使用Windows系统防火墙与FortiGate建立IPSec VPN

Windows Firewall IPSec配置步骤

  1. 在使用Windows防火墙的IPSec功能前,需要将Windows防火墙功能打开。点击键盘Win(徽标)键,输入“Windows Defender Firewall”,点击左侧的“Turn Windows Defender Firewall on or off”,将需要使用VPN的网络的防火墙功能打开。

    202312081616185619

  2. 配置Windows Firewall IPSec的自定义安全提议。上图中点击返回按钮,然后点击左侧的“Advanced Settings”,点击“Windows Defender Firewall Properties”。

    20231208161618561

  3. 在弹出的属性界面中点击“IPSec Settings”选项卡,在“IPSec defaults”中点击“Customize...”按钮。

    20231208161618562

  4. 配置“Key exchange (Main Mode)”、“Data protection (Quick Mode)”、“Authentication method”均为“Advanced”。

    20231208161618563

  5. 配置第一阶段自定义安全提议。点击“Key exchange (Main Mode)”中的“Customize...”按钮。配置完整性算法、加密算法和DH组。

    20231208161618564

  6. 配置第二阶段自定义安全提议。点击“Data protection (Quick Mode)”中的“Customize...”按钮。开启“Require encryption for all connection security rules that use these settings”,配置完整性算法、加密算法。

    20231208161618565

  7. 配置自定义的认证方式。点击“Authentication method”中的“Customize...”按钮,按需求配置认证方法,这里以“预共享密钥”为例。

    20231208161618566

  8. 在Windows高级防火墙中创建IPSec连接。进入Windows Defender Firewall with Advanced Security→Connection Security Rules,右键点击后选择“New Rules”。

    20231208161618567

  9. 在弹出的安全规则向导中选择要创建的安全规则类型为“Tunnel”,点击下一步。

    20231208161618568

  10. 隧道类型选择“Custom configuration”,其余选项默认,点击下一步。

    20231208161618569

  11. 身份验证时间选择“Require authentication for inbound and outbound connections”,点击下一步。

    202312081616185610

  12. 配置终结点1中的计算机,这里填写Windows本端的保护网段,一般情况下为PC的通信地址;配置终结点2中的计算机,这里填写对端的保护网段,注意只有PC发起了向该保护网段的流量,协商才能被触发;配置本地隧道和远程隧道终结点,这里填写Windows本端和对端IPSec服务器的协商IP地址。注意只有PC发起了向该保护网段的流量,协商才能被触发。点击下一步。

    202312081616185611

  13. 选择身份认证方法为“Advanced”,并点击“Customize...”按钮。

    202312081616185612

  14. 按需求配置认证算法,这里以预共享密钥为例。保存后点击下一步。

    202312081616185613

  15. “When does this rule apply”选择默认即可。点击下一步。

    202312081616185614

  16. 为IPSec连接配置名称,完成。

    202312081616185615

  17. 补充:高级防火墙IPSec配置的特点是每条连接只用简单的配置本、对端的公网IP以及保护网段,安全提议是一个全局配置,所有连接都会受此安全提议影响。这样非常简单快速但也缺少很多灵活性,比如需要这些连接的安全提议不一致时就无法满足。其实高级防火墙是做了很多东西的。在后台的命令行,使用netsh advfirewall命令可以对高级防火墙并进行灵活配置,以下是一些简单的配置实例。

    - cmd>netsh advfirewall(进入高级防火墙配置)
    - netsh advfirewall conse(更改防火墙配置)
    - netsh advfirewall conse [add|delete|set] rule name=连接名 new option=value(增、删、改一条连接。具体选项和可用参数可以在 [add|delete|set] rule help中可以查看,内容非常详细的)
    - netsh advfirewall consec>set rule name=v4_ipsec new qmsecmethods(第二阶段的安全提议,如果需要配置PFS必须先配置安全提议)=esp:md5-3des+600000min+100000kb qmpfs=dhgroup2(开启PFS,并且使用DH2,当ESP加密算法为空时开启PFS不生效)
    

    FortiGate配置

    IPSec配置

    config vpn ipsec phase1-interface
        edit "WindowsFw"
            set type dynamic
            set interface "lan"
            set peertype any
            set net-device disable
            set proposal aes128-sha1
            set dpd on-idle
            set dhgrp 2
            set psksecret xxxxxxxx
            set dpd-retryinterval 60
        next
    end
    
    config vpn ipsec phase2-interface
        edit "WindowsFw"
            set phase1name "WindowsFw"
            set proposal aes128-sha1
            set pfs disable
            set src-subnet 10.10.12.0 255.255.255.0
            set dst-subnet 192.168.100.77 255.255.255.255
        next
    end
    

    防火墙策略配置

    VPN资源地址对象:
    config firewall address
        edit "Local_10.10.12.0/24"
            set subnet 10.10.12.0 255.255.255.0
        next
    end
    
    客户端地址对象:
    config firewall address
        edit "Remote_192.168.100.77/32"
            set subnet 192.168.100.77 255.255.255.255
        next
    end
    
    config firewall policy
        edit 1
            set name "WindowsFw"
            set srcintf "WindowsFw"
            set dstintf "port3"
            set action accept
            set srcaddr "Remote_192.168.100.77/32"
            set dstaddr "Local_10.10.12.0/24"
            set schedule "always"
            set service "ALL"
        next
    end
    

    结果验证

    1. 使用PC ping FortiGate端的感兴趣流,触发IPSec协商,查看IPSec连接建立状态:

      202312081616185616

    2. Windows Firewall连接监控:

      202312081616185617

    3. 客户端抓包:

      202312081616185618

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-12-09 18:13:23

results matching ""

    No results matching ""