Ipsec Vpn

在实际网络环境中，如果防火墙上的OSPF运行状态不正常，大家也可以从安全策略这个角度入手，检查是不是由于没有配置安全策略允许报文通过所导致的 除了OSPF之外，还有一些业务也是需要防火墙自身参与处理的，同样需要在防火墙上配置 Local 区域的安全策略允许其报文通过 下面我们就针对这些业务，给出安全策略的配置方法

怀着揣测不安的心童谣抱起她家大饼回房间睡觉去了 晚上做了个噩梦，梦见她和陆思诚双排一天就从"超凡大师"掉到了"璀璨钻石一段"，而陆思诚因为N连跪愤怒地抓起枕头捂在她的脸上，还用手掐住她的脖子—— 童谣满脸黑线地将猫推开爬起来，看看窗外已经天亮了，而她就被充满了陆思诚的噩梦支配了整整一夜瑟瑟发抖…… "……" http://greencloud.sosnboutique.com/ 童谣抬头看了看楼上队友们的房间，此时各个房间大门紧紧关闭，显然这些通宵打完排位的人大概刚刚进入梦乡

一会你吃完饭也去休息吧，他们要下午才会醒才能跟你一起打游戏的 童谣低下头默默扒饭，吃完饭窝在沙发上给家里报了平安，又用手机看了一会儿美剧，终于挨到中午十二点半

针对管理员登录防火墙时配置的安全策略，这里再补充说明一下 上面我们为了介绍如何配置安全策略的匹配条件，给出的例子是管理员通过GE0/0/1 接口登录USG2000/5000防火墙 这种情况下就需要配置Trust安全区域到Local安全区域的安全策略 其实在缺省情况下，不同型号的防火墙都提供了默认的登录方式，管理员可以通过特定的接口登录到防火墙上，不需要配置安全策略，具体情况如表2-3所示 表2-3 缺省情况下防火墙支持的登录方式 通过前面的介绍，大家肯定对安全策略有了一定的了解，大家可能也会认为，只要把安全策略配置好了，就可以一劳永逸万事无忧 但是有些协议变化莫测，比如最常用的FTP协议，它的报文交互过程就暗藏玄机，让安全策略防不胜防

其中，HRP数据报文、HRP链路探测报文以及一致性检查报文在第二代和第三代双机热备中的实现原理基本相同 在第二与第三代双机热备体系中，VGMP报文实现不同的地方主要有以下两点 （1）VGMP报文发送方向和时间 在第三代双机热备中，两台设备的VGMP组会定时（每隔1秒）相互发送VGMP报文，以了解并记录对端的状态和优先级信息 这样当本端的VGMP组优先级变化时，可以在第一时间与对端比较优先级并进行状态切换，而不必像第二代双机热备一样先切换到一个中间状态，然后再等待对端VGMP组的响应 另外，当本端VGMP组出现以下情况时，也会主动向对端发送VGMP报文

（6）负载分担切换成主备备份状态后，主用设备FW2会定时向备用设备FW1发送心跳报文 图9-34 负载分担双机热备状态切换过程 上面的内容应该可以完美地回答"两台防火墙的VGMP组的状态协商和切换过程，以及报文交互过程到底是怎样的呢"这个问题了 由此可知，VGMP在双机热备中主要实现以下三个功能 VGMP组能够监控VRRP备份组状态变化，从而感知到VRRP组内接口的故障和恢复

图2-14 防火墙自身参与处理的常见业务类型 针对这些业务配置安全策略时，既要保证业务正常运行，又要确保防火墙自身的安全，所以我们必须在安全策略中指定精细化的匹配条件 但如何精确制定匹配条件是个难题，这就需要分析各种业务的源地址、目的地址，协议类型等信息 下面强叔就结合图2-14中的业务，给出对应的匹配条件，方便大家在实际网络环境中根据业务类型来配置安全策略，如表2-2所示 表2-2 针对不同协议或应用设置安全策略中的匹配条件

小胖身穿一条内裤迷迷糊糊地走出房间，趴在栏杆上往下一看猝不及防对视上一人一猫两双直勾勾的眼，小胖愣了一下，然后尖叫一声连滚带爬地冲回房间甩上门 二十分钟后，穿着整齐小胖下楼了："童谣！ 童谣看了看基地墙壁上即将指向三点的挂钟，摸摸地撸了把猫，幽幽道："我已经起来快六个小时了 正蹲在冰箱前找食物的小胖转过头用看外星人的目光看着童谣

需要注意的是，因为防火墙既要发送DD报文又要接收DD报文，所以Inbound和Outbound方向上的安全策略都要开启，如下 这里为了精确匹配OSPF协议，我们使用了安全策略提供的ospf服务集，如果防火墙中没有提供这个服务集，我们可以自己创建一个服务集，协议号设置为89即可 此时可以看到OSPF邻接建立成功，同时防火墙上已经存在了通过OSPF路由协议学习到的去往192.168.1.0/24这个网段的路由 综上所述，我们需要在防火墙上开启运行OSPF协议的接口所在的安全区域和Local区域之间的安全策略，允许OSPF报文通过，这样防火墙才能和相连的设备正常建立邻接关系