1.组网及需求
某高校有一台FGT系列防火墙放置于互联网出口,拓扑如下图:
现需求通过组建sslvpn web代理模式和隧道模式以实现:
1.web代理模式:能访问 http://lib.xxxx.edu.cn(位于校园网内)该网址,并通过该网址跳转到校外的中国知网等互联网及校园网地址(目的地址不固定 all)
2.在web代理的模式下,实现用学校防火墙出口ip访问目标网站资源,可实现互联网受限文档的查阅下载。
3.隧道模式:访问校园网内部固定IP地址段的服务器server-2,同时隧道模式下启用隧道分割,客户端获取明细路由,访问校园网络时走sslvpn隧道。
2.配置要点
1. sslvpn 界面设置:web代理模式下,目标地址为all,同时隧道模式下又要启用隧道分割,则不能在一条sslvpn界面里同时启用web代理模式及隧道模式(目标地址为all,无法启用隧道分割,防火墙会报错):
需添加两条sslvpn界面,这里添加full-access为web代理模式的sslvpn;添加tunnel-access为隧道模式sslvpn;
2. 防火墙 sslvpn策略设置:建立两条sslvpn防火墙策略,一条匹配web代理模式sslvpn,一条匹配隧道模式sslvpn;
a. web代理模式和隧道模式的源地址均来自互联网,均为all
b.web代理模式sslvpn策略:既要访问内网,也需访问互连网,则目标端口为all,目的地址也为all;
c. 隧道模式sslvpn策略:目标端口为防火墙连接校园网的端口,目标地址为server-2;
d.由于这里有两条sslvpn策略,且源地址相同,为了避免sslvpn流量匹配出错,需用认证用户进行区分:user1用于web代理模式登录,user3用于隧道模式登录;
3.1)新建用户
2)配置sslvpn
3)SSL 界面配置
Location:登录地址,此处填写 http://lib.xxxx.edu.cn
4)配置sslvpn策略
a. web代理模式策略设置
SSL策略内添加用户,点击"添加"
添加sslvpn相应的用户组、服务、以及界面portal
b.隧道模式策略设置
添加sslvpn相应的用户组、服务、以及界面portal
用户组:选择允许登陆vpn的用户组:选择sslvpntunnel
SSL-VPN Portal:tunnel-access
4.隧道模式其他配置
1)隧道模式添加普通防火墙策略
只允许拨号用户访问内网的server地址
2)隧道模式添加路由
目的IP/子网掩码:10.212.134.0/24,为SSL用户地址池网段。
设备:选择ssl.root接口
其他默认,点击"确定"
