当前位置:首页>弱电技术>网络通信>山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

1. 需求分析

本文以SSLVPN服务端串联(或旁路)部署在内网环境为例,上联出口网关,通过配置SSLVPN实现远程终端用户访问企业内部服务器资源。

2. 配置方案

2.1软硬件信息

硬件平台 软件平台
SG-6000-E1100 SG6000-M-3-5.5R8P5-v6.bin

2.2网络拓扑

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

2.3 环境说明

  • 公网出口防火墙使用SG-6000-C1200W,其出接口地址为:10.88.16.232/24。
  • 内网防火墙(SSLVPN服务端)为山石下一代防火墙SG-6000-E1100,出接口地址为130.0.0.1/24。

2.4 配置步骤

(1)内网防火墙基础上网配置(略)。

(2)创建本地用户:对象>用户>本地用户,选择本地服务器“local”并点击“新建 > 用户”,用于登录SSL VPN使用。

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

(3)配置SSLVPN地址池:选择“网络 > VPN > SSL VPN”,并点击页面右上方“相关配置 > SSL VPN地址池”。在<地址池>页面,点击“新建”创建一个地址池条目。

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

(4)创建隧道接口:选择“网络 > 接口”,并点击“新建 > 隧道接口”。

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

(5)配置SSL VPN服务端。

  • 选择“网络 > SSL VPN”,并点击“新建”。

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

  • 在<接入接口/隧道接口>标签页做如下配置:

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

  • 在<隧道路由配置>标签页,点击“新建”后做如下配置:

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

  • 高级配置>参数配置>高级参数,可查看SSL VPN的UDP数据传输端口(可修改)。

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

(6)策略->安全策略,创建VPNHub(隧道接口安全域)安全域到Any安全域的安全策略规则。

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

(7)出口网关设备上需要映射SSL VPN的TCP和UDP端口,默认端口号均为4433。(此步骤为山石防火墙作为出接口的配置步骤,其他厂商设备可参考配置)

  • 对象->服务簿->服务名称->新建服务SSLVPN:

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

  • 配置DNAT规则,策略->NAT->目的NAT->新建->高级配置:

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

2.5 结果验证

外网环境通过,服务器地址:10.88.16.232,端口:4433,内网防火墙的local用户进行登录测试。

山石防火墙SG-6000-E1100内网环境SSLVPN配置案例
山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

本文由 @弱电胡歌 发布于弱电智能网 。

题图来自Unsplash,基于CC0协议

内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。

如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

文章名称:《山石防火墙SG-6000-E1100内网环境SSLVPN配置案例》

文章链接:https://www.ruodian360.com/tech/networking/10029.html

添加微信ydian188免费入群,记得备注“弱电智能网”。

给TA打赏
共{{data.count}}人
人已打赏
网络通信

山石网科各硬件产品Console配置口波特率汇总

2022-7-10 18:53:02

网络通信

什么是网络丢包?

2022-7-14 21:47:23

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
搜索