前言
本次設置只針對配置VXX,其他防火墻配置不涉及。建議把防火墻內外網都調通后再進行Vxx配置。
其他配置可參考:浪潮天啟防火墻配置手冊
配置SSLVxx
在外網端口開啟SSLVxx信息
開啟SSLVxx功能
1、勾選 “啟用SSL-Vxx”
2、設置登錄端口號(默認10443)
3、設置通道IP范圍 (這個IP就是SSL-Vxx認證后分配給客戶端的IP),不設置或者設置錯誤,Vxx客戶端會提示“隧道建立失敗”
4、設置隧道路由/掩碼 ,需要根據業務地址段設置 (這里設置的路由是Vxx隧道成功后,客戶端獲取的路由)如下圖是連接成功后的路由
添加用戶
在 對象>應用對象>用戶>新建 中新建一個用戶,用戶SSLVxx認證
測試可以用瀏覽器打開
https://防火墻公網地址:10444,測試web能不能打開
安裝SSLVxx客戶端
注意!!SSLVxx的web界面提供的客戶端太老,我的windows11無法正常運行。需要使用新的客戶端軟件SNSA,SNSA下載地址
連接SSL-Vxx
連接成功后會從地址池獲取一個地址
配置L2xx
添加用戶和用戶組
在 對象>應用對象>用戶>新建 中新建一個用戶,用戶L2xx認證
在 對象>應用對象>用戶組>新建 中新建一個用戶組,并把剛才創建的"l2xx"用戶添加到組里
啟用L2xx
在 網絡>Vxx>L2xx 中啟用L2xx
1、勾選“啟用”
2、填寫起始地址 結束地址 (這個地址范圍是L2xx隧道建立成功 分配給客戶端的地址)
3、選擇剛才建的用戶組
在外網端口開啟L2xx
連接L2xx
在 windows設置>網絡和internet>Vxx>添加Vxx添加信息
1、Vxx提供商 —— windows內置
2、服務器名稱或地址 —— 公網IP
3、Vxx類型 —— 選“自動” 或 “使用證書的L2xx/IPxx”
4、登錄信息的類型 —— 用戶名和密碼
點擊連接即可
總結
1、這款防火墻使用SSL-Vxx不能按用戶設置權限和資源組,資源只能是web資源,通過隧道訪問的方式 認證通過后用戶權限都是一樣的(也可能是我沒找到),并沒有體現出SSL-Vxx優勢,并且還需安裝客戶端。
2、L2xx連接后會把默認路由優先級拉很高,如果電腦訪問互聯網就會走VPN隧道,通過防火墻的公網上網,并且需要把L2xx地址段做源地址轉換才能上網。
各有優缺點可根據自己的需求選擇鏈接方式。
)
:函數)
