举例:通过SSL VPN进行Web代理
本举例中USG和内网服务器的IP地址在同一网段。如果不在同一网段,请务必保证USG的内网接口与内网服务器路由可达,确保业务的连通性。 组网需求
如图1所示,USG作为企业网络的出口网关连接Internet。企业内网有Web邮件服务器和OA服务器。 具体需求如下: · 企业员工能够在外部网络访问内网的Web邮件服务器和OA服务器。 · 采用VPNDB的认证授权方式。
项目 (1) 数据 接口号:GigabitEthernet 0/0/1 - IP地址:192.168.1.1/24 安全区域:Trust (2) 接口号:GigabitEthernet 0/0/2 虚拟网关的IP地址与IP地址:202.10.10.1/24 安全区域:Untrust Web邮件服务器 OA服务器 IP地址:192.168.1.10/24 IP地址:192.168.1.20/24 GigabitEthernet 0/0/2接口的IP地址相同。 - - 说明 配置思路
1. 在USG创建一个名为test的虚拟网关,外网用户可通过此虚拟网关访问企业内网的Web资源。虚拟网关的IP地址为202.10.10.1/24。
2. 配置Web代理资源,使外网用户可以在登录虚拟网关后通过http://192.168.1.10访问Web邮件服务器,通过http://192.168.1.20访问OA服务器。
3. 配置认证授权方式为VPNDB,添加VPNDB用户。VPNDB的用户名和密码即是外网用户登录虚拟网关时需要输入的用户名和密码。 操作步骤
1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。 b选择“接口”页签。
c. 在“接口列表”中,单击GE0/0/1对应的。 d. 在“修改GigabitEthernet”界面中,配置如下: § 安全区域:trust § IP地址:192.168.1.1 § 子网掩码:255.255.255.0 其他配置项采用缺省值。 e. 单击“应用”。
f. 在“接口列表”中,单击GE0/0/2对应的。 g. 在“修改GigabitEthernet”界面中,配置如下: § 安全区域:untrust § IP地址:202.10.10.1 § 子网掩码:255.255.255.0 其他配置项采用缺省值。 h.单击“应用”。
2. 对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。
a. 配置Local安全区域和Untrust安全区域之间的安全策略。 1. 选择“防火墙 > 安全策略 > 本地策略”。
2. 在“对设备访问控制列表”中,单击“Untrust”下的“默认”所在行的3. 在“修改对设备访问控制”界面中,选择“动作”为“permit”。 4. 单击“应用”。
b.配置Trust安全区域和Untrust安全区域之间的安全策略。 0. 选择“防火墙 > 安全策略 > 转发策略”。
1. 在“转发策略列表”中,单击“untrust->trust”下的“默认”所在行的2. 在“修改转发策略”界面中,选择“动作”为“permit”。 3. 单击“应用”。
4. 在“转发策略列表”中,单击“trust->untrust”下的“默认”所在行的5. 在“修改转发策略”界面中,选择“动作”为“permit”。 6. 单击“应用”。
。
。
。