背景

某企業(yè)總部AF作為網(wǎng)關(guān)部署在公網(wǎng)出口，ETH2口接內(nèi)網(wǎng)，分部是路由器做出口，總部內(nèi)網(wǎng)有服務器192.168.1.3需要提供80端口的web服務給分部訪問，為了安全考慮，現(xiàn)在需要和分支那邊的路由器建立IPSEC VPN連接，同時分部訪問總部服務器的時候也需要進行安全防護，以免黑客通過分部終端來攻擊服務器，只允許訪問服務器的80端口，路由器IPSEV VPN配置已經(jīng)完成，使用IKE V2，加密算法用的DES，認證算法是MD5。

分析

針對這些需求，先和路由器建立IPSEC VPN連接，再用應用控制策略來限制區(qū)域訪問的服務，用安全防護策略針對vpn區(qū)域進行業(yè)務防護，使用默認模板即可。

配置步驟

1、定義區(qū)域，進入【網(wǎng)絡/區(qū)域】，新增兩個區(qū)域，服務器區(qū)選擇eth3，分部區(qū)選擇vpntun接口。

2、啟用VPN服務。進入【網(wǎng)絡/IPSecVPN/VPN運行狀態(tài)】勾選【開啟VPN服務】。

3、配置VPN線路。進入【網(wǎng)絡/IPSecVPN/基本設(shè)置/線路】。
新增線路，填寫公網(wǎng)IP。

4、配置IPSEC VPN。進入【網(wǎng)絡/IPSecVPN/第三方對接管理】 新增第三方設(shè)備，進行基礎(chǔ)配置，填寫對端路由器公網(wǎng)IP地址2.2.2.1和預共享密鑰，加密數(shù)據(jù)流填寫本端地址服務器IP 192.168.1.3 ， 對端地址填寫分部內(nèi)網(wǎng)192.168.2.0/24。

5、配置IPSEC VPN。在【網(wǎng)絡/IPSecVPN/第三方對接管理】進行IKE配置，選擇IKEv2，本地身份ID填寫1.2.1.1,對端身份ID填寫2.2.2.1，加密算法選擇DES，認證算法MD5。

6、配置IPSEC VPN。再進行IPSec配置與對端一致即可，配置完成。

7、配置應用控制策略，進入【策略/訪問控制/應用控制策略/策略配置】，新增應用控制策略，源區(qū)域選擇自定義的【分部區(qū)】，目的區(qū)域選擇自定義的【服務器區(qū)】，服務選擇http。

8、配置安全防護策略。進入【策略/安全策略/安全防護策略】新增業(yè)務防護策略，都選擇業(yè)務防護場景中的默認模板。

效果預覽

1、IPSEC VPN連接成功，在【網(wǎng)絡/IPSecVPN/DLAN運行狀態(tài)】能夠查看到連接狀態(tài)。

2、通過分部電腦訪問http://192.168.1.3?可以正常打開網(wǎng)頁。

3、通過分部電腦訪問無法訪問192.168.1.3其他服務，PING測試也不通。

4、通過分部電腦對192.168.1.3進行SQL注入、網(wǎng)站掃描等web攻擊，被安全防護策略拒絕的攻擊行為無法攻擊成功，查看【監(jiān)控/日志/安全日志】有拒絕的信息。