×

SSL VPN单臂部署
  

张旭峰 1392

{{ttag.title}}
1. 部署模式
WEBUI 路径:『系统设置』→『网络配置』→『部署模式』。
选择单臂模式时,需要配置内网接口(LAN 口)IP 地址、子网掩码,默认网关,配 置 DMZ 口 IP 地址、子网掩码,配置 DNS

2. 路由设置
WEBUI 路径:『系统设置』→『网络配置』→『路由设置』

选择 IPv4 静态路由或者 IPv6 静态路由,点击新增,选择[新增路由]和[批量新增路由]

单臂模式下填写网关会自动生成默认路由
1.  本地子网
SSL 硬件网关内网有多个子网的情况下,SANGFOR IPSEC VPN 接入用户需要与 总部内网的其它子网互访时,需要设置本地子网。
WEBUI 路径:『系统设置』→『网络配置』→『本地子网』

例,总部有两个子网(192.200.200.x、192.200.254.x),192.200.200.x 为设备 LAN 口 所在的网段,192.200.254.x 为内网其它网段,通过在“本地子网”中添加 192.200.254.X,可 实现分支、移动用户连上总部后,访问 192.200.254.x 网段
4.用户管理
『用户管理』用于建立 SSL VPN 用户和用户组,SANGFOR SSL VPN 用“组的策略” 管理和设置具有相同性质的用户。为了管理具有某些共性的用户以及更符合企业内部管理 结构,采用分层的用户组管理用户
WEBUI 路径:控制台→SSL VPN 设置→用户

在『用户管理』页面,左边为用户组结构树,右边为当前光标停留的用户组中的用户 以及下级用户组。勾选[显示所有(包含子组)],则显示当前用户组下的所有子组以及包 含的所有用户
5.资源管理
L3VPN』主要用于定义、配置和管理各种基于 IP 协议的 SSL VPN 内网资源,以适 应各种各样不同协议(TCP/UDP/ICMP)的应用程序访问 SSL VPN 内网资源和内网服务 器
WEBUI 路径:『SSLVPN 设置』→『资源管理』


『名称』和『描述』可随意填写便于理解记忆的文字,『名称』填写的文字会显示在 SSL 用户成功登录 SSL VPN 后,出现的“资源列表”中。
『类型』选择该 L3VPN 资源的协议类型,SANGFOR SSL VPN 内置了常用应用服务 的定义,直接选择设备会自动识别端口范围和协议,如无所需的类型,可选择『Other』, 设置协议,然后自行设定下面的『端口范围』。
若类型选择为[OTHER],则需要选择『协议』,可选择为 TCP、UDP 或 ICMP,根据 定义『L3VPN』所使用的协议进行选择。
『地址』填写提供 L3VPN 服务的服务器地址,支持“单 IP 或域名”和“IP 段”的形式。 点击 ,弹出【添加/编辑资源地址】对话框,可单个添加,也可批量添加

『端口范围』定义该『L3VPN』所使用的端口,已预定义好的资源类型一般不需修改, 如果前面『类型』选择了『Other』,则填写该服务所使用的端口。
1.  角色授权
『角色授权』是“用户/用户组”和“资源”的中介,SANGFOR SSL VPN 正是通过『角色 授权』把 SSL VPN 登录用户/用户组和 SSL VPN 内网资源“关联”起来的。通过角色可以把 多个“用户/用户组”、多个资源进行关联,更加有效管理资源和用户组的权限
WEBUI 路径:『SSL VPN 设置』→『角色授权』

选择[新建角色],弹出【新建角色】编辑页面

『角色名称』该条角色的名称,自定义即可。
『描述』可随意填写便于理解和记忆的描述语言。
『关联用户』选择关联该条角色的用户或者用户组。
点击选择授权用户按钮,下面的列表会列出『用户管理』中所定义好的用户/组,在列表中勾选相应的用户/组,即可完成“用户/组的关联”, 属于该角色的用户,会具有访问该角色关联资源的权限

在『授权资源列表』设置中,可以设置该角色需要关联的资源。点击编辑授权资源列 表按钮,弹出【编辑授权资源列表】页面,选择相应的资源。 界面如下图所示:

配置完以后,界面如下

最后点击保存并立即生效。
2 端口映射
因为此环境为客户内网单臂模式部署,所以需要将vpn443端口映射从客户出口设备映射出去
3. 客户端使用
在浏览器打开并输入客户的公网地址加端口号,例如:

输入用户名密码后,点击登录,即可登陆 SSL VPN。
登录成功后会出现 SSL VPN 资源列表界面如下:

界面会显示该 SSL VPN 用户可用的 SSL VPN 内网资源列表,对于 Web 类型或 B/S 结构的资源,直接点击资源列表中的超链接即可访问,对于其它 C/S 结构的资源,则可直 接打开 Client 客户端,通过连接服务器的内网 IP 来访问.

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

牛风喜 发表于 2024-4-28 09:56
  
每日一积累慢慢变专家
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
信服课堂视频
GIF动图学习
产品连连看
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

10
17
3

发帖

粉丝

关注

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人