資源描述:
《sonicwall ssl vpn 配置手冊》由會員上傳分享�,免費在線閱讀����,更多相關內(nèi)容在應用文檔-天天文庫�����。
1���、SSLVPN設置SonicWALLNSA產(chǎn)品具有SSLVPN撥號功能,可以用SSLVPN客戶端(Nextender)和防火墻建立SSLVPN連接���,通過SSLVPN隧道訪問到公司或組織內(nèi)部網(wǎng)絡��。SSLVPN只在NSA設備的5.2.0以后的系統(tǒng)中可以使用����,如果你的系統(tǒng)版本低����,需要下載新的系統(tǒng)版本,安裝后才可以使用���。SSLVPN在防火墻中也是使用license進行控制的��,所以在使用SSLVPN配置之前�,請檢查一下系統(tǒng)是否帶有SSLVPN的license。WAN接口的General界面����,Management,UserLogin,都在HTTPS方框打勾。選擇SSLV
2����、PN->ClientSetting.在Interface下拉框中,使用X0(LAN口)作為SSLVPN服務口�,同時在WAN安全區(qū)域允許SSLVPN接入,點WAN是紅色的按鈕變成綠色���。需要注意到是��,Nextender的地址范圍要和內(nèi)網(wǎng)接口(本例是X0LAN)的地址范圍一致��。這個地址范圍不要和其它機器沖突。(你可以啟用防火墻的另外一個沒有使用的端口做SSLVPN服務接口�����,那么你在Interface界面選擇那個接口�����,IP地址池范圍就是那個接口網(wǎng)段的地址)NetExtenderClientSettings是配置客戶端的細致的設置。CreateClientConne
3���、ctionProfile:可以使NetExtenderClient客戶端軟件自動保存成功連接的配置����,下次連接�����,直接選擇這個連接的參數(shù)�����,不用手工再次輸入了����。點擊SSLVPN->ClientRoutes菜單下,把需要訪問的服務器網(wǎng)段地址或服務器地址添加進去���。ClientRoute界面把允許SSLVPN用戶訪問的主機地址和網(wǎng)段加入即可����。防火墻自動創(chuàng)建SSLVPN到各個安全區(qū)域的規(guī)則,本例是SSLVPN用戶訪問LANPrimarySubnet,就是LAN口的整個網(wǎng)段����,自動生成的防火墻規(guī)則在Firewall->AccessRules,SSLVPN->LAN界面可以看
4、到���。建立一個用戶賬戶��,讓用戶使用這個賬戶進行VPN撥號����。點擊Users->localusers點擊AddUser按鈕在setting標簽頁中�,輸入用戶名稱,密碼���,Group標簽頁中�����,需要把用戶添加到SSLVPNServices組中����,不然會無法進行撥號VPNAccess標簽頁保持空白���,然后點擊OK完成用戶設置�����。完成后結果如下�?�?蛻舳塑浖渲?���,(Nextender客戶端軟件可以到https://www.mysonicwall.com/downloadcenter中下載)安裝軟件?��;蛘呤褂肳EB方式登錄SSLVPN設備�,直接在登錄入口界面里點NetExtende
5�、r圖標安裝軟件。啟動后�,軟件彈出一個對話框,分別輸入防火墻WAN口地址��,用戶名�����,密碼,和Domain�����。注意:Domain名稱必須使用LocalDomain(區(qū)分大小寫不然系統(tǒng)會不認)注意SSLVPN服務器地址后面的端口號:4433,因為本防火墻的WAN口的HTTPS遠程管理ideas端口被修改成了4433����,否則默認端口443,這個SSLVPN服務器地址后無需輸入端口號����。點擊connect,經(jīng)過一段時間,顯示連接成功如果要允許SSLVPN用戶使用WEB瀏覽器登錄�����,那么WAN接口的Management“HTTPS”���,UserLogin中的“HTTPS”必須選中
6���、.如果WAN的HTTPS遠程管理沒有允許,用戶根本不能通過WEB方式到達用戶認證界面�。如果HTTPS遠程管理允許了�,但是UserLogin沒有允許�,SSLVPN用戶通過瀏覽器可以到達SSLVPN用戶認證界面,但是登錄會失敗���,說沒有權限。如果用戶只采用NetExtender客戶端軟件連接VPN設備����,“HTTPS”Management不是必須的,但是UserLogin中的“HTTPS”必須選中�。簡而言之:?使用SSLVPN功能,WAN接口的UserLogin中的“HTTPS”必須選中���,不論WEB方式登錄����,還是NetExtender獨立客戶端軟件方式登陸���。?WE
7��、B方式登錄���,HTTPS遠程管理必須打開使用WEB方式登錄https://123.127.134.147:4433,點ClickhereforSSLVPNlogin如果WAN接口的UserLogin的HTTPS沒有允許����,SSLVPN不允許登錄SSLVPN入口界面UserLogin允許之后��,SSLVPN用戶登錄成功�。點NetExtender圖標,自動安裝NetExtender軟件����。如果你使用Vista瀏覽器在保護模式,你必須SSLVPN的URL添加到瀏覽器的可信站點里��,才能安裝軟件�����。修改NetExtender的端口號和防火墻HTTPS遠程管理的端口號一致����。Sy
8、stem->Administration界面可以修改防火墻遠程管理
