2024年4月11日发(作者:)

文档名称

配置

通过协议和代理功能,实现远程用户安全地访问内网资源。

配置Web代理举例

Web代理支持外网用户通过USG访问内网的Web服务器资源,为用户提供

基于HTTP方式的Web应用服务。

配置网络扩展举例

网络扩展是指用户在本地PC上安装USG的网络扩展客户端后,生成一个

虚拟网卡,用户通过该虚拟网卡与企业内网进行数据通信。

配置端口转发举例

端口转发业务是提供基于TCP的应用程序的安全接入,是一种非Web的应

用方式。端口转发在应用级对用户访问进行控制,控制是否提供各种应用

的服务,如:Telnet、远程桌面、FTP、Email等服务。

配置文件共享举例

文件共享的主要功能是将不同系统的服务器(如支持SMB协议的Windows

系统,支持NFS协议的Linux系统)的共享资源以网页的形式提供给用户

访问。

配置Web代理举例

Web代理支持外网用户通过USG访问内网的Web服务器资源,为用户提供基于

HTTP方式的Web应用服务。

组网需求

当USG接收到用户的HTTP请求时,USG作为Web代理从内网Web服务器上获取

正确的Web资源返回给用户。

如图1所示,在USG创建一个名为test的虚拟网关,用户可通过此虚拟网关访

问企业内网的Web资源。虚拟网关的IP地址为202.1.1.1/24。

具体业务需求如下:

企业内部有众多Web应用,希望用户能在企业外部访问这些资源,例如

Web邮件系统,外网用户可在登录虚拟网关后通过10.1.1.5或

访问。

企业内网的DNS地址为10.1.1.2/24,域名为。

虚拟网关采用VPNDB的认证授权方式。用户abc的密码为123。

2022-3-23

华赛机密,未经许可不得扩散 第1页, 共22页

文档名称

只允许用户abc通过IP地址2.2.2.1/24访问虚拟网关。

图1 配置Web代理组网图

配置思路

1. 配置USG相关接口的IP地址,把接口加入相应的安全域,并配置域间包

过滤规则。

2. 创建虚拟网关,配置虚拟网关属性。

3. 配置DNS服务器。

4. 配置Web代理功能,使用户可访问内网Web资源。

5. 配置认证授权方式为VPNDB。

6. 配置添加VPNDB用户。

7. 配置用户源IP型策略,只允许用户通过特定IP地址访问虚拟网关。

8. 配置用户源IP策略默认行为为“限制”,限制其他用户访问内网资源。

操作步骤

1. 配置USG的基本数据。

# 配置以太网接口GigabitEthernet 0/0/0的IP地址。

system-view

[USG] interface GigabitEthernet 0/0/0

[USG-GigabitEthernet0/0/0] ip address 202.1.1.1 24

[USG-GigabitEthernet0/0/0] quit

# 配置以太网接口GigabitEthernet 0/0/1的IP地址。

[USG] interface GigabitEthernet 0/0/1

[USG-GigabitEthernet0/0/1] ip address 10.1.1.1 24

2022-3-23

华赛机密,未经许可不得扩散 第2页, 共22页