导读:今天向大家介绍有关防火墙配置中“SSL VPN 配置和防病毒配置”的内容,有需要的朋友可以收藏下!
SSL VPN 配置案例
网络拓扑
需求描述
外网用户通过 Internet 使用 SSL VPN 接入内网;
允许 SSL VPN 用户接入后访问内网的 FTP Server:192.168.2.10;
允许 SSL VPN 用户接入后访问内网的 WEB Server:192.168.2.20。
配置步骤
1
配置 SCVPN 地址池
通过配置 SSL VPN 地址池为 VPN 接入用户分配 IP 地址,地址池需配置网路中未使用 网段。点击网络/SSL VPN 在右侧任务栏处,点击 SSL VPN 地址池,然后新建地址池名为scvpn-pool。
2
配置 SSL VPN 实例
按照下图流程在网络/SSL VPN 中新建 SSL VPN,设置 SSL VPN 的名称后点击下一步:
添加 AAA 服务器后,点击下一步,也可使用外置的 AAA 服务器方式。
选择出接口(拨号地址接口),并调用 SSL VPN 地址池,点击下一步:
添加隧道路由,隧道路由就是防火墙下发给到客户端的本地路由,最后点击完成。
3
创建SSL VPN隧道接口安全域
在网络/安全域中为创建的 SCVPN 新建一个安全域,安全域类型为“三层安全域”
4
创建隧道接口并绑定
为了 SSL VPN 客户端能与防火墙上其他接口所属区域之间正常路由转发,需要配置一 个隧道接口,并将创建好的 SSL VPN 实例绑定到该接口上来实现。
5
创建安全策略
在安全/策略中添加访问策略,允许通过 SSL VPN 到内网的访问。
上图中放行的策略是 VPN 用户可以访问内网所有资源,当然在制定安全策略时,也可以指定服务器和服务做策略放行!
6
添加SCVPN用户账号
创建 SSL VPN 登陆账号,本例中 SSL VPN 实例使用 local 认证,所以需在 AAA 服务器local 中添加用户。
7
SCVPN登陆演示
第七步: 在客户端上打开浏览器,在地址栏中键入:https://218.240.143.220:4433,在登陆界面中填入用户帐号和密码点击登陆:
对于非 IE 浏览器,也可通过下载客户端完成安装:
在上图中可以看到拨号客户端连接成后,防火墙会将内网网段 192.168.2.0 的路由下发到拨号客户端。
防病毒配置
网络拓扑
需求描述
配置防火墙使内网 192.168.1.0/24 网段机器访问互联网时,如果访问网站带有病毒,防 火墙会对其进行某些动作,并记录到防火墙日志中。
配置步骤
第一步:病毒特征库在线更新及启用防病毒配置
点击安全/病毒过滤 在右侧任务栏中,点击配置更新选项可以看到病毒服务器升级的域名,可以启用病毒库自动升级功能,手工设置自动升级的时间点。如果需要设备在线升级病 毒库,需要在设备上配置可用的 DNS 地址,并能够解析出病毒服务器域名。
第二步:配置防病毒过滤规则——全局策略
在安全/防病过滤中 新建一个防病毒过滤规则名称为 av,选择要绑定的安全域,关于防 护类型,设备占用已经预定义好了三种安全等级,低、中、高,推荐使用中等级。或者也可 以自定义过滤规则,手工选择扫描的文件类型、协议类型及采取的动作。
以上防病毒配置,全局生效。如果需要针对内网一部人做防病毒功能,参考下面配置 。
第三步:配置防病毒过滤规则——内网部分用户策略
在安全/防病过滤中 新建一个防病毒过滤规则名称为 av,此处不做安全域的绑定:
针对内网需要做防病毒的用户设置安全策略,源地址选择防病毒用户:
在该策略的高级控制中,在病毒过滤处选择上面创建好的病毒过滤规则:
第四步:测试客户端效果
在防火墙没有开启防病毒功能时,我们访问 www.eicar.com,如下图所示:登录该网站 后 首 先 点 击 最 上 面 的 DOWNLOAD ANTI MALWARE TESTFILE , 然 后 选 择 左 侧 的DOWNLOAD,在该页面下方可以看到病毒测试文件。
点击 eicar.com.txt 时客户端出现以下抓图
客户端自带的杀毒软件诺顿会提示告警,说明该文件确实包含病毒特征。在防火墙上开 启防病毒功能后,我们再登录 www.eicar.com,做同样的访问会出现以下抓图:
在日志/攻击/安全日志列表中,可以看到访问病毒网站的日志信息。
关注安徽思恒信息科技有限公司,了解更多技术内容……
,
