标签：03 删除 防火墙 对方 地址 固定 连接 IPsec

        【简介】现在很多单位都有分公司或者分部，距离离的还比较远，但又经常需要两点之间进行安全的通迅，防火墙与防火墙之间建立IPsec可以很好满足要求，这里介绍两端都是固定IP的情况防火墙的配置。

---

  IPsec的作用

        作为一项成熟的技术，广泛应用于组织总部和分支机构之间的组网互联，其利用组织已有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来。　　

        IPsec通常是由防火墙与防火墙之间建立连接，但也可以通过远程的客户端与防火墙建立IPsec连接。

  环境介绍

        本次IPsec选用的设备为比较大众化的FortGate 60D与FortGate 90D。

        ① IPsec设置之前需要知道双方的公网地址以及内网地址范围。

        ② 两边内网地址网段不能相同，以免互相访问时发生冲突 。

  配置 IPsec

        为了能够更好的理解两端IPsec设置的区别，我们将两边的设置放在一起介绍。

        ① 选择菜单 【虚拟专网】-【IPsec】-【 隧道】，点击 Create New 新建一条隧道。

        ② FortiGate 90D 与 FortiGate 60D 通过向导建立IPsec隧道对比。

        (1) 用户名建议使用地名加设备简称，会比较方便判断是哪里到哪里 ；

        (2) 因为两边都是FortiGate设备，所以在向导里选项Site to Site；

        (3) 远程网关就是需要连接的对方的外网地址，这里输入对方的外网地址，会自动检测出流出接口；

        (4) 预共享密钥为自定义，要求连接的双方设备都设置为相同的预共享密钥；

        (5) 选择输入本地接口，本地子网会自动填写，远程子网就是需连接的对方内网范围，这里填写对方的内网范围。

        ③ 有的时候会报告错误信息，退出重来又会正常 (可以理解为 Bug）。

  启动与测试

        IPsec建成后需要启动连接。

        ① 选择菜单【虚拟专网】-【监视器】-【IPsec 监视器】，初始状态为断开（红色下箭头图标），鼠标在上点击右键，弹出子菜单，点击启用 。

        ② 当 IPsec 监视器中的状态显示为绿色向上箭头时，表明已经连接成功。

        ③ Ping对方内网网关，也可以验证是否连通。

        ④ IPsec建好后，就可以安全的访问对方内网了，和本地局域网一样，本例中192.168.1.111就是90D内网中的电脑共享。

          【提示】如果对方内网不能Ping通，有可能是因为对方电脑系统内的防火墙启动了，关闭系统防火墙就OK了。

  删除 IPsec

        当我们因为各种原因需要删除IPsec的时候，先要知道通过模板建立IPsec时，都创建了哪些内容。

        ① 自动建立了两个地址对象。

        ② 自动建立了一进一出的两条策略。

        ③ 自动创建了一条静态路由。

        ④ 从菜单上可以看到，隧道并不可以直接删除，如果需要删除隧道，需要先删除自动建立的一条静态路由和两条进出策略，然后才可以删除隧道。 当然最好也删除两条地址对象及地址对象组。飞塔技术-老梅子   QQ：57389522

 

---

标签：03,删除,防火墙,对方,地址,固定,连接,IPsec
来源： https://blog.csdn.net/meigang2012/article/details/53501860

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。