拓展任务10-2 配置SSL VPN实现出差员工通过网络扩展业务访问企业内网

SSLVPN组网示意如图10-1所示，企业希望通过SSLVPN开放一个安全的加密通道，使移动办公用户也能够获得一个内网IP地址，像在局域网一样访问企业内部的各种资源。另外为了增强安全性，采用用户名和密码结合的本地认证方式对移动办公用户（用户组为group1）的身份进行认证，认证域为default。其中，路由器R1模拟ISP的路由器。图10-1网络扩展组网示意【配置思路】（1）配置接口IP地址、安全区域，完成网络基本参数的配置。（2）配置认证域，创建用户组和用户。（3）配置SSLVPN虚拟网关，配置网络扩展、角色授权。（4）配置安全策略，允许移动办公用户登录SSLVPN网关，允许出差员工访问企业内部资源。（5）验证和调试，检查能否实现任务需求。【配置步骤】这里仅介绍与防火墙相关的配置。配置防火墙的网络基本参数（1）在工作界面中选择“网络”→“接口”选项。（2）单击GE0/0/1接口对应的编辑按钮，按表10-1所示的参数进行Untrust区域配置。表10-1 Untrust区域的参数安全区域UntrustIP地址/24（3）单击“确定”按钮。（4）参考上述步骤，按表10-2所示的参数配置GE0/0/2接口的Trust区域。表10-2 Trust区域的参数安全区域TrustIP地址/24配置用户和认证在工作界面中选择“对象”→“用户”→“default”选项，按图10-2新建用户组和用户。图10-2新建用户组和用户配置SSLVPN网关（1）在工作界面中选择“网络”→“SSLVPN”→“SSLVPN”选项，单击“新建”按钮，按图10-3配置SSL网关，单击“下一步”按钮。图10-3配置SSL网关（2）配置SSL协议的版本、加密套件、会话超时时间和生命周期，也可直接使用默认值，单击“下一步”按钮。（3）选择“网络扩展”业务，单击“下一步”按钮。（4）配置网络扩展。在弹出的配置网络扩展窗口中，按图10-4配置网络扩展功能，单击“下一步”按钮。图10-4配置网络扩展配置SSLVPN的角色授权/用户。（1）在“角色授权列表”中，单击“新建”，按图10-5配置角色授权参数。配置完成后单击“确定”。图10-5配置角色授权（2）返回“角色授权/用户”配置界面，单击“完成”。配置安全策略，允许出差员工访问总部文件服务器。（1）配置从Internet到防火墙的安全策略，允许出差员工登录SSLVPN网关。在工作界面中选择“策略”→“安全策略”→“安全策略”选项，单击“新建”按钮，按照表10-3所示的参数配置安全策略policy01。表10-3 policy01安全策略的参数名称policy01源安全区域Untrust目的安全区域Local目的地址/地区/24服务HTTPS注意，如果修改了HTTPS端口号，则此处建议按照修改后的端口号开放安全策略动作允许（2）配置防火墙到内网的安全策略，允许出差员工访问企业内网资源。在工作界面中选择“策略”→“安全策略”→“安全策略”选项，单击“新建”按钮，按照表10-4所示的参数配置安全策略policy02。表10-4 policy02安全策略的参数名称policy02源安全区域Local目的安全区域Trust目的地址/地区/24动作允许验证和调试（1）在浏览器地址栏中输入“:443”，访问SSLVPN登录界面。首次访问该界面时，需要根据浏览器的提示信息安装控件。（2）在登录界面中输入用户名和密码，单击“登录”按钮。登录成功后，虚拟网关界面如图10-6所示，单击网络扩展下的“启动”按钮，然后就可以访问企业内网的服务器了。图10-6网络扩展资源这里要注意的是，Web代理、文件共享的资源都是以链接形式供用户选择；而端口转发和网络扩展需要单击“启动”后才能使用。但是，网络扩展