一、任务目标

本次任务的目标是：在奇安信防火墙（总部）与一台 Windows 10 主机（分支机构终端）之间建立 IPSec VPN 隧道，实现分支机构终端安全接入总部内网，并能够通过总部内网 IP 地址直接访问内部业务系统。

二、防火墙端配置步骤

2.1 创建VPN地址池

操作路径：网络配置 → VPN地址池

点击“添加”，创建VPN客户端地址池，当用户拨入成功时，防火墙会从该池中分配一个虚拟IP给客户端。

注意：VPN地址池应使用与现有内网不同的网段（如192.168.200.x），避免路由冲突。客户端获取虚拟IP后，通过防火墙路由访问内网资源。

2.2 创建本地认证用户

操作路径：对象配置 → 用户

点击“添加认证用户”，创建用于VPN拨号的账户。

2.3 将用户添加到本地认证服务器

操作路径：对象配置 → 认证服务器

编辑默认的本地认证服务器 local，在“用户成员”区域将用户 win10 从左侧可选列表移动到右侧已选列表。

原理说明：创建用户后，必须将用户添加到认证服务器中，才能在VPN等服务中被引用。local 是防火墙内置的本地认证源。

2.4 配置IKE网关（IPSec第一阶段）

操作路径：网络配置 → IPSec隧道 → IKE网关

IKE阶段一负责建立加密的安全通道，验证对端身份并协商安全参数。

点击“添加”，创建IKE网关，关键配置如下：

关键点：“对端接入模式”选择“动态”意味着防火墙不限制客户端IP来源，适合员工从不同网络位置拨入。“预共享密钥”是双方身份验证的核心凭证，需妥善保管。

2.5 配置IPSec用户组

操作路径：在IKE网关配置过程中创建或单独配置

IPSec用户组用于对多个客户端进行分组管理。本次配置接受“任意对端ID”，简化配置流程。

2.6 配置保护数据流

操作路径：网络配置 → IPSec隧道 → 保护数据流

保护数据流定义了哪些通信需要被IPSec加密传输。

点击“添加”，创建IPv4保护数据流：

2.7 配置IPSec隧道（IPSec第二阶段）

操作路径：网络配置 → IPSec隧道

IPSec阶段二在阶段一建立的安全通道内部进行，负责协商实际加密用户数据的算法。

点击“添加”，创建IPSec隧道：

2.8 配置L2TP VPN服务

操作路径：网络配置 → L2TPVPN

这是将以上所有组件串联起来的核心配置，创建L2TP VPN服务并绑定IPSec隧道。

点击“添加”，创建L2TP VPN：

核心原理：

L2TP本身不提供加密功能。配置“Over-IPSec”后，L2TP的数据帧会被IPSec隧道加密传输，形成“L2TP over IPSec”方案——这是Windows系统原生支持的VPN组合，兼顾了加密安全与广泛兼容性。

2.9 配置安全策略，允许VPN客户端访问内网

操作路径：策略配置 → 安全策略

即使VPN隧道成功建立，防火墙仍需要通过安全策略明确放行从VPN端到内网的流量。

点击“添加”，创建安全策略：

三、Windows客户端配置

3.1 创建VPN连接

在Windows 10系统中，进入 设置 → 网络和Internet → VPN，点击“添加VPN连接”：

3.2 配置高级属性

创建完成后，进入 更改适配器选项，找到刚创建的VPN连接 → 右键“属性” → “安全”选项卡：

VPN类型：确认为 L2TP/IPsec

数据加密：选择 需要加密（确保通信安全）

身份验证协议：勾选未加密的密码(PAP)和质询握手身份验证协议(CHAP)

3.3 连接VPN

返回VPN列表，点击 VPN_L2TP 连接，输入用户名密码后点击“连接”。成功连接后，状态显示为 “已连接”。

四、验证与测试

4.1 验证VPN连接状态

Windows VPN列表中显示 VPN_L2TP 状态为“已连接”，说明隧道建立成功。

4.2 验证内网连通性

打开命令提示符，执行ping测试：

ping通说明VPN客户端已获得内网路由能力，流量经过加密隧道到达内网服务器并成功返回。

4.3 验证业务访问

在VPN客户端浏览器中输入 http://192.168.100.100，成功打开“镜像科技安全产品在线商城 v3.2”登录页面。

至此，验证了VPN客户端可以像在内网一样访问Web业务系统，所有通信经过IPSec加密保护。