_-_DCN多核防火墙SCVPN配置.pptVIP

神州数码网络 神州数码网络 神州数码网络 DCN多核防火墙快速配置之 SCVPN 神州数码网络 案例描述 需求陈述： 外网用户通过Internet使用SSL VPN接入内网 允许SSL VPN用户接入后访问内网的FTP Server：0 允许SSL VPN用户接入后访问内网的WEB Server：0 神州数码网络 * 网络拓扑 Internet 内网网段：/24 SSL VPN隧道 Eth7:/24 Zone:untrust Eth6:/24 Zone:untrust 外网网关： 配置步骤 SCVPN地址池配置 SCVPN实例配置 创建SCVPN要赋予的安全域 绑定SCVPN实例到隧道接口 将绑定SCVPN实例的隧道接口分配到指定的安全域 添加安全策略用于SCVPN用户访问内网 添加SCVPN用户帐号 远程客户端登陆使用SCVPN演示 神州数码网络 * 配置SCVPN地址池 创建SCVPN地址池，当SCVPN客户端验证成功后，防火墙会从地址池中取出一个地址分配给客户端 神州数码网络 * 注意地址池使用的网段不能与内网网段冲突 配置SCVPN实例 – 创建实例 创建一个SCVPN实例，定义SCVPN接入使用的各种参数 神州数码网络 * 此处为0表示多个客户端可以使用同一个用户名同时登陆，如果一个账户要限制只能一个客户端登陆，则此处填写1 SCVPN登陆验证使用的端口号 空闲时间指客户端与设备端在无流量状态下能够保持连接状态的最长时间，超出空闲时间后，设备端将断开与客户端的连接 SCVPN客户端通过防火墙的eth0/7接口接入 该实例使用定义好的地址池为SCVPN客户端分配地址 客户端与防火墙创建VPN隧道时使用的算法，可以是任意组合。客户端会自动与防火墙协商匹配。 配置SCVPN实例 – 编辑实例 创建完SCVPN实例并编辑完成各种参数后，还需要对该实例重新编辑。 点击已编辑好的实例后的“修改”按钮。 神州数码网络 * 配置SCVPN实例 – 添加隧道路由 此处添加的隧道路由条目，在客户端与防火墙的SCVPN创建成功后会下发到客户端的路由表中。 添加的网段就是客户端要通过VPN隧道访问的位于防火墙内网的网段。 需要注意的是此处添加的路由条目的“度量”值比客户端上缺省路由的度量值要小。度量值越小的路由条目优先级越高。 神州数码网络 * 1 2 添加要下发的FTP Server的路由 添加要下发的WEB Server的路由 1 由于我们的需求是只要求VPN客户端能访问内网的FTP Server和WEB Server，所以这里我们只添加针对这两个Server的主机路由， 配置SCVPN实例 – 添加AAA服务器 这里添加的AAA服务器是用来验证客户端登陆的用户名、密码。目前防火墙支持的验证方式有4种 防火墙本地验证 Radius验证 Active-Directory验证 LDAP验证 神州数码网络 * 本案例采用防火墙本地验证，所以这里就选择了防火墙缺省自带的AAA服务器“local”。如果要采用Radius等其他的验证方式，需要在首先在“对象”中创建AAA服务器对象，然后在此调用。 创建SCVPN专属的安全域 为创建的SCVPN新建一个安全域，安全域类型为“第三层安全域” 神州数码网络 * 定义一个三层类型的安全域 SCVPN实例与隧道接口的绑定 为了SCVPN客户端能与防火墙上其他接口所属区域之间正常路由转发，需要为他们配置一个网关接口，这在防火墙上通过创建一个隧道接口，并将创建好的SCVPN实例绑定到该接口上来实现。 神州数码网络 * 只能是1-128的数字 将tunnel1接口加入创建好的安全域 给接口配置一个IP地址，该IP地址须与SCVPN地址池中的IP位于同一网段 将创建好的SCVPN实例绑定到该接口 定义地址对象 为创建SCVPN客户端访问内网server的安全策略，首先要将策略中引用的对象定义好 定义FTP Server的地址对象 神州数码网络 * 定义地址对象 定义WEB Server的地址对象 神州数码网络 * 由于是单台主机地址所以掩码为32 添加安全策略 添加安全策略，以允许SCVPN用户访问内网资源 添加策略1允许SCVPN用户访问内网FTP Server仅开放FTP服务 添加策略2允许SCVPN用户访问内网WEB Server仅开发HTTP服务 神州数码网络 * 添加SCVPN用户账号 创建属于”local“server中的用户帐号，以分配给SCVPN登陆验证使用 神州数码网络 * 创建完用户名后对该帐号进行编辑 为该帐号配置密码并确认一次 SCVPN登陆演示 在客户端上打开浏览器，在地址栏中键入：: