 : 撥接虛擬私人網路

6.

政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Dial-Up VPN Destination Address: Address Book Entry: ( 選擇 ), web1 Service: HTTP Action: Tunnel Tunnel VPN: Corp_VPN Modify matching bidirectional VPN policy: ( 清除 ) Position at Top: ( 選擇 )

CLI 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2.

位址

set address trust web1 10.1.1.5/32 3.

使用者

set user User1 ike-id asn1-dn wildcard o=juniper,ou=marketing share-limit 10 set user-group office_1 user User1 4.

VPN

set ike gateway Corp_GW dialup office_1 aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway Corp_GW cert peer-ca 1 set ike gateway Corp_GW cert peer-cert-type x509-sig set vpn Corp_VPN gateway Corp_GW sec-level compatible 注意 :

數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get pki x509 list ca-cert。 5.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 6.

政策

set policy top from untrust to trust "Dial-Up VPN" web1 http tunnel vpn Corp_VPN save

群組 IKE ID

„

177


概念與範例 ScreenOS 參考指南

NetScreen-Remote 安全政策編輯器 1. 按一下 Options > Secure > Specified Connections。 2. 按一下 Add a new connection,在出現的新連接圖示旁鍵入 web1。 3. 組態連接選項 : Connection Security: Secure Remote Party Identity and Addressing ID Type: IP Address, 10.1.1.5 Protocol: 醒目顯示 All,鍵入 HTTP,按下 Tab 鍵,然後鍵入 80。 Connect using Secure Gateway Tunnel: ( 選擇 ) ID Type: IP Address, 1.1.1.1

4. 按一下位於 web1 圖示左邊的 + 符號以展開連接政策。 5. 按一下 My Identity: 從 Select Certificate 下拉式清單中,選擇在其辨別名稱中 將 o=netscreen,ou=marketing 作為元素的認證。 ID Type: 從下拉式清單中選擇 Distinguished Name。 注意 :

本範例假設在 NetScreen-Remote 用戶端上已經載入了適當的認證。如需在 NetScreen-Remote 上載入認證的資訊,請參閱 NetScreen-Remote 文件。 6. 按一下 Security Policy 圖示,選擇 Aggressive Mode,然後清除 Enable Perfect Forward Secrecy (PFS)。 7. 按一下位於 Security Policy 圖示左邊的 + 符號,然後按一下位於 Authentication (Phase 1) 和 Key Exchange (Phase 2) 左邊的 + 符號以更進一步 展開政策。 8. 按一下 Authentication (Phase 1) > Proposal 1: 選擇下面的「加密」和「資料 完整性演算法」: Authentication Method: RSA Signatures Encrypt Alg: Triple DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

9. 按一下 Key Exchange (Phase 2) > Proposal 1: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Tunnel

10. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Tunnel

178

„

群組 IKE ID


第 5 章 : 撥接虛擬私人網路

11. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Tunnel

12. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel

13. 按一下 File > Save Changes。

設定具預先共享金鑰的群組 IKE ID 有預先共享金鑰的「群組 IKE ID」是一項技術,用於對一組沒有為每個使用者組 態單獨使用者設定檔的撥接 IKE 使用者執行 IKE 驗證。相反的,安全性裝置使用 包含部分 IKE ID 的單一群組 IKE ID 使用者設定檔。撥接 IKE 使用者可成功建立連 接到安全性裝置的 VPN 通道,前提是在他的 VPN 用戶端上的 VPN 組態有正確的 預先共享金鑰,而且使用者的完整 IKE ID 的最右端部分和群組 IKE ID 使用者設定 檔中的部分 IKE ID 配對。 圖 51: 有預先共享金鑰的群組 IKE ID 撥接 IKE 使用者

完整 IKE ID + 預先共享的金鑰

撥接使用者群組

alice.eng.jnpr.net + 011fg3322eda837c

群組 IKE ID 使用者 部分 IKE ID: eng.jnpr.net 預先共享金鑰種子值 : N11wWd2

bob.eng.jnpr.net + bba7e22561c5da82

IKE 使用者傳送完整 IKE ID 時,安全性裝 置會在傳送過程中產生預先共享金鑰。 carol.jnpr.net + 834a2bbd32adc4e9

( 每個 IKE 使用者的預先共享金鑰 = 預先 共享金鑰種子值 x 完整 IKE ID。) 注意 : 因為 Carol 的 IKE ID 不是 carol.eng.jnpr.net,所以安全性裝置 拒絕連接要求。

安全性裝置將其產生的金鑰與初始 「階 段 1」封包隨附的預先共享金鑰進行比 較,以驗證使用者。

可用於有預先共享金鑰功能的群組 IKE ID 的 IKE ID 類型可以是電子郵件位址或完 全合格的網域名稱 (FQDN)。 您可以設定有預先共享金鑰的群組 IKE ID,方法如下 : 在安全性裝置上 :

1. 建立有部分 IKE 識別的新的群組 IKE ID 使用者 ( 如 juniper.net),並指定可使 用群組 IKE ID 設定檔進行登入的撥接使用者數目。

群組 IKE ID

„

179


概念與範例 ScreenOS 參考指南

2. 將新的群組 IKE ID 使用者指派給撥接使用者群組。 3. 在撥接自動金鑰 IKE VPN 的組態中,為遠端閘道指派名稱 ( 如 road1),指定撥 接使用者群組,並輸入預先共享金鑰的種子值。 4. 使用下面的 CLI 指令來產生使用預先共享金鑰種子值和完整使用者 IKE ID 的、 個別撥接使用者的預先共享金鑰 ( 如 lisa@juniper.net) exec ike preshare-gen name_str usr_name_str ( 例如 ) exec ike preshare-gen road1 lisa@juniper.net

5. 組態遠端 VPN 用戶端時,記錄預先共享金鑰以便使用。 在 VPN 用戶端上 :

對於「階段 1」交涉,使用「挑釁式」模式組態連接到安全性裝置的 VPN 通 道,並輸入之前在安全性裝置上產生的預先共享金鑰。 之後,安全性裝置就能成功驗證各個使用者,這些使用者的完整 IKE ID 包含一部 分與部分群組 IKE ID 使用者設定檔相配對的內容。例如,如果群組 IKE ID 使用者 有 IKE 識別 juniper.net,則 IKE ID 中有該網域名稱的任何使用者都能在挑釁式模 式中與安全性裝置進行「階段 1」IKE 交涉。例如 : alice@juniper.net、 bob@juniper.net 和 carol@juniper.net。可登入的使用者數目則取決於在群組 IKE ID 使用者設定檔中指定的最大同時會話數量。 在本範例中,建立命名為 User2 的新群組 IKE ID 使用者。將其組態為最多可從有 預先共享金鑰的 VPN 用戶端同時接受 10 個「階段 1」交涉,且預先共享金鑰包含 結尾是字串 juniper.net 的 IKE ID。預先共享金鑰的種子值為 jk930k。將撥接 IKE 使 用者群組命名為 office_2。 圖 52: 群組 IKE ID ( 預先共享金鑰 ) 向外介面 Untrust 區域 ethernet3,1.1.1.1/24

Trust 區域 ethernet1,10.1.1.1/24 NAT 模式

Untrust 區域 撥接使用者的 IKE ID: joe@juniper.net

Trust 區域 LAN

網際網路 VPN 通道

閘道 1.1.1.250

web1 10.1.1.5

群組 IKE ID 使用者設定檔 使用者名稱 : User2 使用者群組 : office_2 簡單 ID: juniper.net

對於「階段 1」和「階段 2」交涉,選擇預先定義為 "Compatible" 的安全層級。所 有安全區都在 trust-vr 路由設定網域中。 WebUI 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 OK: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 選擇下面的內容,然後按一下 OK: Interface Mode: NAT 180

„

群組 IKE ID


第 5 章 : 撥接虛擬私人網路

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: web1 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.5/32 Zone: Trust 3.

使用者

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: User2 Status: Enable IKE User: ( 選擇 ) Number of Multiple Logins with same ID: 10 Simple Identity: ( 選擇 ) IKE Identity: juniper.net

Objects > User Groups > Local > New: 在 Group Name 欄位中鍵入 office_2,執行下面的操作,然後按一下 OK: 選擇 User2,然後使用 << 按鈕將之從 Available Members 欄中移動到 Group Members 欄中。 4.

注意 :

VPN

WebUI 允許您只為預先共享金鑰輸入值,而不能輸入安全性裝置從中衍生預先共 享金鑰的種子值。若要在組態 IKE 閘道時輸入預先共享金鑰種子值,必須使用 CLI。 VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Corp_VPN Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ), Corp_GW 5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

群組 IKE ID

„

181


概念與範例 ScreenOS 參考指南

6.

政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Dial-Up VPN Destination Address: Address Book Entry: ( 選擇 ), web1 Service: HTTP Action: Tunnel Tunnel VPN: Corp_VPN Modify matching bidirectional VPN policy: ( 清除 ) Position at Top: ( 選擇 )

CLI 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2.

位址

set address trust web1 10.1.1.5/32 3.

使用者

set user User2 ike-id u-fqdn juniper.net share-limit 10 set user-group office_2 user User2 4.

VPN

set ike gateway Corp_GW dialup office_2 aggressive seed-preshare jk930k sec-level compatible set vpn Corp_VPN gateway Corp_GW sec-level compatible 5.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 6.

政策

set policy top from untrust to trust "Dial-Up VPN" web1 http tunnel vpn Corp_VPN save

取得預先共享金鑰 您只能使用下面的 CLI 指令取得預先共享金鑰 : exec ike preshare-gen name_str usr_name_str

基於預先共享金鑰種子值 jk930k ( 在名為 Corp_GW 的遠端閘道組態中指定 ), 以及個別使用者 heidi@juniper.net 的完整識別﹐預先共享金鑰是 11ccce1d396f8f29ffa93d11257f691af96916f2。 NetScreen-Remote 安全政策編輯器 1. 按一下 Options > Secure > Specified Connections。 2. 按一下 Add a new connection,在出現的新連接圖示旁鍵入 web1。

182

„

群組 IKE ID


第 5 章 : 撥接虛擬私人網路

3. 組態連接選項 : Connection Security: Secure Remote Party Identity and Addressing ID Type: IP Address, 10.1.1.5 Protocol: 醒目顯示 All,鍵入 HTTP,按下 Tab 鍵,然後鍵入 80。 Connect using Secure Gateway Tunnel: ( 選擇 ) ID Type: IP Address, 1.1.1.1

4. 按一下位於 web1 圖示左邊的 + 符號以展開連接政策。 5. 按一下 Security Policy 圖示,選擇 Aggressive Mode,然後清除 Enable Perfect Forward Secrecy (PFS)。 6. 按一下 My Identity: 按一下 Pre-shared Key > Enter Key: 鍵入 11ccce1d396f8f29ffa93d11257f691af96916f2,然後按一下 OK。 ID Type: ( 選擇 E-mail Address),然後鍵入 heidi@juniper.net。 7. 按一下位於 Security Policy 圖示左邊的 + 符號,然後按一下位於 Authentication (Phase 1) 和 Key Exchange (Phase 2) 左邊的 + 符號以更進一步 展開政策。 8. 按一下 Authentication (Phase 1) > Proposal 1: 選擇下面的「加密」和「資料 完整性演算法」: Authentication Method: Pre-Shared Key Encrypt Alg: Triple DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

9. 按一下 Authentication (Phase 1) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Authentication Method: Pre-Shared Key Encrypt Alg: Triple DES Hash Alg: MD5 Key Group: Diffie-Hellman Group 2

10. 按一下 Authentication (Phase 1) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Authentication Method: Pre-Shared Key Encrypt Alg: DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

11. 按一下 Authentication (Phase 1) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Authentication Method: Pre-Shared Key Encrypt Alg: DES Hash Alg: MD5 Key Group: Diffie-Hellman Group 2

群組 IKE ID

„

183


概念與範例 ScreenOS 參考指南

12. 按一下 Key Exchange (Phase 2) > Proposal 1: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Tunnel

13. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Tunnel

14. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Tunnel

15. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel

16. 按一下 File > Save Changes。

共享 IKE ID 共享 IKE ID 功能使得部署大量的撥接使用者很方便。利用此功能,安全性裝置使 用單一群組 IKE ID 和預先共享金鑰可以對多個撥接 VPN 使用者進行認證。因此, 它透過通用 VPN 組態為大型遠端使用者組提供 IPSec 保護。 此功能與具有預先共享金鑰的「群組 IKE ID」的功能類似,其不同之處如下 : „

具有群組 IKE ID 功能後,IKE ID 可以是電子郵件位址或 FQDN ( 完全合格的網 域名稱 )。對於此功能,IKE ID 必須是電子郵件位址。

„

為群組中的所有使用者指定單一預先共享金鑰,而不是使用預先共享金鑰種子 值和完全使用者 IKE ID 為每個使用者生成一個預先共享金鑰。

„

必須使用 XAuth 對單一使用者進行認證。

若要在安全性裝置上設定共享 IKE ID 和預先共享金鑰 : 1. 建立一個新的群組 IKE ID 使用者,並指定可使用群組 IKE ID 進行登入的撥接 使用者數量。對於此功能,使用電子郵件位址作為 IKE ID。 2. 將新的群組 IKE ID 指派為撥接使用者群組。

184

„

共享 IKE ID


第 5 章 : 撥接虛擬私人網路

3. 在撥接到 LAN 自動金鑰 IKE VPN 組態中,建立預先共享 IKE ID 閘道。 4. 定義 XAuth 使用者,並在遠端 IKE 閘道上啟用 XAuth。 在 VPN 用戶端上 : 對於「階段 1」交涉,使用「挑釁式」模式組態連接到安全性裝置的 VPN 通道, 並輸入之前在安全性裝置上定義的預先共享金鑰。此後,安全性裝置對每個遠端使 用者進行如下認證 : 在「階段 1」交涉過程中,安全性裝置首先認證 VPN 用戶端,方法是將用戶端傳 送的 IKE ID 和預先共享金鑰與安全性裝置上的 IKE ID 和預先共享金鑰配對。如果 有配對項,則安全性裝置使用 XAuth 對單一使用者進行認證。向「階段 1」和「階 段 2」交涉之間的遠端站點的使用者傳送登入提示。如果遠端使用者使用正確的使 用者名和密碼成功登入,則「階段 2」交涉開始。 在本範例中,建立命名為 Remote_Sales 的新群組 IKE ID 使用者。從具有相同預先 共享金鑰 (abcd1234) 的 VPN 用戶端可以同時接受多達 250 個「階段 1」交涉。將 撥接 IKE 使用者群組命名為 R_S。另外,組態兩個 XAuth 使用者 (Joe 和 Mike)。 對於「階段 1」和「階段 2」交涉,選擇預先定義為 "Compatible" 的安全層級。所 有安全區都在 trust-vr 路由設定網域中。 圖 53: 共享 IKE ID ( 預先共享金鑰 ) 撥接使用者的 IKE ID: joe@ns.com XAuth 密碼 : 1234

向外介面 ethernet3,1.1.1.1/24

ethernet1,10.1.1.1/24 NAT 模式

Untrust 區域

Trust 區域 LAN

VPN 通道

web1 10.1.1.5

共享 IKE ID 使用者設定檔 使用者名稱 : Remote_Sales 使用者群組 : R_S 簡單 ID: sales@ns.com

撥接使用者的 IKE ID: mike@ns.com XAuth 密碼 : 5678

WebUI 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

共享 IKE ID

„

185


概念與範例 ScreenOS 參考指南

2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: web1 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.5/32 Zone: Trust 3.

使用者

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Remote_Sales Status: Enable IKE User: ( 選擇 ) Number of Multiple Logins with same ID: 250 Simple Identity: ( 選擇 ) IKE Identity: sales@ns.com

Objects > User Groups > Local > New: 在 Group Name 欄位中鍵入 R_S,執 行下面的操作,然後按一下 OK: 選擇 Remote_sales,然後使用 << 按鈕將之從 Available Members 欄中移動到 Group Members 欄中。

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Joe Status: Enable XAuth User: ( 選擇 ) Password: 1234 Confirm Password: 1234

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Mike Status: Enable XAuth User: ( 選擇 ) Password: 5678 Confirm Password: 5678 4.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: sales_gateway Security Level: Compatible ( 選擇 ) Remote Gateway Type: Dialup Group ( 選擇 ), R_S Preshared Key: abcd1234 Outgoing Interface: ethernet3

> Advanced: 輸入下面的設定,然後按一下 Return 返回基本 Gateway 組 態頁面 : Enable XAuth: ( 選擇 ) Local Authentication: ( 選擇 ) Allow Any: ( 選擇 )

186

„

共享 IKE ID


第 5 章 : 撥接虛擬私人網路

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: Sales_VPN Security Level: Compatible Remote Gateway: Predefined: ( 選擇 ) sales_gateway

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Zone, Untrust-Tun 5.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250 6.

政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Dial-Up VPN Destination Address: Address Book Entry: ( 選擇 ), web1 Service: HTTP Action: Tunnel Tunnel VPN: Sales_VPN Modify matching bidirectional VPN policy: ( 清除 ) Position at Top: ( 選擇 )

CLI 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2.

位址

set address trust web1 10.1.1.5/32 3.

使用者

set set set set set set

user Remote_Sales ike-id sales@ns.com share-limit 250 user-group R_S user Remote_Sales user Joe password 1234 user Joe type xauth user Mike password 5678 user Mike type xauth

共享 IKE ID

„

187


概念與範例 ScreenOS 參考指南

4.

VPN

set ike gateway sales_gateway dialup R_S aggressive outgoing-interface ethernet3 preshare abcd1234 sec-level compatible set ike gateway sales_gateway xauth set vpn sales_vpn gateway sales_gateway sec-level compatible set vpn sales_vpn bind zone untrust-tun 5.

路由

set route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 6.

政策

set policy top from untrust to trust "Dial-Up VPN" web1 http tunnel vpn sales_vpn save

NetScreen-Remote 安全政策編輯器 本範例顯示使用者 Joe 的組態。 1. 按一下 Options > Secure > Specified Connections。 2. 按一下 Add a new connection,在出現的新連接圖示旁鍵入 web1。 3. 組態連接選項 : Connection Security: Secure Remote Party ID Type: IP Address IP Address: 10.1.1.5 Connect using Secure Gateway Tunnel: ( 選擇 ) ID Type: IP Address; 1.1.1.1

4. 按一下位於 web1 圖示左邊的 + 符號以展開連接政策。 5. 按一下 Security Policy 圖示,選擇 Aggressive Mode,然後清除 Enable Perfect Forward Secrecy (PFS)。 6. 按一下 My Identity: 按一下 Pre-shared Key > Enter Key: 鍵入 abcd1234,然 後按一下 OK。 ID Type: ( 選擇 E-mail Address),然後鍵入 sales@ns.com。 7. 按一下位於 Security Policy 圖示左邊的 + 符號,然後按一下位於 Authentication (Phase 1) 和 Key Exchange (Phase 2) 左邊的 + 符號以更進一步 展開政策。 8. 按一下 Authentication (Phase 1) > Proposal 1: 選擇下面的「加密」和「資料 完整性演算法」: Authentication Method: Pre-Shared Key; Extended Authentication Encrypt Alg: Triple DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

188

„

共享 IKE ID


第 5 章 : 撥接虛擬私人網路

9. 按一下 Authentication (Phase 1) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Authentication Method: Pre-Shared Key; Extended Authentication Encrypt Alg: Triple DES Hash Alg: MD5 Key Group: Diffie-Hellman Group 2

10. 按一下 Authentication (Phase 1) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Authentication Method: Pre-Shared Key; Extended Authentication Encrypt Alg: DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

11. 按一下 Authentication (Phase 1) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Authentication Method: Pre-Shared Key; Extended Authentication Encrypt Alg: DES Hash Alg: MD5 Key Group: Diffie-Hellman Group 2

12. 按一下 Key Exchange (Phase 2) > Proposal 1: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Tunnel

13. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Tunnel

14. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Tunnel

15. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel

16. 按一下 File > Save Changes。

共享 IKE ID

„

189


概念與範例 ScreenOS 參考指南

190

„

共享 IKE ID


第6章

第 2 層通道通訊協定 本章介紹「2 層通道通訊協定 (L2TP)」,其單獨的使用以及與 IPSec ( 網際網路通 訊協定安全性 ) 支援一起的使用,還有 L2TP 和「IPSec 上的 L2TP」的一些組態範 例。本章包含下列各節 : „

本頁上的「L2TP 簡介」

„

第 194 頁上的「封包的封裝和拆裝」 „

第 194 頁上的「封裝」

„

第 195 頁上的「拆裝」

„

第 196 頁上的「設定 L2TP 參數」

„

第 198 頁上的「L2TP 和 IPSec 上的 L2TP」 „

第 198 頁上的「設定 L2TP」

„

第 203 頁上的「設定 IPSec 上的 L2TP」

„

第 210 頁上的「IPSec 上的雙向 L2TP」

L2TP 簡介 「第 2 層通道通訊協定 (L2TP)」讓撥接使用者可以用虛擬「點對點通訊協定 (PPP)」方式連接到 L2TP 網路伺服器 (LNS),這可以是一台安全性裝置。L2TP 透過 L2TP 存取集中器 (LAC) 和 LNS 之間的一個通道傳送 PPP 框架。 最初設計 L2TP 的目的,是在位於 ISP 站台上的 LAC 與另一個 ISP 站台或企業網站 上的 LNS 之間建立通道連接。L2TP 通道沒有完全擴展到撥接使用者的電腦上,只 到撥接使用者本機 ISP 的 LAC 上。( 這有時被稱為必須的 L2TP 組態。)

L2TP 簡介

„

191


概念與範例 ScreenOS 參考指南

圖 54: ISP (LAC) 和安全性裝置 (LNS) 之間的 L2TP 通道 撥接 使用者

撥接連接 ISP

L2TP 存取 集中器 (LAC)

網際網路

安全性裝置 企業 LAN

L2TP 通道 ( 將 PPP 會話從 LAC 轉寄到 LNS)

L2TP 存取 集中器 (LNS)

Windows 2000 或 Windows NT 的 NetScreen-Remote 用戶端,或 Windows 2000 用戶端本身都可以作為 LAC。L2TP 通道可以直接擴展到撥接使用者的電腦上,從 而提供端對端通道。( 這種方法有時被稱為自願的 L2TP 組態。) 圖 55: VPN 用戶端 (LAC) 和安全性裝置 (LNS) 之間的 L2TP 通道 NetScreen-Remote 或 Windows 2000 (LAC)

ISP

網際網路

安全性裝置 (LNS) 企業 LAN

L2TP 通道 ( 將 PPP 會話從 LAC 轉寄到 LNS)

因為 PPP 連結透過網際網路從撥接使用者擴展到安全性裝置 (LNS),所以是由安全 性裝置 ( 而不是 ISP) 來分配用戶端的 IP 位址、DNS 和 WINS 伺服器地址,以及從 本機資料庫或外部驗證伺服器 (RADIUS、SecurID 或 LDAP) 驗證使用者。 實際上,撥接使用者會收到兩個 IP 位址,一個用於和 ISP 的實體連接,另一個則 是來自 LNS 的邏輯連接。當用戶端 ( 也許使用 PPP) 與自己的 ISP 連絡時,ISP 進 行 IP 和 DNS 指派,並驗證用戶端。這讓使用者可以用公開的 IP 位址連接到網際 網路,該 IP 位址會成為 L2TP 通道的外部 IP 位址。 圖 56: 來自 ISP 的 IP 和 DNS 指派 ISP

第一,ISP 為用戶端分 配公開 IP 位址和 DNS 伺服器位址。

IP Address: 5.5.5.5 DNS: 6.6.6.6, 7.7.7.7

192

„

L2TP 簡介


第 6 章 : 第 2 層通道通訊協定

然後,當 L2TP 通道向安全性裝置轉寄封裝的 PPP 框架時,安全性裝置指派 IP 位 址及 DNS 和 WINS 設定給用戶端。IP 位址可能來自不在網際網路中使用的私人位 址集。此位址成為 L2TP 通道的內部 IP 位址。 圖 57: 來自 LNS 的 IP 和 DNS 指派 第二,安全性裝置 ( 作為 LNS) 為用戶 端分配私人 ( 邏輯 ) IP 位址以及 DNS 和 WINS 伺服器位址。

網際網路

安全性裝置 (LNS) CorporateLAN 10.1.1.0/24

IP Address: 10.10.1.161 DNS: 10.1.1.10, 1.2.2.10 WINS: 10.1.1.48, 10.1.1.49

注意 :

IP 位址集區 10.10.1.1 - 10.10.1.254

分配給 L2TP 用戶端的 IP 位址必須與企業 LAN 中的 IP 位址處於不同子網路中。 ScreenOS 的目前版本提供下面的 L2TP 支援 : „

注意 :

來自執行 Windows 2000 的主機的 L2TP 通道

依預設,Windows 2000 執行「IPSec 上的 L2TP」。若要強制它僅使用 L2TP,必 須在登錄中找到 ProhibitIPSec 金鑰並將 0 (IPSec 上的 L2TP) 變更為 1 ( 僅限於 L2TP)。( 在執行此操作前,Juniper Networks 建議先備份登錄。) 按一下開始 > 執行 : 鍵入 regedit。連按兩下 HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > RasMan > Parameters。連按兩下 ProhibitIPSec: 在 Value 資料欄位鍵入 1,選擇 Hexadecimal 作為底數,然後按 一下 OK。重新開機。( 如果在登錄中找不到類似項目,請參閱 Microsoft WIndows 文件以取得如何建立項目的資訊。) „

„

傳輸模式 (IPSec 上的 L2TP) 中 L2TP 和 IPSec 的組合 „

對於 NetScreen-Remote: 採用 Main mode ( 主要模式 ) 交涉的「IPSec 上的 L2TP」在使用憑證,採用 Aggressive mode ( 挑釁式模式 ) 時使用預先共享 金鑰或憑證

„

對於 Windows 2000: 採用 Main mode ( 主要模式 ) 交涉的「IPSec 上的 L2TP」使用憑證

L2TP 和 IPSec 上的 L2TP 通道的向外撥接政策 ( 將向外的撥接政策與向內的政 策配成對可提供雙向通道。)

L2TP 簡介

„

193


概念與範例 ScreenOS 參考指南

„

注意 :

注意 :

使用者驗證分別使用來自本機資料庫或外部驗證伺服器 (RADIUS、SecurID 或 LDAP) 的「密碼驗證通訊協定 (PAP)」或「詢問交握式驗證通訊協定 (CHAP)」

本機資料庫和 RADIUS 伺服器都支援 PAP 和 CHAP。SecurID 和 LDAP 伺服器僅支 援 PAP。 „

來自本機資料庫或 RADIUS 伺服器的撥接使用者 IP 位址、「網域名稱系統 (DNS)」伺服器,和「Windows 網際網路命名服務 (WINS)」伺服器的指派

„

用於根系統和虛擬系統的 L2TP 通道和「IPSec 上的 L2TP」通道

若要使用 L2TP,安全性裝置必須在第 3 層操作,並且安全區介面在 NAT 或 Route 模式中。當安全性裝置在第 2 層操作時,安全區介面在透明模式中,在 WebUI 中不會出現與 L2TP 相關的材料,並且與 L2TP 相關的 CLI 指令會引起錯誤 訊息。

封包的封裝和拆裝 L2TP 使用封裝封包的方法從 LAC 向 LNS 傳送 PPP 框架。在檢視 L2TP 和 IPSec 上 的 L2TP 設定的特定範例前,先大略介紹一下 L2TP 過程中涉及的封裝和拆裝。

封裝 當 IP 網路上的撥接使用者透過 L2TP 通道傳送資料時,LAC 將 IP 封包封裝在一系 列的第 2 層框架、第 3 層封包和第 4 層片段中。假設撥接使用者透過 PPP 連結連 接到本機 ISP,則封裝過程如第 194 頁上的圖 58 所示 : 圖 58: L2TP 封包封裝 資料 IP

負載

PPP

負載

L2TP

負載

UDP

IP

PPP

194

„

封包的封裝和拆裝

負載

負載

負載


第 6 章 : 第 2 層通道通訊協定

1. 將資料放置在 IP 負載中。 2. 將 IP 封包封裝在 PPP 框架中。 3. 將 PPP 框架封裝在 L2TP 框架中。 4. 將 L2TP 框架封裝在 UDP 片段中。 5. 將 UDP 片段封裝在 IP 封包中。 6. 將 IP 封包封裝在 PPP 框架中,以便在撥接使用者和 ISP 之間建立實體連接。

拆裝 當 LAC 初始化到 ISP 的 PPP 連結時,拆裝和巢狀內容的轉寄過程如第 195 頁上的 圖 59 所示 : 圖 59: L2TP 封包拆裝 ISP

PPP

負載 IP

負載 UDP

負載 L2TP

負載

LNS PPP

負載 IP

負載

資料

1. ISP 完成 PPP 連結並為使用者電腦指派 IP 位址。 在 PPP 負載的內容為一個 IP 封包。 2. ISP 移除 PPP 標頭並將 IP 封包轉寄給 LNS。 3. LNS 移除 IP 標頭。 在 IP 負載的內容為一個指定埠為 1701 的 UDP 片段,該連接埠號碼保留給 L2TP。 4. LNS 移除 UDP 標頭。 在 UDP 負載的內容為一個 L2TP 框架。

封包的封裝和拆裝

„

195


概念與範例 ScreenOS 參考指南

5. LNS 處理 L2TP 框架,使用 L2TP 標頭中的通道 ID 和呼叫 ID 來識別特定的 L2TP 通道。然後 LNS 移除 L2TP 標頭。 在 L2TP 負載的內容為一個 PPP 框架。 6. LNS 處理 PPP 框架,為使用者電腦指派邏輯 IP 位址。 在 PPP 負載的內容為一個 IP 封包。 7. LNS 將 IP 封包發送到其最終的目的地,在目的地移除 IP 標頭並抽取出 IP 封包 中的資料。

設定 L2TP 參數 LNS 使用 L2TP 為通常來自 ISP 的撥接使用者提供 PPP 設定。這些設定如下 : „

IP 位址 - 安全性裝置從 IP 位址集區中選擇一個位址,並將它指派給撥接使用 者的電腦。這種選擇在 IP 位址集區中循環進行;也就是,在從 10.10.1.1 到 10.10.1.3 的位址集區中,位址的選擇按下面的循環方式進行 : 10.10.1.1 10.10.1.2 - 10.10.1.3 - 10.10.1.1 - 10.10.1.2 …

„

DNS 主要和次要伺服器 IP 位址 - 安全性裝置提供這些位址給撥接使用者的電 腦使用。

„

WINS 主要和次要伺服器 IP 位址 - 安全性裝置亦提供這些位址給撥接使用者的 電腦使用。

LNS 也透過使用者名稱和密碼驗證使用者。您可以在本機資料庫或外部驗證伺服器 (RADIUS、SecurID 或 LDAP) 中輸入使用者。 注意 :

用於驗證 L2TP 使用者的 RADIUS 或 SecurID 伺服器可以和用於網路使用者的伺 服器相同,或者可以是不同的伺服器。 此外,可以為 PPP 驗證指定下列的一個方案 : „

「詢問交握式驗證通訊協定 (CHAP)」,在撥接使用者發出 PPP 連結要求後, 安全性裝置向使用者傳送詢問 ( 加密金鑰 ),然後使用者使用金鑰加密自己的 登入名稱和密碼。本機資料庫和 RADIUS 伺服器支援 CHAP。

„

「密碼驗證通訊協定 (PAP)」,它與 PPP 連結要求一起以純文字方式傳送撥接 使用者的密碼。本機資料庫和 RADIUS、SecurID 和 LDAP 伺服器均支援 PAP。

„

"ANY",意思是安全性裝置用 CHAP 交涉,如果失敗,則使用 PAP。

您可以在「L2TP 預設組態」頁面 (VPNs > L2TP > Default Settings) 進行組態或用 set l2tp default 指令將預設 L2TP 參數套用到撥接使用者和撥接使用者群組。您也 可以套用在 User Configuration 頁面 (Users > Users > Local > New) 上或使用 set user name_str remote-settings 指令特別為 L2TP 使用者群組態的 L2TP 參數。使 用者特定的 L2TP 設定會替代預設的 L2TP 設定。

196

„

設定 L2TP 參數


第 6 章 : 第 2 層通道通訊協定

如第 197 頁上的圖 60 所示,將定義一個位址範圍介於 10.1.3.40 到 10.1.3.100 之 間的 IP 位址集區。指定 DNS 伺服器 IP 位址為 1.1.1.2 ( 主要 ) 和 1.1.1.3 ( 次要 )。 安全性裝置使用 CHAP 執行 PPP 驗證。 注意 :

以每個 L2TP 通道為基礎指定驗證伺服器。

圖 60: IP 集區和 L2TP 預設設定 RADIUS 10.1.1.245

Trust 區域

Untrust 區域

注意 : L2TP 集區位址必須與 Trust 區域中的位址在不同的 子網路中。

DNS 1 1.1.1.2 DNS 2 1.1.1.3

網際網路

ethernet1, 10.1.1.1/24

L2TP IP 集區 10.1.3.40 - 10.1.3.100

ethernet3, 1.1.1.1/24

WebUI 1.

IP 集區

Objects > IP Pools > New: 輸入下面的內容,然後按一下 OK: IP Pool Name: Sutro Start IP: 10.1.3.40 End IP: 10.1.3.100 2.

預設 L2TP 設定

VPNs > L2TP > Default Settings: 輸入下面的內容,然後按一下 Apply: IP Pool Name: Sutro PPP Authentication: CHAP DNS Primary Server IP: 1.1.1.2 DNS Secondary Server IP: 1.1.1.3 WINS Primary Server IP: 0.0.0.0 WINS Secondary Server IP: 0.0.0.0

CLI 1.

IP 集區

set ippool sutro 10.1.3.40 10.1.3.100 2.

預設 L2TP 設定

set l2tp default ippool sutro set l2tp default ppp-auth chap set l2tp default dns1 1.1.1.2 set l2tp default dns2 1.1.1.3 save

設定 L2TP 參數

„

197


概念與範例 ScreenOS 參考指南

L2TP 和 IPSec 上的 L2TP 雖然撥接使用者可以使用 CHAP 或 PAP 驗證,但是 L2TP 通道沒有加密,因此它不 是一個真正的 VPN 通道。L2TP 的目的只是允許本地安全性裝置的管理員為遠端撥 接使用者指派 IP 位址。然後可以在政策中參考這些位址。 若要加密 L2TP 通道,需要為該 L2TP 通道套用加密方案。因為 L2TP 假設 LAC 與 LNS 之間的網路為 IP,因此可以使用 IPSec 來提供加密。這種組合稱為「IPSec 上 的 L2TP」。「IPSec 上的 L2TP」要求用同樣的端點設定 L2TP 通道和 IPSec 通 道,然後在一個政策中將它們連結到一起。「IPSec 上的 L2TP」要求 IPSec 通道處 於傳輸模式,以便通道端點的位址保持為純文字。( 如需傳輸模式和通道模式的詳 細資訊,請參閱第 4 頁上的「模式」。) 如果變更 Windows 2000 的登錄設定,就可以在安全性裝置和執行 Windows 2000 的主機之間建立 L2TP 通道。( 如需變更登錄方式的指示,請參閱第 193 頁上的注 意事項。) 可以在安全性裝置和下列任意的 VPN 用戶端之間建立「IPSec 上的 L2TP」通道 :

注意 :

„

在 Windows 2000 或 Windows NT 作業系統上執行 NetScreen-Remote 的主機

„

執行 Windows 2000 ( 沒有 NetScreen-Remote) 的主機

若要在使用沒有 NetScreen-Remote 的 WIndows 2000 時提供驗證,就必須使用 認證。

設定 L2TP 在本範例中,如第 199 頁上的圖 61 所示,將建立一個名為 "fs" ( 代表 "field-sales") 的撥接使用者群組,並組態一個名為 "sales_corp" 的 L2TP 通道,使 用 ethernet3 (Untrust 區域 ) 作為 L2TP 通道的向外介面。安全性裝置將下列預設 L2TP 通道設定套用到撥接使用者群組 :

注意 :

„

L2TP 使用者透過本機資料庫驗證。

„

使用 CHAP 進行 PPP 驗證。

„

IP 集區 ( 命名為 "global") 中的位址範圍從 10.10.2.100 到 10.10.2.180。

„

DNS 伺服器為 1.1.1.2 ( 主要 ) 和 1.1.1.3 ( 次要 )。

僅 L2TP 的組態並不安全。僅建議將之用於除錯目的。 L2TP IP 集區中的位址與企業網路中的位址必須各在不同的子網路中。

198

„

L2TP 和 IPSec 上的 L2TP


第 6 章 : 第 2 層通道通訊協定

圖 61: 設定 L2TP Auth/L2TP 撥接使用者 群組 : fs 撥接 區域

Adam

DNS1: 1.1.1.2 DNS2: 1.1.1.3

IP 集區 : 全域 10.10.2.100 10.10.2.180

企業網路

Trust 區域

Betty 網際網路 Carol L2TP 通道 : sales_corp NetScreenRemote 用戶端

向外介面 ethernet3, 1.1.1.1/24

ethernet1, 10.1.1.1/24

遠端 L2TP 用戶端使用 Windows 2000 作業系統。如需如何在遠端用戶端上組態 L2TP 的資訊,請參閱 Windows 2000 文件。下面僅提供 L2TP 通道末端安全性裝 置的組態。 WebUI 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

L2TP 和 IPSec 上的 L2TP

„

199


概念與範例 ScreenOS 參考指南

2.

L2TP 使用者

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Adam Status: Enable L2TP User: ( 選擇 ) User Password: AJbioJ15 Confirm Password: AJbioJ15

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Betty Status: Enable L2TP User: ( 選擇 ) User Password: BviPsoJ1 Confirm Password: BviPsoJ1

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Carol Status: Enable L2TP User: ( 選擇 ) User Password: Cs10kdD3 Confirm Password: Cs10kdD3 3.

L2TP 使用者群組

Objects > User Groups > Local > New: 在 Group Name 欄位中鍵入 fs,執行 下面的操作,然後按一下 OK: 選擇 Adam,然後使用 << 按鈕將之從 Available Members 欄中移動到 Group Members 欄中。 選擇 Betty,然後使用 << 按鈕將之從 Available Members 欄中移動到 Group Members 欄中。 選擇 Carol,然後使用 << 按鈕將之從 Available Members 欄中移動到 Group Members 欄中。 4.

預設 L2TP 設定

Objects > IP Pools > New: 輸入下面的內容,然後按一下 OK: IP Pool Name: global Start IP: 10.10.2.100 End IP: 10.10.2.180

VPNs > L2TP > Default Settings: 輸入下面的內容,然後按一下 OK: IP Pool Name: global PPP Authentication: CHAP DNS Primary Server IP: 1.1.1.2 DNS Secondary Server IP: 1.1.1.3 WINS Primary Server IP: 0.0.0.0 WINS Secondary Server IP: 0.0.0.0

200

„

L2TP 和 IPSec 上的 L2TP


第 6 章 : 第 2 層通道通訊協定

5.

L2TP 通道

VPNs > L2TP > Tunnel > New: 輸入下面的內容,然後按一下 OK: Name: sales_corp Use Custom Settings: ( 選擇 ) Authentication Server: Local Dialup Group: Local Dialup Group - fs Outgoing Interface: ethernet3 Peer IP: 0.0.0.0 Host Name ( 選擇性 ): 輸入用作 LAC 的電腦的名稱。 Secret ( 選擇性 ): 輸入一個在 LAC 和 LNS 之間共享的秘密。 Keep Alive: 60

Peer IP: 由於對等方的 ISP 會為其動態指派 IP 位址,因此在上例的情況中,您輸入 0.0.0.0。 LAC: 若要找到執行 Windows 2000 的電腦名稱,請執行下列操作 : 按一下開始 > 設定 > 控制台 > 系統。會出現「系統內容」對話方塊。按一下 Network Identification ( 網路識別 ) 標籤,並查看 Full computer name(完整電腦名稱 ) 下的項目。 若要將秘密新增到 LAC 以驗證 L2TP 通道,必須按下面的程序修改 Windows 2000 登錄 : 1. 按一下開始 > 執行,然後鍵入 regedit。「登錄編輯程式」開啟。 2. 按一下 HKEY_LOCAL_MACHINE。 3. 用右鍵按一下 SYSTEM,然後從彈出的功能表中選擇尋找。 4. 鍵入 ms_l2tpminiport,然後按一下 Find Next。 5. 在「編輯」功能表中,反白顯示新增,然後選擇字串值。 6. 鍵入 Password。 7. 連按兩下 Password。會出現「編輯字串」對話方塊。 8. 在「值的資料」資料欄位中鍵入密碼。此密碼必須和安全性裝置上的 L2TP Tunnel Configuration Secret 欄位中的密碼相同。 9. 重新開機執行 Windows 2000 的電腦。 使用「IPSec 上的 L2TP」時 ( 它是 Windows 2000 預設設定 ),不需要通道驗 證;所有 L2TP 訊息都在 IPSec 內部加密並驗證。 Keep-Alive: Keep Alive 值是在安全性裝置向 LAC 傳送 L2TP hello 信號前靜止的 秒數。

L2TP 和 IPSec 上的 L2TP

„

201


概念與範例 ScreenOS 參考指南

6.

路由

Network > Routing > Routing Entries > New: 輸入下面的內容,然後按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250 7.

政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Dial-Up VPN Destination Address: Address Book Entry: ( 選擇 ), Any NAT: Off Service: ANY Action: Tunnel Tunnel L2TP: sales_corp Position at Top: ( 選擇 )

CLI 1.

撥接使用者

set user adam type l2tp set user adam password AJbioJ15 unset user adam type auth set user betty type l2tp set user betty password BviPsoJ1 unset user betty type auth set user carol type l2tp set user carol password Cs10kdD3 unset user carol type auth 注意 :

為使用者定義密碼會自動將使用者分類為驗證使用者。所以,若要嚴格地將使用 者類型定義為 L2TP,就必須取消設定驗證使用者類型。 2.

L2TP 使用者群組

set set set set 3.

預設 L2TP 設定

set set set set set set 4.

user-group fs location local user-group fs user adam user-group fs user betty user-group fs user carol ippool global 10.10.2.100 10.10.2.180 l2tp default ippool global l2tp default auth server Local l2tp default ppp-auth chap l2tp default dns1 1.1.1.2 l2tp default dns2 1.1.1.3

L2TP 通道

set l2tp sales_corp outgoing-interface ethernet3 set l2tp sales_corp auth server Local user-group fs

202

„

L2TP 和 IPSec 上的 L2TP


第 6 章 : 第 2 層通道通訊協定

路由

5.

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 政策

6.

set policy top from untrust to trust "Dial-Up VPN" any any tunnel l2tp sales_corp save

設定 IPSec 上的 L2TP 本範例使用的 L2TP 通道與之前範例中 ( 第 198 頁上的「設定 L2TP」) 建立的相 同。此外,將 IPSec 通道重疊到 L2TP 通道上以提供加密。IPSec 通道在 Aggressive mode ( 挑釁式模式 ) 中交涉「階段 1」,使用之前已經載入的 RSA 憑證、3DES 加 密和 SHA-1 驗證。憑證授權單位 (CA) 是 Verisign。( 如需取得和載入憑證的資訊, 請參閱第 2 章,「公開金鑰密碼編譯」)。「階段 2」交涉使用將「階段 2」預先定 義為 "Compatible" 的安全層級。IPSec 通道在傳輸模式中。 預先定義的 Trust 區域和使用者定義的「撥接」區域都在 trust-vr 路由設定網域 中。用於「撥接」和 Trust 區段的介面分別為 ethernet2 (1.3.3.1/24) 和 ethernet1 (10.1.1.1/24)。Trust 區域在 NAT 模式中。 撥接使用者 Adam、Betty 和 Carol 使用執行 Windows 2000 作業系統的 NetScreen-Remote 用戶端。撥接使用者 Adam 的 NetScreen-Remote 組態也包括在 下面。( 其他兩位撥接使用者的 NetScreen-Remote 組態與 Adam 的相同。) 注意 :

對於 ( 沒有 NetScreen-Remote 的 ) Windows 2000,若要組態「IPSec 上的 L2TP」通道,「階段 1」交涉必須處於「主要」模式,而且 IKE ID 類型必須為 ASN1-DN。

圖 62: 組態 IPSec 上的 L2TP IKE-L2TP 撥接 使用者群組 : fs Adam

撥接 區域

DNS1: 1.1.1.2 DNS2: 1.1.1.3

IP 集區 : 全域 10.10.2.100 10.10.2.180

企業網路

Trust 區域 Betty 網際網路 Carol L2TP 通道 : sales_corp VPN 通道 : from_sales NetScreenRemote 用戶端

向外介面 ethernet2,1.3.3.1/24

ethernet1, 10.1.1.1/24

L2TP 和 IPSec 上的 L2TP

„

203


概念與範例 ScreenOS 參考指南

WebUI 1.

使用者定義的區段

Network > Zones > New: 輸入下面的內容,然後按一下 OK: Zone Name: Dialup Virtual Router Name: trust-vr Zone Type: Layer 3 ( 選擇 ) Block Intra-Zone Traffic: ( 選擇 ) TCP/IP Reassembly for ALG: ( 清除 ) 注意 :

Trust 區域已預先組態。不必加以建立。 2.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet2): 輸入下面的內容,然後按一下 OK: Zone Name: Dialup Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.3.3.1/24 3.

IKE/L2TP 使用者

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Adam Status: Enable IKE User: ( 選擇 ) Simple Identity: ( 選擇 ) IKE Identity: ajackson@abc.com L2TP User: ( 選擇 ) User Password: AJbioJ15 Confirm Password: AJbioJ15 注意 :

輸入的 IKE ID 必須與 NetScreen-Remote 用戶端傳送的相同,這是會在用戶端用 於驗證的認證中出現的電子郵件地址。 Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Betty Status: Enable IKE User: ( 選擇 ) Simple Identity: ( 選擇 ) IKE Identity: bdavis@abc.com L2TP User: ( 選擇 ) User Password: BviPsoJ1 Confirm Password: BviPsoJ1

204

„

L2TP 和 IPSec 上的 L2TP


第 6 章 : 第 2 層通道通訊協定

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: Carol Status: Enable IKE User: ( 選擇 ) Simple Identity: ( 選擇 ) IKE Identity: cburnet@abc.com L2TP User: ( 選擇 ) User Password: Cs10kdD3 Confirm Password: Cs10kdD3 4.

IKE/L2TP 使用者群組

Objects > User Groups > Local > New: 在 Group Name 欄位中鍵入 fs,執行 下面的操作,然後按一下 OK: 選擇 Adam,然後使用 << 按鈕將之從 Available Members 欄中移動到 Group Members 欄中。 選擇 Betty,然後使用 << 按鈕將之從 Available Members 欄中移動到 Group Members 欄中。 選擇 Carol,然後使用 << 按鈕將之從 Available Members 欄中移動到 Group Members 欄中。 5.

IP 集區

Objects > IP Pools > New: 輸入下面的內容,然後按一下 OK: IP Pool Name: global Start IP: 10.10.2.100 End IP: 10.10.2.180 6.

預設 L2TP 設定

VPNs > L2TP > Default Settings: 輸入下面的內容,然後按一下 Apply: IP Pool Name: global PPP Authentication: CHAP DNS Primary Server IP: 1.1.1.2 DNS Secondary Server IP: 1.1.1.3 WINS Primary Server IP: 0.0.0.0 WINS Secondary Server IP: 0.0.0.0 7.

L2TP 通道

VPNs > L2TP > Tunnel > New: 輸入下面的內容,然後按一下 OK: Name: sales_corp Dialup Group: ( 選擇 ), Local Dialup Group - fs Authentication Server: Local Outgoing Interface: ethernet2 Peer IP: 0.0.0.0

Host Name ( 選擇性 ): 如果要將 L2TP 通道限制到特定的主機,請輸入當作 LAC 的電腦名稱。 Secret ( 選擇性 ): 輸入一個在 LAC 和 LNS 之間共享的秘密。 Keep Alive: 60

L2TP 和 IPSec 上的 L2TP

„

205


概念與範例 ScreenOS 參考指南

LAC: 若要找到執行 Windows 2000 的電腦名稱,請執行下列操作 : 按一下開始 > 設定 > 控制台 > 系統。會出現「系統內容」對話方塊。按一下 Network Identification ( 網路識別 ) 標籤,並查看 Full computer name﹙完整電腦名稱 ) 下的項目。 Secret: 若要將秘密新增到 LAC 以驗證 L2TP 通道,必須按下面的程序修改 Windows 2000 登錄 : 1. 按一下開始 > 執行,然後鍵入 regedit。「登錄編輯程式」開啟。 2. 按一下 HKEY_LOCAL_MACHINE。 3. 用右鍵按一下 SYSTEM,然後從彈出的功能表中選擇尋找。 4. 鍵入 ms_l2tpminiport,然後按一下 Find Next。 5. 在「編輯」功能表中,反白顯示新增,然後選擇字串值。 6. 鍵入 Password。 7. 連按兩下 Password。會出現「編輯字串」對話方塊。 8. 在「值的資料」資料欄位中鍵入密碼。此密碼必須和安全性裝置上的 L2TP Tunnel Configuration Secret 欄位中的密碼相同。 9. 重新開機執行 Windows 2000 的電腦。 使用「IPSec 上的 L2TP」時 ( 它是 Windows 2000 預設設定 ),不需要通道驗 證;所有 L2TP 訊息都在 IPSec 內部加密並驗證。 Keep-Alive: Keep Alive 值是在安全性裝置向 LAC 傳送 L2TP hello 信號前靜止的 秒數。 注意 :

通常可以忽略主機名稱和秘密設定。僅建議進階使用者使用這些設定。 8.

VPN 通道

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: field Security Level: Custom Remote Gateway Type: Dialup User Group: ( 選擇 ), Group: fs Outgoing Interface: ethernet2

206

„

L2TP 和 IPSec 上的 L2TP


第 6 章 : 第 2 層通道通訊協定

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Security Level: User Defined: Custom Phase 1 Proposal: rsa-g2-3des-sha Mode (Initiator): Aggressive Preferred Certificate (Optional): Peer CA: Verisign Peer Type: X509-SIG 注意 :

Windows 2000 ( 沒有 NetScreen-Remote) 僅支援 Main mode ( 主要模式 ) 交涉。 VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: Name: from_sales Security Level: Compatible Remote Gateway: Predefined: field

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Security Level: Compatible Transport Mode: ( 選擇 ) 9.

政策

Policies > (From: Dialup, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Dial-Up VPN Destination Address: Address Book Entry: ( 選擇 ), Any Service: ANY Action: Tunnel Tunnel VPN: from_sales Modify matching bidirectional VPN policy: ( 清除 ) L2TP: sales_corp Position at Top: ( 選擇 )

CLI 1.

使用者定義的區段

set zone name dialup set zone dialup vrouter trust-vr set zone dialup block 2.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone dialup set interface ethernet2 ip 1.3.3.1/24

L2TP 和 IPSec 上的 L2TP

„

207


概念與範例 ScreenOS 參考指南

3.

L2TP/IKE 使用者

set user adam type ike l2tp set user adam password AJbioJ15 unset user adam type auth set user adam ike-id u-fqdn ajackson@abc.com set user betty type ike l2tp set user betty password BviPsoJ1 unset user betty type auth set user betty ike-id u-fqdn bdavis@abc.com set user carol type ike l2tp set user carol password Cs10kdD3 unset user carol type auth set user carol ike-id u-fqdn cburnet@abc.com 4.

IKE/L2TP 使用者群組

set set set set 5.

user-group fs location Local user-group fs user adam user-group fs user betty user-group fs user carol

IP 集區

set ippool global 10.10.2.100 10.10.2.180 6.

預設 L2TP 設定

set set set set 7.

l2tp default ippool global l2tp default ppp-auth chap l2tp default dns1 1.1.1.2 l2tp default dns2 1.1.1.3

L2TP 通道

set l2tp sales_corp outgoing-interface ethernet2 set l2tp sales_corp auth server Local user-group fs 8.

VPN 通道

set ike gateway field dialup fs aggressive outgoing-interface ethernet2 proposal rsa-g2-3des-sha set ike gateway field cert peer-ca1 set ike gateway field cert peer-cert-type x509-sig set vpn from_sales gateway field transport sec-level compatible 注意 :

Windows 2000 ( 沒有 NetScreen-Remote) 僅支援 Main mode ( 主要模式 ) 交涉。 數字 1 是 CA ID number。若要發現 CA 的 ID number,請使用下面的指令 : get pki x509 list ca-cert。 9.

政策

set policy top from dialup to trust "Dial-Up VPN" any any tunnel vpn from_sales l2tp sales_corp save

208

„

L2TP 和 IPSec 上的 L2TP


第 6 章 : 第 2 層通道通訊協定

NetScreen-Remote 安全政策編輯器 (Adam) 若要為 Betty 和 Carol 的 NetScreen-Remote 用戶端組態 IPSec 上的 L2TP 通道,請 遵循在此為 Adam 提供的相同程序。 1. 按一下 Options > Secure > Specified Connections。 2. 按一下 Add a new connection,在出現的新連接圖示旁鍵入 AJ。 3. 組態連接選項 : Connection Security: Secure Remote Party ID Type: IP Address IP Address: 1.3.3.1 Protocol: UDP Port: L2TP Connect using Secure Gateway Tunnel: ( 清除 )

4. 按一下位於 AJ 圖示左邊的 + 符號以展開連接政策。 5. 按一下 My Identity,並組態下列設定 : 從 Select Certificate 下拉式清單中,選擇帶有在安全性裝置上被指定為使用者 IKE ID 的電子郵件地址的認證 : ID Type: E-mail Address Port: L2TP 注意 :

來自認證的電子郵件位址會自動出現在識別字欄位中。 6. 按一下 Security Policy 圖示,然後選擇 Aggressive Mode。 7. 按一下位於 Security Policy 圖示左邊的 + 符號,然後按一下位於 Authentication (Phase 1) 和 Key Exchange (Phase 2) 左邊的 + 符號以更進一步 展開政策。 8. 按一下 Authentication (Phase 1) > Proposal 1: ���擇下列驗證方法和演算法 : Authentication Method: Pre-Shared Key (或) Authentication Method: RSA Signatures Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2

9. 按一下 Key Exchange (Phase 2) > Proposal 1: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Transport

L2TP 和 IPSec 上的 L2TP

„

209


概念與範例 ScreenOS 參考指南

10. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Transport

11. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Transport

12. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Transport

13. 按一下 File > Save Changes。 14. 您也需要使用「網路連接精靈」為 Windows 2000 作業系統設定網路連接。 注意 :

組態「網路連接精靈」時,必須輸入目的主機名稱或 IP 位址。輸入 1.3.3.1。稍 後在初始化連接時,會提示輸入使用者名稱和密碼,請輸入 adam、AJbioJ15。 如需詳細資訊,請參閱 Microsoft Windows 2000 文件。

IPSec 上的雙向 L2TP 在下例中,ethernet1 (10.1.1.1/24) 是 Trust 區域介面且處於 NAT 模式下, ethernet3 (1.1.1.1/24) 則是 Untrust 區域介面。在 NetScreen-Remote 撥接使用者和 企業 LAN 之間建立 IPSec 上的 L2TP 通道。遠端使用者正在執行 X-Windows 應用 程式,需要雙向政策。 為 IKE 使用者 dialup-j (IKE ID 為 jf@ns.com.) 使用的撥接 AutoKey IKE VPN 通道 ( 名為 VPN_dial) 以及名為 tun1 的 L2TP 通道組態向內和向外的政策。IKE 使用 者從 Untrust 區域啟用到安全性裝置的 IPSec 連接,以訪問 Trust 區域中的企業 伺服器。此時,只允許 L2TP 通訊。在 L2TP/PPP 交涉之後,即建立 L2TP 通 道。組態好雙向政策之後,即可從通道的任一端初始化通訊流量。 撥接使用者 dialup-j 使用執行 Windows 2000 作業系統的 NetScreen-Remote 用戶 端。撥接使用者 dialup-j 的 NetScreen-Remote 組態之相關說明見於第 211 頁上的 圖 63 之後。

210

„

L2TP 和 IPSec 上的 L2TP


第 6 章 : 第 2 層通道通訊協定

圖 63: IPSec 上的雙向 L2TP ethernet3 1.1.1.1/24

ethernet3 10.1.1.1/24

撥接區域 Trust 區域

網際網路

LAN

IPSec 上的 L2TP 通道

執行 X-Windows 伺服器 的 NetScreen-Remote 用

注意 :

外部路由器 1.1.1.250

UNIX 伺服器

對於 ( 沒有 NetScreen-Remote 的 ) Windows 2000,若要組態「IPSec 上的 L2TP」通道,「階段 1」交涉必須處於「主要」模式,而且 IKE ID 類型必須為 ASN1-DN。 WebUI 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24

選擇下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: trust_net IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

L2TP 和 IPSec 上的 L2TP

„

211


概念與範例 ScreenOS 參考指南

3.

L2TP/IKE 使用者

Objects > Users > Local > New: 輸入下面的內容,然後按一下 OK: User Name: dialup-j Status: Enable IKE User: ( 選擇 ) Simple Identity: ( 選擇 ) IKE Identity: jf@ns.com Authentication User: ( 選擇 ) L2TP User: ( 選擇 ) User Password: abc123 Confirm Password: abc123 注意 :

輸入的 IKE ID 必須與 NetScreen-Remote 用戶端傳送的相同,這是會在用戶端用 於驗證的認證中出現的電子郵件地址。 4.

L2TP

VPNs > L2TP > Tunnel > New: 輸入下面的內容,然後按一下 OK: Name: tun1 Use Default Settings: ( 選擇 ) Secret: netscreen Keepalive: 60 5.

VPN

VPNs > AutoKey Advanced > Gateway > New: 輸入下面的內容,然後按一下 OK: Gateway Name: dialup1 Security Level: ( 選擇 ); Standard Remote Gateway Type: Dialup User; ( 選擇 ), dialup-j Preshared Key: n3TsCr33N Outgoing Interface: ( 選擇 ) ethernet3

> Advanced: 輸入下面的設定,然後按一下 Return 返回基本 AutoKey IKE Gateway 組態頁面 : Mode (Initiator): Aggressive Enable NAT-Traversal: ( 選擇 ) UDP Checksum: ( 選擇 ) Keepalive Frequency: 5

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: VPN_dial Remote Gateway: Predefined: ( 選擇 ), dialup1

> Advanced: 輸入下面的設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Security Level: Standard ( 選擇 ) Transport Mode ( 僅限於 IPSec 上的 L2TP): ( 選擇 )

212

„

L2TP 和 IPSec 上的 L2TP


第 6 章 : 第 2 層通道通訊協定

6.

路由

Network > Routing > Routing Entries > New: 輸入下面的內容,然後按一下 OK: Network Address/Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250 7.

政策

Policies > (From: Untrust, To: Trust > New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Dial-Up VPN Destination Address: Address Book Entry: ( 選擇 ), trust_net Service: ANY Action: Tunnel Tunnel VPN: VPN_dial Modify matching bidirectional VPN policy: ( 選擇 ) L2TP: ( 選擇 ), tun1

Policies > (From: Trust, To: Untrust > New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), trust_net Destination Address: Address Book Entry: ( 選擇 ), Dial-Up VPN Service: ANY Action: Tunnel Tunnel VPN: VPN_dial Modify matching bidirectional VPN policy: ( 選擇 ) L2TP: tun1

CLI 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2.

位址

set address trust trust_net 10.1.1.0/24 3.

L2TP/IKE 使用者

set user dialup-j ike-id u-fqdn jf@ns.com set user dialup-j type auth ike l2tp set user dialup-j password abc123 4.

L2TP

set l2tp tun1 outgoing-interface ethernet3 secret "netscreen" keepalive 60

L2TP 和 IPSec 上的 L2TP

„

213


概念與範例 ScreenOS 參考指南

5.

VPN

set ike gateway dialup1 dialup "dialup-j" aggressive outgoing-interface ethernet3 preshare n3TsCr33N sec-level standard set ike gateway dialup1 nat-traversal udp-checksum set ike gateway dialup1 nat-traversal keepalive-frequency 5 set vpn VPN_dial gateway dialup1 no-replay transport idletime 0 sec-level standard 6.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 7.

政策

set policy from untrust to trust "Dial-Up VPN" "trust_net" any tunnel vpn VPN_dial tun1 set policy from trust to untrust trust_net "Dial-Up VPN" any tunnel vpn VPN_dial l2tp tun1 save

NetScreen-Remote 安全政策編輯器 ( 對於使用者 "dialup-j") 1. 按一下 Options > Secure > Specified Connections。 2. 按一下 Add a new connection,在出現的新連接圖示旁鍵入 dialup-j。 3. 組態連接選項 : Connection Security: Secure Remote Party ID Type: IP Address IP Address: 1.1.1.1 Protocol: UDP Port: L2TP Connect using Secure Gateway Tunnel: ( 清除 )

4. 按一下位於 dialup-j 圖示左邊的 + 號以展開連接政策。 5. 按一下 My Identity,並組態下列設定 : 從 Select Certificate 下拉式清單中,選擇帶有在安全性裝置上被指定為使用者 IKE ID 的電子郵件地址的認證 ID Type: E-mail Address Port: L2TP 注意 :

來自認證的電子郵件位址會自動出現在識別字欄位中。 6. 按一下 Security Policy 圖示,然後選擇 Aggressive Mode。 7. 按一下位於 Security Policy 圖示左邊的 + 符號,然後按一下位於 Authentication (Phase 1) 和 Key Exchange (Phase 2) 左邊的 + 符號以更進一步 展開政策。

214

„

L2TP 和 IPSec 上的 L2TP


第 6 章 : 第 2 層通道通訊協定

8. 按一下 Authentication (Phase 1) > Proposal 1: 選擇下列驗證方法和演算法 : Authentication Method: Pre-Shared Key (或) Authentication Method: RSA Signatures Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2 注意 :

在安全性裝置 (DF 群組 1、2 或 5) 上啟用「完美轉送安全性」(Perfect Forwarding Secrecy,PFS) 時,NetScreen-Remote 的 VPN 用戶端也必須啟用該功能。 9. 按一下 Key Exchange (Phase 2) > Proposal 1: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Transport

10. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Transport

11. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Transport

12. 按一下 Key Exchange (Phase 2) > Create New Proposal: 選擇下面的「IPSec 通訊協定」: Encapsulation Protocol (ESP): ( 選擇 ) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Transport

13. 按一下 File > Save Changes。 您也需要使用「網路連接精靈」為 Windows 2000 作業系統設定網路連接。 注意 :

組態「網路連接精靈」時,必須輸入目的主機名稱或 IP 位址。輸入 1.1.1.1。稍 後,在初始化連線時,會提示輸入使用者名稱和密碼,請輸入 dialup-j、 abc123。如需詳細資訊,請參閱 Microsoft Windows 2000 文件。

L2TP 和 IPSec 上的 L2TP

„

215


概念與範例 ScreenOS 參考指南

216

„

L2TP 和 IPSec 上的 L2TP


第7章

進階虛擬私人網路功能 本章介紹下列虛擬私人網路 (VPN) 技術的用途 : „

„

„

第 218 頁上的「NAT-Traversal」 „

第 219 頁上的「探查 NAT」

„

第 220 頁上的「跨越 NAT 裝置」

„

第 222 頁上的「UDP 總和檢查碼」

„

第 223 頁上的「Keepalive 封包」

„

第 223 頁上的「初始程式 / 回應程式對稱」

„

第 224 頁上的「啟用 NAT-Traversal」

第 225 頁上的「VPN 監看」 „

第 226 頁上的「重新建立金鑰和最佳化選項」

„

第 227 頁上的「來源介面和目的地位址」

„

第 228 頁上的「政策考量」

„

第 228 頁上的「組態 VPN 監看功能」

„

第 237 頁上的「SNMP VPN 監看物件和陷阱」

第 238 頁上的「每個通道介面,多個通道」 „

第 239 頁上的「路由到通道的對應」

„

第 240 頁上的「遠端對等方的位址」

„

第 241 頁上的「手動和自動表項目」

„

217


概念與範例 ScreenOS 參考指南

„

第 275 頁上的「備援 VPN 閘道」 „

第 276 頁上的「VPN 群組」

„

第 276 頁上的「監看機制」

„

第 280 頁上的「TCP SYN 旗標檢查」

„

第 287 頁上的「建立背對背 VPN」

„

第 293 頁上的「建立集中星型 VPN」

NAT-Traversal 「網路位址轉譯 (NAT)」和「網路位址埠轉譯 (NAPT)」為網際網路標準,讓區域網 路 (LAN) 可以將一組 IP 位址用於內部流量,並將第二組位址用於外部流量。NAT 裝置從預先定義的 IP 位址集區中產生這些外部位址。 設定 IPSec 通道時,沿著資料路徑出現 NAT 裝置並不影響「階段 1」和「階段 2」 IKE 交涉,這些交涉一律將 IKE 封包封裝在用戶資料訊息通訊協定 (UDP) 片段中。 然而,在完成「階段 2」交涉後,執行 IPSec 封包上的 NAT 會導致通道失敗。在 NAT 對 IPSec 造成中斷的眾多原因中,其中一個原因就是,對於封裝安全性通訊協 定 (ESP) 來說,NAT 裝置不能辨別埠轉譯的第 4 層標頭位置 ( 因為它已被加密 )。 對於「驗證標頭 (AH)」通訊協定,NAT 裝置可以修改連接埠號碼,但包含整個 IPSec 封包的驗證檢查會發生故障。 注意 :

如需 IPSec/NAT 不相容性的清單,請參閱 Bernard Aboba 的 draft-ietf-ipsec-nat-regts-00.txt。 若要解決這些問題,安全性裝置和 NetScreen-Remote 用戶端 (6.0 版本或更新版本) 可以套用 NAT-Traversal (NAT-T) 功能。在階段 1 交換期間偵測出資料路徑上有一或 多個 NAT 裝置之後,NAT-T 會將一層 UDP 封裝加入 IPSec 封包中,如 IETF 初稿 draft-ietf-ipsec-nat-t-ike-00.txt 和 draft-ietf-ipsec-udp-encaps-00.txt 以及這些初稿之後 的更新版本中所規定。

注意 :

NetScreen-Remote 6 和 NetScreen-Remote 7 支援 NAT-T,如 draft-ietf-ipsec-nat-t-ike-00.txt 和 draft-ietf-ipsec-udp-encaps-00.txt 中所述。 NetScreen-Remote 8.2 支援初稿 02。 如果 NAT 裝置也可感知 IKE/IPSec 並嘗試以 IKE 連接埠號碼 500 或 IPSec 通訊協定 號碼 50 ( 對於 ESP) 和 51 ( 對於 AH) 處理封包,則會造成另一個問題。為避免這類 對於 IKE 封包的中介處理,先前提及的 IETF 初稿版本 2 提議將 IKE 的 UDP 連接埠 號碼從 500 改 ( 或「浮動」) 為 4500。為避免對 IPSec 封包的中介處理,兩個初稿 0 和 2 都會將 UDP 標頭插入外部 IP 標頭和 ESP 或 AH 標頭之間,進而將 Protocol 欄位中的值從 50 或 51 ( 分別對應於 ESP 或 AH) 變更為 17 ( 對於 UDP)。此外,插 入的 UDP 標頭也會使用連接埠號碼 4500。根據 draft-ietf-ipsec-nat-t-ike-02.txt 和 draft-ietf-ipsec-udp-encaps-02.txt 以及這些初稿的版本 0,目前的 ScreenOS 版本支 援 NAT-T。

218

„

NAT-Traversal


第 7 章 : 進階虛擬私人網路功能

注意 :

ScreenOS 不支援手動金鑰通道的 NAT-T,也不支援使用 AH 的 IPSec 通訊流量。 ScreenOS 只支援使用 ESP 之自動金鑰 IKE 通道的 NAT-T。

探查 NAT 為了檢測 VPN 通道的兩端是否都支援 NAT-T,ScreenOS 會在階段 1 交涉的前兩次 交換中在供應商 ID 負載中傳遞兩個 MD-5 雜湊,一個雜湊由名為 draft 0 的初稿使 用,另一個雜湊由名為 draft 2 的初稿使用 : „

"4485152d 18b6bbcd 0be8a846 9579ddcc" - "draft-ietf-ipsec-nat-t-ike-00" 的 MD-5 雜湊

„

"90cb8091 3ebb696e 086381b5 ec427b1f" - "draft-ietf-ipsec-nat-t-ike-02" 的 MD-5 雜湊

這兩個對等方都必須傳送與接收上述廠商負載 ID 值中的至少其中一個值,如此 NAT-T 探查才能繼續。如果它們傳送兩個初稿的雜湊,ScreenOS 會使用 draft 2 的 NAT-T 執行。 如果每個端點的裝置都支援 NAT-T,它們會在第三次和第四次階段 1 交換 ( 主要模 式 ) 中或在第二次和第三次交換 ( 挑釁式模式 ) 中彼此傳送 NAT 探索 (NAT-D) 負載。 注意 :

NAT 探索 (NAT-D) 負載是一種新推出的用於 NAT-T 的 IKE 負載類型。NAT-D 負載 類型編號為 0130。如需其他 IKE 負載類型的清單,請參閱第 11 頁上的「IKE 封 包」。 NAT-D 負載包含下列資訊的交涉雜湊 : „

„

注意 :

目的地 NAT-D 雜湊 : „

初始程式的 cookie (CKY-I)

„

回應程式的 cookie (CKY-R)

„

遠端 ( 目的地 ) IKE 對等方的 IP 位址

„

目的地連接埠號碼

來源 NAT-D 雜湊 ( 一或多個 ): „

初始程式的 cookie (CKY-I)

„

回應程式的 cookie (CKY-R)

„

本機 ( 來源 ) IKE 對等方的 IP 位址

„

來源連接埠號碼

NAT-T 可使用不指定向外介面的多個介面和執行,來支援裝置的多個來源 NAT-D 雜湊。

NAT-Traversal

„

219


概念與範例 ScreenOS 參考指南

當每個對等方將它收到的雜湊與它傳送的雜湊加以比對時,即可判斷位址是否已經 過轉譯。區別哪個封包已經過修改也可以指明 NAT 裝置的位置 : 若

配對

本機對等方的目的地雜湊

遠端對等方的至少一個來源雜湊 不進行位址轉譯。

本機對等方的至少一個來源雜湊 遠端對等方的目的地雜湊

不進行位址轉譯。

不配對

本機對等方的目的地雜湊

遠端對等方的���少一個來源雜湊 不進行位址轉譯。

本機對等方的至少一個來源雜湊 遠端對等方的目的地雜湊

不進行位址轉譯。

瞭解 NAT 裝置的位置是很重要的,因為 IKE keepalive 必須從 NAT 裝置後面的對等 方初始化。請參閱第 223 頁上的「Keepalive 封包」。 如果兩個對等方都支援 IETF draft 2,則只要它們在階段 1 交涉期間偵測出它們彼 此之間有一個 NAT 裝置,也會使 IKE 連接埠號碼從 500 浮動至 4500。在 Main 模 式下,連接埠號碼會在階段 1 的第五次和第六次交換中浮動至 4500,然後在階段 2 的所有交換中皆為如此。在 Aggressive 模式下,連接埠號碼會在階段 1 的第三次 和最後一次交換中浮動至 4500,然後在階段 2 的所有交換中皆為如此。對等方也 會使用 4500 作為所有後續 IPSec 通訊流量使用的 UDP 連接埠號碼。

跨越 NAT 裝置 在圖 64 中,某飯店 LAN 周圍的 NAT 裝置會接收一個來自 VPN 撥接用戶端的封 包,其 IP 位址為 2.1.1.5 ( 由飯店指派 )。對於所有向外通訊流量,NAT 裝置會用 新位址 2.2.2.2 取代外部標頭中的初始來源 IP 位址。在「階段 1」交涉過程中, VPN 用戶端和安全性裝置偵測是否 VPN 參與者雙方都支援 NAT-T、NAT 裝置是否 沿著資料路徑出現以及是否在 VPN 用戶端的前面。 圖 64: NAT-Traversal 企業 飯店 NAT 裝置 網際網路

安全性裝置

VPN 通道 VPN 撥接用戶端 源 IP 200.1.1.1 -> 210.2.2.2

將 IPSec 封包封裝在 UDP 封包中 (VPN 用戶端和安全性裝置都會執行 ) 可以解決驗 證檢查失敗的問題。NAT 裝置將它們當作 UDP 封包處理,變更 UDP 標頭中的來源 埠,也不修改 AH 或 ESP 中的 SPI 標頭。VPN 參與者將剝除 UDP 層並處理通過驗 證檢查的 IPSec 封包,因為沒有變更任何已驗證的內容。

220

„

NAT-Traversal


第 7 章 : 進階虛擬私人網路功能

如果 NAT 裝置可感知 IKE/IPSec,會發生另一個問題。IKE/IPSec 感知式 NAT 裝置 可能會嘗試處理 IKE/IPSec 通訊流量,而不是將它們轉寄出去。為避免這類中介處 理,NAT-T (v2) 會將 IKE 的來源和目的地 UDP 連接埠號碼從 500 更改為 4500。 NAT-T 也會將非 ESP 記號插入至 UDP 標頭中的負載前面。對於 IPSec 通訊流量, NAT-T (v0 和 v2) 會將 UDP 標頭插入至外部 IP 標頭和 ESP 標頭之間。UDP 封包也 會使用 4500 作為來源和目的地連接埠號碼。 如上所述,NAT-T (v2) 會在標頭和封裝 ISAKMP 封包之 UDP 片段的負載之間加入 一個非 ESP 記號。非 ESP 記號是 4 位數的零 (0000),加入至 UDP 片段可將已封裝 的 ISAKMP 封包與已封裝的 ESP 封包 ( 沒有這樣的記號 ) 加以區分。如沒有非 ESP 記號,接收方就無法確定封裝的封包是 ISAKMP 封包還是 ESP 封包,因為 UDP 標 頭對於兩種類型都使用 4500。使用此記號可指明所封裝之封包的正確類型,這樣 接收方才能正確地對它進行多工處理。 如第 221 頁上的圖 65 所示,在資料路徑中偵測出 NAT 裝置後,IKE 封包之 UDP 標頭的來源和目的地連接埠號碼從 500 變成 4500。VPN 通道端點也會將非 ESP 記 號插入至 UDP 標頭和負載之間,將已封裝的 ISAKMP 封包與 ESP 封包加以區分。 接收方可使用此記號將已封裝的 ISAKMP 封包與 ESP 封包加以區分,並正確地對 其進行多工處理。 圖 65: IKE 封包 ( 對於「階段 1」和「階段 2」) IP 標頭

UDP 標頭

ISAKMP 標頭

負載

注意 : ISAKMP 是 IKE 使用的封包格式。 UDP 片段 來源連接埠 (IKE 使用 500)

目的地連接埠 (IKE 使用 500) 總和檢查碼

長度 負載 偵測出 NAT 裝置之後的 UDP 片段 來源連接埠 (IKE 使用 4500)

目的地連接埠 (IKE 使用 4500) 總和檢查碼

長度 非 ESP 記號 (0000) 負載

圖 66 顯示在資料路徑中偵測出 NAT 裝置之後,VPN 通道端點會將一個額外的 UDP 標頭插入 IPSec 封包的外部 IP 標頭和 ESP 標頭之間。因為沒有非 ESP 記號, 接收方可將已封裝的 ESP 封包與 ISAKMP 封包加以區分,並正確地對 ESP 封包進 行多工處理。

NAT-Traversal

„

221


概念與範例 ScreenOS 參考指南

圖 66: NAT 偵測前與後的 IPSec ESP 封包 偵測出 NAT 裝置之前的 IPSec ESP 封包 IPSec 封包 透過 IKE 閘道傳送 IP2 標頭

ESP 標頭

原始封包 透過初始主機傳送 IP1 標頭

TCP 標頭

負載

本機閘道會將這些標 頭新增到封包中。

偵測出 NAT 裝置之後的 IPSec ESP 封包 IPSec 封包 透過 IKE 閘道傳送 IP2 標頭

UDP 標頭

原始封包 透過初始主機傳送 ESP 標頭

IP1 標頭

TCP 標頭

Callouts

負載

本機閘道會將這些標頭 新增到封包中。

UDP 標頭 來源連接埠 (IKE 使用 4500)

目的地連接埠 (IKE 使用 4500)

長度

總和檢查碼 負載

UDP 總和檢查碼 所有的 UDP 封包都包含一個 UDP 總和檢查碼,這是一個確定 UDP 封包沒有傳輸 錯誤的計算值。安全性裝置不要求對 NAT-T 使用 UDP 總和檢查碼,因此,WebUI 和 CLI 將總和檢查碼當作選擇性設定。即使如此,某些 NAT 裝置仍要求總和檢查 碼,所以您可能不得不啟用或停用此設定。預設情況下,當您啟用 NAT-T 時,會將 UDP 總和檢查碼納入。 WebUI VPNs > AutoKey Advanced > Gateway > New: 輸入在第 71 頁上的「站台對站台的虛擬私人網路」或第 147 頁上的「撥接虛 擬私人網路」中描述的新通道閘道的必要參數;輸入下面的內容,然後按一下 OK: > Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Enable NAT-Traversal: ( 選擇 ) UDP Checksum: Enable

CLI set ike gateway name nat-traversal udp-checksum unset ike gateway name nat-traversal udp-checksum

222

„

NAT-Traversal


第 7 章 : 進階虛擬私人網路功能

Keepalive 封包 當 NAT 裝置將 IP 位址指定給主機時,NAT 裝置會確定在沒有通訊流量發生時新位 址保持有效的期限。例如,NAT 裝置可能會讓任何已產生的、保留 20 秒而未使用 的 IP 位址變成無效。因此,IPSec 參與者通常需要透過 NAT 裝置傳送定期 keepalive 封包 ( 空的 UDP 封包 ),這樣就不需要變更 NAT 對應,直到「階段 1」 和「階段 2」的 SA 到期為止。 注意 :

NAT 裝置根據製造商和型號的不同,有不同的會話逾時間隔。務必要確定 NAT 裝 置的間隔及將 keepalive 頻率值設為低於該間隔。

初始程式 / 回應程式對稱 當兩個安全性裝置在沒有 NAT 裝置的情況下建立一個通道時,任一個裝置都可作 為初始程式或回應程式。但是,如果其中一個主機常駐在 NAT 裝置的後面,就不 可能使此類初始程式 / 回應程式對稱。每當 NAT 裝置動態產生 IP 位址時就會發生 這種情況。 圖 67: NAT 裝置後具動態指派 IP 位址的安全性裝置 注意 : 下面描述的安全區是 透過裝置 -B 觀察的。

Untrust 區域

裝置 -A 主機 A

Trust 區域 NAT 裝置

裝置 -B

網際網路

主機 B 10.1.1.5

通道 1.2.1.1

IP 位址集區 1.2.1.2 - 1.2.1.50

1.1.1.250 NAT 裝置會使用取自其 IP 位址集區的位址, 將其從裝置 -B 收到的封包中的來源 IP 位址 加以轉譯。

在圖 67 中,裝置 -B 常駐於 NAT 裝置後面的子網路中。如果 NAT 裝置從 IP 位址集 區中動態取得新 IP 位址,為其從裝置 -B 收到的封包產生新的來源 IP 位址,裝置 -A 就不能明確地識別裝置 -B。因此,裝置 -A 不能成功地初始化與裝置 -B 之間的 通道。裝置 -A 必須是回應程式,裝置 -B 必須是初始程式,雙方必須在挑釁式模式 下執行「階段 1」交涉。 然而,如果 NAT 裝置使用對應的 IP (MIP) 位址或其他一對一定址方法產生新的 IP 位址,裝置 -A 就可以明確識別裝置 -B。因此,裝置 -A 或裝置 -B 都可以是初始程 式,而且雙方都可以使用「階段 1」的挑釁式模式或主要模式。

NAT-Traversal

„

223


概念與範例 ScreenOS 參考指南

注意 :

如果在充當回應程式的安全性裝置上啟用 NAT-T,並對其進行組態,以在「主 要」模式下執行 IKE 交涉,則該裝置及其以下類型的所有對等方 ( 在相同外向介 面上組態 ) 都必須使用相同的「階段 1」方案 ( 彼此以相同的順序出現 ): 動態對等方 ( 具有動態指派 IP 位址的對等方 ) 撥接 VPN 使用者 NAT 裝置後面具有靜態 IP 位址的對等方 由於在最後兩個訊息之前,在「主要」模式下與「階段 1」交涉時,不可能知道 對等方的身份,因此「階段 1」方案必須全部相同,以便 IKE 交涉能夠繼續。 在相同外向介面上,為上述其中一個對等方類型在「主要」模式下組態 IKE 時, 安全性裝置將自動檢查所有「階段 1」方案是否都相同以及順序是否相同。如果 方案不同,則安全性裝置會產生一個錯誤訊息。

啟用 NAT-Traversal 在圖 68 中,飯店 LAN 周圍的 NAT 裝置把一個位址指定給由 Michael Smith ( 參加 會議的業務人員 ) 使用的 VPN 撥接用戶端。若要讓 Michael Smith 透過撥接 VPN 通道接入公司的 LAN,您必須啟用 NAT-T 以用於在安全性裝置上組態的遠端閘道 (msmith),以及在 VPN 撥接用戶端組態的遠端閘道。您也會啟用安全性裝置讓傳 輸中包括 UDP 總和檢查碼,以及將 keepalive 頻率設定為 8 秒。 圖 68: 啟用 NAT-Traversal 企業

飯店 NAT 裝置 網際網路

安全性裝置

VPN 通道 VPN 撥接用戶端

WebUI VPNs > AutoKey Advanced > Gateway > New: 輸入在第 4 章,「站台對站台 的虛擬私人網路」或第 5 章,「撥接虛擬私人網路」中描述的新通道閘道的必 要參數,輸入下面的內容,然後按一下 OK: > Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Gateway 組態頁面 : Enable NAT-Traversal: ( 選擇 ) UDP Checksum: Enable Keepalive Frequency: 8 Seconds (0~300 Sec) 注意 :

224

„

NAT-Traversal

當您透過 CLI 設定撥接 VPN 時,安全性裝置會自動啟用 NAT-Traversal。


第 7 章 : 進階虛擬私人網路功能

CLI set ike gateway msmith nat-traversal set ike gateway msmith nat-traversal udp-checksum set ike gateway msmith nat-traversal keepalive-frequency 8 save

VPN 監看 為特定通道啟用 VPN 監看時,安全性裝置在指定的時間間隔 ( 以秒為單位設定 ) 內 透過通道傳送 ICMP 回應要求 ( 或 "ping"),以監看透過通道的網路連接。 注意 :

若要變更 ping 時間間隔,可以使用下面的 CLI 指令 : set vpnmonitor interval number。預設值為 10 秒。 如果 ping 動作指出 VPN 監看狀態已改變,則安全性裝置即觸發以下「簡易網路管 理通訊協定」(SNMP) 陷阱之一 :

注意 :

„

連接轉為中斷 : 通道的 VPN 監看處於連接狀態時會發生此陷阱,但指定數目的 連續 ICMP 回應要求並不引起回覆,並且沒有其他向內 VPN 資訊流。然後,狀 態變更為中斷。

„

中斷轉為連接 : 通道的 VPN 監看處於中斷狀態,但 ICMP 回應要求引起單一回 應時,狀態變更為連接。ICMP 回應要求透過通道引起回覆時,只有已停用重 新建立金鑰選項並且「階段 2」SA 仍處於活動狀態,中斷轉為連接陷阱才會 發生。

若要改變連續的未成功 ICMP 回應要求數的臨界值,可使用以下 CLI 指令 : set vpnmonitor threshold number。預設值為 10 個連續要求。 若需有關 VPN 監看提供的 SNMP 資料的詳細資訊,請參閱第 237 頁上的「SNMP VPN 監看物件和陷阱」。 基於 VPN 物件套用 VPN 監看,不必基於 VPN 通道套用。VPN 物件是指您使用 set vpn 指令或使用它的 WebUI 等效指令所定義的物件。定義好 VPN 物件後,即可在 一或多個政策中參考它 ( 建立以政策為基礎的 VPN)。因為 ScreenOS 根據 VPN 物 件以及其他政策參數得出以政策為基礎的 VPN 通道,所以單一 VPN 物件可為多個 VPN 通道的元素。VPN 物件與 VPN 通道的這種區別是很重要的,因為 Juniper Networks 建議您不要將 VPN 監看套用於 100 個以上的 IPSec VPN 通道 ( 在不啟用 最佳化的情況下 )。如果啟用最佳化,那麼可套用 VPN 監看的 VPN 通道數量就沒 有限制。如需瞭解最佳化選項,請參閱第 226 頁上的「重新建立金鑰和最佳化選 項」。

注意 :

VPN 監看最佳化的執行方式根據各個物件而有所不同。您可在所有或某些 VPN 物件上啟用,或在任何 VPN 物件上均不啟用。

VPN 監看

„

225


概念與範例 ScreenOS 參考指南

重新建立金鑰和最佳化選項 如果啟用重新建立金鑰選項,則安全性裝置立即對完成通道組態開始傳送 ICMP 回 應要求,並繼續持續傳送。回應要求觸發嘗試啟動 IKE 交涉以建立 VPN 通道,直 到通道的 VPN 監看處於連接狀態。然後安全性裝置使用 ping 進行 VPN 監看。如 果通道的 VPN 監看狀態從連接改變為中斷,則安全性裝置為該對等方停用其「階 段 2」安全性關聯 (SA)。安全性裝置按定義的時間間隔繼續向其對等方傳送回應要 求,觸發嘗試重新初始化「IKE 階段 2」交涉 ( 必要時,啟動「階段 1」交涉 ),直 到成功為止。此時,安全性裝置重新初始化「階段 2」SA,產生新的金鑰,並重 新增立通道。在事件紀錄中會出現一個訊息,陳述式成功的重新建立金鑰操作已 發生。 注意 :

如果安全性裝置是一個 DHCP 用戶端,則不同位址的 DHCP 更新會使 IKE 重新建 立金鑰。但是,相同位址的 DHCP 更新不會引發 IKE 重新建立金鑰操作。 可使用重新建立金鑰選項來確定「自動金鑰 IKE」通道始終處於連接狀態,可能監 看遠端站台的裝置,或允許動態路由通訊協定知道遠端站台的路由並透過通道傳送 訊息。可以套用含有重新建立金鑰選項的 VPN 監看的另一個功能是,多個 VPN 通 道連結到單一通道介面時,下一躍點通道連結表 (NHTB 表 ) 和路由表的自動填 充。若需有關最後一個功能的範例,請參閱第 238 頁上的「每個通道介面,多個 通道」。 如果停用重新建立金鑰選項,僅當通道與使用者產生的通訊流量處於活動狀態時, 安全性裝置才會執行 VPN 監看。 在預設情況下停用 VPN 監看最佳化。如果啟用 (set vpn name monitor optimized),則 VPN 監看行為變更如下 : „

安全性裝置將透過 VPN 通道的向內通訊流量視為 ICMP 回應回覆的等同。將向 內通訊流量當作 ICMP 回應回覆的替代物,可以減少透過通道的大量通訊流量 以及回應回覆不能透過時可能發生的錯誤警示。

„

如果透過 VPN 通道的向內和向外通訊流量同時存在,則安全性裝置完全抑制 VPN 監看 ping。這樣有助於減少網路通訊流量。

儘管 VPN 監看最佳化提供了某些優點,但是應注意,最佳化選項啟動時,VPN 監 看就不再提供精確的 SNMP 統計資訊 ( 如 VPN 網路延遲時間 )。另外,如果使用 VPN 監看追蹤通道遠端特定目的 IP 位址的可用性,則最佳化功能會產生令人誤解 的結果。

226

„

VPN 監看


第 7 章 : 進階虛擬私人網路功能

來源介面和目的地位址 預設情況下,VPN 監看功能將本機向外介面的 IP 位址用作來源位址,將遠端閘道 的 IP 位址用作目的地位址。如果遠端對等方是擁有內部 IP 位址的 VPN 撥接用戶 端 ( 如 NetScreen-Remote),則安全性裝置會自動偵測其內部位址,並將該位址用 作目的地位址。VPN 用戶端可以是擁有分配的內部 IP 位址的 XAuth 使用者,或擁 有內部 IP 位址的撥接 VPN 群組的撥接 VPN 使用者或成員。也可為 VPN 監看指定 使用其他來源和目的 IP 位址,主要用於 VPN 通道的另一端不是安全性裝置時為 VPN 監看提供支援��� 由於 VPN 監看在本機和遠端站台獨立操作,因此在通道一端的裝置上組態的來源 位址不必是在另一端的裝置上組態的目的地位址。實際上,可以在通道的兩端或僅 在一端啟用 VPN 監看。 圖 69: 用於 VPN 監看的來源和目的地位址 裝置 -A -> 裝置 -B

目的地位址 : 遠端閘道

來源位址 : 向外介面

從其向外介面到遠端閘道 ( 即,從裝置 -A 上的 Untrust 區域介面到裝置 -B 上的 Untrust 區域介面 ) 的 裝置 - A ping。 ( 預設行為 )

裝置 -A LAN

VPN 通道

Trust 區域 裝置 -A -> NetScreen-Remote

裝置 -B Untrust 區域

來源位址 : Trust 區段介面

從其 Trust 區域介面到 NetScreen-Remote 的裝置 -A ping。NetScreen-Remote 需 要一個政策,允許來自遠 端閘道以外的位址 ( 即, 來自裝置 - A 的 Untrust 區域 介面以外 ) 的向內 ICMP 通 訊流量。

LAN

裝置 -A LAN

目的地位址 : NetScreen-Remote VPN 通道 Untrust 區域

Trust 區域

注意 : 裝置 -A 需要一個政策,允許從 Trust 到 Untrust 區域的 ping 通訊流量。 裝置 -A -> 協力廠商 VPN 終端連接器 從其 Trust 區域介面到 遠端閘道以外裝置的 裝置 - A ping。如果遠 端對等方不回應 ping, 但支援允許入站 ping 通訊流量的政策,這 樣可能沒有必要。

目的地位址 : FTP 伺服器

來源位址 : Trust 區段介面 裝置 -A LAN Trust 區域

VPN 通道

協力廠商 VPN 終端連接器 Untrust 區域

注意 : 裝置 -A 需要一個政策,允許從 Trust 到 Untrust 區域的 ping 通訊流量。

注意 :

如果通道的另一端是可透過 XAuth 接收位址的 NetScreen-Remote VPN 用戶端, 則預設情況下安全性裝置將 XAuth 分配的 IP 位址用作目的地位址,進行 VPN 監 看。若需有關 XAuth 的資訊,請參閱第 9-54 頁上的「XAuth 使用者和使用者群 組」。

VPN 監看

„

227


概念與範例 ScreenOS 參考指南

政策考量 必須在傳送裝置上建立一個政策,允許來自包含來源介面的區域的 ping 透過 VPN 通道到達包含目的地位址的區段,如果 : „

來源介面與目的地位址在不同的區域中。

„

來源介面與目的地位址在相同的區域中,並且啟用了內部區域阻斷

同樣,必須在接收裝置上建立一個政策,允許來自包含來源位址的區域的 ping 透 過 VPN 通道到達包含目的地的區域,如果 :

注意 :

„

目的地位址在與來源位址不同的區域中

„

目的地位址在與來源位址相同的區域中,並且啟用了內部區域阻斷

如果接收裝置是不回應 ICMP 回應要求的協力廠商產品,則將目的變更為遠端對 等方的 LAN 中回應的內部主機。遠端對等方的防火牆必須具有政策,允許 ICMP 回應要求通過。

組態 VPN 監看功能 若要啟用 VPN 監看,請執行下面的操作 : WebUI VPNs > AutoKey IKE > New: 組態 VPN,按一下 Advanced,輸入下列資訊, 按一下 Return 以返回基本 VPN 組態頁,然後按一下 OK: VPN Monitor: 選擇以啟用此 VPN 通道的 VPN 監看。 Source Interface: 從下拉式清單中選擇一個介面。如果選擇「預設」,安 全性裝置將使用向外介面。 Destination IP: 輸入目的 IP 位址。如果不輸入任何內容,安全性裝置將使 用遠端閘道 IP 位址。 Rekey: 如果希望安全性裝置在通道狀態從連接改變為中斷時嘗試「IKE 階 段 2」交涉 ( 必要時嘗試「IKE 階段 1」交涉 ),請選擇此選項。選擇此選 項後,安全性裝置嘗試 IKE 交涉設定通道,並在完成對通道的組態後立即 開始 VPN 監看。 如果不希望安全性裝置在通道狀態從連接改變為中斷時嘗試 IKE 交 涉,請清除此選項。停用重新建立金鑰選項時,VPN 監看在使用者產 生的通訊流量觸發 IKE 交涉之後開始,並當通道狀態從連接改變為中 斷時停止。

228

„

VPN 監看


第 7 章 : 進階虛擬私人網路功能

(或) VPNs > Manual Key > New: 組態 VPN,按一下 Advanced,輸入下列資訊, 按一下 Return 以返回基本 VPN 組態頁,然後按一下 OK: VPN Monitor: 選擇以啟用此 VPN 通道的 VPN 監看。 Source Interface: 從下拉式清單中選擇一個介面。如果選擇「預設」,安 全性裝置將使用向外介面。 Destination IP: 輸入目的 IP 位址。如果不輸入任何內容,安全性裝置將使 用遠端閘道 IP 位址。 CLI set vpnmonitor frequency number set vpnmonitor threshold number set vpn name_str monitor [ source-interface interface [ destination-ip ip_addr ] ] [optimized] [ rekey ] save 注意 :

VPN 監看頻率以秒為單位。預設設定間隔為 10 秒。 VPN 監看臨界值數是連續的成功或未成功 ICMP 回應要求數,它決定透過 VPN 通 道是否可到達遠端閘道。預設臨界值是 10 個連續的成功 ICMP 回應要求或 10 個 連續的未成功 ICMP 回應要求。 如果不選擇來源介面,安全性裝置將使用向外介面作為預設介面。 如果不選擇目的 IP 位址,安全性裝置將使用遠端閘道的 IP 位址。 重新建立金鑰選項不適用於「手動金鑰 VPN」通道。 在本範例中,將在兩台安全性裝置 ( 裝置 -A 和裝置 -B) 之間組態一個「自動金鑰 IKE VPN」通道。在裝置 -A 上,設定從 Trust 區域介面 (ethernet1) 到裝置 -B 上的 Trust 區域介面 (10.2.1.1/24) 的 VPN 監看。在裝置 -B 上,設定從 Trust 區域介面 (ethernet1) 到裝置 -A 後面的企業內部網路伺服器 (10.1.1.5) 的 VPN 監看

VPN 監看

„

229


概念與範例 ScreenOS 參考指南

裝置 -A

裝置 -B

區域和介面 „ ethernet1

„ ethernet1

„ Zone: Trust

„ Zone: Trust

„ IP address: 10.1.1.1/24

„ IP address: 10.2.1.1/24

„ Interface mode: NAT

„ Interface mode: NAT

„ ethernet3

„ ethernet3

„ Zone: Untrust

„ Zone: Untrust

„ IP address: 1.1.1.1/24

„ IP address: 2.2.2.2/24

以路由為基礎的自動金鑰 IKE 通道參數 „ 階段 1

„ 階段 1

„ Gateway name: gw1

„ Gateway name: gw1

„ Gateway static IP address: 2.2.2.2

„ Gateway static IP address: 1.1.1.1

„ Security level:

Compatible1

„ Proposals: Compatible

„ Preshared Key: Ti82g4aX

„ Preshared Key: Ti82g4aX

„ Outgoing interface: ethernet3

„ Outgoing interface: ethernet3

„ Mode: Main

„ Mode: Main

„ 階段 2

„ 階段 2

„ VPN tunnel name: vpn1 „ Security level:

Compatible2

„ VPN Monitoring: src = ethernet1; dst =

10.2.1.1 „ Bound to interface: tunnel.1

„ VPN tunnel name: vpn1 „ Security level: Compatible „ VPN Monitoring: src = ethernet1; dst =

10.1.1.5 „ Bound to interface: tunnel.1

1.Compatible 的「階段 1」 安全層級包括以下方案 : pre-g2-3des-sha、pre-g2-3des-md5、 pre-g2-des-sha 和 pre-g2-des-md5。 2.Compatible 的「階段 2」 安全層級包括以下方案 : nopfs-esp-3des-sha、nopfs-esp-3des-md5、 nopfs-esp-des-sha 和 nopfs-esp-des-md5。

裝置 -A

裝置 -B

路由 至 0.0.0.0/0,使用 ethernet3,閘道 1.1.1.250 至 0.0.0.0/0,使用 ethernet3,閘道 2.2.2.250 至 10.2.1.0/24,使用 tunnel.1,無閘道

至 10.1.1.0/24,使用 tunnel.1,無閘道

(Null 路由 - 若 tunnel.1 關閉,則卸除至 10.2.1.0/24 的通訊流量 ) 至 10.2.1.0/24,使 用 null 介面,計量值 : 10

(Null 路由 - 若 tunnel.1 關閉,則卸除至 10.1.1.0/24 的通訊流量 ) 至 10.1.1.0/24,使用 null 介面,計量值 : 10

由於兩台裝置都是從 Trust 區域中的介面 ping 到 Untrust 區域中的位址,因此 VPN 通道兩端的 admin 必須定義政策,允許 ping 在區域間傳遞。 注意 :

230

„

VPN 監看

由於本範例中兩個 VPN 終端連接器都是安全性裝置,因此可使用預設來源和目的 地位址進行 VPN 監看。包括其他選項的功能僅為了說明如何組態安全性裝置以使 用這些選項。


第 7 章 : 進階虛擬私人網路功能

WebUI ( 裝置 -A) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 輸入下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

Network > Interfaces > Tunnel IF New: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Trust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet1(trust-vr) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Remote_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.1.0/24 Zone: Untrust 3.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: gw1 Type: Static IP: ( 選擇 ), Address/Hostname: 2.2.2.2 Preshared Key: Ti82g4aX Security Level: Compatible Outgoing Interface: ethernet3

VPN 監看

„

231


概念與範例 ScreenOS 參考指南

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.1.1.0/24 Remote IP/Netmask: 10.2.1.0/24 Service: ANY VPN Monitor: ( 選擇 ) Source Interface: ethernet1 Destination IP: 10.2.1.1 Rekey: ( 清除 ) 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address / Netmask: 10.2.1.0/24 Gateway: ( 選擇 ) Interface: Tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address / Netmask: 10.2.1.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Remote_LAN Service: ANY Action: Permit Position at Top: ( 選擇 )

232

„

VPN 監看


第 7 章 : 進階虛擬私人網路功能

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Remote_LAN Destination Address: Address Book Entry: ( 選擇 ), Trust_LAN Service: Any Action: Permit Position at Top: ( 選擇 )

WebUI ( 裝置 -B) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.2.1.1/24 輸入下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.2.2.2/24

Network > Interfaces > Tunnel IF New: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Trust (trust-vr) Unnumbered: ( 選擇 ) Interface: ethernet1(trust-vr) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.2.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: Remote_LAN IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust

VPN 監看

„

233


概念與範例 ScreenOS 參考指南

3.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: gw1 Type: Static IP: ( 選擇 ), Address/Hostname: 1.1.1.1 Preshared Key: Ti82g4aX Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 10.2.1.0/24 Remote IP/Netmask: 10.1.1.0/24 Service: ANY VPN Monitor: ( 選擇 ) Source Interface: ethernet1 Destination IP: 10.1.1.5 Rekey: ( 清除 ) 4.

路由

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address / Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: Tunnel.1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > trust-vr New: 輸入下面的內容,然後 按一下 OK: Network Address / Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: Null Gateway IP Address: 0.0.0.0 Metric: 10

234

„

VPN 監看


第 7 章 : 進階虛擬私人網路功能

5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Trust_LAN Destination Address: Address Book Entry: ( 選擇 ), Remote_LAN Service: ANY Action: Permit Position at Top: ( 選擇 )

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), Remote_LAN Destination Address: Address Book Entry: ( 選擇 ), Trust_LAN Service: Any Action: Permit Position at Top: ( 選擇 )

CLI ( 裝置 -A) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone trust set interface tunnel.1 ip unnumbered interface ethernet1 2.

位址

set address trust Trust_LAN 10.1.1.0/24 set address untrust Remote_LAN 10.2.1.0/24 3.

VPN

set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare Ti82g4aX sec-level compatible set vpn vpn1 gateway gw1 sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.1.0/24 any set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.2.1.1 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 10.2.1.0/24 interface tunnel.1 set vrouter trust-vr route 10.2.1.0/24 interface null metric 10 5.

政策

set policy top from trust to untrust Trust_LAN Remote_LAN any permit set policy top from untrust to trust Remote_LAN Trust_LAN any permit save

VPN 監看

„

235


概念與範例 ScreenOS 參考指南

CLI ( 裝置 -B) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.2.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone trust set interface tunnel.1 ip unnumbered interface ethernet1 2.

位址

set address trust Trust_LAN 10.2.1.0/24 set address untrust Remote_LAN 10.1.1.0/24 3.

VPN

set ike gateway gw1 address 1.1.1.1 main outgoing-interface ethernet3 preshare Ti82g4aX sec-level compatible set vpn vpn1 gateway gw1 sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 10.2.1.0/24 remote-ip 10.1.1.0/24 any set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.1.1.5 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1 set vrouter trust-vr route 10.1.1.0/24 interface null metric 10 5.

政策

set policy top from trust to untrust Trust_LAN Remote_LAN any permit set policy top from untrust to trust Remote_LAN Trust_LAN any permit save

236

„

VPN 監看


第 7 章 : 進階虛擬私人網路功能

SNMP VPN 監看物件和陷阱 ScreenOS 可以使用「簡易網路管理通訊協定」(SNMP) VPN 監看物件和陷阱來確 定活動 VPN 的狀態和條件。VPN 監看 MIB 時,將記錄每個 ICMP 回應要求是否引 發回覆、連續的平均成功回覆、回覆等待時間以及最後 30 次嘗試的平均回覆等待 時間。 注意 :

若要啟用 SNMP 管理員應用程式以辨別 VPN 監看 MIB ( 管理資訊庫 ),必須將 ScreenOS 專用的 MIB 擴充檔案匯入到應用程式中。可在隨安全性裝置出貨的說 明文件 CD 中找到 MIB 擴充檔案。 在「自動金鑰 IKE」或「手動金鑰 VPN」通道中啟用 VPN 監看功能後,安全性裝 置就能啟動其 SNMP VPN 監看物件,這些物件包含下列資料 : „

活動 VPN 會話總數

„

每個會話的開始時間

„

每個會話的「安全性關聯 (SA)」元素 :

„

„

ESP ( 封裝安全性酬載 ) 加密 (DES 或 3DES) 和驗證演算法 (MD5 或 SHA-1) 類型

„

AH 演算法類型 (MD5 或 SHA-1)

„

金鑰交換通訊協定 (「自動金鑰 IKE」或「手動金鑰」)

„

階段 1 驗證方法 ( 預先共享的金鑰或認證 )

„

VPN 類型 ( 撥接或對等式 )

„

對等方及本機閘道 IP 位址

„

對等方及本機閘道 ID

„

安全性參數索引 (SPI) 號碼

會話狀態參數 „

VPN 監看狀態 ( 連接或中斷 )

„

通道狀態 ( 連接或中斷 )

„

階段 1 和 2 狀態 ( 非主動或主動 )

„

階段 1 和 2 生命週期 ( 重新建立金鑰前的秒數;階段 2 生命週期也用重新 建立金鑰前剩餘的位元組報告 )

VPN 監看

„

237


概念與範例 ScreenOS 參考指南

每個通道介面,多個通道 可將多個 IPSec VPN 通道連結到單一通道介面。若要將一個特定目的連結到若干 VPN 通道中的一個通道,這些通道連結到相同通道介面,安全性裝置使用兩個表 : 路由表和下一躍點通道連結 (NHTB) 表。安全性裝置將路由表項目中指定的下一躍 點閘道 IP 位址對應到 NHTB 表中指定的特定 VPN 通道。利用此技術,單一通道介 面可支援多個 VPN 通道。( 請參閱第 239 頁上的「路由到通道的對應」。) 圖 70: 一個通道介面連結到多個通道 到多個遠端對等方的以路 由為基礎的 VPN 通道。

所有通道共享相同 的通道介面。 本機安全性裝置 根據與路由表或 VPN 通道容量可支援的相同數量 VPN 通道 ( 以數量較少者為準 ), 安全性裝置可以對透過單一通道介面傳送的 VPN 通訊流量進行分類。

VPN 通道的最大數量,不是由可建立的通道介面的數量加以限制,而是由路由表 容量或專用 VPN 通道所允許的最大數量加以限制 ( 以數量較少者為準 )。例如,如 果安全性裝置支援 4000 個路由和 1000 個專用 VPN 通道,則可建立 1000 個 VPN 通道,並將它們連結到單一通道介面。如果安全性裝置支援 8192 個路由和 10,000 個專用 VPN 通道,則可建立 8000 多個 VPN 通道,並將它們連結到單一通道介 面。若要檢視安全性裝置的最大路由數量和通道容量,請參閱相關的產品資料表。 注意 :

238

„

每個通道介面,多個通道

如果路由表容量是限制因素,則必須減去由安全區域介面自動產生的路由以及其 他任何靜態路由 ( 如到預設閘道的路由 ),這些路由可能需要從以路由為基礎的 VPN 通道可用的總數中定義。


第 7 章 : 進階虛擬私人網路功能

路由到通道的對應 為了對連結到相同通道介面的多個 VPN 通道中的通訊流量進行分類,安全性裝置 將路由中指定的下一躍點閘道 IP 位址對應到特定 VPN 通道名稱。路由表中項目到 NHTB 表中項目的對應如下所示。在圖 71 中,本機安全性裝置先後透過 tunnel.1 介面和 vpn2 路由從 10.2.1.5 傳送到 10.1.1.5 的通訊流量。 圖 71: 路由表和下一躍點通道連結 (NHTB) 表 遠端 VPN 對等方 ( 具有動態指派的外部 IP 位址和固定的通道介面 IP 位址及其受 保護的 LAN)

具有多個通道 ( 連結 到 tunnel.1 介面 ) 的 本機安全性裝置

10.1.1.1 10.1.0.0/24

vpn1 tunnel.1

10.2.1.5

10.1.1.5 10.1.2.1

vpn2

10.1.1.0/24

vpn3

10.2.0.0/16 Trust 區域 LAN

10.1.3.1 10.1.2.0/24

路由表

下一躍點通道連結表

ID

IP-Prefix (Dst)

Interface

Gateway

Next-Hop

VPN

Flag

1

10.1.0.0/24

tunnel.1

10.1.1.1

10.1.1.1

vpn1

static

2

10.1.1.0/24

tunnel.1

10.1.2.1

10.1.2.1

vpn2

static

3

10.1.2.0/24

tunnel.1

10.1.3.1

10.1.3.1

vpn3

static

可使用動態路由設定通訊協定 ( 如邊界閘道通訊協定 (Border Gateway Protocol,BGP)) 自動填充路由表,或手動 輸入這些路由。閘道的 IP 位址是遠端對等方站台的通道 介面的位址。

在 「階段 2」交涉過程中,兩個 IKE 對等方交換通道 介面位址,並自動輸入這些下一躍點到通道連結。另 外,也可手動輸入這些連結。下一躍點 IP 位址是遠端 對等方的通道介面 IP 位址。

在上述項目中,路由表中閘道的 IP 位址 ( 也是 NHTB 表中下一躍點 IP 位址 ) 是遠端對等方站台的通道介面。此 IP 位址將 路由 ( 進而將路由中指定的通道介面 ) 連結到發往指定 IP 前置字元的通訊流量的特定 VPN 通道。

安全性裝置將遠端對等方的通道介面 IP 位址用作閘道和下一躍點 IP 位址。可手動 輸入路由,或讓動態路由設定通訊協定輸入路由,該路由將對等方的通道介面 IP 位址自動參照為路由表中的閘道。還必須在 NHTB 表中輸入與下一躍點相同的 IP 位址,以及相應的 VPN 通道名稱。此外,有兩種選項 : 可手動輸入,或者在「階 段 2」交涉過程中,讓安全性裝置從遠端對等方獲取並自動輸入。 安全性裝置將路由表項目中的閘道 IP 位址和 NHTB 表項目中的下一躍點 IP 位址 用作公用元素,將通道介面與相應的 VPN 通道連結。然後,安全性裝置即可引導 發往路由中指定的 IP 前置字元的通訊流量,它具有 NHTB 表中指定的正確 VPN 通道。

每個通道介面,多個通道

„

239


概念與範例 ScreenOS 參考指南

遠端對等方的位址 所有到達以路由為基礎的 VPN 的遠端對等方的內部定址方案彼此必須唯一。要實 現此目的,一種方法是每個遠端對等方都執行來源和目的地位址的網路位址轉譯 (NAT)。另外,通道介面 IP 位址在所有遠端對等方中也必須唯一。如果要與大量的 遠端站台相連,定址方案就很有必要了。以下是針對最多 1000 個 VPN 通道的一 個可能的定址方案 : 本機路由 表中的目的地

本機通道介面

閘道 / 下一躍點 ( 對等方的通道介面 ) VPN 通道

10.0.3.0/24

tunnel.1

10.0.2.1/24

vpn1

10.0.5.0/24

tunnel.1

10.0.4.1/24

vpn2

10.0.7.0/24

tunnel.1

10.0.6.1/24

vpn3

10.0.251.0/24

tunnel.1

10.0.250.1/24

vpn125

10.1.3.0/24

tunnel.1

10.1.2.1/24

vpn126

10.1.5.0/24

tunnel.1

10.1.4.1/24

vpn127

10.1.7.0/24

tunnel.1

10.1.6.1/24

vpn128

10.1.251.0/24

tunnel.1

10.1.250.1/24

vpn250

10.2.3.0/24

tunnel.1

10.2.2.1/24

vpn251

10.2.251.0/24

tunnel.1

10.2.250.1/24

vpn375

10.7.3.0/24

tunnel.1

10.7.2.1/24

vpn876

10.7.251.0/24

tunnel.1

10.7.250.1/24

vpn1000

本機安全性裝置上的通道介面 : 10.0.0.1/24。在所有遠端主機上,都存在一個具有 IP 位址的通道介面,它顯示為本機路由表和 NHTB 表中的閘道/下一躍點 IP 位址。 如需有關說明連結到具有位址轉譯的單一通道介面的多個通道的範例,請參閱 第 243 頁上的「設定重疊子網路的通道介面上的 VPN」。

240

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

圖 72: 多個通道連結到具位址轉譯的單一通道介面 本機安全性裝置及其所有 對等方都對向內 VPN 通訊 流量執行具有 IP 轉移的 NAT-dst,對出站 VPN 通訊 流量執行來自具有連接埠 轉譯的出口通道介面 IP 位 址的 NAT-src。

10.0.4.1/24 NAT-dst 10.0.5.1 -> 內部 IP 位址 IF 10.0.2.1/24 NAT-dst 10.0.3.1 -> 內部 IP 位址

10.0.6.1/24 NAT-dst 10.0.7.1 -> 內部 IP 位址 vpn2

vpn3 10.1.1.1/24 NAT-dst 10.1.2.1 -> 內部 IP 位址

vpn1

IF 10.0.2.1/24 NAT-dst 10.0.3.1 -> 內部 IP 位址 本機安全性裝置 10.0.0.1/24 NAT-dst 10.0.1.1 -> 內部 IP 位址

vpn251 10.6.2.1/24 NAT-dst 10.6.3.1 -> 內部 IP 位址

vpn751 vpn1000

10.7.250.1/24 NAT-dst 10.7.251.1 -> 內部 IP 位址

手動和自動表項目 可在 NHTB 和路由表中手動建立項目。也可自動填充 NHTB 和路由表。對於連結 到單一通道介面的少數通道,手動方法比較好。對於大量的通道,自動方法可以減 少管理設定和維護,因為通道或介面在中心站台的通道介面上不可用時,路由可動 態自我調節。

手動表項目 可將 VPN 通道手動對應到下一躍點通道連結 (NHTB) 表中遠端對等方的通道介面的 IP 位址。首先,必須聯絡遠端 admin,知道用於通道該端的通道介面的 IP 位址。 然後,可使用以下指令將該位址與 NHTB 表中的 VPN 通道名稱相關聯 : set interface tunnel.1 nhtb peer's_tunnel_interface_addr vpn name_str

之後,可在路由表中輸入靜態路由,路由表將該通道介面 IP 位址用作閘道。可透 過 WebUI 或以下 CLI 指令輸入路由 : set vrouter name-str route dst_addr interface tunnel.1 gateway peer's_tunnel_interface_addr

自動表項目 若要自動填充 NHTB 和路由表,必須滿足以下條件 : „

所有連結到單一本機通道介面的 VPN 通道的遠端對等方必須是執行 ScreenOS 5.0.0 的安全性裝置。

„

每個遠端對等方必須將其通道連結到通道介面,並且該介面在所有對等方通道 介面位址中必須具有唯一的 IP 位址。

„

在每個 VPN 通道的兩端,啟用含有重新建立金鑰選項的 VPN 監看,或啟用每 個遠端閘道的 IKE 活動訊號重新連接選項。

„

本機和遠端對等方的連接通道介面上必須有啟用的動態路由設定通訊協定的 實例。

每個通道介面,多個通道

„

241


概念與範例 ScreenOS 參考指南

使用含有重新建立金鑰選項的 VPN 監看可讓通道兩端的安全性裝置設定通道,而 無需等待使用者初始化的 VPN 通訊流量。在 VPN 通道兩端啟用含有重新建立金鑰 選項的 VPN 監看之後,兩台安全性裝置執行「階段 1」和「階段 2」IKE 交涉以建 立通道。( 如需詳細資訊,請參閱第 225 頁上的「VPN 監看」。) 注意 :

如果在通道介面上執行動態路由通訊協定,即使不啟用含有重新建立金鑰選項的 VPN 監看或 IKE 活動訊號重新連接選項,由通訊協定產生的通訊流量也會觸發 IKE 交涉。我們仍建議不要依賴動態路由通訊流量來觸發 IKE 交涉。而是要使用 含有重新建立金鑰選項的 VPN 監看或 IKE 活動訊號重新連接選項。 對於開放式最短路徑優先 (OSPF),您必須先組態本機對等方上的通道介面作為單 點對多點介面,然後才能啟用介面上的路由設定通訊協定。 對於具有動態指派的外部 IP 位址或具有對應到動態 IP 位址的完全合格的網域名 稱 (FQDN) 的遠端對等方,他們必須首先初始化 IKE 交涉。但是,由於本機安全 性裝置上的「階段 2」SA 快取遠端對等方的動態指派的 IP 位址,因此任何一個 對等方都可以重新初始化 IKE 交涉,重新增立其 VPN 監看狀態已從連接改變為中 斷的通道。 在「階段 2」交涉過程中,安全性裝置互相交換通道介面 IP 位址。然後,每個 IKE 模組都可在 NHTB 表中自動輸入通道介面 IP 位址及其相應的 VPN 通道名稱。 若要使本機安全性裝置在其路由表中自動輸入到遠端目的的路由,必須在本機和遠 端通道介面上啟用一個 BGP 實例。基本步驟如下 : 1. 在虛擬路由器上建立一個 BGP 路由實例,該路由器包含已連結多個 VPN 通道 的通道介面。 2. 在虛擬路由器上啟用路由實例。 3. 在通向 BGP 對等方的通道介面上啟用路由實例。 遠端對等方也執行這些步驟。 在本機 ( 或集線器 ) 裝置上,也必須定義到每個對等方的通道介面 IP 位址的預設路 由和靜態路由。集線器裝置需要到對等方的通道介面的靜態路由,以首先透過正確 的 VPN 通道到達其 BGP 鄰接方。 建立通訊之後,BGP 鄰接方交換路由資訊,以便他們可以自動填充路由表。兩個對 等方在它們之間建立 VPN 通道後,遠端對等方即可向 ( 從 ) 本機裝置傳送 ( 接收 ) 路由資訊。本機安全性裝置上的動態路由實例透過本機通道介面瞭解到對等方的路 由後,即可將作為閘道的遠端對等方的通道介面的 IP 位址包括在路由中。 如需有關說明連結到單一通道介面 ( 其中「集線器」裝置自動填充 NHTB 和路由表 ) 的多個通道的範例,請參閱第 262 頁上的「連結自動路由和 NHTB 表項目」。

242

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

設定重疊子網路的通道介面上的 VPN 在本範例中,將三個以路由為基礎的「自動金鑰 IKE VPN」通道 (vpn1、vpn2 和 vpn3) 連結到單一通道介面 (tunnel.1)。通道從裝置 -A 通向三個遠端對等方 (peer1、peer2 和 peer3)。在裝置 -A 上,為三個對等方手動新增路由表和 NHTB 表 項目。若要查看提供自動填充路由及 NHTB 表的方法的組態,請參閱第 262 頁上 的「連結自動路由和 NHTB 表項目」。 圖 73: Tunnel.1 介面連結到三個 VPN 通道

裝置 -A 的 Trust 區域並不顯示。

Untrust 區域 peer1

LAN

vpn1

裝置 -A

peer2

vpn2 vpn3

Trust 區域 ethernet1 10.1.1.1/24

vpn1 IKE 閘道 : peer1, 2.2.2.2 遠端對等方的通道介面 : 10.0.2.1

tunnel.1 10.0.0.1/30 DIP Pool 5: 10.0.0.2 - 10.0.0.2

peer3

ethernet3 1.1.1.1/24 external router 外部路由器 1.1.1.250

LAN LAN

vpn2 IKE 閘道 : peer2, 3.3.3.3 遠端對等方的 通道介面 : 10.0.4.1

vpn3 IKE 閘道 : peer3, 4.4.4.4 遠端對等方的通道介面 : 10.0.6.1

每個通道兩端的 VPN 通道組態都使用以下參數 : „

AutoKey IKE

„

各對等方的預先共享金鑰 :

„

„

peer1 使用 "netscreen1"

„

peer2 使用 "netscreen2"

„

peer3 使用 "netscreen3"

為「階段 1」和「階段 2」方案都預定義為 "Compatible" 的安全層級。( 如需 這些方案的詳細資訊,請參閱第 8 頁上的「通道交涉」。)

每台裝置上的所有安全區域和介面都在該裝置的 trust-vr 虛擬路由網域中。 本範例對每個 LAN 都使用相同的位址空間 (10.1.1.0/24),說明如何使用來源和目 的網路位址轉譯 (NAT-src 和 NAT-dst) 來解決 IPSec 對等方之間的定址衝突。如需有 關 NAT-src 和 NAT-dst 的詳細資訊,請參閱第 8 卷 : 位址轉譯。 WebUI ( 裝置 -A) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 輸入下面的內容,然後按一下 OK: Interface Mode: NAT

每個通道介面,多個通道

„

243


概念與範例 ScreenOS 參考指南

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Fixed IP: ( 選擇 ) IP Address/Netmask: 10.0.0.1/30

Network > Interfaces > Edit ( 對於 tunnel.1) > DIP > New: 輸入下面的內 容,然後按一下 OK: ID: 5 IP Address Range: ( 選擇 ), 10.0.0.2 ~ 10.0.0.2 Port Translation: ( 選擇 ) In the same subnet as the interface IP or its secondary IPs: ( 選擇 ) 2.

位址

Objects > Addresses > List > New: 輸入���面的內容,然後按一下 OK: Address Name: corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: oda1 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: peers IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.0.0/16 Zone: Untrust 3.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: peer1 Type: Static IP: ( 選擇 ), Address/Hostname: 2.2.2.2 Preshared Key: netscreen1 Security Level: Compatible Outgoing Interface: ethernet3

244

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn2 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: peer2 Type: Static IP: ( 選擇 ), Address/Hostname: 3.3.3.3 Preshared Key: netscreen2 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn3 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: peer3 Type: Static IP: ( 選擇 ), Address/Hostname: 4.4.4.4 Preshared Key: netscreen3 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY 4.

路由

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

每個通道介面,多個通道

„

245


概念與範例 ScreenOS 參考指南

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.1.0/24 Gateway: ( 選擇 ) Interface: ethernet1 Gateway IP Address: 0.0.0.0

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.3.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 10.0.2.1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.2.2/32 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 10.0.2.1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.5.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 10.0.4.1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.4.2/32 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 10.0.4.1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.7.0/24 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 10.0.6.1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.6.2/32 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 10.0.6.1

246

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.0.0/16 Gateway: ( 選擇 ) Interface: null Gateway IP Address: 0.0.0.0 Metric: 10

Network > Interfaces > Edit ( 對於 tunnel.1) > NHTB > New: 輸入下面的內 容,然後按一下 Add: New Next Hop Entry: IP Address: 10.0.2.1 VPN: vpn1

Network > Interfaces > Edit ( 對於 tunnel.1) > NHTB: 輸入下面的內容,然後 按一下 Add: New Next Hop Entry: IP Address: 10.0.4.1 VPN: vpn2

Network > Interfaces > Edit ( 對於 tunnel.1) > NHTB: 輸入下面的內容,然後 按一下 Add: New Next Hop Entry: IP Address: 10.0.6.1 VPN: vpn3 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book: ( 選擇 ), corp Destination Address: Address Book: ( 選擇 ), peers Service: Any Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Source Translation: ( 選擇 ) DIP On: 5 (10.0.0.2-10.0.0.2)/X-late

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), peers Destination Address: Address Book Entry: ( 選擇 ), oda1 Service: Any Action: Permit Position at Top: ( 選擇 )

每個通道介面,多個通道

„

247


概念與範例 ScreenOS 參考指南

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Destination Translation: ( 選擇 ) Translate to IP Range: ( 選擇 ), 10.1.1.0 - 10.1.1.254

CLI ( 裝置 -A) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.0.0.1/30 set interface tunnel.1 dip 5 10.0.0.2 10.0.0.2 2.

位址

set address trust corp 10.1.1.0/24 set address trust oda1 10.0.1.0/24 set address untrust peers 10.0.0.0/16 3.

VPN

set ike gateway peer1 address 2.2.2.2 outgoing-interface ethernet3 preshare netscreen1 sec-level compatible set vpn vpn1 gateway peer1 sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any set ike gateway peer2 address 3.3.3.3 outgoing-interface ethernet3 preshare netscreen2 sec-level compatible set vpn vpn2 gateway peer2 sec-level compatible set vpn vpn2 bind interface tunnel.1 set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any set ike gateway peer3 address 4.4.4.4 outgoing-interface ethernet3 preshare netscreen3 sec-level compatible set vpn vpn3 gateway peer3 sec-level compatible set vpn vpn3 bind interface tunnel.1 set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any 4.

路由

set set set set set set set set set set set set

248

„

每個通道介面,多個通道

vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 vrouter trust-vr route 10.0.1.0/24 interface ethernet1 vrouter trust-vr route 10.0.3.0/24 interface tunnel.1 gateway 10.0.2.1 vrouter trust-vr route 10.0.2.2/32 interface tunnel.1 gateway 10.0.2.1 vrouter trust-vr route 10.0.5.0/24 interface tunnel.1 gateway 10.0.4.1 vrouter trust-vr route 10.0.4.2/32 interface tunnel.1 gateway 10.0.4.1 vrouter trust-vr route 10.0.7.0/24 interface tunnel.1 gateway 10.0.6.1 vrouter trust-vr route 10.0.6.2/32 interface tunnel.1 gateway 10.0.6.1 vrouter trust-vr route 10.0.0.0/16 interface null metric 10 interface tunnel.1 nhtb 10.0.2.1 vpn vpn1 interface tunnel.1 nhtb 10.0.4.1 vpn vpn2 interface tunnel.1 nhtb 10.0.6.1 vpn vpn3


第 7 章 : 進階虛擬私人網路功能

5.

政策

set policy from trust to untrust corp peers any nat src dip-id 5 permit set policy from untrust to trust peers oda1 any nat dst ip 10.1.1.0 10.1.1.254 permit save Peer1

以下組態 ( 如圖 74 中所示 ) 是建立到企業站台的裝置 A 的 VPN 通道時,peer1 站 台的安全性裝置的遠端 admin 必須輸入的內容。由於內部位址在與企業 LAN 的位 址相同的位址空間,因此遠端 admin 組態安全性裝置,以執行來源和目的 NAT (NAT-src 和 NAT-dst)。10.1.1.0/24. Peer1 透過 VPN1 將通訊流量傳送到裝置 -A 時, 使用 DIP 集區 6 執行 NAT-src,以將所有內部來源位址轉譯到 10.0.2.2。Peer1 在 從裝置 -A 傳送來的 VPN 通訊流量上執行 NAT-dst,使用位址轉移將位址從 10.0.3.0/24 轉譯到 10.1.1.0/24。 圖 74: Peer1 執行 NAT-Dst ethernet3 2.2.2.2/24 外部路由器 2.2.2.250 Untrust 區域

tunnel.10 10.0.2.1/30 DIP 集區 6 10.0.2.2 - 10.0.2.2

NAT-dst 範圍 10.0.3.0 - 10.0.3.255 ethernet1 10.1.1.1/24 Peer 1

NAT-dst 從 10.0.3.0 - 10.0.3.255 到 10.1.1.0 - 10.1.1.255 使用位址轉移

Trust 區域

來自裝置 - A 的 vpn1

LAN 10.1.1.0/24

注意 :

如需有關 NAT-src 和 NAT-dst 的詳細資訊,請參閱第 8 卷 : 位址轉譯。

每個通道介面,多個通道

„

249


概念與範例 ScreenOS 參考指南

WebUI (Peer1) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 輸入下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.2.2.2/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.10 Zone (VR): Untrust (trust-vr) Fixed IP: ( 選擇 ) IP Address/Netmask: 10.0.2.1/30

Network > Interfaces > Edit ( 對於 tunnel.10) > DIP > New: 輸入下面的內 容,然後按一下 OK: ID: 6 IP Address Range: ( 選擇 ), 10.0.2.2 ~ 10.0.2.2 Port Translation: ( 選擇 ) In the same subnet as the interface IP or its secondary IPs: ( 選擇 ) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: lan IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: oda2 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.3.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: to_corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.1.0/24 Zone: Untrust

250

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: fr_corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.0.2/32 Zone: Untrust 3.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: corp Type: Static IP: ( 選擇 ), Address/Hostname: 1.1.1.1 Preshared Key: netscreen1 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.10 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY 4.

路由

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250 Metric: 1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.3.0/24 Gateway: ( 選擇 ) Interface: ethernet1 Gateway IP Address: 0.0.0.0 Metric: 1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.0.0/8 Gateway: ( 選擇 ) Interface: tunnel.10 Gateway IP Address: 0.0.0.0 Metric: 10

每個通道介面,多個通道

„

251


概念與範例 ScreenOS 參考指南

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.0.0/8 Gateway: ( 選擇 ) Interface: null Gateway IP Address: 0.0.0.0 Metric: 12 5.

政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), fr_corp Destination Address: Address Book Entry: ( 選擇 ), oda2 Service: Any Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Destination Translation: ( 選擇 ) Translate to IP Range: ( 選擇 ), 10.1.1.0 - 10.1.1.254

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), lan Destination Address: Address Book Entry: ( 選擇 ), to_corp Service: Any Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Source Translation: ( 選擇 ) DIP On: 6 (10.0.2.2-10.0.2.2)/X-late

CLI (Peer1) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.10 zone untrust set interface tunnel.10 ip 10.0.2.1/30 set interface tunnel.10 dip 6 10.0.2.2 10.0.2.2

252

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

2.

位址

set set set set 3.

address trust lan 10.1.1.0/24 address trust oda2 10.0.3.0/24 address untrust to_corp 10.0.1.0/24 address untrust fr_corp 10.0.0.2/32

VPN

set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare netscreen1 sec-level compatible set vpn vpn1 gateway corp sec-level compatible set vpn vpn1 bind interface tunnel.10 set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 metric 1 set vrouter trust-vr route 10.0.3.0/24 interface ethernet1 metric 1 set vrouter trust-vr route 10.0.0.0/8 interface tunnel.10 metric 10 set vrouter trust-vr route 10.0.0.0/8 interface null metric 12 5.

政策

set policy from trust to untrust lan to_corp any nat src dip-id 6 permit set policy from untrust to trust fr_corp oda2 any nat dst ip 10.1.1.0 10.1.1.254 permit save Peer2

以下組態 ( 如圖 75 中所示 ) 是建立到企業站台的裝置 -A 的 VPN 通道時,peer2 站 台的安全性裝置的遠端 admin 必須輸入的內容。由於內部位址在與企業 LAN 的位 址相同的位址空間,因此遠端 admin 組態安全性裝置,以執行來源和目的 NAT (NAT-src 和 NAT-dst)。10.1.1.0/24. Peer2 透過 VPN2 將通訊流量傳送到裝置 -A 時, 使用 DIP 集區 7 執行 NAT-src,以將所有內部來源位址轉譯到 10.0.4.2。Peer2 在 從裝置 -A 傳送來的 VPN 通訊流量上執行 NAT-dst,使用位址轉移將位址從 10.0.5.0/24 轉譯到 10.1.1.0/24。 圖 75: Peer2 ethernet3 3.3.3.3/24 外部路由器 3.3.3.250 Untrust 區域

來自裝置 -A 的 vpn2

tunnel.20 10.0.4.1/30 DIP 集區 7 10.0.4.2 10.0.4.2

NAT-dst 範圍 10.0.5.0 - 10.0.5.255 ethernet1 10.1.1.1/24 Peer2

NAT-dst 從 10.0.5.0 - 10.0.5.255 到 10.1.1.0 - 10.1.1.255 使用位址轉移

Trust 區域 LAN 10.1.1.0/24

注意 :

如需有關 NAT-src 和 NAT-dst 的詳細資訊,請參閱第 8 卷 : 位址轉譯。

每個通道介面,多個通道

„

253


概念與範例 ScreenOS 參考指南

WebUI (Peer2) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 輸入下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 3.3.3.3/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.20 Zone (VR): Untrust (trust-vr) Fixed IP: ( 選擇 ) IP Address/Netmask: 10.0.4.1/30

Network > Interfaces > Edit ( 對於 tunnel.20) > DIP > New: 輸入下面的內 容,然後按一下 OK: ID: 7 IP Address Range: ( 選擇 ), 10.0.4.2 ~ 10.0.4.2 Port Translation: ( 選擇 ) In the same subnet as the interface IP or its secondary IPs: ( 選擇 ) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: lan IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: oda3 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.5.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: to_corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.1.0/24 Zone: Untrust

254

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: fr_corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.0.2/32 Zone: Untrust 3.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn2 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: corp Type: Static IP: ( 選擇 ), Address/Hostname: 1.1.1.1 Preshared Key: netscreen2 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.20 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY 4.

路由

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 3.3.3.250 Metric: 1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.5.0/24 Gateway: ( 選擇 ) Interface: ethernet1 Gateway IP Address: 0.0.0.0 Metric: 1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.1.0/24 Gateway: ( 選擇 ) Interface: tunnel.20 Gateway IP Address: 0.0.0.0 Metric: 10

每個通道介面,多個通道

„

255


概念與範例 ScreenOS 參考指南

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.1.0/24 Gateway: ( 選擇 ) Interface: null Gateway IP Address: 0.0.0.0 Metric: 12 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), lan Destination Address: Address Book Entry: ( 選擇 ), to_corp Service: Any Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Source Translation: ( 選擇 ) DIP On: 7 (10.0.4.2-10.0.4.2)/X-late

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), fr_corp Destination Address: Address Book Entry: ( 選擇 ), oda3 Service: Any Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Destination Translation: ( 選擇 ) Translate to IP Range: ( 選擇 ), 10.1.1.0 - 10.1.1.254

CLI (Peer2) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 3.3.3.3/24 set interface tunnel.20 zone untrust set interface tunnel.20 ip 10.0.4.1/30 set interface tunnel.20 dip 7 10.0.4.2 10.0.4.2

256

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

2.

位址

set set set set 3.

address trust lan 10.1.1.0/24 address trust oda3 10.0.5.0/24 address untrust to_corp 10.0.1.0/24 address untrust fr_corp 10.0.0.2/32

VPN

set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare netscreen2 sec-level compatible set vpn vpn2 gateway corp sec-level compatible set vpn vpn2 bind interface tunnel.20 set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any 4.

路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 metric 1 set vrouter trust-vr route 10.0.5.0/24 interface ethernet1 metric 1 set vrouter trust-vr route 10.0.0.0/8 interface tunnel.20 metric 10 set vrouter trust-vr route 10.0.0.0/8 interface null metric 12 5.

政策

set policy from trust to untrust lan to_corp any nat src dip-id 7 permit set policy from untrust to trust fr_corp oda3 any nat dst ip 10.1.1.0 10.1.1.254 permit save Peer3

以下組態 ( 如圖 76 中所示 ) 是建立到企業站台的裝置 -A 的 VPN 通道時,peer3 站 台的安全性裝置的遠端 admin 必須輸入的內容。由於內部位址在與企業 LAN 的位 址相同的位址空間,因此遠端 admin 組態安全性裝置,以執行來源和目的 NAT (NAT-src 和 NAT-dst)。10.1.1.0/24. Peer3 透過 VPN3 將通訊流量傳送到裝置 -A 時, 使用 DIP 集區 8 執行 NAT-src,以將所有內部來源位址轉譯到 10.0.6.2。Peer3 在 從裝置 -A 傳送來的 VPN 通訊流量上執行 NAT-dst,使用位址轉移將位址從 10.0.7.0/24 轉譯到 10.1.1.0/24。 圖 76: Peer3

Untrust 區域

ethernet3 4.4.4.4/24 外部路由器 4.4.4.250

tunnel.30 10.0.6.1/30 DIP 集區 8 10.0.6.2 - 10.0.6.2

NAT-dst 範圍 10.0.7.0 - 10.0.7.255 ethernet1 10.1.1.1/24 Peer3

來自裝置 -A 的 vpn2

NAT-dst 從 10.0.7.0 - 10.0.7.255 到 10.1.1.0 - 10.1.1.255 使用位址轉移

Trust 區域 LAN 10.1.1.0/24

注意 :

如需 NAT-dst 的詳細資訊,請參閱第 8 卷 : 位址轉譯。

每個通道介面,多個通道

„

257


概念與範例 ScreenOS 參考指南

WebUI (Peer3) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 輸入下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 4.4.4.4/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.30 Zone (VR): Untrust (trust-vr) Fixed IP: ( 選擇 ) IP Address/Netmask: 10.0.6.1/30

Network > Interfaces > Edit ( 對於 tunnel.30)> DIP > New: 輸入下面的內 容,然後按一下 OK: ID: 7 IP Address Range: ( 選擇 ), 10.0.6.2 ~ 10.0.6.2 Port Translation: ( 選擇 ) In the same subnet as the interface IP or its secondary IPs: ( 選擇 ) 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: lan IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: oda4 IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.7.0/24 Zone: Trust

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: to_corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.1.0/24 Zone: Untrust

258

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: fr_corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.0.0.2/32 Zone: Untrust 3.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn3 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: corp Type: Static IP: ( 選擇 ), Address/Hostname: 1.1.1.1 Preshared Key: netscreen3 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.30 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY 4.

路由

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 4.4.4.250 Metric: 1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.7.0/24 Gateway: ( 選擇 ) Interface: ethernet1 Gateway IP Address: 0.0.0.0 Metric: 1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.0.0/8 Gateway: ( 選擇 ) Interface: tunnel.20 Gateway IP Address: 10.0.0.1 Metric: 10

每個通道介面,多個通道

„

259


概念與範例 ScreenOS 參考指南

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.0.0.0/8 Gateway: ( 選擇 ) Interface: null Gateway IP Address: 10.0.0.1 Metric: 12 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), lan Destination Address: Address Book Entry: ( 選擇 ), to_corp Service: Any Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Source Translation: ( 選擇 ) DIP On: 8 (10.0.6.2-10.0.6.2)/X-late

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), fr_corp Destination Address: Address Book Entry: ( 選擇 ), oda4 Service: Any Action: Permit Position at Top: ( 選擇 )

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 Policy 組態頁面 : NAT: Destination Translation: ( 選擇 ) Translate to IP Range: ( 選擇 ), 10.1.1.0 - 10.1.1.254

260

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

CLI (Peer3) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 4.4.4.4/24 set interface tunnel.30 zone untrust set interface tunnel.30 ip 10.0.6.1/30 set interface tunnel.30 dip 8 10.0.6.2 10.0.6.2 2.

位址

set set set set 3.

address trust lan 10.1.1.0/24 address trust oda4 10.0.7.0/24 address untrust to_corp 10.0.1.0/24 address untrust fr_corp 10.0.0.2/32

VPN

set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare netscreen3 sec-level compatible set vpn vpn3 gateway corp sec-level compatible set vpn vpn3 bind interface tunnel.30 set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any 4.

路由

set vrouter 1 set vrouter set vrouter set vrouter 5.

trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 metric trust-vr route 10.0.7.0/24 interface ethernet1 metric 1 trust-vr route 10.0.0.0/8 interface tunnel.30 metric 10 trust-vr route 10.0.0.0/8 interface null metric 12

政策

set policy from trust to untrust lan to_corp any nat src dip-id 8 permit set policy from untrust to trust fr_corp oda4 any nat dst ip 10.1.1.0 10.1.1.254 permit save

每個通道介面,多個通道

„

261


概念與範例 ScreenOS 參考指南

連結自動路由和 NHTB 表項目 在第 262 頁上的圖 77 中,將兩個以路由為基礎的「自動金鑰 IKE VPN」通道 (vpn1、vpn2) 連結到企業站台的裝置 -A 上的單一通道介面 (tunnel.1)。在已連接 路由的後面,每個遠端對等方保護的網路都有多個路由。對等方利用「邊界閘道通 訊協定」(BGP) 與到裝置 -A 的路由進行通信。本範例允許 VPN 通訊流量從裝置 -A 後面的企業站台到對等方站台。 注意 :

您也可以使用開放式最短路徑優先 (Open Shortest Path First,OSPF),而不使用 BGP 作為本範例中的路由設定通訊協定。有關 OSPF 組態的資訊,請參閱第 273 頁上的「使用自動路由表項目的 OSPF」。

圖 77: 自動路由和 NHTB 表項目 ( 裝置 -A) vpn1 IKE 閘道 : peer1, 2.2.2.2 遠端對等方的通道介面 : 2.3.3.1

裝置 - A 上的 tunnel.1 介面被連結到 兩個 VPN 通道。

每個對等方後面的路由都不 為裝置 -A 所知,直到對等方 使用 BGP 傳送這些路由。

Untrust 區域 peer1 vpn1 裝置 - A peer2 Trust 區域 ethernet1 10.1.1.1/24

tunnel.1 10.0.0.1/30

ethernet3 1.1.1.1/24 外部路由器 1.1.1.250

vpn2

vpn2 IKE 閘道 : peer2, 3.3.3.3 遠端對等方的通道介面 : 3.4.4.1

每個通道兩端的 VPN 通道組態都使用以下參數 : 自動金鑰 IKE、預先共享金鑰 (peer1: "netscreen1", peer2: "netscreen2"),及「階段 1」和「階段 2」方案都預 定義為 "Compatible" 的安全層級。( 如需這些方案的詳細資訊,請參閱第 8 頁上的 「通道交涉」。) 透過組態以下兩個功能,即可使裝置 -A 自動填充 NHTB 和路由表 :

262

„

每個通道介面,多個通道

„

含有重新建立金鑰選項的 VPN 監看 ( 或 IKE 活動訊號重新連接選項 )

„

tunnel.1 上的 BGP 動態路由


第 7 章 : 進階虛擬私人網路功能

注意 :

如果在通道介面上執行動態路由通訊協定,即使不啟用含有重新建立金鑰選項的 VPN 監看或 IKE 活動訊號重新連接選項,由通訊協定產生的通訊流量也會觸發 IKE 交涉。Juniper Networks 仍建議不要依賴動態路由設定通訊流量來觸發 IKE 交涉。 而是要使用含有重新建立金鑰選項的 VPN 監看或 IKE 活動訊號重新連接選項。 如果在通道介面上執行 BGP,即使不啟用含有重新建立金鑰選項的 VPN 監看或 IKE 活動訊號重新連接選項,BGP 產生的通訊流量也會觸發 IKE 交涉。Juniper Networks 仍建議不要依賴 BGP 通訊流量來觸發 IKE 交涉。而是要使用含有重新 建立金鑰選項的 VPN 監看或 IKE 活動訊號重新連接選項。 為「自動金鑰 IKE VPN」通道啟用含有重新建立金鑰選項的 VPN 監看後,您和遠 端站台的 admin 一旦完成對通道的組態,裝置 -A 即建立與遠端對等方的 VPN 連 接。裝置不必等待使用者產生的 VPN 通訊流量來執行 IKE 交涉。在「階段 2」交 涉過程中,安全性裝置交換通道介面 IP 位址,這樣裝置 -A 即可在 NHTB 表中自動 進行 VPN 到下一躍點的對應。 重新建立金鑰選項確定「階段 1」和「階段 2」金鑰生命週期到期時,裝置自動交 涉產生新金鑰,而無需人員操作。已啟用的含有重新建立金鑰選項的 VPN 監看能 夠使 VPN 通道不斷保持連接狀態,即使沒有使用者產生的通訊流量。這一點很有 必要,這樣您和遠端 admin 在通道兩端的通道介面上建立並啟用的 BGP 動態路由 實例即可將路由資訊傳送到裝置 -A,並在使用者產生的通訊流量需要路由之前, 使用需要的路由自動填充路由表,以引導通訊流量透過 VPN 通道。(對等方站台的 admin 仍需要透過各自站台的通道介面輸入到虛擬私人網路其餘部分的單一靜態 路由。) 在裝置 -A 上輸入預設路由和靜態路由,以透過正確的 VPN 通道到達其 BGP 鄰接 方。每台裝置上的所有安全區域和介面都在該裝置的 trust-vr 虛擬路由網域中。 WebUI ( 裝置 -A) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 Apply: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 10.1.1.1/24 輸入下面的內容,然後按一下 OK: Interface Mode: NAT

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 1.1.1.1/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Fixed IP: ( 選擇 ) IP Address/Netmask: 10.0.0.1/30

每個通道介面,多個通道

„

263


概念與範例 ScreenOS 參考指南

2.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: peer1 Type: Static IP: ( 選擇 ), Address/Hostname: 2.2.2.2 Preshared Key: netscreen1 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY VPN Monitor: ( 選擇 ) Rekey: ( 選擇 ) 注意 :

保留來源介面和目的 IP 選項為其預設設定。如需有關這些選項的資訊,請參閱 第 225 頁上的「VPN 監看」。 VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn2 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: peer2 Type: Static IP: ( 選擇 ), Address/Hostname: 3.3.3.3 Preshared Key: netscreen2 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.1 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY VPN Monitor: ( 選擇 ) Rekey: ( 選擇 ) 注意 :

264

„

每個通道介面,多個通道

保留來源介面和目的 IP 選項為其預設設定。如需有關這些選項的資訊,請參閱 第 225 頁上的「VPN 監看」。


第 7 章 : 進階虛擬私人網路功能

3.

靜態路由

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 1.1.1.250

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 2.3.3.1/32 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 2.3.3.1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 3.4.4.1/32 Gateway: ( 選擇 ) Interface: tunnel.1 Gateway IP Address: 3.4.4.1 4.

動態路由

Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Create BGP Instance: 輸入下面的內容,然後按一下 OK: AS Number ( 必要 ): 99 BGP Enabled: ( 選擇 )

Network > Interfaces > Edit ( 對於 tunnel.1) > BGP: 選取 Protocol BGP 核取 方塊,然後按一下 OK。 Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Edit BGP Instance > Neighbors: 輸入下面的內容,然後按一下 Add: AS Number: 99 Remote IP: 2.3.3.1 Outgoing Interface: tunnel.1

Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Edit BGP Instance > Neighbors: 輸入下面的內容,然後按一下 Add: AS Number: 99 Remote IP: 3.4.4.1 Outgoing Interface: tunnel.1 5.

政策

Policies > (From: Trust, To: Untrust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book: ( 選擇 ), Any Destination Address: Address Book: ( 選擇 ), Any Service: ANY Action: Permit 每個通道介面,多個通道

„

265


概念與範例 ScreenOS 參考指南

CLI ( 裝置 -A) 1.

介面

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.0.0.1/30 2.

VPN

set ike gateway peer1 address 2.2.2.2 outgoing-interface ethernet3 preshare netscreen1 sec-level compatible set vpn vpn1 gateway peer1 sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any set vpn vpn1 monitor rekey set ike gateway peer2 address 3.3.3.3 outgoing-interface ethernet3 preshare netscreen2 sec-level compatible set vpn vpn2 gateway peer2 sec-level compatible set vpn vpn2 bind interface tunnel.1 set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any set vpn vpn2 monitor rekey 3.

靜態路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 2.3.3.1/32 interface tunnel.1 gateway 2.3.3.1 set vrouter trust-vr route 2.4.4.1/32 interface tunnel.1 gateway 2.4.4.1 4.

動態路由

ns-> set vrouter trust-vr protocol bgp 99 ns-> set vrouter trust-vr protocol bgp enable ns-> set interface tunnel.1 protocol bgp ns-> set vrouter trust-vr ns(trust-vr)-> set protocol bgp ns(trust-vr/bgp)-> set neighbor 2.3.3.1 remote-as 99 outgoing interface tunnel.1 ns(trust-vr/bgp)-> set neighbor 2.3.3.1 enable ns(trust-vr/bgp)-> set neighbor 3.4.4.1 remote-as 99 outgoing interface tunnel.1 ns(trust-vr/bgp)-> set neighbor 3.4.4.1 enable ns(trust-vr/bgp)-> exit ns(trust-vr)-> exit 5.

政策

set policy from trust to untrust any any any permit save

266

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

Peer1

以下組態 ( 如第 267 頁上的圖 78 中所示 ) 是建立到企業站台的裝置 A 的 VPN 通道 時,peer1 站台的安全性裝置的遠端 admin 必須輸入的內容。遠端 admin 組態安 全性裝置,以允許企業站台的向內通訊流量。他還組態安全性裝置,與透過 vpn1 到其 BGP 鄰接方的內部路由通訊。 圖 78: Peer1 ethernet3 2.2.2.2/24 外部路由器 2.2.2.250

ethernet1 2.3.4.1/24

tunnel.10 2.3.3.1/30

Trust 區域

Untrust 區域 2.3.

Peer1

來自裝置 - A 的 vpn2

2.3.4.0/24 2.3.

WebUI (Peer1) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 OK: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.3.4.1/24

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.2.2.2/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.10 Zone (VR): Untrust (trust-vr) Fixed IP: ( 選擇 ) IP Address/Netmask: 2.3.3.1/30 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust

每個通道介面,多個通道

„

267


概念與範例 ScreenOS 參考指南

3.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: corp Type: Static IP: ( 選擇 ), Address/Hostname: 1.1.1.1 Preshared Key: netscreen1 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.10 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY 4.

靜態路由

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 2.2.2.250 Metric: 1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: tunnel.10 Gateway IP Address: 0.0.0.0 Metric: 1 5.

動態路由

Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Create BGP Instance: 輸入下面的內容,然後按一下 OK: AS Number ( 必要 ): 99 BGP Enabled: ( 選擇 )

Network > Interfaces > Edit ( 對於 tunnel.10) > BGP: 選取 Protocol BGP 核取 方塊,然後按一下 OK。 Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Edit BGP Instance > Neighbors: 輸入下面的內容,然後按一下 Add: AS Number: 99 Remote IP: 10.0.0.1 Outgoing Interface: tunnel.10

268

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

6.

政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), corp Destination Address: Address Book Entry: ( 選擇 ), Any Service: ANY Action: Permit

CLI (Peer1) 1.

介面

set set set set set set 2.

interface ethernet1 zone trust interface ethernet1 ip 2.3.4.1/24 interface ethernet3 zone untrust interface ethernet3 ip 2.2.2.2/24 interface tunnel.10 zone untrust interface tunnel.10 ip 2.3.3.1/30

位址

set address untrust corp 10.1.1.0/24 3.

VPN

set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare netscreen1 sec-level compatible set vpn vpn1 gateway corp sec-level compatible set vpn vpn1 bind interface tunnel.10 set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any 4.

靜態路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 metric 1 set vrouter trust-vr route 10.1.1.0/24 interface tunnel.10 metric 1 5.

動態路由

ns-> set vrouter trust-vr protocol bgp 99 ns-> set vrouter trust-vr protocol bgp enable ns-> set interface tunnel.10 protocol bgp ns-> set vrouter trust-vr ns(trust-vr)-> set protocol bgp ns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 outgoing interface tunnel.10 ns(trust-vr/bgp)-> set neighbor 10.0.0.1 enable ns(trust-vr/bgp)-> exit ns(trust-vr)-> exit 6.

政策

set policy from untrust to trust corp any any permit save

每個通道介面,多個通道

„

269


概念與範例 ScreenOS 參考指南

Peer2

以下組態 ( 如圖 79 中所示 ) 是建立到企業站台的裝置 A 的 VPN 通道時,peer2 站 台的安全性裝置的遠端 admin 必須輸入的內容。遠端 admin 組態安全性裝置,以 允許企業站台的向內通訊流量。他還組態安全性裝置,與透過 vpn2 到其 BGP 鄰接 方的內部路由通訊。 圖 79: Peer2 ethernet3 3.3.3.3/24 外部路由器 3.3.3.250 來自裝置 -A 的 vpn2

tunnel.20 3.4.4.1/30

Trust 區域

ethernet1 3.4.5.1/24

3.4.

Peer2 3.4.5.0/24

Untrust 區域 3.4.

WebUI (Peer2) 1.

介面

Network > Interfaces > Edit ( 對於 ethernet1): 輸入下面的內容,然後按一下 OK: Zone Name: Trust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 2.3.4.1/24

Network > Interfaces > Edit ( 對於 ethernet3): 輸入下面的內容,然後按一下 OK: Zone Name: Untrust Static IP: ( 出現時選擇此選項 ) IP Address/Netmask: 3.3.3.3/24

Network > Interfaces > New Tunnel IF: 輸入下面的內容,然後按一下 OK: Tunnel Interface Name: tunnel.20 Zone (VR): Untrust (trust-vr) Fixed IP: ( 選擇 ) IP Address/Netmask: 3.4.4.1/30 2.

位址

Objects > Addresses > List > New: 輸入下面的內容,然後按一下 OK: Address Name: corp IP Address/Domain Name: IP/Netmask: ( 選擇 ), 10.1.1.0/24 Zone: Untrust

270

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

3.

VPN

VPNs > AutoKey IKE > New: 輸入下面的內容,然後按一下 OK: VPN Name: vpn2 Security Level: Compatible Remote Gateway: Create a Simple Gateway: ( 選擇 ) Gateway Name: corp Type: Static IP: ( 選擇 ), Address/Hostname: 1.1.1.1 Preshared Key: netscreen2 Security Level: Compatible Outgoing Interface: ethernet3

> Advanced: 輸入下面的進階設定,然後按一下 Return 返回基本 AutoKey IKE 組態頁面 : Bind to: Tunnel Interface, tunnel.20 Proxy-ID: ( 選擇 ) Local IP/Netmask: 0.0.0.0/0 Remote IP/Netmask: 0.0.0.0/0 Service: ANY 4.

靜態路由

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 0.0.0.0/0 Gateway: ( 選擇 ) Interface: ethernet3 Gateway IP Address: 3.3.3.250 Metric: 1

Network > Routing > Routing Entries > (trust-vr) New: 輸入下面的內容,然 後按一下 OK: Network Address / Netmask: 10.1.1.0/24 Gateway: ( 選擇 ) Interface: tunnel.20 Gateway IP Address: 0.0.0.0 Metric: 1 5.

動態路由

Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Create BGP Instance: 輸入下面的內容,然後按一下 OK: AS Number ( 必要 ): 99 BGP Enabled: ( 選擇 )

Network > Interfaces > Edit ( 對於 tunnel.20) > BGP: 選取 Protocol BGP 核取 方塊,然後按一下 OK。 Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Edit BGP Instance > Neighbors: 輸入下面的內容,然後按一下 Add: AS Number: 99 Remote IP: 10.0.0.1 Outgoing Interface: tunnel.20

每個通道介面,多個通道

„

271


概念與範例 ScreenOS 參考指南

6.

政策

Policies > (From: Untrust, To: Trust) New: 輸入下面的內容,然後按一下 OK: Source Address: Address Book Entry: ( 選擇 ), corp Destination Address: Address Book Entry: ( 選擇 ), Any Service: ANY Action: Permit

CLI (Peer2) 1.

介面

set set set set set set 2.

interface ethernet1 zone trust interface ethernet1 ip 3.4.5.1/24 interface ethernet3 zone untrust interface ethernet3 ip 3.3.3.3/24 interface tunnel.20 zone untrust interface tunnel.20 ip 3.4.4.1/30

位址

set address untrust corp 10.1.1.0/24 3.

VPN

set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare netscreen2 sec-level compatible set vpn vpn1 gateway corp sec-level compatible set vpn vpn1 bind interface tunnel.20 set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any 4.

靜態路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 metric 1 set vrouter trust-vr route 10.1.1.0/24 interface tunnel.20 metric 1 5.

動態路由

ns-> set vrouter trust-vr protocol bgp 99 ns-> set vrouter trust-vr protocol bgp enable ns-> set interface tunnel.20 protocol bgp ns-> set vrouter trust-vr ns(trust-vr)-> set protocol bgp ns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 outgoing interface tunnel.20 ns(trust-vr/bgp)-> set neighbor 10.0.0.1 enable ns(trust-vr/bgp)-> exit ns(trust-vr)-> exit 6.

政策

set policy from untrust to trust corp any any permit save

272

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

使用自動路由表項目的 OSPF 您也可以組態 OSPF 而不組態 BGP 動態路由設定,讓對等方使用前者將路由傳遞 至裝置 -A。為了讓裝置 -A 上的 tunnel.1 與其對等方形成 OSPF 鄰接,您必須將通 道介面組態為單點對多點的介面。每個裝置的 OSPF 動態路由設定組態如下所示。 WebUI ( 裝置 -A) 動態路由設定 (OSPF)

Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Create OSPF Instance: 選擇 OSPF Enabled,然後按一下 Apply。 Area > Configure ( 對於區域 0.0.0.0): 按一下 << Add 將 tunnel.1 介面從 Available Interface(s) 清單移至 Selected Interface(s) 清單,然後按一下 OK。 Network > Interfaces > Edit ( 對於 tunnel.1) > OSPF: 輸入下面的內容,然後 按一下 Apply: Bind to Area: ( 選擇 ), 從下拉式清單中選擇 0.0.0.0 Protocol OSPF: Enable Link Type: Point-to-Multipoint ( 選擇 )

CLI ( 裝置 -A) 動態路由設定 (OSPF)

ns-> set vrouter trust-vr protocol ospf ns-> set vrouter trust-vr protocol ospf enable ns-> set interface tunnel.1 protocol ospf area 0 ns-> set interface tunnel.1 protocol ospf link-type p2mp ns-> set interface tunnel.1 protocol ospf enable ns-> save

WebUI (Peer1) 動態路由設定 (OSPF)

Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Create OSPF Instance: 選擇 OSPF Enabled,然後按一下 Apply。 Area > Configure ( 對於區域 0.0.0.0): 按一下 << Add 將 tunnel.1 介面從 Available Interface(s) 清單移至 Selected Interface(s) 清單,然後按一下 OK。 Network > Interfaces > Edit ( 對於 tunnel.1) > OSPF: 輸入下面的內容,然後 按一下 Apply: Bind to Area: ( 選擇 ), 從下拉式清單中選擇 0.0.0.0 Protocol OSPF: Enable

每個通道介面,多個通道

„

273


概念與範例 ScreenOS 參考指南

CLI (Peer1) 動態路由設定 (OSPF)

ns-> set vrouter trust-vr protocol ospf ns-> set vrouter trust-vr protocol ospf enable ns-> set interface tunnel.1 protocol ospf area 0 ns-> set interface tunnel.1 protocol ospf enable ns-> save

WebUI (Peer2) 動態路由設定 (OSPF)

Network > Routing > Virtual Routers > Edit ( 對於 trust-vr) > Create OSPF Instance: 選擇 OSPF Enabled,然後按一下 Apply。 Area > Configure ( 對於區域 0.0.0.0): 按一下 << Add 將 tunnel.1 介面從 Available Interface(s) 清單移至 Selected Interface(s) 清單,然後按一下 OK。 Network > Interfaces > Edit ( 對於 tunnel.1) > OSPF: 輸入下面的內容,然後 按一下 Apply: Bind to Area: ( 選擇 ), 從下拉式清單中選擇 0.0.0.0 Protocol OSPF: Enable

CLI (Peer2) 動態路由設定 (OSPF)

ns-> set vrouter trust-vr protocol ospf ns-> set vrouter trust-vr protocol ospf enable ns-> set interface tunnel.1 protocol ospf area 0 ns-> set interface tunnel.1 protocol ospf enable ns-> save

274

„

每個通道介面,多個通道


第 7 章 : 進階虛擬私人網路功能

備援 VPN 閘道 冗餘閘道功能提供的解決方案讓 VPN 連接在站台到站台故障後移轉之中和之後不 會中斷。可以建立一個 VPN 群組以提供一組冗餘閘道 ( 最多四個 ),基於政策的站 台到站台或站台到站台動態對等方自動金鑰 IKE IPSec VPN 通道可以連接到該冗餘 閘道上。安全性裝置第一次接收與參考 VPN 群組的政策相符的通訊流量時,會對 該群組所有成員執行「階段 1」和「階段 2」IKE 交涉。安全性裝置透過 VPN 通道 將資料傳送到群組中具有最高優先權或權重的閘道。對於群組中的其他所有閘道, 安全性裝置保持「階段 1」和「階段 2」的 SA 並且透過經過這些通道傳送 IKE keepalive 封包使其保持啟動狀態。如果啟用的 VPN 通道發生故障,通道可以故障 後移轉到群組中具有第二最高優先權的通道和閘道。 注意 :

VPN 群組不支援 L2TP、IPSec 上的 L2TP、撥接、手動金鑰或以路由為基礎的 VPN 通道類型。在「站台對站台動態對等方」組態中,監視 VPN 群組的安全性 裝置必須是動態指定不受信任 IP 位址,而 VPN 群組成員的不受信任 IP 位址必須 是靜態位址的裝置。 此配置假設冗餘閘道後的站台都已連接,以便鏡像所有站台主機中的資料。此 外,每個站台 ( 專用於高可用性 (HA)) 都具有一個在 HA 模式中執行的安全性裝置 的冗餘叢集。因此,VPN 故障後移轉臨界值必須設定高於裝置的故障後移轉臨界 值,否則會發生不必要的 VPN 故障後移轉。

圖 80: VPN 通道故障後移轉的冗餘 VPN 閘道 = 資料 = IKE 活動訊號

VPN 群組,ID 1

VPN 群組,ID 1 (VPN 故障後移轉後 )

備援 VPN 閘道

„

275


概念與範例 ScreenOS 參考