交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
某集团公司有两个子公司,两个子公司使用的都是wall 1600下一代防火墙(即简称NGFW),它们之间通过SSL VPN建立虚拟隧道,实现两地局域网之间的互相访问。
二、网络拓扑
三、配置要点
在内网用户已经能正常上网的前提下,我们再做的以下配置,所以基本的网络配置请参考“路由模式上网配置> 单线路上网配置> 静态地址环境”的配置
1、NGFW_A的配置
a、配置“SSL网关”
b、定义地址对象,供后续的安全策略调用
c、配置安全策略(主要是SSL相关的安全策略和允许内网访问互联网的策略)
d、点击“存盘”保存配置,否则下次设备重启后配置就丢失了
2、NGFW_B的配置
a、配置“SSL网关”
b、定义地址对象,供后续的安全策略调用
c、配置安全策略(主要是SSL相关的安全策略和允许内网访问互联网的策略)
d、点击“存盘”保存配置,否则下次设备重启后配置就丢失了
四、操作步骤
在内网用户已经能正常上网的前提下,我们再做以下配置
1、NGFW_A的配置
a、编辑SSL网关
对端网关地址:NGFW_B的外网接口IP地址
此处的预共享密钥两边要一致,算法选择all(也可以指定其它任意一种,只要两边一致即可)
b、定义地址对象,供后续的安全策略调用
点击“资源管理>地址资源>地址接点”
新建两个地址段,“本地子网”:192.168.1.0/24 ; “对端子网”:192.168.6.0/24
c、配置安全策略(主要是SSL相关的安全策略和允许内网访问互联网的策略)
先新建一个关于SSL VPN相关的安全策略,选择“SITE TO SITE“,并勾选”正向访问“和”反向访问“
然后再建一条允许内网访问互联网的策略
配置完以上的策略后,务必保证SSL的安全策略排在其他策略的前面,最终的策略排序如下所示,注意必须勾选“启用”,否则策略不生效。
d、点击“存盘”保存配置,否则下次设备重启后配置就丢失了
2、NGFW_B的配置
a、编辑SSL网关
对端网关地址:NGFW_A的外网接口IP地址
此处的预共享密钥两边要一致,算法选择all(也可以指定其它任意一种,只要两边一致即可)
b、定义地址对象,供后续的安全策略调用
点击“资源管理>地址资源>地址接点”
新建两个地址段,“本地子网”:192.168.6.0/24 ; “对端子网”:192.168.1.0/24
c、配置安全策略(主要是SSL相关的安全策略和允许内网访问互联网的策略)
对端网关地址:NGFW_A的外网接口IP地址
此处的预共享密钥两边要一致,算法选择all(也可以指定其它任意一种,只要两边一致即可)
选择“SITE TO SITE“,并勾选”正向访问“和”反向访问“
然后再建一条允许内网访问互联网的策略
配置完以上的策略后,务必保证SSL的安全策略排在其他策略的前面,最终的策略排序如下所示,注意必须勾选“启用”,否则策略不生效。
d、点击“存盘”保存配置,否则下次设备重启后配置就丢失了
五、验证效果
在NGFW_A的SSL VPN 监视器里查看如下:
从本地ping对端网络的内网主机
ping NGFW_B的内网口地址是不通的,这个是由于设备的处理机制决定的,是正常现象,不是配置的问题
在NGFW_B的SSL VPN 监视器里查看如下:
从本地ping对端网络的内网主机
同样的,ping NGFW_A的内网口地址是不通的,这个是由于设备的处理机制决定的,是正常现象,不是配置的问题