secpath f1070 vpn
- 0關注
- 0收藏,128瀏覽
問題描述:
F1070 SSlVPN 如何限製用戶的訪問內容,比如張三,隻能訪問一個網址或3個網址
- 2026-01-14提問
- 舉報
-
(0)
可以的
通過用戶的路由或者資源限製。
防火牆上限製SSL VPN用戶訪問特定IP資源的配置步驟如下:
1. 創建訪問控製列表(ACL)
定義允許訪問的目標IP地址範圍:
acl advanced 3999 創建高級ACL
rule 0 permit ip destination 192.168.10.0 0.0.0.255 放行目標網段
2. 配置SSL VPN策略組
在SSL VPN上下文中關聯ACL實現過濾:
sslvpn context SSL_VPN_CTX 進入SSL VPN上下文
policy-group Group_ZhangSan 創建策略組
filter ip-tunnel acl 3999 綁定ACL限製IP接入
ip-tunnel access-route ip-route-list RESOURCE_LIST 關聯資源路由表
3. 用戶綁定策略組
將用戶授權屬性關聯到策略組:
local-user ZhangSan class network
authorization-attribute sslvpn-policy-group Group_ZhangSan
完整配置示例
1. 創建ACL放行目標網段
acl advanced 3999
rule 0 permit ip destination 192.168.10.0 0.0.0.255 僅允許訪問192.168.10.0/24
2. 配置SSL VPN策略組
sslvpn context SSL_VPN_CTX
policy-group Group_ZhangSan
filter ip-tunnel acl 3999 關鍵過濾命令
ip-tunnel access-route ip-route-list RESOURCE_LIST 需預先定義資源路由表
3. 用戶授權綁定
local-user ZhangSan class network
password cipher $cipher$ 加密密碼
service-type sslvpn
authorization-attribute sslvpn-policy-group Group_ZhangSan 綁定策略組
關鍵說明
1. ACL控製
使用高級ACL(3000-3999)精確控製目標IP/網段
未匹配ACL的流量默認被拒絕
2. 策略組生效範圍
filter ip-tunnel 限製僅對IP接入方式生效(如iNode客戶端),Web/TCP接入需單獨配置filter web-access或filter tcp-access
3. 資源路由表
需預先通過ip-route-list定義可訪問的網絡資源(參考案例中的RESOURCE_LIST)
- 2026-01-14回答
- 評論(0)
- 舉報
-
(0)
你這個要配置web資源接入的方式,但是目前不推薦這種,都是用tcp資源方式做SSL VPN的
1.23 SSL VPN典型配置舉例
1.23.1 Web接入配置舉例(缺省證書)
1. 組網需求
Device為SSL VPN網關設備,連接公網用戶和企業私有網絡。SSL VPN用戶通過Device能夠安全地訪問位於企業私有網絡內的Server A和Server B。其中,Server A和Server B均為Web服務器,Sever A使用HTTP協議和80端口號,Sever B使用HTTPS協議和443端口號。具體需求如下:
· Device對SSL VPN用戶進行本地認證和本地授權;
· User1僅能訪問Server A;
· User2僅能訪問Server B。
2. 組網圖
圖1-11 Web接入組網圖(缺省證書)
3. 配置步驟
· 請確保SSL VPN用戶和SSL VPN網關設備Device間的路由可達。
· 請確保SSL VPN網關設備Device與Server A、Server B間的路由可達。
(1) 配置接口IP地址、路由、安全域及域間安全策略保證網絡可達,具體配置步驟略
(2) 配置SSL VPN網關
# 配置SSL VPN網關gw的IP地址為1.1.1.2,端口號為4430。
<Device> system-view
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 4430
[Device-sslvpn-gateway-gw] service enable
[Device-sslvpn-gateway-gw] quit
(3) 配置SSL VPN訪問實例
# 配置SSL VPN訪問實例ctxweb1,引用SSL VPN網關gw,指定域名為domainweb1。
[Device] sslvpn context ctxweb1
[Device-sslvpn-context-ctxweb1] gateway gw domain domainweb1
# 創建URL列表urllist。
[Device-sslvpn-context-ctxweb1] url-list urllist
# 配置URL列表標題為web。
[Device-sslvpn-context-ctxweb1-url-list-urllist] heading web
# 創建一個URL表項,鏈接名為serverA,對應的URL為http://20.2.2.2。
[Device-sslvpn-context-ctxweb1-url-list-urllist] url serverA url-value http://20.2.2.2
[Device-sslvpn-context-ctxweb1-url-list-urllist] quit
# SSL VPN訪問實例ctx1下創建策略組resourcegrp1,引用URL列表urllist。
[Device-sslvpn-context-ctxweb1] policy-group resourcegrp1
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] resources url-list urllist
[Device-sslvpn-context-ctxweb1-policy-group-resourcegrp1] quit
# 開啟SSL VPN訪問實例ctxweb1。
[Device-sslvpn-context-ctxweb1] service enable
[Device-sslvpn-context-ctxweb1] quit
# 配置SSL VPN訪問實例ctxweb2,引用SSL VPN網關gw,指定域名為domainweb2。
[Device] sslvpn context ctxweb2
[Device-sslvpn-context-ctxweb2] gateway gw domain domainweb2
# 創建URL列表urllist。
[Device-sslvpn-context-ctxweb2] url-list urllist
# 配置URL列表標題為web。
[Device-sslvpn-context-ctxweb2-url-list-urllist] heading web
# 創建一個URL表項,鏈接名為serverA,對應的URL為https://30.3.3.3。
[Device-sslvpn-context-ctxweb2-url-list-urllist] url serverB url-value https://30.3.3.3
[Device-sslvpn-context-ctxweb2-url-list-urllist] quit
# SSL VPN訪問實例ctx1下創建策略組resourcegrp2,引用URL列表urllist。
[Device-sslvpn-context-ctxweb2] policy-group resourcegrp2
[Device-sslvpn-context-ctxweb2-policy-group-resourcegrp2] resources url-list urllist
[Device-sslvpn-context-ctxweb2-policy-group-resourcegrp2] quit
# 開啟SSL VPN訪問實例ctxweb2。
[Device-sslvpn-context-ctxweb2] service enable
[Device-sslvpn-context-ctxweb2] quit
(4) 配置SSL VPN用戶
# 創建SSL VPN用戶sslvpnuser1,密碼為123456,用戶角色為network-operator,授權用戶的SSL VPN策略組為resourcegrp1。
[Device] local-user sslvpnuser1 class network
[Device-luser-network-sslvpnuser1] password simple 123456
[Device-luser-network-sslvpnuser1] service-type sslvpn
[Device-luser-network-sslvpnuser1] authorization-attribute user-role network-operator
[Device-luser-network-sslvpnuser1] authorization-attribute sslvpn-policy-group resourcegrp1
[Device-luser-network-sslvpnuser1] quit
# 創建SSL VPN用戶sslvpnuser2,密碼為123456,用戶角色為network-operator,授權用戶的SSL VPN策略組為resourcegrp2。
[Device] local-user sslvpnuser2 class network
[Device-luser-network-sslvpnuser2] password simple 123456
[Device-luser-network-sslvpnuser2] service-type sslvpn
[Device-luser-network-sslvpnuser2] authorization-attribute user-role network-operator
[Device-luser-network-sslvpnuser2] authorization-attribute sslvpn-policy-group resourcegrp2
[Device-luser-network-sslvpnuser2] quit
4. 驗證配置
# 在Device上查看SSL VPN網關狀態,可見SSL VPN網關gw處於Up狀態。
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 4430
Front VPN instance: Not configured
# 在Device上查看SSL VPN訪問實例狀態,可見SSL VPN訪問實例ctxweb1和ctxweb2均處於Up狀態。
[Device] display sslvpn context
Context name: ctxweb1
Operation state: Up
AAA domain: Not specified
Certificate authentication: Disabled
Password authentication: Enabled
Authentication use: All
Dynamic password: Disabled
Code verification: Disabled
Default policy group: Not configured
Associated SSL VPN gateway: gw
Domain name: domainweb1
Maximum users allowed: 1048575
VPN instance: Not configured
Idle timeout: 30 min
Context name: ctxweb2
Operation state: Up
AAA domain: Not specified
Certificate authentication: Disabled
Password authentication: Enabled
Authentication use: All
Dynamic password: Disabled
Code verification: Disabled
Default policy group: Not configured
Associated SSL VPN gateway: gw
Domain name: domainweb2
Maximum users allowed: 1048575
VPN instance: Not configured
Idle timeout: 30 min
# SSL VPN用戶sslvpnuser1在PC瀏覽器上輸入https://1.1.1.2:4430/,進入Domain List頁麵,如下圖所示。
因為SSL VPN網關設備使用缺省證書(自簽名),因此在訪問SSL VPN網關的時候瀏覽器會提示非安全連接。
圖1-12 Domain List頁麵
# 選擇domainweb1進入登錄頁麵,輸入用戶sslvpnuser1和密碼123456。
圖1-13 登錄頁麵
# 單擊<登錄>按鈕,可以成功登錄SSL VPN網關。網關首頁的“書簽”欄顯示用戶可以訪問的Web資源serverA,如下圖所示。
圖1-14 網關首頁
# 單擊鏈接“serverA”,即可訪問企業私網服務器Server A,顯示信息略。
# SSL VPN用戶sslvpnuser2在PC瀏覽器上輸入https://1.1.1.2:4430/,進入Domain List頁麵,如下圖所示。
圖1-15 Domain List頁麵
# 選擇domainweb2進入登錄頁麵,輸入用戶sslvpnuser2和密碼123456。
圖1-16 登錄頁麵
# 單擊<登錄>按鈕,可以成功登錄SSL VPN網關。網關首頁的“書簽”欄顯示用戶可以訪問的Web資源serverB,如下圖所示。
圖1-17 網關首頁
# 單擊鏈接“serverB”,即可訪問企業私網服務器Server B,顯示信息略。
# 用戶登錄成功後,在Device上可以看到用戶會話信息。
[Device] display sslvpn session
Total users: 2
SSL VPN context: ctxweb1
Users: 1
Username Connections Idle time Created User IP
sslvpnuser1 6 0/00:00:23 0/00:00:23 40.1.1.1
SSL VPN context: ctxweb2
Users: 1
Username Connections Idle time Created User IP
sslvpnuser2 6 0/00:00:03 0/00:00:03 50.1.1.1
1.9 配置Web接入服務資源
1.9.1 創建Web接入服務
為了使用戶能夠通過Web接入方式訪問企業內網資源,SSL VPN網關上需要創建Web接入服務資源,創建方法為:
(1) 在SSL VPN訪問實例中定義Web接入方式可訪問的資源,即URL列表,並在URL列表中定義一個或多個URL表項。每個URL表項對應一個企業網內的Web資源。
(2) 在SSL VPN策略組視圖下引用URL列表。SSL VPN用戶被授權某個策略組後,該策略組引用的URL列表指定的Web資源將同時授權給SSL VPN用戶,SSL VPN用戶可以訪問這些Web資源。
表1-7 創建Web接入服務資源
操作 | 命令 | 說明 |
進入係統視圖 | system-view | - |
進入SSL VPN訪問實例視圖 | sslvpn context context-name | - |
創建URL列表,並進入URL列表視圖 | url-list name | 缺省情況下,設備上不存在URL列表 |
配置URL列表標題 | heading string | 缺省情況下,URL列表的標題為“Web” |
添加一個URL表項 | url name url-value url [ uri-acl uri-acl-name ] | 缺省情況下,設備上不存在URL表項 執行本配置時,如果url中沒有指定協議類型,則默認為HTTP |
退回SSL VPN訪問實例視圖 | quit | - |
進入SSL VPN策略組視圖 | policy-group group-name | - |
配置策略組引用URL列表 | resources url-list url-list-name | 缺省情況下,策略組沒有引用URL列表 |
- 2026-01-14回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論