• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

Secpath F1020防火墙

2024-08-13提问
  • 0关注
  • 0收藏,307浏览
粉丝:0人 关注:2人

问题描述:

如何配置SSLVPN

2 个回答
已采纳
粉丝:249人 关注:0人

您好,参考

ssl vpn 命令行配置方法

5.1  防火墙上网配置

防火墙上网配置请参考“2.2.2 防火墙外网使用固定IP地址上网配置方法”进行配置,本文只针对SSLVPN配置进行介绍。     

5.2  配置SSL VPN网关

#SSLVPN网关IP地址填写防火墙1口地址222.1.1.1.00,端口号修改为4433,缺省端口为443443端口和https端口冲突,然后使能网关配置。

<H3C>sys   //进入系统视图

[H3C]sslvpn gateway SSLVPNGW   //创建sslvpn网关 名称SSLVPNGW   

[H3C-sslvpn-gateway-SSLVPNGW]ip address 222.1.1.100 port 4433   // SLVPN网关IP地址填写防火墙1口地址222.1.1.1.00,端口号修改为4433(默认443和网关冲突)

[H3C-sslvpn-gateway-SSLVPNGW]service enable   //使能sslvpn

[H3C-sslvpn-gateway-SSLVPNGW]quit   //退出

#创建SSL VPN AC接口1,配置接口IP10.10.10.1/24

[H3C]interface SSLVPN-AC 1   //创建SSL VPN AC接口1

[H3C-SSLVPN-AC1] ip address 10.10.10.1 255.255.255.0   //配置接口IP10.10.10.1 掩码255.255.255.0

[H3C-SSLVPN-AC1]quit  //退出当前视图

 #创建地址池名称为“SSLPOOL”,指定IP地址范围为10.10.10.2——10.10.10.254

[H3C]sslvpn ip address-pool SSLPOOL 10.10.10.2 10.10.10.254

 #创建ACL 3999,允许SSL VPN用户访问的内网资源192.168.10.0/24网段

[H3C]acl advanced 3999   //创建ACL 3999

[H3C-acl-ipv4-adv-3999]rule permit ip destination 192.168.10.0 0.0.0.255   //创建规则,允许SSL VPN用户访问的内网资源192.168.10.0/24网段

[H3C-acl-ipv4-adv-3999]quit  //退出当前视图

5.3  配置SSL VPN实例

配置SSL VPN访问实例“SSLVPNSL”引用SSL VPN网关“SSLVPNGW

 [H3C] sslvpn context SSLVPN   //创建SSL VPN访问实例“SSLVPNSL

 [H3C-sslvpn-context-SSLVPN]gateway SSLVPNGW   //引用SSL VPN网关“SSLVPNGW

#引用SSL VPN接口1

 [H3C-sslvpn-context-SSLVPN] ip-tunnel interface SSLVPN-AC1   //引用SSL VPN接口1

#引用SSL VPN地址池,掩码和dns

 [H3C-sslvpn-context-SSLVPN]ip-tunnel address-pool SSLPOOL mask 255.255.255.0   //引用SSL VPN地址池,掩码

 [H3C-sslvpn-context-SSLVPN]ip-tunnel dns-server primary 114.114.114.114   //设置客户端dns服务器

#创建路由列表“NEIWANG”,添加路由表项192.168.10.0/24

 [H3C-sslvpn-context-SSLVPN] ip-route-list NEIWANG   //创建路由列表“NEIWANG

 [H3C-sslvpn-context-SSLVPN-route-list-NEIWANG] include 192.168.10.0 255.255.255.0   //添加路由表项192.168.10.0/24

创建SSL VPN策略组“SSLVPNZIYUAN”,引用路由列表“NEIWANG”,配置ACL限制,只有通过ACL检查的报文才可以访问IP资源

[H3C-sslvpn-context-SSLVPN] policy-group SSLVPNZIYUAN   //创建SSL VPN策略组“SSLVPNZIYUAN

[H3C-sslvpn-context-SSLVPN-policy-group-SSLVPNZIYUAN]filter ip-tunnel acl 3999   //配置ACL限制,只有通过ACL检查的报文才可以访问IP资源

[H3C-sslvpn-context-SSLVPN-policy-group-SSLVPNZIYUAN]ip-tunnel access-route ip-route-list NEIWANG   //引用路由列表“NEIWANG

[H3C-sslvpn-context-SSLVPN-policy-group-SSLVPNZIYUAN]quit   //退出

[H3C-sslvpn-context-SSLVPN] service enable   //使能sslvpn策略组

[H3C-sslvpn-context-SSLVPN]quit    //退出

5.4  新建SSL VPN用户,关联SSLVPN资源组

#创建SSLVPN本地用户,配置用户名密码user1,服务类型sslvpn,引用之前创建的SSLVPN资源组

[H3C]local-user user1 class network   //创建SSLVPN本地用户,配置用户名密码user1,

[H3C-luser-network-user1]password simple user1   //配置密码user1

[H3C-luser-network-user1]service-type sslvpn   //服务类型sslvpn

[H3C-luser-network-user1]authorization-attribute sslvpn-policy-group SSLVPNZIYUAN   //引用所创建的SSLVPN资源组SSLVPNZIYUAN

[H3C-luser-network-user1]quit   //退出

5.5  SSL VPN端口加入安全域,放通对应安全策略

 #新建安全域,名称为“SSLVPN”,将SSL VPN端口1加入到安全域“SSLVPN

 [H3C]security-zone name SSLVPN   //新建安全域,名称为“SSLVPN

 [H3C-security-zone-SSLVPN]import interface SSLVPN-AC1   //SSL VPN端口1加入到安全域“SSLVPN

 [H3C-security-zone-SSLVPN]quit   //退出

 #创建服务对象组,组名称为4433,匹配SSLVPN

 [H3C]object-group service 4433    //创建服务对象组,组名称为4433

 [H3C-obj-grp-service-4433]service tcp destination eq 4433   //添加服务为tcp的目的端口4433

 [H3C-obj-grp-service-4433]quit  //退出当前视图

#配置安全策略将UntrustLocal域目的端口为TCP4433端口放通

[H3C]security-policy ip   //配置安全策略

[H3C-security-policy-ip]rule 5 name Untrst-Local  //创建规则5名字Untrst-Local

[H3C-security-policy-ip-5-Untrst-Local]action pass   //动作允许

[H3C-security-policy-ip-5-Untrst-Local]source-zone Untrust   //添加源安全域Untrust

[H3C-security-policy-ip-5-Untrst-Local]destination-zone Local    //添加目的安全域trust

[H3C-security-policy-ip-5-Untrst-Local]service 4433   //调用服务对象组4433

[H3C-security-policy-ip-5-Untrst-Local]quit  //退出当前视图

#配置配置安全策略,放通源安全域为SSLVPN,目前安全域为“Trust”的数据流量

[H3C-security-policy-ip]rule 10 name SSLVPN-Trust  //创建规则10 名字SSLVPN-Trust

[H3C-security-policy-ip-10-SSLVPN-Trust] action pass   //动作允许

[H3C-security-policy-ip-10-SSLVPN-Trust] source-zone SSLVPN   //添加源安全域SSLVPN

[H3C-security-policy-ip-10-SSLVPN-Trust] destination-zone Trust   /添加目的安全域trust

[H3C-security-policy-ip-10-SSLVPN-Trust]quit   //退出

5.6  保存配置

[H3C]save force

5.7  配置验证,查看拨号成功的用户

<H3C>dis sslvpn session verbose

User              : user1

Context           : SSLVPN

Policy group      :SSLVPNZIYUAN

Idle timeout      : 30 min

Created at        : 18:16:02 UTC Sun 08/26/2018

Lastest           : 18:32:32 UTC Sun 08/26/2018

User IPv4 address : 222.1.1.99

Alloced IP        : 10.10.10.2

Session ID        : 3

Web browser/OS    : Windows

 

注意事项

1、本案例适应的是默认证书,不需要手工导入CA证书和本地正常

2、不需要配置SSL服务器端策略,SSLVPN网关不需要引用SSL服务器端策略


能不能微信指导一下 我按照这个配置了 不行

Datacom 发表时间:2024-08-13 更多>>

能不能微信指导一下 我按照这个配置了 不行

Datacom 发表时间:2024-08-13
粉丝:97人 关注:1人

1 SSL VPN

1.1 SSL VPN简介

1.1.1 SSL VPN工作机制

1.1.2 SSL VPN典型组网

1.1.3 SSL VPN接入方式

1.1.4 SSL VPN用户认证

1.1.5 资源访问控制

1.1.6 SSL VPN支持VPN多实例

1.2 SSL VPN的License要求

1.3 SSL VPN配置限制和指导

1.4 SSL VPN配置任务简介

1.5 SSL VPN配置准备

1.6 配置SSL VPN网关

1.7 配置SSL VPN访问实例

1.8 配置SSL VPN用户认证方式

1.8.1 配置限制和指导

1.8.2 配置任务简介

1.8.3 配置用户认证模式

1.8.4 配置用户名密码认证功能

1.8.5 配置证书认证功能

1.8.6 配置验证码验证功能

1.8.7 配置iMC短信认证功能

1.8.8 配置短信网关认证功能

1.8.9 配置用户自助修改密码功能

1.9 配置SSL VPN用户认证服务器

1.9.1 配置认证服务器类型

1.9.2 配置自定义认证服务器参数

1.10 创建URI ACL

1.11 配置Web接入服务

1.11.1 配置限制和指导

1.11.2 配置任务简介

1.11.3 配置URL列表

1.11.4 为Web接入配置SSL VPN策略组

1.11.5 配置改写策略

1.12 配置TCP接入服务

1.12.1 配置任务简介

1.12.2 配置端口转发列表

1.12.3 为TCP接入配置SSL VPN策略组

1.13 配置IP接入服务

1.13.1 配置限制和指导

1.13.2 配置任务简介

1.13.3 配置用于IP接入服务的SSL VPN AC接口

1.13.4 配置分配给IP接入用户的地址池

1.13.5 配置SSL VPN访问实例的IP接入参数

1.13.6 为IP接入配置SSL VPN策略组

1.13.7 配置SSL VPN用户绑定IP地址

1.13.8 配置IP接入方式与NAT配合使用

1.14 为移动客户端配置SSL VPN接入服务

1.14.1 配置任务简介

1.14.2 为移动客户端指定EMO服务器

1.14.3 为移动客户端指定Message服务器

1.15 配置快捷方式

1.16 配置资源重定向

1.17 配置HTTP重定向

1.18 配置SSL VPN缺省策略组

1.19 配置SSL VPN支持VPN多实例

1.19.1 配置SSL VPN访问实例关联VPN实例

1.19.2 配置SSL VPN网关所属的VPN实例

1.20 配置SSL VPN在线用户控制

1.21 配置SSL VPN会话的限速功能

1.22 配置SSL VPN防暴力破解功能

1.23 配置SSL VPN单点登录功能

1.23.1 功能简介

1.23.2 配置限制和指导

1.23.3 配置自动构建登录请求方式下的单点登录功能

1.23.4 配置Basic认证方式下的单点登录功能

1.24 配置SSL VPN企业微信认证功能

1.24.1 功能简介

1.24.2 配置限制和指导

1.24.3 配置准备

1.24.4 配置步骤

1.25 配置IP接入客户端下载路径

1.26 配置SSL VPN页面

1.26.1 配置限制和指导

1.26.2 定制SSL VPN页面信息

1.26.3 设置SSL VPN页面模板

1.27 开启SSL VPN日志功能

1.28 SSL VPN显示和维护

1.29 SSL VPN典型配置举例

1.29.1 Web接入配置举例

1.29.2 TCP接入配置举例

1.29.3 IP接入配置举例

1.29.4 RADIUS认证、授权配置举例

1.29.5 LDAP认证、授权配置举例

1.29.6 USB Key证书认证配置举例

 

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明