1. 需求分析
本文以sslvpn服务端串联(或旁路)部署在内网环境为例,上联出口网关,通过配置SSLVPN实现远程终端用户访问企业内部服务器资源。
2. 配置方案
2.1软硬件信息
| 硬件平台 | 软件平台 |
| SG-6000-E1100 | SG6000-M-3-5.5R8P5-v6.bin |
2.2网络拓扑
2.3 环境说明
- 公网出口防火墙使用SG-6000-C1200W,其出接口地址为:10.88.16.232/24。
- 内网防火墙(SSLVPN服务端)为山石下一代防火墙SG-6000-E1100,出接口地址为130.0.0.1/24。
2.4 配置步骤
(1)内网防火墙基础上网配置(略)。
(2)创建本地用户:对象>用户>本地用户,选择本地服务器“local”并点击“新建 > 用户”,用于登录SSL VPN使用。
(3)配置SSLVPN地址池:选择“网络 > VPN > SSL VPN”,并点击页面右上方“相关配置 > SSL VPN地址池”。在<地址池>页面,点击“新建”创建一个地址池条目。
(4)创建隧道接口:选择“网络 > 接口”,并点击“新建 > 隧道接口”。
(5)配置SSL VPN服务端。
- 选择“网络 > SSL VPN”,并点击“新建”。
- 在<接入接口/隧道接口>标签页做如下配置:
- 在<隧道路由配置>标签页,点击“新建”后做如下配置:
- 高级配置>参数配置>高级参数,可查看SSL VPN的UDP数据传输端口(可修改)。
(6)策略->安全策略,创建VPNHub(隧道接口安全域)安全域到Any安全域的安全策略规则。
(7)出口网关设备上需要映射SSL VPN的TCP和UDP端口,默认端口号均为4433。(此步骤为山石防火墙作为出接口的配置步骤,其他厂商设备可参考配置)
- 对象->服务簿->服务名称->新建服务SSLVPN:
- 配置DNAT规则,策略->NAT->目的NAT->新建->高级配置:
2.5 结果验证
外网环境通过,服务器地址:10.88.16.232,端口:4433,内网防火墙的local用户进行登录测试。
本文由 @弱电胡歌 发布于弱电智能网 。
题图来自Unsplash,基于CC0协议
内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
文章名称:《山石防火墙SG-6000-E1100内网环境SSLVPN配置案例》
文章链接:https://www.ruodian360.com/tech/networking/10029.html
添加微信ydian188免费入群,记得备注“弱电智能网”。
