USG防火墙SSL VPN配置案例VIP免费

文档名称文档密级配置SSLVPNSSLVPN通过SSL协议和代理功能，实现远程用户安全地访问内网资源。配置Web代理举例Web代理支持外网用户通过USG访问内网的Web服务器资源，为用户提供基于HTTP方式的Web应用服务。配置网络扩展举例网络扩展是指用户在本地PC上安装USG的网络扩展客户端后，生成一个虚拟网卡，用户通过该虚拟网卡与企业内网进行SSL数据通信。配置端口转发举例端口转发业务是提供基于TCP的应用程序的安全接入，是一种非Web的应用方式。端口转发在应用级对用户访问进行控制，控制是否提供各种应用的服务，如：Telnet、远程桌面、FTP、Email等服务。配置文件共享举例文件共享的主要功能是将不同系统的服务器(如支持SMB协议的Windows系统，支持NFS协议的Linux系统)的共享资源以网页的形式提供给用户访问。配置Web代理举例Web代理支持外网用户通过USG访问内网的Web服务器资源，为用户提供基于HTTP方式的Web应用服务。组网需求当USG接收到用户的HTTP请求时，USG作为Web代理从内网Web服务器上获取正确的Web资源返回给用户。如图1所示，在USG创建一个名为test的虚拟网关，用户可通过此虚拟网关访问企业内网的Web资源。虚拟网关的IP地址为202.1.1.1/24。具体业务需求如下：企业内部有众多Web应用，希望用户能在企业外部访问这些资源，例如Web邮件系统，外网用户可在登录虚拟网关后通过http://10.1.1.5或http://webmail.internal.com访问。企业内网的DNS地址为10.1.1.2/24，域名为internal.com。虚拟网关采用VPNDB的认证授权方式。用户abc的密码为123。2024-12-23华赛机密，未经许可不得扩散第1页,共23页文档名称文档密级只允许用户abc通过IP地址2.2.2.1/24访问虚拟网关。图1配置Web代理组网图配置思路1.配置USG相关接口的IP地址，把接口加入相应的安全域，并配置域间包过滤规则。2.创建虚拟网关，配置虚拟网关属性。3.配置DNS服务器。4.配置Web代理功能，使用户可访问内网Web资源。5.配置认证授权方式为VPNDB。6.配置添加VPNDB用户。7.配置用户源IP型策略，只允许用户通过特定IP地址访问虚拟网关。8.配置用户源IP策略默认行为为“限制”，限制其他用户访问内网资源。操作步骤1.配置USG的基本数据。#配置以太网接口GigabitEthernet0/0/0的IP地址。system-view[USG]interfaceGigabitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress202.1.1.124[USG-GigabitEthernet0/0/0]quit#配置以太网接口GigabitEthernet0/0/1的IP地址。[USG]interfaceGigabitEthernet0/0/12024-12-23华赛机密，未经许可不得扩散第2页,共23页文档名称文档密级[USG-GigabitEthernet0/0/1]ipaddress10.1.1.124[USG-GigabitEthernet0/0/1]quit#配置以太网接口GigabitEthernet0/0/0加入Unrust域。[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet0/0/0[USG-zone-untrust]quit#配置以太网接口GigabitEthernet0/0/1加入Trust域。[USG]firewallzonetrust[USG-zone-trust]addinterfaceGigabitEthernet0/0/1USG-zone-trust]quit#配置USG缺省域间包过滤规则。[USG]firewallpacket-filterdefaultpermitinterzonelocaltrust[USG]firewallpacket-filterdefaultpermitinterzonelocaluntrust2.创建虚拟网关test。#添加名称为test的虚拟网关，虚拟网关URL为www.test.com，虚拟网关IP地址为202.1.1.1/24，选择独占型。[USG]v-gatewaytest202.1.1.1privatewww.test.com[USG-test]quit3.配置虚拟网关信息。#修改虚拟网关最大用户数。[USG]v-gatewaytestmax-user100#修改虚拟网关最大并发用户数。[USG]v-gatewaytestcur-max-user3#修改虚拟网关最大资源数。[USG]v-gatewaytestmax-resource1024说明：2024-12-23华赛机密，未经许可不得扩散第3页,共23页文档名称文档密级用户可根据需求修改虚拟网关信息。最大用户数、最大并发用户数、最大资源数默认值都为1。最大并发用户数最大取值与License有关。4.配置DNS服务器。5.[USG]v-gatewaytest6.[USG-test]basic7.[USG-test-basic]dns-server10.1.1.28.[USG-test-basic]dns-domaininternal.com[USG-test-basic]quit说明：虚拟网关的域名解析需要...