系统维护工作中,经常会有个需求,需要远程管理某一个系统内的内网设备,而这些内网设备又没法直接远程登录,这时就需要通过防火墙进行跳转登录(没有防火墙的系统考虑使用端口映射),跳转登录最方便的就是使用防火墙的SSL VPN功能。本文介绍华为USG系列防火墙SSL VPN配置方法,其他型号可以作为参考,大同小异。
准备条件:
1、确保防火墙有公网地址,且能正常上网
2、防火墙能访问到内网设备
配置步骤:
1、登录web管理界面,选择网络---sslvpn---新建
2、打开新建向导后,第一步按照配置项进行,名称自己定义,类型选择独占,网关地址选择手动配置或者已经配置了公网IP的出接口,会自动填入出接口IP作为网关,端口建议不要使用默认,自己设置一个即可,然后进入下一步。
3、第二步ssl配置一般保持默认即可,进入下一步
4、如果只是想达到上述管理内网需求,这一步只选择网络扩展即可,然后下一步。
5、这里的路由模式选择手动,然后在下方新建内网IP段,也就是你需要管理的设备所在IP段,前提是这些IP段对防火墙来讲是网络可达的。然后下一步。
6、点击编辑按钮,进入角色授权编辑,勾选网络扩展,然后确定;
点击用户组的编辑按钮,进入用户组编辑,同样选择手动路由模式,添加需要管理的内网IP段。然后点击确定返回
点击完成,即可完成对SSL的配置,下来需要创建用户,允许登陆并使用SSL VPN
7、点击对象---用户---default,进入用户管理,然后新建用户
8、按照自己需求创建用户并设置密码,用户组保持默认(这里的用户组一定是刚才在SSL VPN配置时授权的用户组,否则无法登陆),确定后完成用户创建。创建完成后,记得点击页面下方的“应用”按钮。
9、接下来就是配置vpn的安全策略,一般建议配置两条,一条用户控制用户登陆,只对vpn服务(需要预先在服务中手动添加一个针对开始创建的vpn端口的服务)放行,允许登陆;另一条是针对用户登陆访问内网设备的策略。可以参考下方的策略配置
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/1915.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~