hillstone SA IPSec VPN的配置

发布:刘苏平 | 发布时间: 2008年10月8日

SA 系列安全网关支持两种配置IPSec VPN 的方法，分别是：

♦ 手工密钥VPN
♦ IKE VPN

配置手工密钥VPN

手工密钥VPN 的配置包括指定IPSec 协议的操作模式、安全参数索引、协议类型、加密算法和验证算法等。

通过WebUI 创建手工密钥VPN 隧道：

1. 点击“VPN􀁨手工密钥VPN􀁨新建”。
2. 依次填写或者选择各选项。
3. 点击『确定』按钮保存所做配置。

指定IPSec 协议的操作模式（隧道模式）

指定安全参数索引

安全参数索引（Security Parameter Index，简称为SPI）是为唯一标识SA而生成的一个32 比特的数值，它在AH 和ESP 头中传输。SPI 的作用是查找对应的VPN 隧道进行解密。

在为系统配置安全联盟时，必须分别设置进方向（inbound）和出方向（outbound）两个方向的安全联盟的参数。并且在隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的SPI 必须和对端的出方向安全联盟的SPI 一样；本端的出方向安全联盟的SPI 必须和对端的入方向安全联盟的SPI 一样。

指定协议类型

IPSec 协议的类型为ESP 和AH 两种。

指定加密算法

指定验证算法

指定对端IP 地址

配置协议的验证密钥

用户需要为安全隧道两端均配置协议的验证密钥，且本端入方向验证密钥必须与对端出方向的验证密钥相同，而本端出方向的验证密钥必须与对端入方向的验证密钥相同。

配置协议的加密密钥

用户需要为安全隧道两端均配置协议的加密密钥，且本端入方向加密密钥必须与对端出方向的加密密钥相同，而本端出方向的加密密钥必须与对端入方向的加密密钥相同。

指定出接口

配置IKE VPN

IKE VPN 为自动协商方式。IKE VPN 的配置包括：

♦ 配置P1 提议
♦ 配置ISAKMP 网关
♦ 配置P2 提议
♦ 配置隧道

配置P1 提议

P1 提议是IKE 安全提议，可应用到ISAKMP 网关上，在SA 第一阶段使用。对IKE 安全提议的配置包括指定认证方式、加密算法、验证算法、DH 组和安全联盟的生命周期。

通过WebUI 创建P1 提议：

1. 点击“VPN􀁨IKE VPN􀁨P1 提议􀁨新建”。
2. 依次填写或者选择各选项。
3. 点击『确定』按钮保存所做配置。

指定认证方式

此处指定的是IKE 身份认证的方式。身份认证用来确认通信双方的身份。方式有两种：预共享密钥认证和数字证书认证。对于预共享密钥认证方式，认证字用来作为一个输入产生密钥，认证字不同是不可能在双方产生相同的密钥的。

指定加密算法

StoneOS 提供以下五种加密算法：3DES、DES、128bit AES、192bit AES以及256bit AES。

指定验证算法

StoneOS 支持以下两种验证算法：MD5 和SHA。

选择DH 组

Diffie-Hellman（DH）是一种建立密钥的方法。DH 组决定DH 交换中密钥生成“材料”的长度。密钥的牢固性部分决定于DH 组的强度。IKE 共定义了5 个DH组，组1（低）定义的密钥“材料”长度为768 位；组2（中）长度为1024 位。

密钥“材料”长度越长，所生成的密钥安全度也就越高，越难被破译。DH 组的选择很重要，因为DH 组只在第一阶段的SA 协商中确定，第二阶段的协商不再重新选择DH 组，两个阶段使用的是同一个DH 组，因此该DH 组的选择将影响所有会话密钥的生成。在协商过程中，两个ISAKMP 网关间应选择同一个DH 组，即密钥“材料”长度应该相等。

指定安全联盟的生命周期

第一阶段SA 有一个默认的生命周期，如果ISAKMP SA 生命期时间到，要向对方发送第一阶段SA 删除消息，通知对方第一阶段SA 已经过期。之后需要重新进行SA 协商。

配置ISAKMP 网关

创建一个ISAKMP 网关后，用户可以配置ISAKMP 网关的IKE 协商模式、ISAKMP 网关IP 地址及类型、IKE 安全提议、预共享密钥、PKI 信任域、本地ID、ISAKMP 网关ID 、ISAKMP 网关连接方式以及是否开启ISAKMP 网关的NAT 穿越功能等。

通过WebUI 创建ISAKMP 网关：

1. 点击“VPN􀁨IKE VPN􀁨对端􀁨新建”。
2. 依次填写或者选择各选项。
3. 点击『确定』按钮保存所做配置。

绑定接口到ISAKMP 网关

配置IKE 协商模式

IKE 的协商模式有两种：主模式（main mode）和野蛮模式（aggressivemode）。IKE 野蛮模式适用于以下情况：中心设备的IP 地址为固定分配的地址，而客户端设备的IP 地址为动态获取的地址。

指定对端的IP 地址及类型

用户可以为所创建的ISAKMP 网关指定对端的IP 地址和IP 地址的类型（静态或者动态）。

指定P1 提议

配置预共享密钥

如果使用预共享密钥认证方式，用户就需要指定预共享密钥。

配置PKI 信任域

如果使用数字证书认证方式，用户就需要指定数字证书的PKI 信任域。

配置本端及对端ID

StoneOS 支持FQDN 和Asn1dn 类型的ID。

指定连接类型

创建的ISAKMP 网关可以是发起端、响应端或者既是发起端也是响应端。

开启NAT 穿越功能

在IPSec 或者IKE 组建的VPN 隧道中，若存在NAT 网关设备，且NAT 网关设备对VPN 数据进行了NAT 转换，则必须开启IPSec 或者IKE 的NAT 穿越功能。默认情况下，NAT 穿越功能是关闭的。

配置DPD 功能

DPD（Dead Peer Detection）为安全隧道对端状态探测功能。该功能开启后，如果接收端长时间收不到对端的报文，便触发DPD 查询，主动向对端发送请求报文，对ISAKMP 网关是否存在进行检测。默认情况下，DPD 功能是关闭的。

指定描述信息

配置P2 提议

P2 提议使用在SA 第二阶段。对P2 提议的配置包括指定协议类型、加密算法、验证算法和生命周期。

通过WebUI 创建P2 提议：
1. 点击“VPN􀁨IKE VPN􀁨P2 提议􀁨新建”。
2. 依次填写或者选择各选项。
3. 点击『确定』按钮保存所做配置。

指定协议类型

P2 提议可使用的协议类型有AH 以及ESP。

指定加密算法

用户可以为P2 提议指定至少一种最多四种加密算法。

指定验证算法

用户可以为P2 提议指定至少一种最多三种验证算法。

配置PFS 功能

PFS（Perfect Forward Security）功能决定新密钥的生成方式，而不是新密钥的生成时间。PFS 保证无论在哪一阶段，一个密钥只能使用一次，而且，生成密钥的“材料”也只能使用一次。某个“材料”在生成了一个密钥后就被弃，绝不用来再生成任何其它密钥。这样可以确保一旦单个密钥泄密，最多只可能影响用该密钥加密的数据，而不会危及整个通信。PFS 功能是由DH 算法做保障的。

指定生命周期

SA 系列安全网关有两种衡量生命周期的方法，分别是按时间和按流量。当SA的流量或者时间达到特定值时，SA 就会过期，需要重新进行协商。

配置隧道

通过IKE 配置IPSec 隧道，用户需要配置的选项有指定协议类型、ISAKMP 网关、IKE 安全提议、ID 号、是否分片以及防重放等。

通过WebUI 创建IKE 隧道：

1. 点击“VPN􀁨IKE VPN􀁨隧道􀁨新建”。
2. 依次填写或者选择各选项。
3. 点击『确定』按钮保存所做配置。

指定 IPSec 协议的操作模式

指定ISAKMP 网关

指定P2 提议

指定第二阶段ID

配置自动连接功能

设备提供了两种触发建立SA 的方式：自动方式和流量触发方式。默认情况下，使用流量触发方式。