建立IPSec-SA时，可以选择预共享密钥的形式进行身份验证，这种情况下，如果站点数量较少，则配置方式较为简单，后期管理也会很容易。然后到Server2019-CA证书机构请求颁发证书，在申请证书–>高级证书申请–>使用Base64编码的证书申请，将防火墙的Base64编码证书请求粘贴到文本框中，使得CA可以进行颁发。证书的应用场景如山图所示，介绍了用户Alice与Bob进行加密通信时，如何保证B

实验拓扑在防火墙上进行配置时，则需要考虑更多的因素，比如IKE协商报文、用户区访问站点的流量放行，但也就是创建几条安全策略的事，具体的配置如下：防火墙基础配置（配置接口IP、加入安全策略、放行Local-to_Any的安全策略，方便测试）省略防火墙IPSec基础配置（包括IPSec安全提议、IKE安全提议、IKE对等体、需要安全保护的数据流ACL、IPSec安全策略）防火墙上配置安全策略，主要放行

入侵防御IPS是一种安全机制。通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。IPS相比IDS入侵检测系统，除了可以检测到可能存在的入侵行为，还可以实时的中断入侵行为。实时阻断攻击：设备直路部署在网络中，能够实时对入侵活动和攻击性网络流量进行拦截，将对网络的影响降到最低。深层防护：新型的攻击都隐藏在TCP

华为防火墙基础配置