工作原理

WEB接入概要

基于Web 浏览器模式的SSLVPN 在技术上将Web 浏览器软件、SSL 协议及VPN 技术进行了有机结合，在使用方式上可以利用标准的Web浏览器 ，并通过遍及全球的Internet 实现与内部网络之间的安全通信，已成为目前应用最为广泛的VPN 技术。

Web 接入实现了SSLVPN 的“零客户端”。

Web 接入可访问的内部资源： WEB资源和可实现WEB应用转换的资源

IP接入概要

IP 接入实现远程主机与内网服务器在网络层之上的安全通信 ，实现了远程主机与内网服务器之间所有基于IP 的互通，比如在远程主机上ping 内网服务器。

IP接入是一种隧道技术而不再是代理技术 ，IP 接入需要在远程主机上运行隧道客户端，这个过程和TCP 接入一样，也是通过让用户安装控件的方式实现。

IP接入完成的功能和IPsec VPN是一样的 ，只是实现技术不同。

一、组网需求

     某公司员工出差时需要访问公司内部资源，此时就可以采用SSLVPN的方式拨入总公司的内网去访问内网的服务器。

二、配置要点

     SSLVPN 只支持电脑（PC）作为客户端来拨入VPN。

     在EG上设置的VPN客户端地址池不能与当前EG的内网网段冲突（重叠），否则会提示报错。

三、EG配置步骤

EG的SSLVPN配置

点击“SSLVPN配置”---“开始配置”。

     1、点击开始配置，进入基本配置页面：

输入要配置的端口号（默认是443）、走SSLVPN隧道的流量解析用哪个DNS地址，并选择用户是使用本地认证还是外部服务器认证；

2、点击下一步，进入添加资源页面：

这里需要填写客户端拨SSLVPN后获取的ip地址段（不能与本机其他接口ip段冲突）。

选择客户端PC是优先使用SSLVPN提供的DNS服务器还是自身本地的DNS服务器。如果选择内网DNS优先，即优先使用SSLVPN下发的DNS地址作为主DNS，如上图配置的DNS 8.8.8.8，本机配置的DNS地址作为备DNS；选择客户端DNS优先则相反。       其中，授予“所有网络”隧道资源的用户

添加资源：可添加隧道资源和WEB资源（也可在初始配置结束后再添加）；

            3、点击下一步进入用户授权资源页面：

该页面选择指定用户，授权给这些用户允许访问哪些隧道资源或web资源。

4. 下一步，就完成了初始配置，页面上显示SSLVPN的登录地址

四、查看SSLVPN配置         

1、完成后看到的界面如下，运行状态页面中可以看到在线用户、锁定用户账号和锁定ip；

锁定用户即连续输入同个账户的密码错误5次(默认，可修改)后，该账号会暂时被锁定5分钟（默认，可修改）；

锁定ip即该ip连续登录账户错误64次（默认，可修改）后，该ip被锁定5分钟（默认，可修改）；

2、基本设置页面中可修改端口号、DNS、用户认证方式、客户端网段等，还有些高级配置；

3、隧道资源、WEB资源、用户授权这3个同上述步骤中描述，提供给指定授权用户哪些隧道资源和WEB资源

4、管理license（默认情况下支持5个用户拨入，多用户另行购买license）

五、客户端PC设置

客户端分2种接入方式：WEB接入和隧道接入

1、web接入：

这种方式客户端直接使用浏览器打开地址即可，出现提示安全证书

点击继续浏览，出现如下登录界面

账号登入后，可以看到授权的WEB资源

2、隧道接入：    

第一次WEB登录时会提示安装客户端 

安装好客户端后图标如下

客户端拨号界面

PC客户端拨号前的路由表：

拨号后路由表（红色框内为客户端添加走SSLVPN隧道的路由）：