一、组网需求

       如下图所示：NGFW作为旁路模式接在核心交换机上，外网PC拨入SSL-VPN，从而能访问内网的服务器资源192.168.1.3。

           

 

二、配置要点

          1、配置接口地址、开启SSL-VPN

            2、配置默认路由

            3、配置用户名、用户组

            4、配置SSL-VPN

            5、配置资源、资源组

            6、配置安全策略

            7、在路由器上配置端口映射，将NGFW的tcp 10443端口映射出来（路由器的其他配置省略）。

 

三、配置步骤

            1、配置接口地址、开启SSL-VPN

            配置ge1接口IP地址为192.168.1.200/24，勾选SSL-VPN功能。

           

            2、配置默认路由，指向路由内网口的IP地址192.168.1.1

           

           

            3、配置用户名、用户组

              

           

            配置用户组：

           

            用户组类型SSL-VPN，开启SSL-VPN通道服务及开启代理服务：

           

            4、配置SSL-VPN

            勾选“启用SSL-VPN”

          

            5、配置资源、资源组

           

            本例以NBR2000作为web服务器，访问NBR2000的web页面URL地址为：192.168.1.3（填写IP地址就可以，不能写为http://192.168.1.3），端口号为80

           

            配置资源组：

           

            新建资源组NBR2000,将刚才建好的NBR2000资源添加进来：

           

            6、配置安全策略

            先新建所需的地址节点：

           

           

           

            源接口和目的接口均选择ge1；

            动作选择：SSL-VPN

            类型选择:REMOTE-ACCESS

            选择SSL用户组

           

            配置后需要勾选启用：

            7、配置路由器端口映射

            ip nat inside source static tcp 192.168.1.200 10443 192.168.33.32 10443 permit-inside

 

四、验证效果

          外网PC在浏览器里输入：https://192.168.33.32:10443，如下图所示：

         

            输入用户名密码后，进入如下页面，点击web资源即可看到NBR2000的资源，点击即可进入NBR2000的web管理页面。

           

            使用苹果手机测试：

            在手机里输入https://192.168.33.32:10443