大家好!远程办公、移动出差成了常态,很多企业都在问:
“怎么让员工在外安全访问公司内网?”
传统IPsec VPN对终端要求高、配置繁琐。
其实华为SSL VPN,三步就能让员工随时随地通过浏览器/客户端访问内网,安全又方便!
今日文章阅读福利:《网络工程师手册》
扫添加小助理微信,备注【网工】,即可获取。
一、什么是SSL VPN?一句话解释
SSL VPN就是用HTTPS协议(TCP 443端口),让员工在外用浏览器或专用客户端,通过加密通道安全访问公司内部资源。
无需特殊客户端,跨平台兼容好,适合远程办公/临时接入。
二、典型应用场景举例
1. 远程员工访问公司OA、ERP、文件服务器
2. 运维工程师出差随时远程登录管理后台
3. 多分支公司共用总部内网资源
4. 移动设备(笔记本、平板、手机)灵活接入
三、华为SSL VPN标准三步配置(命令全流程!)
假设:
· 防火墙公网IP:1.1.1.1
· 内网资源:192.168.10.0/24
· 设备型号:USG6000系列
· 用户名test,密码Test@123
第一步:配置用户和认证方式
[FW] aaa
[FW-aaa] local-user test password irreversible-cipher Test@123
[FW-aaa] local-user test privilege level 15
[FW-aaa] local-user test service-type ssl-vpn
[FW-aaa] quit
第二步:配置SSL VPN基本参数和资源
1. 创建资源组并添加内网资源
[FW] sslvpn
[FW-sslvpn] resource-group company-internal
[FW-sslvpn-resource-group-company-internal] ip-range 192.168.10.0 255.255.255.0
[FW-sslvpn-resource-group-company-internal] quit
2. 创建虚拟网关
[FW-sslvpn] gateway sslgw
[FW-sslvpn-gateway-sslgw] port 443
[FW-sslvpn-gateway-sslgw] enable
[FW-sslvpn-gateway-sslgw] quit
3. 创建虚拟模板(关联用户、资源)
[FW-sslvpn] virtual-template 1
[FW-sslvpn-virtual-template1] ip pool 10.10.10.1 10.10.10.50
[FW-sslvpn-virtual-template1] quit
[FW-sslvpn] policy ssl-policy
[FW-sslvpn-policy-ssl-policy] resource-group company-internal
[FW-sslvpn-policy-ssl-policy] user-group test
[FW-sslvpn-policy-ssl-policy] quit
第三步:发布SSL VPN服务(前端口为公网端口)
Shell
[FW] interface GigabitEthernet0/0/1
[FW-GigabitEthernet0/0/1] sslvpn enable
(如为多出口,可指定端口)
四、用户访问与验证
1. 浏览器访问:https://1.1.1.1:443
2. 用test/Test@123登录
3. 成功后可通过“端口转发/资源访问”页面访问内网主机
4. 验证命令:
[FW] display sslvpn online-user
[FW] display sslvpn resource-group
[FW] display sslvpn gateway
五、常见配置坑与排查技巧
· 端口被占用:443用于门户或其他业务,建议更改端口
· 证书问题:建议替换为企业CA证书,防止浏览器报错
· 用户认证类型未勾选SSL VPN:local-user需service-type ssl-vpn
· 资源组未正确分配,用户登录后看不到资源
· NAT策略未放行,VPN虚拟IP段不能访问内网
六、进阶与安全加固建议
· 强制双因素认证(短信/动态口令)
· 细分资源权限,按部门/角色分组
· 配置访问日志和告警推送
· 并发连接数和带宽限制,防止资源滥用
· 配置防爆破:登录失败锁定
七、自测3问(答不出建议收藏本文!)
1. SSL VPN和IPsec VPN在接入方式和终端兼容性上有何区别?
2. 如何让SSL VPN用户只能访问指定服务器?
3. display sslvpn online-user能看到哪些信息?
我们今天就分享到这,下次再见啦!
