資源描述:
《fortigate防火墻vpn設(shè)置》由會員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1����、FortiGate防火墻的LANTOLAN型式的VPN設(shè)置方法服務(wù)器端的設(shè)置首先在服務(wù)器端定義客戶端的私網(wǎng)網(wǎng)段����,依次選擇主頁面左側(cè)菜單中的“防火墻”à“地址”�,在地址欄頁面中點(diǎn)擊“新建”按鈕����,在地址名稱中寫入自定義的名稱,在IP地址欄里填入對方的私網(wǎng)網(wǎng)段和掩碼�����,如下圖:下面建立一個提供遠(yuǎn)程接入的VPN通道����,依次選擇菜單中的“虛擬專網(wǎng)”à“IPSec”�,先選擇階段1�����,點(diǎn)擊“新建”按鈕新建一個VPN網(wǎng)關(guān),在網(wǎng)關(guān)名稱中任意填寫一個自定義的名字���,遠(yuǎn)程網(wǎng)關(guān)中選擇“連接用戶”�,點(diǎn)擊“野蠻模式”,在預(yù)共享)��,在接受此對等體ID里填入自定義的ID名字(兩端設(shè)置要相同)���,在加密算法里選
2、擇“DES”���、認(rèn)證選擇“MD5”����,點(diǎn)擊下面一行的“減號”�,DH組只選擇“1”即可,密鑰周期如有改動要確保兩端設(shè)置相同���。如下圖所示:接下來新建一個通道���,點(diǎn)擊此頁面中的“階段2”標(biāo)簽,在通道名稱里任意填寫一個名字����,遠(yuǎn)程網(wǎng)關(guān)里選擇在階段一里建立的網(wǎng)關(guān)名稱��,點(diǎn)擊“高級選項”進(jìn)行高級設(shè)置,在階段2交互方案中選擇DES加密算法和MD5認(rèn)證算法�����,點(diǎn)擊下面一行的“減號”�,取消“啟用數(shù)據(jù)重演檢測”和“啟用完全轉(zhuǎn)發(fā)安全性”選項����,密鑰周期如有改動需保證兩端相同,確保保持存活選項的狀態(tài)為啟用�����,快速模式鑒別選項選擇“在策略中選擇”�。如下圖所示:建立一條從內(nèi)網(wǎng)通向上面定義的對方網(wǎng)段的加密策略�,并
3、移動該策略到所有策略的首位置����,依次選擇菜單中的“防火墻”à“策略”��,點(diǎn)擊“新建”按鈕,接中區(qū)選擇從“internal”到“wan1”��,地址名選擇內(nèi)部網(wǎng)絡(luò)地址池到上面建好的對端地址池����,模式選“ENCRYPT”�,VPN通道選擇在階段二中建立的通道名�����?��?蛻舳说脑O(shè)置客戶端的設(shè)置與服務(wù)器端基本相同,首先在客戶端定義服務(wù)器端的私網(wǎng)網(wǎng)段����,依次選擇主頁面左側(cè)菜單中的“防火墻”à“地址”,在地址欄頁面中點(diǎn)擊“新建”按鈕���,在地址名稱中寫入自定義的名稱����,在IP地址欄里填入對方的私網(wǎng)網(wǎng)段和掩碼���,及本地的私網(wǎng)網(wǎng)段和掩碼如下圖:下面建立一個提供遠(yuǎn)程接入的VPN通道�,依次選擇菜單中的“虛擬專網(wǎng)”à
4�����、“IPSec”����,選擇階段1�����,點(diǎn)擊“新建”按鈕新建一個VPN網(wǎng)關(guān)�����,在網(wǎng)關(guān)名稱中任意填寫一個自定義的名字�����,遠(yuǎn)程網(wǎng)關(guān)中選擇“靜態(tài)IP地址”���,在IP地址欄里填寫對端的公網(wǎng)IP,點(diǎn)擊“野蠻模式”���,在預(yù)共享密鑰里填入自定義的認(rèn)證碼(兩端設(shè)置要相同)����,點(diǎn)擊“高級選項”,在加密算法里選擇“DES”�、認(rèn)證選擇“MD5”,點(diǎn)擊下面一行的“減號”���,DH組只選擇“1”即可,在本地ID里輸入自定義的ID名稱(與對端接受的ID名稱設(shè)置要相同)�,密鑰周期如有改動要確保兩端設(shè)置相同。如下圖所示:接下來點(diǎn)擊此頁面中的“階段2”標(biāo)簽���,在通道名稱里任意填寫一個名字����,遠(yuǎn)程網(wǎng)關(guān)里選擇在階段一里建立的網(wǎng)關(guān)名稱����,
5、點(diǎn)擊“高級選項”進(jìn)行高級設(shè)置�,在階段2交互方案中選擇DES加密算法和MD5認(rèn)證算法�����,點(diǎn)擊下面一行的“減號”���,取消“啟用數(shù)據(jù)重演檢測”和“啟用完全轉(zhuǎn)發(fā)安全性”選項�,密鑰周期如有改動需保證兩端相同���,選擇保持存活選項的狀態(tài)為啟用,快速模式鑒別選項選擇“在策略中選擇”�����。如下圖所示:建立一條從內(nèi)網(wǎng)通向上面定義的對方網(wǎng)段的加密策略�,并移動該策略到所有策略的首位置,依次選擇菜單中的“防火墻”à“策略”�,點(diǎn)擊“新建”按鈕,接中區(qū)選擇從“internal”到“wan1”��,地址名選擇內(nèi)部網(wǎng)絡(luò)地址池到上面建好的對端地址池����,模式選“ENCRYPT”�����,VPN通道選擇在階段二中建立的通道名����。注:
6���、LANTOLAN形式的VPN設(shè)置中,兩端有很多配置必需一致����,否則不能連接成功�����,比如共享密鑰,對等體ID��,密鑰周期等信息��。FortiGate防火墻的PCTOLAN型式的VPN設(shè)置方法第一步:建立用戶帳號信息依次選擇“設(shè)置用戶”à“本地”�,點(diǎn)擊“新建”按鈕��,在用戶名稱欄里填寫自定義的名字��,然后在“輸入密碼”欄里輸入密碼�����,點(diǎn)擊“OK”按鈕����。根據(jù)需要可重復(fù)上面步驟添加多個用戶�����。如下圖所示:第二步:定義用戶組點(diǎn)擊菜單中的“用戶組”�,在“組名”中任意填寫一個名字,在“可用的成員”中選擇剛剛建立的用戶�����,然后點(diǎn)擊添加用戶的箭頭�。如下圖所示:第三步:啟用PPTP依次選擇“虛擬專網(wǎng)”à“
7�����、PPTP”�,在此頁面中選擇“啟用PPTP”���,在“起始IP”和“終止IP”欄里分別填寫要分配的起始地址和終止地址����,用戶組欄里選擇剛剛建立的用戶組���,點(diǎn)擊“應(yīng)用”按鈕���。如下圖所示:第四步:定義外部的虛擬IP地址依次選擇“防火墻”à“地址”�,點(diǎn)擊“新建”按鈕,在地址欄里任意填寫一個名稱�,“IP地址范圍/子網(wǎng)掩碼”里填寫要分配給遠(yuǎn)程PC的虛擬IP地址或網(wǎng)段����。如下圖所示:第五步:建立允許遠(yuǎn)程PC撥入的策略依次選擇“防火墻”à“策略”,點(diǎn)擊“新建”按鈕�����,接口區(qū)中的“源”選擇“WAN1”����,“目的”選擇“internal”�,地址名中的“源”選擇剛剛建立的地址名稱,“目
