目录
一、高校图书馆SSLvpn配置案例
1、组网需求
某高校有一台RGFW-1600系列防火墙放置于互联网出口,拓扑如下图:
现需求通过组建sslvpn web代理模式和隧道模式以实现:
1.web代理模式:能访问http://lib.xxxx.edu.cn(位于校园网内)该网址,并通过该网址跳转到校外的中国知网等互联网及校园网地址(目标地址不固定,为all)
2.在web代理的模式下,实现用学校防火墙出口ip访问目标网站资源,可实现互联网受限文档的查阅下载。
3.隧道模式:访问校园网内部固定IP地址段的服务器server-2,同时隧道模式下启用隧道分割,客户端获取明细路由,访问非校园网络时步骤sslvpn隧道
2、配置要点
1.sslvpn 界面设置:web代理模式下,目标地址为all,同时隧道模式下又要启用隧道分割,则不能在一条sslvpn界面里同时启用web代理模式及隧道模式(目标地址为all,无法启用隧道分割,防火墙会报错):需添加两条sslvpn界面,这里添加redirect为web代理模式的 sslvpn;添加redirect1为隧道模式sslvpn;
2. 防火墙 sslvpn策略设置:建立两条sslvpn防火墙策略,一条匹配web代理模式sslvpn,一条匹配隧道模式sslvpn;
a. web代理模式和隧道模式的源地址均来自互联网,均为all
b.web代理模式sslvpn策略:既要访问内网,也需访问互连网,则目标端口为all,目的地址也为all;
c. 隧道模式sslvpn策略:目标端口为防火墙连接校园网的端口,目标地址为server-2;
d.由于这里有两条sslvpn策略,且源地址相同,为了避免sslvpn流量匹配出错,需用认证用户进行区分:user1用于web代理模式登录,user3用于隧道模式登录;
3、配置步骤
1、基本上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
2、配置用户
1)定义用户
菜单:设置用户--设置用户--设置用户:点击“新建”
添加用户名:user1,密码 11111111用于web代理登录;user3,密码11111111,用于隧道模式登录
2)定义用户组
菜单:设置用户--用户组--用户组:点击“新建”
添加用户组: sslvpngroup1,添加user1用户到该组;添加sslvpntunnel, 添加user3用户到该组
3、sslvpn相关配置
1)设置sslvpn
菜单:虚拟专网--SSL--设置
按如下方式配置
IP池:代理模式不需要配置
服务器证书:一般使用自签名即可,企业也可以使用自有的“本地证书”。
登陆端口:SSL VPN的访问端口,默认为443,如果接口开启https服务端口会冲突,可以修改https 服务的管理端口或者修改该端口为其他端口,
如10443。
DNS服务器,WINS服务器:如果需使用域名来访问内部资源的时候,需要配置内部DNS。
2)SSL 界面配置
菜单: 虚拟专网--SSL--界面,点击“新建”
a. 建立web代理模式的sslvpn界面redirect
category:分类名称
名称:服务器名称
类型:HTTP/HTTPS
Location:登录地址,此处填写http://lib.xxxx.edu.cn
SSO:是否开启单点登录
b.建立隧道模式的sslvpn界面redirect1
4、 配置SSL 策略
1)配置sslvpn策略
策略配置如下:
a. web代理模式策略设置
源接口: 用于接收SSL请求的接口
源地址: all,允许所有的ip进行SSL连接。
目的接口/区:需要通过SSLVPN访问的内网、外网接口
目的地址:被访问的目标地址,由于需访问互联网内容,此处为all
动作: SSLVPN
配置SSL—VPN用户:勾选, 添加用户组和界面。
SSL策略内添加用户,点击“添加”弹出如下框
添加sslvpn相应的用户组、服务、以及界面portal
用户组:选择允许登陆vpn的用户组:选择sslvpngroup1
服务:选择ALL
SSL-vpn Portal:为用户组分配一个ssl界面,选择redirect
点击确认完成策略配置如下:
b.隧道模式策略设置
源接口: 用于接收SSL请求的接口
源地址: all,允许所有的ip进行SSL连接。
目的接口/区:需要通过SSLVPN访问的内网口port1
目的地址:被访问的目标地址,此处为server-2
动作: SSLVPN
配置SSL—VPN用户:勾选, 添加用户组和界面。
SSL策略内添加用户,点击“添加”弹出如下框
添加sslvpn相应的用户组、服务、以及界面portal
用户组:选择允许登陆vpn的用户组:选择sslvpntunnel
服务:选择ALL
SSL-vpn Portal:为用户组分配一个ssl界面,选择redirect1
点击确认完成策略配置如下:
5、隧道模式其他配置
1).隧道模式添加普通防火墙策略
只允许拨号用户访问内网的server2地址
2)隧道模式添加路由
目的IP/子网掩码:172.18.210.0/24,为SSL用户地址池网段。
设备:选择ssl.root接口
其他默认,点击“确定”
6、功能验证
1)使用user1登录sslvpn 的web界面,访问http://lib.xxxx.edu.cn
页面显示欢迎xx学校, 说明已成功实现防火墙sslvpn代理,并实现用防火墙出口IP访问目标网站
2)用user3账号登录客户端,访问内网资源
客户端获取到的明细路由