遠(yuǎn)程撥號(hào)用戶發(fā)起SSL VPN隧道連接實(shí)驗(yàn)配置

前言

用于遠(yuǎn)程訪問VPN，工作在應(yīng)用層與傳輸層之間
SSL VPN是以SSL協(xié)議為安全基礎(chǔ)的VPN遠(yuǎn)程接入技術(shù)，移動(dòng)辦公人員（在SSL VPN中被稱為遠(yuǎn)程用戶）使用SSL VPN可以安全、方便的接入企業(yè)內(nèi)網(wǎng)，訪問企業(yè)內(nèi)網(wǎng)資源，提高工作效率。

SSL與IPSec、L2TP的區(qū)別：
1.IPSec、L2TP缺點(diǎn)：遠(yuǎn)程用戶終端上需要安裝指定的客戶端軟件，導(dǎo)致網(wǎng)絡(luò)部署、維護(hù)比較麻煩。
2.IPSec、L2TP配置繁瑣
3.網(wǎng)絡(luò)管理人員無法對(duì)遠(yuǎn)程用戶訪問企業(yè)內(nèi)網(wǎng)資源的權(quán)限做精細(xì)化控制。
SSL的特點(diǎn)：
1.B/S結(jié)構(gòu)：瀏覽器/服務(wù)器結(jié)構(gòu)，遠(yuǎn)程用戶終端上無需安裝額外的客戶端軟件，直接使用Web瀏覽器就可以安全、快捷的訪問企業(yè)內(nèi)網(wǎng)資源。
2.可以根據(jù)遠(yuǎn)程用戶訪問內(nèi)網(wǎng)資源類型的不同，對(duì)其訪問權(quán)限進(jìn)行高細(xì)粒度控制。
3.提供了本地認(rèn)證、服務(wù)器認(rèn)證、證書匿名和證書挑戰(zhàn)多種身份認(rèn)證方式，提高了身份認(rèn)證的靈活性。
4.主機(jī)檢查策略可以檢查遠(yuǎn)程用戶終端的操作系統(tǒng)、端口、進(jìn)程以及殺毒軟件等是否符合安全要求，并且還具備防跳轉(zhuǎn)、防截屏的能力，消除了潛藏在遠(yuǎn)程用戶終端上的安全隱患。
5.緩存清理策略用于清理遠(yuǎn)程用戶訪問內(nèi)網(wǎng)過程中在終端上留下的訪問痕跡，加固了用戶的信息安全。

SSL應(yīng)用場景：
SSL VPN的主要應(yīng)用場景是保證遠(yuǎn)程用戶能夠在企業(yè)外部安全、高效的訪問企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。
1.遠(yuǎn)程用戶的SSL VPN接入網(wǎng)關(guān)
FW作為企業(yè)出口網(wǎng)關(guān)連接至Internet，并向遠(yuǎn)程用戶提供SSL VPN接入服務(wù)。遠(yuǎn)程用戶可以使用移動(dòng)終端（如便攜機(jī)、PAD或智能手機(jī)）隨時(shí)隨地訪問FW并接入到企業(yè)內(nèi)網(wǎng)，訪問企業(yè)內(nèi)網(wǎng)資源。

實(shí)驗(yàn)?zāi)康?br> 　　移動(dòng)辦公用戶的便攜機(jī)上裝有VPN Client軟件。用戶期望使用VPN Client軟件與企業(yè)出口網(wǎng)關(guān)LNS間建立SSL VPN隧道，從而通過VPN隧道訪問企業(yè)內(nèi)網(wǎng)！

一、實(shí)驗(yàn)拓?fù)?/h2>

二、實(shí)驗(yàn)步驟：

1.AR1

>clock timezone beijing add 8
sys
sysname AR1
user-interface console 0
idle-timeout 0
quit

#
interface GigabitEthernet0/0/0
 ip address 1.1.1.2 255.255.255.0 
quit
#
interface GigabitEthernet0/0/1
 ip address 3.3.3.2 255.255.255.0 
quit

2.LNS

代碼如下（示例）：

>clock timezone beijing add 8
sys
sysname LNS
user-interface console 0
idle-timeout 0
quit


interface GigabitEthernet0/0/0
 ip address 192.168.21.254 255.255.255.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
#
interface GigabitEthernet1/0/0
 ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 ip address 1.1.1.1 255.255.255.0
 service-manage https permit
 service-manage ping permit

#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#

#要配置安全策略

三、Web登錄防火墻配置

#要實(shí)現(xiàn)SSLVPN功能，創(chuàng)建通道

#配置網(wǎng)絡(luò)IP地址池

#配置FW1防火墻，創(chuàng)建SSLVPN隧道服務(wù)用戶名

總結(jié)測(cè)試

#登錄用戶客戶端，填寫地址1.1.1.1:443,保存登錄

#WEB登錄測(cè)試，網(wǎng)址登錄：https://1.1.1.1:443,顯示成功！

簡單的SSL VPN實(shí)驗(yàn)就配置完成了，如有錯(cuò)誤，歡迎指出！?。?span toymoban-style="hidden">文章來源地址http://www.zghlxwxcb.cn/news/detail-527010.html

到了這里，關(guān)于華為防火墻SSL VPN隧道連接實(shí)驗(yàn)配置的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！