首页 > 运维干货 > 华为USG系列防火墙配置SSL VPN实现远程管理内网设备
2021
05-27

华为USG系列防火墙配置SSL VPN实现远程管理内网设备

系统维护工作中,经常会有个需求,需要远程管理某一个系统内的内网设备,而这些内网设备又没法直接远程登录,这时就需要通过防火墙进行跳转登录(没有防火墙的系统考虑使用端口映射),跳转登录最方便的就是使用防火墙的SSL VPN功能。本文介绍华为USG系列防火墙SSL VPN配置方法,其他型号可以作为参考,大同小异。

准备条件:

1、确保防火墙有公网地址,且能正常上网

2、防火墙能访问到内网设备


配置步骤:

1、登录web管理界面,选择网络---sslvpn---新建

image.png

image.png

2、打开新建向导后,第一步按照配置项进行,名称自己定义,类型选择独占,网关地址选择手动配置或者已经配置了公网IP的出接口,会自动填入出接口IP作为网关,端口建议不要使用默认,自己设置一个即可,然后进入下一步。

image.png

3、第二步ssl配置一般保持默认即可,进入下一步

image.png

4、如果只是想达到上述管理内网需求,这一步只选择网络扩展即可,然后下一步。

image.png

5、这里的路由模式选择手动,然后在下方新建内网IP段,也就是你需要管理的设备所在IP段,前提是这些IP段对防火墙来讲是网络可达的。然后下一步。

image.png

6、点击编辑按钮,进入角色授权编辑,勾选网络扩展,然后确定;

image.png

点击用户组的编辑按钮,进入用户组编辑,同样选择手动路由模式,添加需要管理的内网IP段。然后点击确定返回

image.png

image.png

点击完成,即可完成对SSL的配置,下来需要创建用户,允许登陆并使用SSL VPN

7、点击对象---用户---default,进入用户管理,然后新建用户

image.png

8、按照自己需求创建用户并设置密码,用户组保持默认(这里的用户组一定是刚才在SSL VPN配置时授权的用户组,否则无法登陆),确定后完成用户创建。创建完成后,记得点击页面下方的“应用”按钮。

image.png

9、接下来就是配置vpn的安全策略,一般建议配置两条,一条用户控制用户登陆,只对vpn服务(需要预先在服务中手动添加一个针对开始创建的vpn端口的服务)放行,允许登陆;另一条是针对用户登陆访问内网设备的策略。可以参考下方的策略配置

image.png




本文》有 0 条评论

留下一个回复