防火墙内网接口1/0/0接server,外网接口1/0/1作为外网上网,现外网用户通过访问防火墙外网口的1.1.1.1地址加端口4433拨入sslvpn,获取20.1.1.0网段地址后,来访问内网10.1.1.2服务器80端口。
防火墙内网口1/0/0为trust安全域、外网口1/0/1为untrust安全域,SSLVPN-AC1网关接口为sslvpn安全域。
Sslvpn拨入后的地址池20.1.1.1/24
网关接口为SSLVPN-AC1
Sslvpn对外开放端口tcp 4433
security-policy ip
rule 1 name sslvpn
action pass
source-zone Untrust
destination-zone Local
destination-ip-host 1.1.1.1
service-port tcp destination eq 4433
rule 2 name sslvpn2
action pass
source-zone sslvpn
destination-zone Trust
destination-ip-host 10.1.1.2
service-port tcp destination eq 80
策略解释:
创建rule1:
Sslvpn拨入到防火墙需要外网流量从g1/0/1进入防火墙,且目的为防火墙本身,属于本地报文,因此目的安全域为Local,而g1/0/1属于Untrust安全域,所以流量的走向是:源安全域Untrust到目的安全域Local,目的端口为本身的sslvpnvpn 4433端口。
创建rule2:
拨入成功后用户网段属于SSLVPN接口网段,防火墙根据目的地址再将流量从g1/0/0转发出去。而g1/0/0属于trust安全域,SSLVPN-AC1接口属于sslvpn安全域,所以流量的走向是:源安全域sslvpn到目的安全域trust。目的地址和端口为服务器的10.1.1.2的80端口。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作