概述※
GRE隧道是VPN隧道的一种,不支持加密,在防火墙中,GRE封装是防火墙进行的,因此数据报文是从local区进行加密和解密的,而隧道本身是属于DMZ区的,因此需要配置DMZ区到可信区、本地区到不可信区(让防火墙在LOCAL封装、解封装的报文能进行正常的收发),同时尊许最小权限原则,local属于核心区域,因此在策略中采用严格的类型限制,只允许gre报文通过
配置流程一览※
创建隧道接口(Tunnel)→ 配置两端隧道IP → 配置隧道参数(源、目标、验证秘钥)→ 将隧道划入DMZ区域 → 静态路由引流到隧道 → 配置安全策略
创建隧道、设置隧道IP、隧道类型参数※
int tun 编号
tunnel-protocol gre
source 与对端相连出接口的IP地址
destination 对端的互联接口接口IP地址
gre key cipher 秘钥
ip add 隧道的IP地址 子网掩码
划入区域※
fiewall zone dmz
add int tun 编号静态路由引流※
ip route-s 目的地址 目的地址子网掩码 tun 编号设置TUNNEL的区域※
fiewall zone dmz / untrust
add int tun 1配置安全策略※
经过防火墙分装的GRE报文是从local区域发送的,因此配置GRE隧道的的策略,需要允许Untrust区和local区域的GRE类型服务访问,然后,隧道属于dmz区,我们的流量是从trust区发送的,因此需要允许TRUST区主机和DMZ的隧道互通
sec
rule name dmz_to_trust
source-zone trust dmz / untrust
destination-zone dmz trust
action permit
quit
rule name local_to_untrust
source-zone local untrust
destination-zone untrust local
service gre
action permit
quit
