神州数码DCFW-1800E-N5002防火墙路由器SSL VPN设置教程

神州数码 DCFW-1800E-N5002多核安全网关之SSL VPN配置案例
DCFW-1800是DCN推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。DCFW-1800系列处理能力高达1Gbps-40Gbps，广泛适用于教育、政府、企业、能源等机构，可部署在网络的主要结点、总出口及数据中心，为网络提供基于角色、深度应用安全的访问控制、IPSec SSL VPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。



一、网络拓扑



二、需求描述

外网用户通过Internet使用SSL VPN接入内网
 允许SSL VPN用户接入后访问内网的FTP Server：192.168.2.10
 允许SSL VPN用户接入后访问内网的WEB Server：192.168.2.20

三、配置步骤
第一步：配置SCVPN地址池

通过配置SSL VPN地址池为VPN接入用户分配IP地址，地址池需配置网路中未使用网段。点击网络/SSL VPN在右侧任务栏处，点击SSL VPN地址池，然后新建地址池名为scvpn-pool。


第二步：配置SSL VPN实例

按照下图流程在网络/SSL VPN中新建SSL VPN，设置SSL VPN的名称后点击下一步



添加AAA服务器后，点击下一步，也可使用外置的AAA服务器方式。



选择出接口（拨号地址接口），并调用SSL VPN地址池，点击下一步



添加隧道路由，隧道路由就是防火墙下发给到客户端的本地路由，最后点击完成。  


第三步：创建SSL VPN隧道接口所属安全域

在网络/安全域中为创建的SCVPN新建一个安全域，安全域类型为“三层安全域”



第四步：创建隧道接口并绑定SSL VPN隧道

为了SSL VPN客户端能与防火墙上其他接口所属区域之间正常路由转发，需要配置一个隧道接口，并将创建好的SSL VPN实例绑定到该接口上来实现。  


第五步：创建安全策略

在安全/策略中添加访问策略，允许通过SSL VPN到内网的访问。



上图中放行的策略是VPN用户可以访问内网所有资源，当然在制定安全策略时，也可以指定服务器和服务做策略放行！

第六步：添加SCVPN用户账号

创建SSL VPN登陆账号，本例中SSL VPN实例使用local认证，所以需在AAA服务器local中添加用户。



第七步：SCVPN登陆演示

在客户端上打开浏览器，在地址栏中键入：https://218.240.143.220:4433，在登陆界面中填入用户帐号和密码点击登陆







对于非IE浏览器，也可通过下载客户端完成安装



在上图中可以看到拨号客户端连接成后，防火墙会将内网网段192.168.2.0的路由下 发到拨号客户端。