Hillstone防火墙（AF）隧道实验

实验要求

（1）了解并规划安全域

（2）熟悉四层防火墙（AF）功能

（3）了解VPN工作原理

（4）公网通过隧道访问企业内网服务

一、网络拓扑图

二、Hillstone_vpn类型

（1） IPsec_VPN、SSL_VPN、L2TP_VPN

三、建立SSL_VPN

3.1 建立隧道

（1）点击网络-->接口-->新建-->隧道接口

（2）选择安全域为vpnhub，接口地址为内网地址即可

3.2  创建登录vpn的账号

（1）点击对象-->用户-->本地用户

名称为user，密码为123456（实验密码简单即可）

（2）将用户添加到用户组

用户组名为vpn，将user添加进vpn组

3.3  创建SSL_VPN地址池

（1）刚刚配置的vpn内网地址为172.100.100.100/24，所以地址池也必须要在一个网段

（2）选择起始ip为172.100.100.2，终止ip为172.100.100.254（保留.1，.255的地址）

3.4 创建资源列表（限制vpn的访问对象）

（1）资源是指外部员工通过VPN连接到内网后，能够访问指定IP地址，如内部平台的IP地址，我们只让其能访问业务OA系统

（2）新建-->url为dmz区web资源

3.5 新建ssl_vpn

（1）新建一个VPN连接（通常使用SSLvpn需要下载客户端的形式，Ipsecvpn不需要下载客户端，但是需要对端也有个防火墙设备）

（2）第一步取个名称即可，接入用户，VPN的客户端用户认证使用local本地，配了域认证的可以选择LDAP

（3）第二步配置接入接口，隧道接口，地址池。注意：隧道IP地址需要和地址池的地址在同一网段）接入接口是客户端访问的公网IP地址和端口，因此配置的是防火墙的公网IP所在的接口隧道接口是建立隧道后的传送给那个内网地址地址池，客户端VPN的内网IP地址池

（4）隧道路由添加到dmz里web服务的地址（内网ip），必须要有隧道路由

（5）让vpn_user这个组的用户能访问资源

（6）进入策略，新建一个vpn的安全域

（7）注意放通VPN到内网的安全域策略的顺序，需要在拒绝公网访问内网安全域策略之前，否则不生效

四、访问VPN

（1）  SSL VPN配置时，是通过接口0，即公网IP对外提供连接地址，端口为4433，因此我们需要使用外部的电脑（），在外部电脑访问地址 https://218.0.175.2:4433 可以看到VPN的登陆页面，如下图

（2）火狐浏览器可能出现报错，Error code:SSL ERROR UNSUPPORTED VERSION 

（3）解决方式

地址栏输入 about:config

然后将 security.tls. version .enable-deprecated 默认值设置为 true 即可

（4）登录vpn

登录成功后，要求下载客户端软件（老版本直接 web 登录就可以连通 vpn 了）。下载客户端

后，在客户端填写 vpn server 的公网 IP （ 218.175.0.2 ）端口 4433 和用户名密码即可

客户端登录后，可以看到被授权访问的资源

点击进入