华为eNSP防火墙 SSL隧道配置详解

华为eNSP防火墙 SSL隧道配置详解

引用

CSDN

1.

https://blog.csdn.net/m0_75102488/article/details/141370811

前置配置

FW2配置

1. 防火墙基本转发配置

• 添加安全区域

  firewall zone trust
  add interface GigabitEthernet1/0/0
  firewall zone untrust
  add interface GigabitEthernet1/0/1
  

• 安全转发策略

  security-policy
  rule name ssl_vpn
  source-zone local trust untrust
  destination-zone local trust untrust
  action permit
  

• 配置默认路由

  ip route-static 0.0.0.0 0.0.0.0 192.168.20.254
  

2. 允许ping访问防火墙的外网接口

   [USG6000V1]int 接口
   [USG6000V1]service-manage ping permit
   

3. 配置使用web登录防火墙

   [FW2]interface GigabitEthernet0/0/0
   [FW2-GigabitEthernet0/0/0]ip address 192.168.100.10 255.255.255.0
   [FW2-GigabitEthernet0/0/0]service-manage enable #接口Web设备管理
   [FW2-GigabitEthernet0/0/0]service-manage http permit #开启http服务
   [FW2-GigabitEthernet0/0/0]service-manage https permit #开启https服务
   [FW2-GigabitEthernet0/0/0]service-manage ping permit #开启ICMP服务
   

   在浏览器上输入https://192.168.100.10:8443/以登录防火墙图形界面。

Cloud配置

在web界面直接创建SSL VPN会提示防火墙繁忙，因此需要先通过命令手动创建SSL VPN：

[FW2]v-gateway hwsslvpn interface GigabitEthernet1/0/1 port 4430 private

然后在web页面上配置：

• 配置SSL VPN网关信息，默认端口为443，修改端口为4430
• 配置SSL VPN加密相关信息
• 配置SSL VPN网络扩展
• 创建用户ssluer，属于用户组 default，密码设置为Password@
• 配置角色授权

Win-7配置

1. 以管理员身份运行命令提示符，添加去往FW2的一条缺省路由，使得Win-7能够ping通FW2。
2. 在浏览器上输入https://192.168.20.1:4430/访问SSL VPN网关地址。
3. 登录SSL VPN成功后，开启网络扩展业务，使得Win-7能够成功ping通PC2。