2024年4月11日发(作者:)

防火墙配置二十二:SSL VPN配置案例

一、网络拓扑

二、需求描述

外网用户通过Internet使用SSL VPN接入内网

 允许SSL VPN用户接入后访问内网的FTP Server:192.168.2.10

 允许SSL VPN用户接入后访问内网的WEB Server:192.168.2.20

三、配置步骤

第一步:配置SCVPN地址池

通过配置SSL VPN地址池为VPN接入用户分配IP地址,地址池需配置网路中未使用

网段。点击网络/SSL VPN在右侧任务栏处,点击SSL VPN地址池,然后新建地址池名为

scvpn-pool。

第二步:配置SSL VPN实例

按照下图流程在网络/SSL VPN中新建SSL VPN,设置SSL VPN的名称后点击下一步

添加AAA服务器后,点击下一步,也可使用外置的AAA服务器方式。

选择出接口(拨号地址接口),并调用SSL VPN地址池,点击下一步

添加隧道路由,隧道路由就是防火墙下发给到客户端的本地路由,最后点击完成。

第三步:创建SSL VPN隧道接口所属安全域

在网络/安全域中为创建的SCVPN新建一个安全域,安全域类型为“三层安全域”

第四步:创建隧道接口并绑定SSL VPN隧道

为了SSL VPN客户端能与防火墙上其他接口所属区域之间正常路由转发,需要配置一

个隧道接口,并将创建好的SSL VPN实例绑定到该接口上来实现。

第五步:创建安全策略

在安全/策略中添加访问策略,允许通过SSL VPN到内网的访问。

上图中放行的策略是VPN用户可以访问内网所有资源,当然在制定安全策略时,也可

以指定服务器和服务做策略放行!

第六步:添加SCVPN用户账号

创建SSL VPN登陆账号,本例中SSL VPN实例使用local认证,所以需在AAA服务器

local中添加用户。

第七步:SCVPN登陆演示

在客户端上打开浏览器,在地址栏中键入:218.240.143.220:4433,在登陆界面中

填入用户帐号和密码点击登陆

对于非IE浏览器,也可通过下载客户端完成安装

在上图中可以看到拨号客户端连接成后,防火墙会将内网网段192.168.2.0的路由下

发到拨号客户端。