目录
引言
可查看这篇文章
实验
1.拓扑图
2.目的
实现远程的出差客户端访问内网资源
3.配置思路
①基础配置
②在web防火墙上配置ssl
1)创建ssl网关
2)创建登录用户
3)调整网关关联用户认证/并发数量等
4)开启网络-网络扩展
③防火墙放行ssl流量
放行想要本地的接口的流量
④ssl登录
⑤防火墙放行访问内网的流量
放行客户端通告认证的网卡的IP地址通往内网IP地址
4.配置
①基础配置
FW1
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip add 12.12.12.1 24
[FW-GigabitEthernet1/0/0]service-manage ping permit
[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]ip add 192.168.199.91 24
[FW-GigabitEthernet0/0/0]service-manage all permit
[FW]int g1/0/1
[FW-GigabitEthernet1/0/1]ip add 1.1.1.254 24
[FW-GigabitEthernet1/0/1]service-manage ping permit
[FW]firewall zone untrust
[FW-zone-untrust]add int g1/0/0
[FW]firewall zone trust
[FW-zone-trust]add int g1/0/1
[FW]ip route-static 0.0.0.0 0.0.0.0 12.12.12.2cloud1 ,server1、server2
ssl_client网卡配置
②在web防火墙上配置ssl
1)创建ssl网关
[FW]v-gateway sslvpn int g1/0/0 port 11443 private www.kobe.com2)创建登录用户
3)调整网关关联用户认证/并发数量等
4)开启网络-网络扩展
③防火墙放行ssl流量
仍然访问内部资源因为安全策略未放行
如果需要放行SSL流量,必须通过防火墙安全策略来进行管理,必须关闭service-manage enable。
FW1
[FW]security-policy
[FW-policy-security]security-policy
[FW-policy-security] rule name sslenter
[FW-policy-security-rule-sslenter] source-zone untrust
[FW-policy-security-rule-sslenter] destination-zone local
[FW-policy-security-rule-sslenter] destination-address 12.12.12.1 mask 255.255.255.255
[FW-policy-security-rule-sslenter] action permit
[FW1-GigabitEthernet1/0/1]undo service-manage enable④登录ssl
此时多了ssl的网卡
⑤防火墙放行访问内网的流量
此时仍然无法访问内部资源,需要放行源目IP地址的流量
[FW]security-policy
[FW-policy-security] rule name 2inter
[FW-policy-security-rule-2inter] source-zone untrust
[FW-policy-security-rule-2inter] destination-zone trust
[FW-policy-security-rule-2inter] source-address 19.19.19.0 mask 255.255.255.0
[FW-policy-security-rule-2inter] destination-address 1.1.1.0 mask 255.255.255.0
[FW-policy-security-rule-2inter] action permit
5.抓包分析:
内网网关的接口
外网接口
访问1.1.1.1的资源
访问1.1.1.2的资源
