F1070 SSLVPN
- 1关注
防火墙:F1070
版本:version 7.1.064, Ess 9323P08
web配置SSLVPN 模板
创建名为sslvpn的pki域
pki domain sslvpn
public-key rsa general name sslvpn
undo crl check enable
通过tftp导入ca证书和服务器证书
通过将电脑与防火墙的1/0/3号口相连,并配置PC的IP地址为192.168.0.3/24,保证PC与防火墙间能相互通信,通过ping命令测试通过后PC通过3CDaemon程序搭建tftp服务器将certnew.cer与server.pfx两个证书导入防火墙中
tftp 192.168.0.3 get certnew.cer
tftp 192.168.0.3 get server.pfx
在用户视图界面下可通过dir命令查看证书是否导入成功
激活证书
pki import domain sslvpn pem ca filename certnew.cer
pki import domain sslvpn p12 local filename server.pfx
配置SSL服务器端策略sslvpn
ssl server-policy sslvpn
pki-domain sslvpn
client-verify enable
配置SSL VPN网关GW
sslvpn gateway GW
ip address 防火墙上联IP地址 port 允许端口号
ssl server-policy sslvpn
service enable
配置SSL VPN访问实例ctx1引用SSL VPN网关GW,指定域名为domain1
sslvpn context ctx1
gateway GW domain domain1
创建URL列表urllist并配置需要访问服务器地址
ip-tunnel interface SSLVPN-AC0
ip-tunnel address-pool ippool mask 255.255.255.0
ip-route-list iplist
include 10.40.1.0 255.255.255.0
SSL VPN访问实例ctx1下创建策略组pgroup,引用资源,配置过滤,
sslvpn context ctx1
gateway gw
policy-group pgroup
filter ip-tunnel 3001
ip-tunnel access-route ip-route-list iplist
service enable
创建本地SSL VPN用户组usergroup,授权用户的SSL VPN策略组为pgroup
user-group usergroup
authorization-attribute sslvpn-policy-group pgroup
创建本地SSL VPN用户sslvpn,密码为123456,用户角色为network-operator,设置本地用户所属的用户组为usergroup
local-user sslvpn class network
password simple 123456
service-type sslvpn
group usergroup
authorization-attribute user-role network-operator
- 2017-11-16发布
- 举报
-
(0)
