示例:Web配置华为USG防火墙 |
您所在的位置:网站首页 › 华为usg6370防火墙 › 示例:Web配置华为USG防火墙 |
组网拓扑
云下华为USG为用户的出口防火墙,通过该设备配置VPN与华为云VPC连通,两端的子网信息和连接方式如图1所示。 图1 拓扑连接![]() 用户侧信息: 网关:8.1.1.77。 子网:192.168.77.0/24。华为云侧信息: 网关:9.1.1.9。 子网:192.168.9.0/24。华为云端的VPN连接资源策略配置按照缺省信息配置,详见图2。 图2 策略配置![]() 登录防火墙管理页面,选择“网络 > IPsec”,新建IPsec连接,详情如图4所示。 图3 新建IPsec连接1![]() ![]() 参数名称 说明 虚拟系统 选择默认即可。 策略名称 客户自行指定。 本端接口 配置对接本端公网IP的接口。 本端地址 本端公网IP。 对端地址 对端公网IP。 认证方式 预共享密钥。 本端ID与对端ID IP地址,并填入对应的公网IP。 待加密数据流 源地址为云下子网,目标地址为云上子网,请勿使用地址组名称配置。 安全提议 按照华为云策略配置,要求两端配置信息一致。 DPD 勾选DPD,选择按需发送,配置信息默认即可。 路由配置选择“网络 > 路由 > 静态路由”,新建一条目的为华为云子网的静态路由,下一跳指向本地出接口网关IP。 图5 新建静态路由![]() 参数名称 说明 协议类型 IPv4。 源虚拟路由器 选择默认的“public”。 目的地址/掩码 云端子网地址。 目的虚拟路由器 选择默认的“public”。 出接口 本端公网IP配置的接口。 下一跳 本端公网地址下一跳。 ![]() 其余配置默认即可,存在多出口时,需额外添加访问云端公网IP从此出接口流出的路由。 NAT配置选择“策略 > NAT策略 > 源NAT”,新建一条本地子网访问华为云不做NAT转换的策略。 图6 新建源NAT策略![]() 参数名称 说明 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域,一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any 转换方式 不做NAT转换 ![]() 例如已配置缺省策略:源区域为any,访问目标区域any,出口转换为接口地址。请额外添加一条NAT策略:源区域为local,目标区域为any,转换方式为不做NAT转换,并将该策略置于缺省策略之上。 安全策略配置选择“策略 > 安全策略 > 安全策略”,新建一条本地子网访问华为云的放行策略。 图7 安全策略![]() 参数名称 说明 源安全区域 本端子网所在区域。 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域,一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any。 动作 允许 ![]() 为确保该策略优先匹配,请将该策略置顶。 配置验证完成配置后,请选择“网络 > IPsec > IPsec”,单击对应策略列的“诊断”,发起连接协商。 连接状态详细在“IPsec-监控”中查看,诊断示意如图8所示。 图8 IPsec诊断![]() |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |