SANGFOR_SSL_v5.8_2013年度渠道初级认证培训10_综合案例培训_20121224

1、SSL VPN综合案例培训综合案例培训培训内容培训目标SSL VPN 综合案例1.1. 客户需求与网络环境 1.2. SSL VPN 部署方案1.3. SSL VPN 配置思路1.4. SSL VPN 配置方法与截图客户需求与网络环境深信服公司简介SSL VPN 部署方案SSL VPN 配置方法与截图SANGFOR SSLSSL VPN 配置思路SSL VPN综合案例培训1.1 客户需求与网络环境：1.1.1.客户原有网络环境： 客户网络环境如右图所示，防火墙部署在公网出口，内网有多个网段，其中邮件服务器和CRM服务器均在172.100.1.0网段，内网上网用户均在172.100.2.0网段。

2、 为了满足在外地出差和内部员工在家均能安全接入内网收发邮件和访问CRM系统，特选购SANGFOR SSL VPN设备SSL VPN综合案例培训1.1.2. 客户需求： 1）部署SSL VPN设备尽量不改动原来的网络环境，只有172.100.2.0网段可以提供给SSL VPN设备使用。 2）在外出差的员工均分配账号和密码，并需要短信校验才允许接入 3）公司内网的用户仅允许使用自己的账号，每个用户只允许在指定的2台电脑（办公和家庭电脑）上接入和访问。 4）内网用户均只允许通过SSL VPN收发邮件和访问CRM系统 5）网络管理员除了需要访问邮件和CRM系统，还需要管理邮件服务器和CRM系统（PIN

3、G测试，使用远程桌面连接服务器）SSL VPN综合案例培训1.2 SSL VPN部署方案SSL VPN设备单臂模式部署在内网，公网出口的防火墙设备做TCP 80和443端口的映射给SSL VPN设备。在SSL VPN设备上接短信猫，用来把校验码通过短信的方式发给认证用户。SSL VPN综合案例培训1.3 SSL VPN 配置思路1）设置部署模式，选择单臂模式部署，配置设备LAN口IP和网关地址。公网出口的防火墙设备做TCP 80和443端口的映射给SSL VPN设备2）设置两个用户组：“出差用户组”和“办公用户组”， “出差用户组”选择用户名密码和短信认证。 “办公用户组”选择用户名密码和硬件

4、特征码认证3）设置TCP应用，添加邮件服务器和CRM服务器的IP和访问端口4）设置TCP应用，添加邮件服务器和CRM服务器的远程桌面应用SSL VPN综合案例培训1.3 SSL VPN 配置思路5）设置L3VPN应用，添加邮件服务器和CRM服务器的ICMP应用6）设置角色授权， 所有用户组关联邮件服务器和CRM服务器访问的TCP应用； 设置角色授权， 给管理员关联邮件服务器和CRM服务器的远程桌面和ICMP应用。SSL VPN综合案例培训1.4 SSL VPN配置方法与截图1.4.1 配置单臂部署模式和IP配置SSL设备LAN口的IP和网关SSL VPN综合案例培训1.4.2 SSL VPN设

5、备上架与接线 配置完SSL VPN设备部署模式后，将设备的LAN口连接到172.100.2.0这个网段的交换机接口，本案例中设备的WAN口无需接线。 由于要通过短信猫完成短信认证，故需要用串口线将短信猫连接到SSL VPN设备的COM口上。SSL VPN综合案例培训1.4.3 开启并设置硬件特征码认证 限制用户只能在指定的2台电脑登录SSL VPN综合案例培训1.4.4 开启并设置短信认证使用短信猫连接到设备的情况，请选择启用内置短信模块1.4.5 设置用户组和相应认证方式SSL VPN综合案例培训出差用户组的用户使用相同的认证方式，不可修改办公用户组的用户使用相同的认证方式，不可修改SSL

6、VPN综合案例培训1.4.6 新建用户，分别加入到出差用户组和办公用户组中填入用户对应的手机号码SSL VPN综合案例培训1.4.7 添加TCP应用资源，设置邮件服务器和CRM服务器访问方式SSL VPN综合案例培训1.4.8添加TCP应用资源，设置邮件服务器和CRM服务器的远程桌面访问方式SSL VPN综合案例培训1.4.9 添加L3VPN资源，设置邮件服务器和CRM服务器的ICMP访问方式SSL VPN综合案例培训1.4.10 设置角色授权， 所有用户关联邮件服务器和CRM服务器访问的TCP应用资源， 设置角色授权， 给管理员关联邮件服务器和CRM服务器的远程桌面和ICMP应用。SSL VPN综合案例培训1.4.11 开启自动安装TCP和L3V