資源描述:
《usg防火墻sslvpn配置案例》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�����。
1�����、文檔名稱文檔密級(jí)配置SSLVPNSSLVPN通過(guò)SSL協(xié)議和代理功能�����,實(shí)現(xiàn)遠(yuǎn)程用戶安全地訪問(wèn)內(nèi)網(wǎng)資源?�!づ渲肳eb代理舉例Web代理支持外網(wǎng)用戶通過(guò)USG訪問(wèn)內(nèi)網(wǎng)的Web服務(wù)器資源����,為用戶提供基于HTTP方式的Web應(yīng)用服務(wù)?�!づ渲镁W(wǎng)絡(luò)擴(kuò)展舉例網(wǎng)絡(luò)擴(kuò)展是指用戶在本地PC上安裝USG的網(wǎng)絡(luò)擴(kuò)展客戶端后�����,生成一個(gè)虛擬網(wǎng)卡,用戶通過(guò)該虛擬網(wǎng)卡與企業(yè)內(nèi)網(wǎng)進(jìn)行SSL數(shù)據(jù)通信�。·配置端口轉(zhuǎn)發(fā)舉例端口轉(zhuǎn)發(fā)業(yè)務(wù)是提供基于TCP的應(yīng)用程序的安全接入�,是一種非Web的應(yīng)用方式。端口轉(zhuǎn)發(fā)在應(yīng)用級(jí)對(duì)用戶訪問(wèn)進(jìn)行控制�����,控制是否提供各種應(yīng)用的服務(wù)���,如:Telnet�、遠(yuǎn)程桌面��、F
2�、TP、Email等服務(wù)��?��!づ渲梦募蚕砼e例文件共享的主要功能是將不同系統(tǒng)的服務(wù)器(如支持SMB協(xié)議的Windows系統(tǒng)���,支持NFS協(xié)議的Linux系統(tǒng))的共享資源以網(wǎng)頁(yè)的形式提供給用戶訪問(wèn)。配置Web代理舉例Web代理支持外網(wǎng)用戶通過(guò)USG訪問(wèn)內(nèi)網(wǎng)的Web服務(wù)器資源����,為用戶提供基于HTTP方式的Web應(yīng)用服務(wù)。組網(wǎng)需求當(dāng)USG接收到用戶的HTTP請(qǐng)求時(shí)����,USG作為Web代理從內(nèi)網(wǎng)Web服務(wù)器上獲取正確的Web資源返回給用戶。如圖1所示�����,在USG創(chuàng)建一個(gè)名為test的虛擬網(wǎng)關(guān)���,用戶可通過(guò)此虛擬網(wǎng)關(guān)訪問(wèn)企業(yè)內(nèi)網(wǎng)的Web資源。虛擬網(wǎng)關(guān)的IP地址為202.1
3��、.1.1/24。具體業(yè)務(wù)需求如下:·企業(yè)內(nèi)部有眾多Web應(yīng)用�,希望用戶能在企業(yè)外部訪問(wèn)這些資源����,例如Web郵件系統(tǒng)�,外網(wǎng)用戶可在登錄虛擬網(wǎng)關(guān)后通過(guò)http://10.1.1.5或http://webmail.internal.com訪問(wèn)�?����!て髽I(yè)內(nèi)網(wǎng)的DNS地址為10.1.1.2/24��,域名為internal.com?!ぬ摂M網(wǎng)關(guān)采用VPNDB的認(rèn)證授權(quán)方式��。用戶abc的密碼為123。2021-9-9華賽機(jī)密�,未經(jīng)許可不得擴(kuò)散第22頁(yè),共22頁(yè)文檔名稱文檔密級(jí)·只允許用戶abc通過(guò)IP地址2.2.2.1/24訪問(wèn)虛擬網(wǎng)關(guān)�����。圖1配置Web代理組網(wǎng)圖配置思路
4、1.配置USG相關(guān)接口的IP地址��,把接口加入相應(yīng)的安全域����,并配置域間包過(guò)濾規(guī)則�����。2.創(chuàng)建虛擬網(wǎng)關(guān)����,配置虛擬網(wǎng)關(guān)屬性。3.配置DNS服務(wù)器���。4.配置Web代理功能����,使用戶可訪問(wèn)內(nèi)網(wǎng)Web資源�����。5.配置認(rèn)證授權(quán)方式為VPNDB�。6.配置添加VPNDB用戶。7.配置用戶源IP型策略���,只允許用戶通過(guò)特定IP地址訪問(wèn)虛擬網(wǎng)關(guān)��。8.配置用戶源IP策略默認(rèn)行為為“限制”���,限制其他用戶訪問(wèn)內(nèi)網(wǎng)資源�。操作步驟1.配置USG的基本數(shù)據(jù)�����。#配置以太網(wǎng)接口GigabitEthernet0/0/0的IP地址。system-view[USG]interfaceGiga
5���、bitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress202.1.1.124[USG-GigabitEthernet0/0/0]quit#配置以太網(wǎng)接口GigabitEthernet0/0/1的IP地址�����。[USG]interfaceGigabitEthernet0/0/1[USG-GigabitEthernet0/0/1]ipaddress10.1.1.1242021-9-9華賽機(jī)密�����,未經(jīng)許可不得擴(kuò)散第22頁(yè),共22頁(yè)文檔名稱文檔密級(jí)[USG-GigabitEthernet0/0/1]quit#配置以太
6�����、網(wǎng)接口GigabitEthernet0/0/0加入U(xiǎn)nrust域�����。[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet0/0/0[USG-zone-untrust]quit#配置以太網(wǎng)接口GigabitEthernet0/0/1加入Trust域�。[USG]firewallzonetrust[USG-zone-trust]addinterfaceGigabitEthernet0/0/1USG-zone-trust]quit#配置USG缺省域間包過(guò)濾規(guī)則�����。[USG]fi
7�、rewallpacket-filterdefaultpermitinterzonelocaltrust[USG]firewallpacket-filterdefaultpermitinterzonelocaluntrust1.創(chuàng)建虛擬網(wǎng)關(guān)test。#添加名稱為test的虛擬網(wǎng)關(guān)����,虛擬網(wǎng)關(guān)URL為www.test.com,虛擬網(wǎng)關(guān)IP地址為202.1.1.1/24��,選擇獨(dú)占型����。[USG]v-gatewaytest202.1.1.1privatewww.test.com[USG-test]quit2.配置虛擬網(wǎng)關(guān)信息�。#修改虛擬網(wǎng)關(guān)最大用戶數(shù)。[USG]
8����、v-gatewaytestmax-user100#修改虛擬網(wǎng)關(guān)最大并發(fā)用戶數(shù)�。[USG]v-gatewayt
