企业级SSL VPN网关接入实战

随着移动办公和远程协作的普及,如何让出差员工或分支机构安全、便捷地访问企业内网资源,成为了网络工程师面临的重要课题。相比于传统的 IPSec VPN,SSL VPN 基于浏览器或轻量级客户端,无需复杂的网络配置,因而在企业网中被广泛应用。本实验将详细演示如何在防火墙上部署企业级 SSL VPN 网关。

一、实验环境与准备

  • 仿真平台:PNetLab 云平台。
  • 核心设备
    • 华为 USG6000 V2 防火墙:作为网络边界与 SSL VPN 网关。
    • Windows 跳板机 (Windows Server 2019):用于模拟内网的业务服务器及管理终端。
    • 外网 PC:用于模拟外网远程接入的用户。
  • 网络规划
    • 外网接口 (Untrust):FW GE1/0/4,配置 DHCP 自动获取外网 IP,并绑定到 Untrust 安全域。
    • 内网接口 (Trust):连接跳板机与核心交换机,网段 172.26.36.0/24
    • VPN 地址池:分配给拨入用户的独立虚拟网段 10.250.250.0/24

二、Windows 跳板机与基础网络配置

为方便跨网段管理和图形化操作,我们首先搭建一台 Windows 跳板机。

1. 跳板机基础部署

  • 在 PNetLab 中创建 Windows Server 2019 节点。
  • 系统激活与防休眠:打开 CMD 执行 slmgr /rearm 重置激活状态,避免系统自动关机。开启远程桌面(RDP)功能。
  • 网络连通:将跳板机网卡桥接至防火墙的 Trust 网段,确保其能 Ping 通防火墙的内网接口 IP。

2. 防火墙外网接口配置

在防火墙上将外网接口配置为 DHCP 模式,并加入 Untrust 域:

1
2
3
4
5
6
7
<USG6000> system-view
[USG6000] interface GigabitEthernet 1/0/4
[USG6000-GigabitEthernet1/0/4] ip address dhcp-alloc
[USG6000-GigabitEthernet1/0/4] quit
[USG6000] firewall zone untrust
[USG6000-zone-untrust] add interface GigabitEthernet 1/0/4
[USG6000-zone-untrust] quit

(注:配置完成后,建议通过跳板机浏览器访问防火墙的 HTTPS Web 管理界面,后续的 SSL VPN 策略在图形化界面下配置更为直观。)

三、SSL VPN 网关核心配置步骤

通过防火墙 Web 界面,依次完成 VPN 网关的创建、授权与策略放行。

1. 创建 SSL VPN 网关与绑定

  • 进入“网络” -> “SSL VPN”模块,新建一个 SSL VPN 网关。
  • 接口绑定:将网关绑定到防火墙的外网口(Untrust 区域接口)。
  • 端口设置:指定监听端口为标准 HTTPS 端口 443
  • 认证方式:选择本地认证(Local Authentication)。

2. 配置 VPN 资源与网络扩展

SSL VPN 通常支持 Web 代理、端口转发和网络扩展(Network Extension)。为了让用户获得类似局域网的完整访问体验,我们重点配置网络扩展功能。

  • 地址池划分:在网络扩展配置中,新建一个独立的地址池(如 10.250.250.110.250.250.254)。当外网用户拨入成功后,防火墙会从该池中分配一个虚拟 IP 给用户的虚拟网卡。
  • 可访问网段(路由下发):配置允许 VPN 用户访问的内网目标网段(如 172.26.36.0/24),这相当于向 VPN 客户端下发路由。

3. 创建 VPN 用户并授权

  • 进入“对象” -> “用户”管理模块,新建一个测试用户(如 vpn_user),并设置强密码。
  • 在用户的权限或角色配置中,勾选允许访问刚才创建的 SSL VPN 网关,并显式授予“网络扩展”和“Web 代理”的访问权限。

四、安全策略配置与连通性验证

这是最容易遗漏的致命环节。 即使 VPN 网关配置无误,如果没有配置正确的防火墙安全策略(Security Policy),用户的拨入请求依然会被拒绝。

1. 放行 VPN 协商流量

必须在防火墙上创建一条安全策略,允许外网主动访问防火墙自身的 443 端口:

  • 源区域:Untrust
  • 目的区域:Local(防火墙自身)
  • 服务/端口:HTTPS(TCP 443)
  • 动作:Permit(允许)

2. 放行 VPN 业务流量(可选)

如果防火墙对内网访问有严格限制,还需额外配置一条策略,允许分配了虚拟 IP 的用户(源区域通常仍视为 Untrust,或特定 VPN 区域)访问 Trust 区域的内网服务器。

3. 客户端拨入测试

  • 在外网 PC 上,通过浏览器访问防火墙的外网口 IP(https://<外网口IP>:443)。
  • 在弹出的 SSL VPN 登录门户中输入刚才创建的 vpn_user 及密码。
  • 登录成功后,下载并激活网络扩展客户端(如 SecoClient)。
  • 连接建立后,外网 PC 成功获取 10.250.250.x 的 IP,此时在 CMD 中 Ping 内网的跳板机或服务器,应能成功通信,SSL VPN 部署完成。