1676539408,

组网及说明

一、 组网图和描述

防火墙内网接口1/0/0接server，外网接口1/0/1作为外网上网，现外网用户通过访问防火墙外网口的1.1.1.1地址加端口4433拨入sslvpn，获取20.1.1.0网段地址后，来访问内网10.1.1.2服务器80端口。

防火墙内网口1/0/0为trust安全域、外网口1/0/1为untrust安全域，SSLVPN-AC1网关接口为sslvpn安全域。

Sslvpn拨入后的地址池20.1.1.1/24

网关接口为SSLVPN-AC1

Sslvpn对外开放端口tcp 4433

配置步骤

二、安全策略配置

SSPVPN拨入

security-policy ip

rule 1 name sslvpn

  action pass

  source-zone Untrust

  destination-zone Local

destination-ip-host 1.1.1.1

service-port tcp destination eq 4433

SSLVPN用户访问服务器

rule 2 name sslvpn2

  action pass

  source-zone sslvpn

  destination-zone Trust

destination-ip-host 10.1.1.2

service-port tcp destination eq 80

配置关键点

策略解释：

创建rule1：

Sslvpn拨入到防火墙需要外网流量从g1/0/1进入防火墙，且目的为防火墙本身，属于本地报文，因此目的安全域为Local，而g1/0/1属于Untrust安全域，所以流量的走向是：源安全域Untrust到目的安全域Local，目的端口为本身的sslvpnvpn 4433端口。

 

创建rule2：

拨入成功后用户网段属于SSLVPN接口网段，防火墙根据目的地址再将流量从g1/0/0转发出去。而g1/0/0属于trust安全域，SSLVPN-AC1接口属于sslvpn安全域，所以流量的走向是：源安全域sslvpn到目的安全域trust。目的地址和端口为服务器的10.1.1.2的80端口。

CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。本文来源：知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,SSLVPN安全策略放行