2SANGFOR_SSLVPN基本网络环境部署与配置.pptVIP

SANGFOR SSL 部署模式介绍 深信服公司简介 SANGFOR SSL 部署模式配置 SANGFOR SSL 练练手 SANGFOR SSL SANGFOR SSL部署模式介绍 部署模式_简介 1、部署模式是指设备以什么样的工作模式部署到客户网络中去，不同的部署方式对客户的网络影响各有不同，具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定。 2、SSLVPN支持网关（单线路和多线路）、单臂两种工作模式。 网关模式特点 1、网关模式时SSL设备工作层次基本与路由器或包过滤防火墙相当，具备基本的路由转发及NAT功能。一般在客户原有网络环境中添加部署SSL设备时不采用这种模式，因为这种部署模式需要对客户的网络环境作较大的改动。 2、一般此种部署模式的客户网络环境规模比较小，用SSL设备替换原有部署在出口的路由器，或者是客户在规划新网络建设时将SSL部署为路由模式。 如客户出口有前置防火墙或网络规模比较大建议用单臂模式。 SANGFOR SSL部署模式介绍 SANGFOR SSL部署模式介绍 单臂模式特点 1、单臂模式时SSL设备工作模式基本与一台内网服务器相当，由前置设备将SSL服务对外发布，该模式下仅处理VPN数据。一般在客户原有网络环境中添加部署SSL设备时将采用这种模式，因为这种部署模式需要对客户的网络环境无变动，哪怕设备宕机也不会影响网络。 2、单臂模式部属只需要连接LAN口到内网，防火墙、NAT、DHCP等功能无法使用。 SANGFOR SSL部署配置 单线路 多线路 单臂 模式 网关模式 SANGFOR SSL部署配置（网关模式） SANGFOR SSL部署配置（网关模式） 1、网关模式配置：确定设备外网口（WAN1口）是固定IP或者是ADSL拨号方式，取得相应运营商给的IP地址信息或者是拨号的帐号密码；确定内网口（LAN口）的IP地址信息； 2、上网配置：代理上网（NAT），确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。 网关单线路配置思路： SANGFOR SSL部署配置（网关模式） 1、线路确定：跟客户确认有几条公网线路接入，并申请多线路授权 2、网关模式配置：确定设备外网口是固定IP或者是ADSL拨号方式，取得相应运营商给的IP地址信息或者是拨号的帐号密码，给每条外网线路做配置；确定内网口（LAN口）的IP地址信息； 3、上网配置：代理上网（NAT），确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。 4、多线路配置：根据客户需求选择相应选路方式，用于用户内网用户通过SSL 设备上外网的多线路选路策略。 网关多线路配置思路： SANGFOR SSL部署配置（网关模式） 网关单线路模式配置截图 SANGFOR SSL部署配置（网关模式） 网关多线路模式配置截图 SANGFOR SSL部署配置（单臂模式） 1、单臂模式配置：给设备LAN口分配一个可以上网的IP地址、填写正确的网关IP、DNS； 2、前置网关做TCP 443和80端口映射（如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口） 单臂部署配置思路： 如果需要用快速传输协议，还需要映射UDP443；如果需要用IP服务UDP传输，还需要映射UDP442。 SANGFOR SSL部署配置（单臂模式） 单臂模式配置截图 练练手 练练手 情景一 客户存在问题： 随着公司发展，公司领导在外出差越来越多，无法通过远程办公，经常有文件耽误审批。另外出口只有一个路由器没有防火墙功能，想购买一个防火墙。 解决方案： 建议客户使用SSL网关，用网关模式部署替代前置路由器充当防火墙，另外还可解决领导在外远程安全接入办公问题。 练练手 要求： 请根据情景一，给客户做SSL实施，替换前置路由器，并保证客户能正常上网，SSL远程接入暂不配置。 网关单线路部署配置步骤 网关模式部署，填写WAN口、LAN口IP地址 设置NAT 练练手 情景二 客户存在问题： 随着公司发展，公司领导在外出差越来越多，无法通过远程办公，经常有文件耽误审批。另外出口只有一个路由器没有防火墙功能，想购买一个防火墙。 解决方案： 建议客户使用SSL网关，用网关模式部署替代前置路由器充当防火墙，另外还可解决领导在外远程安全接入办公问题。 练练手 要求： 请根据情景二，给客户做SSL实施，替换前置路由器，并保证客户能正常上网，SSL远程接入暂不实施 双线路部署配置步骤 网关模式部署，填写WAN口、LAN口IP地址，选择相应选路方式 配置NAT 练练手 情景三 客户存在问题：