DCN多核防火墙SCVPN配置.pptVIP

DCN多核防火墙快速配置之 SCVPN 神州数码网络 案例描述 需求陈述： 外网用户通过Internet使用SSL VPN接入内网 允许SSL VPN用户接入后访问内网的FTP Server：0 允许SSL VPN用户接入后访问内网的WEB Server：0 神州数码网络 2 网络拓扑 外网网关： 配置步骤 SCVPN地址池配置 SCVPN实例配置 创建SCVPN要赋予的安全域 创建隧道接口，指定安全域，并绑定SCVPN实例 添加安全策略用于SCVPN用户访问内网 添加SCVPN用户帐号 远程客户端登陆使用SCVPN演示 神州数码网络 3 配置SCVPN地址池 创建SCVPN地址池，当SCVPN客户端验证成功后，防火墙会从地址池中取出一个地址分配给客户端 神州数码网络 4 配置SCVPN实例 – 创建实例 创建一个SCVPN实例，定义SCVPN接入使用的各种参数 神州数码网络 5 配置SCVPN实例 – 编辑实例 创建完SCVPN实例并编辑完成各种参数后，还需要对该实例重新编辑。 点击已编辑好的实例后的“修改”按钮。 神州数码网络 6 配置SCVPN实例 – 添加隧道路由 此处添加的隧道路由条目，在客户端与防火墙的SCVPN创建成功后会下发到客户端的路由表中。 添加的网段就是客户端要通过VPN隧道访问的位于防火墙内网的网段。 需要注意的是此处添加的路由条目的“度量”值比客户端上缺省路由的度量值要小。度量值越小的路由条目优先级越高。 神州数码网络 7 1 2 添加要下发的FTP Server的路由 配置SCVPN实例 – 添加隧道路由 由于我们的需求是只要求VPN客户端能访问内网的FTP Server和WEB Server，所以这里我们只添加针对这两个Server的主机路由， 神州数码网络 8 添加要下发的WEB Server的路由 1 2 配置SCVPN实例 – 添加AAA服务器 这里添加的AAA服务器是用来验证客户端登陆的用户名、密码。目前防火墙支持的验证方式有4种 防火墙本地验证 Radius验证 Active-Directory验证 LDAP验证 神州数码网络 9 本案例采用防火墙本地验证，所以这里就选择了防火墙缺省自带的AAA服务器“local”。如果要采用Radius等其他的验证方式，需要在首先在“对象”中创建AAA服务器对象，然后在此调用。 创建SCVPN要服务的安全域 为创建的SCVPN新建一个安全域，安全域类型为“第三层安全域” 神州数码网络 10 SCVPN实例与隧道接口的绑定 为了SCVPN客户端能与防火墙上其他接口所属区域之间正常路由转发，需要为他们配置一个网关接口，这在防火墙上通过创建一个隧道接口，并将创建好的SCVPN实例绑定到该接口上来实现。 神州数码网络 11 只能是1-128的数字 将tunnel1接口加入创建好的安全域 给接口配置一个IP地址，该IP地址须与SCVPN地址池中的IP位于同一网段 将创建好的SCVPN实例绑定到该接口 定义地址对象 为创建SCVPN客户端访问内网server的安全策略，首先要将策略中引用的对象定义好 定义FTP Server的地址对象 神州数码网络 12 定义地址对象 定义WEB Server的地址对象 神州数码网络 13 由于是单台主机地址所以掩码为32 添加安全策略 添加安全策略，以允许SCVPN用户访问内网资源 添加策略1允许SCVPN用户访问内网FTP Server仅开放FTP服务 添加策略2允许SCVPN用户访问内网WEB Server仅开发HTTP服务 神州数码网络 14 1 2 添加SCVPN用户账号 创建属于”local“server中的用户帐号，以分配给SCVPN登陆验证使用 神州数码网络 15 创建完用户名后对该帐号进行编辑 为该帐号配置密码并确认一次 SCVPN登陆演示 在客户端上打开浏览器，在地址栏中键入：:4433 在登陆界面中填入用户帐号和密码点击登陆 神州数码网络 16 登陆演示 在初次登陆时，会要求安装SCVPN客户端插件，此插件以ActiveX插件方式推送下载，并有可能被浏览器拦截，这是需要手动允许安装这个插件。 神州数码网络 17 点击 如无法通过下载ActiveX插件安装，请点击此处下载安装 登陆演示 SCVPN客户端的安装 对下载完成的客户端安装程序手动安装 神州数码网络 18 登陆演示 SCVPN客户端安装成功后会登陆防火墙，在对用户名和密码验证成功后，右下角的客户端程序图标会变成绿色。并在web界面中显示“连接成功”。 神州数码网络 19 登陆成功后任务栏中客户端图标变为绿色 查看客户端网络信息 鼠标点击任务