网络运维|SSL VPN的配置实例

2020-06-15 17:20 作者：艾锑无限 浏览量：

网络运维|SSL VPN的配置实例
大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下SSL VPN进行Web代理的配置， 网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

通过SSL VPN进行Web代理

Web代理支持外网用户通过USG访问内网的Web服务器资源，为用户提供基于HTTP方式的Web应用服务。

前提条件

已加载License文件，且USG可以正常访问内网资源。
 说明：
本举例中USG和内网服务器的IP地址在同一网段。如果不在同一网段，请务必保证USG的内网接口与内网服务器路由可达，确保业务的连通性。

组网需求

如图10-65所示，USG作为企业网络的出口网关连接Internet。企业内网有Web邮件服务器和OA服务器。
具体需求如下：

• 企业员工能够在外部网络访问内网的Web邮件服务器和OA服务器。
• 采用VPNDB的认证授权方式。

图10-65  Web代理组网图 

配置思路

1. 在USG创建一个名为test的虚拟网关，外网用户可通过此虚拟网关访问企业内网的Web资源。虚拟网关的IP地址为202.10.10.1/24。
2. 配置Web代理资源，使外网用户可以在登录虚拟网关后通过http://192.168.1.10访问Web邮件服务器，通过http://192.168.1.20访问OA服务器。
3. 配置认证授权方式为VPNDB，添加VPNDB用户。VPNDB的用户名和密码即是外网用户登录虚拟网关时需要输入的用户名和密码。

操作步骤

1. 配置接口基本参数。
   1. 选择“网络 > 接口 > 接口”。
   2. 选择“接口”页签。
   3. 在“接口列表”中，单击GE0/0/1对应的。
   4. 在“修改GigabitEthernet”界面中，配置如下：
      • 安全区域：trust
      • IP地址：192.168.1.1
      • 子网掩码：255.255.255.0

其他配置项采用缺省值。

5. 单击“应用”。
6. 在“接口列表”中，单击GE0/0/2对应的。
7. 在“修改GigabitEthernet”界面中，配置如下：
   • 安全区域：untrust
   • IP地址：202.10.10.1
   • 子网掩码：255.255.255.0

其他配置项采用缺省值。

8. 单击“应用”。

2. 对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。
   1. 配置Local安全区域和Untrust安全区域之间的安全策略。
      1. 选择“防火墙 > 安全策略 > 本地策略”。
      2. 在“对设备访问控制列表”中，单击“Untrust”下的“默认”所在行的。
      3. 在“修改对设备访问控制”界面中，选择“动作”为“permit”。
      4. 单击“应用”。
   2. 配置Trust安全区域和Untrust安全区域之间的安全策略。
      • 选择“防火墙 > 安全策略 > 转发策略”。
      • 在“转发策略列表”中，单击“untrust->trust”下的“默认”所在行的。
      • 在“修改转发策略”界面中，选择“动作”为“permit”。
      • 单击“应用”。
      • 在“转发策略列表”中，单击“trust->untrust”下的“默认”所在行的。
      • 在“修改转发策略”界面中，选择“动作”为“permit”单击“应用”。
3. 创建虚拟网关。
   1. 选择“VPN > SSL VPN > 虚拟网关管理”。
   2. 单击“新建”。
   3. 配置虚拟网关参数。
   4. 单击“应用”。
4. 配置Web代理资源。
   1. 选择“VPN > SSL VPN > 虚拟网关列表”。
   2. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > Web代理”。
   3. 选中“启用Web代理功能”前的复选框，开启Web代理功能。
   4. 在“Web代理资源管理”区域框中，选择“Web-link资源”页签。
   5. 单击“新建”，添加Web邮件服务器资源。
   6. 单击“应用”。
   7. 在“Web-link资源”页签中，单击“新建”，添加OA服务器资源。
5. 配置认证授权方式为VPNDB。
   1. 选择“VPN > SSL VPN > 虚拟网关列表”。
   2. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 认证授权配置”。
   3. 选择“认证授权方式”页签。
   4. 单击优先级“1”对应的操作，选择认证授权方式。 说明：

缺省情况下，USG采用VPNDB认证授权方式。

5. 单击，完成配置。

6. 配置VPNDB用户。
   1. 选择“VPN > SSL VPN > 虚拟网关列表”。
   2. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > VPNDB配置”。
   3. 选择“用户管理”页签。
   4. 单击“新建”。
   5. 在“添加用户”区域框中，配置VPNDB用户user，密码为User1234。图10-
      单击“应用”。
   6. 重复上述配置步骤，将所有需要访问内网资源的用户添加到USG。

 说明：
如果用户较多，可以在“批量导入用户”区域框中，批量导入用户。

结果验证

1. 企业员工在外部网络的IE浏览器中输入https://202.10.10.1，进入虚拟网关登录界面。
2. 输入在USG上配置的用户名user和密码User1234，单击“登录”，登录虚拟网关。显示界面如图10-71所示。

图10-71  虚拟网关客户端 

3. 在“Web代理”区域框中，单击资源链接“web_mail”，可正常访问Web邮件服务器；单击资源链接“OA”，可正常访问OA服务器。