SonicWALL防火墙通过 Site2Site VPN.docx
- 文档编号:16169155
- 上传时间:2023-07-11
- 格式:DOCX
- 页数:12
- 大小:1.11MB
SonicWALL防火墙通过 Site2Site VPN.docx
《SonicWALL防火墙通过 Site2Site VPN.docx》由会员分享,可在线阅读,更多相关《SonicWALL防火墙通过 Site2Site VPN.docx(12页珍藏版)》请在冰点文库上搜索。
SonicWALL防火墙通过Site2SiteVPN
SonicWALL防火墙通过Site2SiteVPN(点到点)隧道发布服务器
简介:
SonicWALL防火墙通过Site2SiteVPN(点到点)隧道发布服务器
本文适用于:
涉及到的Sonicwall防火墙
Gen4:
PRO系列:
PRO5060,PRO4100,PRO4060,PRO3060,PRO2040,PRO1260
Gen4:
TZ系列:
TZ190/W,TZ180/W,TZ170/W/SP/SPWireless
固件/软件版本:
SonicOS3.1增强版以及更新版本
服务:
Site2SiteVPN,NATPolicies
功能与应用
1、北京和深圳的用户各自通过各自的防火墙访问Internet互不干涉,北京要求和深圳建立Site2SiteVPN隧道实现双方局域网互访,
2、深圳有固定的公网IP地址,北京使用ADSLPPPOE获得动态IP地址,
3、北京有服务器一台,拟对外提供FTP和WEB服务。
4、由于北京没有固定公网IP地址而深圳有固定公网IP,拟通过在深圳的防火墙上发布北京的服务器,公网上的用户直接通过输入深圳的公网地址来实现访问北京的服务器
配置步骤
北京防火墙配置
1.进入Network->Interfaces页面,配置各网卡和网络环境,如图所示:
2.进入VPN->Settings页面,配置Site2SiteVPN,使用AggressiveMode,注意EnableVPN处于选择状态。
3.系统本身已经存在两个VPN策略,分别是针对VPNclient用户和WLAN无线用户的,
我们需要再新建一条静态的VPN策略所以点击Add按钮。
4.SharedSecret是两台防火墙设备在进行IPsec的IKE协商时使用的密码,这个是在阶段一进行初始化时使用的,两台设备的共享密钥必须一致才能协商成功。
LocalIKEID和PeerIKEID是在野蛮模式下双方进行配置IPSec身份验证的凭证,IKEID类型可以选择任意的类型,只要两端的设备的IDTYPE是匹配的就可以
深圳防火墙配置
1.进入Network->Interfaces页面,
2.设置LAN=192.168.253.1,子网掩码255.255.255.0
3.设置WAN=192.168.254.100,子网掩码255.255.255.0以及对应外网网关,如图所示:
4.进入Network->AddressObjects页面,添加两个地址对象,192.168.168.0=192.168.168.0,
Type为Host,Zone选择VPN和192.168.168.100=192.168.168.100,Type为Host,
Zone选择VPN,如图所示:
5. 进入Firewall->Services页面,点击AddGroup…按钮建立一个服务组Test_services,
本例要发布的是FTP和WEB服务器,因此将HTTP和FTP服务添加到组中
6.进入VPN->Settings页面,配置Site2SiteVPN,我们现在配置的是AggressiveMode(野蛮模式的VPN),所以在IPsecPrimaryGatewayNameorAddress栏中输入对端的IP地址为0.0.0.0(因为不知道对端确切的IP)
6. 进入Network->NATPolicies页面,点击Add…按钮,
OriginalSource选择Any
TranslatedSource选择LANInterfaceIP
OriginalDestination选择WANInterfaceIP
TranslatedDestination选择192.168.168.100
OriginalService选择Test_services
TranslatedService选择Original
InboundInterface选择WAN
OutboundInterface选择Any
提示:
这里TranslatedSource必须选择TZ170的LANInterfaceIP,
否则,公网用户将不能成功访问北京的服务器
8.配置完成后的NAT策略列表如下:
9.进入Firewall->AccessRules页面,选择WAN到VPN方向的按钮,如下配置:
10.配置完成后的防火墙访问控制策略列表如下:
提示:
由于公网用户是通过VPN隧道访问北京的服务器的,因此,策略的进入和流出的区域分别是WAN和VPN,所以策略的方向为WAN>VPN。
另外,这种发布服务器的方式存在一定的安全风险,因为所有公网用户的IP被NAT成TZ170的LANInterfaceIP,那么在北京服务器端的日志里只能记录来访者的IP为TZ170的LAN口IP,在出现攻击时不利于提供攻击者的IP的真实情况
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SonicWALL防火墙通过 Site2Site VPN SonicWALL 防火墙 通过