交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
某单位员工在外出差,需要通过拨通SSL VPN访问公司内网的服务资源,使用隧道模式,需要在PC上安装客户端。
二、网络拓扑
本案例的组网拓扑如下:NGFW防火墙的内网接口为GE5,内网地址段:192.168.3.0,外网接口GE1::122.18.10.108
三、配置要点
1、配置基本上网配置(参见路由模式上网配置)
2、新建认证用户及用户组(开启"SSL-VPN通道服务”和“代理服务”)
3、配置SSL VPN
为外网用户分配一个不与当前内网地址段冲突的虚拟IP地址段。
4、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)
由于外网通过SSL VPN访问内网时,流量的数据传输方向是从外网接口转发内网接口底下的内网用户,所以安全策略的”源接口“是外网接口,”目的接口“是内网接口,源地址是分配给外网用户的虚拟IP地址段,目的地址是防火墙内网的服务器网段
5、外网用户拨SSL VPN时有以下注意事项
使用IE7及以上的IE版本,由于对https连接安全性要求高,会给出以下提示:
如果选择是,会导致无法打开网站调用进程,因而提示网页无法打开;此时需要选择否,才可以进行正常的隧道建立。使用IE6无此问题
四、配置步骤
1、配置基本上网配置(参见路由模式上网配置)
基本的上网功能配置不做详细说明,主要的一点是需要在外网接口上开启“SSL-VPN"功能
2、新建认证用户及用户组
先新建认证用户,本案例新建了一个名称为“SSL_user”的用户
新建用户组,本案例新建了一个名称为”sslgroup"的用户组
选择类型“SSL-VPN",并把之前新建的"SSL_user”加入到该用户组中,同时开启"SSL-VPN通道服务”和“代理服务”
3、配置SSL VPN: VPN>SSL远程接入>SSL-VPN配置
进入VPN>SSL 远程接入, 选择启用SSL-VPN, 隧道路由掩码这一项要填一个不与当前内网地址段冲突的虚拟IP地址段。
4、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)
先定义以下地址对象,"sslip“---对应分配给外网VPN用户的虚拟IP地址段,”server“对应 防火墙内网的服务器网段
新建安全策略,源接口“是外网接口,”目的接口“是内网接口,源地址是分配给外网用户的虚拟IP地址段,目的地址是防火墙内网的服务器网段
以下策略是允许内网用户(包括服务器)访问外网的安全策略
配置完以上安全策略后,如果有其他安全策略,请把SSL VPN相关的安全策略调整到其他策略的前面。
五、验证效果
1、在IE浏览器里输入https://172.18.10.108:10443 172.18.10.108是防火墙的外网接口IP地址,10443是SSL VPN的认证端口
在下图中输入之前新建的认证用户名和密码
点击隧道模式,提示安装SSL VPN客户端
点击安装客户端
点击仍然继续
点击完成, 测试连接