为 VFP 接口配置 IPsec 和区域防火墙

当 IPsec 数据报到达时，将通过防火墙规则对其进行处理，然后对其进行解封装。 出现的新数据报与接口完全无关联。 通常，这不是问题，可以继续使用目标接口，但区域防火墙会阻止数据报继续执行。 将丢弃不是来自区域策略中接口的任何数据报。 但是， VFP 接口通知区域防火墙数据报来自允许应用规则的接口。

要配置 VFP 接口以使用 IPsec 流量，请首先通过为 VFP 定义单个 IP 来创建功能点：

set interfaces virtual-feature-point vfp0 address '192.168.123.123/32'

然后，将 VFP 添加到隧道:

set security vpn ipsec site-to-site peer 50.23.177.59 tunnel 1 uses 'vfp0'

接下来，将接口添加到区域 (在本例中，使用 dp0bond1的 INTERNET 区域):

set security zone-policy zone INTERNET interface 'vfp0'

现在，对服务器执行 ping 操作:

[root@acs-jmat-migserver ~]# ping -c 5  172.16.100.1
PING 172.16.100.1 (172.16.100.1) 56(84) bytes of data.
64 bytes from 172.16.100.1: icmp_seq=1 ttl=63 time=44.9 ms
64 bytes from 172.16.100.1: icmp_seq=2 ttl=63 time=44.7 ms
64 bytes from 172.16.100.1: icmp_seq=3 ttl=63 time=44.6 ms
64 bytes from 172.16.100.1: icmp_seq=4 ttl=63 time=44.3 ms
64 bytes from 172.16.100.1: icmp_seq=5 ttl=63 time=44.8 ms

--- 172.16.100.1 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4006ms

rtt min/avg/max/mdev = 44.377/44.728/44.996/0.243 ms

可以在多个隧道上使用相同的 VFP 接口，也可以为其他隧道创建不同的 VFP。 请确保任何其他 VFP 都位于区域中，并且具有允许未封装的帧的流量的规则。

还可以将 VFP 添加到其自己的区域中。 例如：

set security zone-policy zone SERVERS to TUNNEL firewall 'ALLOWALL'
set security zone-policy zone TUNNEL interface 'vfp0'
set security zone-policy zone TUNNEL to SERVERS firewall 'ALLOWALL'

VFP 接口不是 dp0bond0 (甚至 VIF 或 TUN) 方式的 "实际" 接口。 它是防火墙和 NAT 进程创建的占位符接口，以便它们可以正确处理流量。 您仍可以通过 VFP (例如常规接口) 来路由流量，但 tshark 和其他监视器命令不会显示任何流量。