sonicwallsslvpn配置手册.doc

SSL VPN设置SonicWALL NSA产品具有SSL VPN拨号功能，可以用SSLVPN客户端（Nextender）和防火墙建立SSL VPN连接，通过SSL VPN隧道访问到公司或组织内部网络。SSL VPN只在NSA设备的5.2.0以后的系统中可以使用，如果你的系统版本低，需要下载新的系统版本，安装后才可以使用。SSL VPN在防火墙中也是使用license进行控制的，所以在使用SSL VPN配置之前，请检查一下系统是否带有SSL VPN的license。WAN 接口的General界面，Management, User Login, 都在HTTPS方框打勾。选择SSL VPN-Client Setting.在Interface下拉框中，使用X0（LAN口）作为SSL VPN服务口，同时在WAN安全区域允许SSL VPN接入，点WAN是红色的按钮变成绿色。需要注意到是，Nextender的地址范围要和内网接口（本例是X0 LAN）的地址范围一致。这个地址范围不要和其它机器冲突。（你可以启用防火墙的另外一个没有使用的端口做SSL VPN服务接口，那么你在Interface界面选择那个接口，IP 地址池范围就是那个接口网段的地址）NetExtender Client Settings是配置客户端的细致的设置。Create Client Connection Profile:可以使NetExtender Client客户端软件自动保存成功连接的配置，下次连接，直接选择这个连接的参数，不用手工再次输入了。点击SSL VPN-Client Routes菜单下，把需要访问的服务器网段地址或服务器地址添加进去。Client Route界面把允许SSL VPN用户访问的主机地址和网段加入即可。防火墙自动创建SSL VPN到各个安全区域的规则，本例是SSL VPN用户访问LAN Primary Subnet,就是LAN口的整个网段， 自动生成的防火墙规则在Firewall-Access Rules, SSL VPN-LAN界面可以看到。建立一个用户账户，让用户使用这个账户进行VPN拨号。点击Users-local users点击Add User按钮在setting标签页中，输入用户名称，密码，Group标签页中，需要把用户添加到SSL VPN Services组中，不然会无法进行拨号VPN Access标签页保持空白，然后点击OK完成用户设置。完成后结果如下。客户端软件配置，（Nextender客户端软件可以到/downloadcenter中下载）安装软件。或者使用WEB 方式登录SSL VPN设备，直接在登录入口界面里点NetExtender图标安装软件。启动后，软件弹出一个对话框，分别输入防火墙WAN口地址，用户名，密码，和Domain。注意： Domain名称必须使用LocalDomain（区分大小写不然系统会不认）注意SSL VPN服务器地址后面的端口号：4433, 因为本防火墙的WAN口的HTTPS远程管理ideas端口被修改成了4433， 否则默认端口443，这个SSL VPN服务器地址后无需输入端口号。点击connect,经过一段时间，显示连接成功如果要允许SSL VPN 用户使用WEB 浏览器登录，那么WAN 接口的Management “HTTPS”， User Login中的“HTTPS” 必须选中.如果WAN 的HTTPS 远程管理没有允许，用户根本不能通过WEB方式到达用户认证界面。 如果HTTPS 远程管理允许了， 但是User Login没有允许， SSL VPN用户通过浏览器可以到达SSL VPN 用户认证界面，但是登录会失败，说没有权限。如果用户只采用NetExtender客户端软件连接VPN设备， “HTTPS” Management 不是必须的，但是User Login中的“HTTPS” 必须选中。简而言之： 使用SSL VPN功能，WAN接口的User Login中的“HTTPS” 必须选中，不论WEB方式登录， 还是NetExtender独立客户端软件方式登陆。 WEB 方式登录，HTTPS 远程管理必须打开使用WEB 方式登录47:4433,点Click here for SSL VPN login如果WAN 接口的User Login的HTTPS没有允许，SSL VPN不允许登录SSL VPN入口界面User Login允许之后，SSL VPN 用户登录成功。点NetExtender图标，自动安装NetExtender软件。如果你使用Vista浏览器在保护模式，你必须SSL VPN的URL添加到浏览器的可信站点里，才能安装软件。修改NetExtender的端口号和防火墙HTTPS 远程管理