山石防火墙SG-6000-E1100内网环境SSLVPN配置案例

1. 需求分析

本文以sslvpn服务端串联（或旁路）部署在内网环境为例，上联出口网关，通过配置SSLVPN实现远程终端用户访问企业内部服务器资源。

2. 配置方案

2.1软硬件信息

2.2网络拓扑

2.3 环境说明

• 公网出口防火墙使用SG-6000-C1200W，其出接口地址为：10.88.16.232/24。
• 内网防火墙（SSLVPN服务端）为山石下一代防火墙SG-6000-E1100，出接口地址为130.0.0.1/24。

2.4 配置步骤

（1）内网防火墙基础上网配置（略）。

（2）创建本地用户：对象>用户>本地用户，选择本地服务器“local”并点击“新建 > 用户”，用于登录SSL VPN使用。

（3）配置SSLVPN地址池：选择“网络 > VPN > SSL VPN”，并点击页面右上方“相关配置 > SSL VPN地址池”。在<地址池>页面，点击“新建”创建一个地址池条目。

（4）创建隧道接口：选择“网络 > 接口”，并点击“新建 > 隧道接口”。

（5）配置SSL VPN服务端。

• 选择“网络 > SSL VPN”，并点击“新建”。

• 在<接入接口/隧道接口>标签页做如下配置：

• 在<隧道路由配置>标签页，点击“新建”后做如下配置：

• 高级配置>参数配置>高级参数，可查看SSL VPN的UDP数据传输端口(可修改)。

（6）策略->安全策略，创建VPNHub(隧道接口安全域)安全域到Any安全域的安全策略规则。

（7）出口网关设备上需要映射SSL VPN的TCP和UDP端口，默认端口号均为4433。(此步骤为山石防火墙作为出接口的配置步骤，其他厂商设备可参考配置)

• 对象->服务簿->服务名称->新建服务SSLVPN：

• 配置DNAT规则，策略->NAT->目的NAT->新建->高级配置：

2.5 结果验证

外网环境通过，服务器地址：10.88.16.232，端口：4433，内网防火墙的local用户进行登录测试。