H3C1020 防火墙 SSL VPN 完整配置教程 - 远程办公安全接入方案
前言
SSL VPN 是基于 SSL/TLS 协议的虚拟专用网络技术,广泛应用于企业远程办公、移动办公等场景。与 IPSec VPN 相比,SSL VPN 无需安装专用客户端,通过浏览器即可访问内网资源。本文详细介绍 H3C1020 防火墙 SSL VPN 的完整配置流程,包括 Web 接入、隧道模式、双因素认证等企业级功能。
一、SSL VPN 基础概念
1.1 什么是 SSL VPN
SSL VPN(Secure Sockets Layer Virtual Private Network)使用 SSL/TLS 协议在公共网络上建立安全加密通道,实现远程用户安全访问企业内网资源。
1.2 SSL VPN vs IPSec VPN
| 对比项 | SSL VPN | IPSec VPN |
|---|---|---|
| 工作层次 | 应用层/传输层 | 网络层 |
| 客户端 | 浏览器/轻量客户端 | 专用客户端 |
| 接入方式 | 灵活(Web/隧道/端口映射) | 站点到站点/远程接入 |
| NAT 穿越 | 支持良好 | 需要额外配置 |
| 适用场景 | 移动办公、远程办公 | 站点互联、固定远程点 |
| 端口 | TCP 443(HTTPS) | UDP 500/4500 |
1.3 SSL VPN 工作模式
- Web 接入模式(Web Proxy):通过浏览器访问内网 Web 资源,无需客户端
- 隧道模式(Tunnel Mode):安装轻量客户端,访问所有 TCP/UDP 应用
- 端口映射模式(Port Forwarding):将内网特定端口映射到本地
- 文件共享模式(File Sharing):访问内网文件服务器(SMB/CIFS)
1.4 核心组件
| 组件 | 说明 |
|---|---|
| SSL VPN 网关 | H3C1020 防火墙,处理 SSL 连接和资源访问 |
| SSL VPN 客户端 | EasyConnect 客户端(隧道模式需要) |
| 认证服务器 | 本地认证/Radius/LDAP/AD 等 |
| 资源组 | 定义用户可访问的内网资源 |
| 策略组 | 定义用户访问权限和连接参数 |
二、网络拓扑规划
2.1 典型远程办公拓扑
互联网
│
│
┌────────┴────────┐
│ 公网 IP │
│ 1.1.1.1 │
│ H3C1020 防火墙 │
│ (SSL VPN 网关) │
└────────┬────────┘
│
┌────────┴────────┐
│ 内网交换机 │
└────────┬────────┘
│
┌─────────────┼─────────────┐
│ │ │
┌─────┴─────┐ ┌─────┴─────┐ ┌─────┴─────┐
│ OA 服务器 │ │ ERP 系统 │ │ 文件服务器 │
│192.168.1.10│ │192.168.1.20│ │192.168.1.30│
└───────────┘ └───────────┘ └───────────┘
远程用户通过 SSL VPN 接入:
┌──────────┐ ┌──────────┐ ┌──────────┐
│ 家庭办公 │ │ 移动办公 │ │ 分支机构 │
│ 笔记本电脑│ │ 手机 │ │ 台式机 │
└────┬─────┘ └────┬─────┘ └────┬─────┘
│ │ │
└───────────────┴───────────────┘
SSL VPN 连接
(TCP 443)2.2 地址和端口规划
| 项目 | 配置值 | 说明 |
|---|---|---|
| WAN 接口 IP | 1.1.1.1/24 | 公网接口 |
| LAN 接口 IP | 192.168.1.1/24 | 内网接口 |
| SSL VPN 服务端口 | TCP 443 | HTTPS 标准端口 |
| 虚拟地址池 | 10.10.10.100-10.10.10.200 | 分配给远程用户 |
| DNS 服务器 | 192.168.1.2 | 内网 DNS |
2.3 用户和资源规划
| 用户组 | 用户 | 可访问资源 | 访问模式 |
|---|---|---|---|
| 管理员组 | admin01, admin02 | 全部内网资源 | 隧道模式 |
| 财务组 | finance01-05 | ERP 系统、文件服务器 | Web+ 隧道 |
| 普通员工组 | user01-50 | OA 系统、邮件系统 | Web 模式 |
三、H3C1020 基础配置
3.1 初始化配置
# 进入系统视图
<H3C> system-view
# 修改设备名称
[H3C] sysname H3C1020-SSL
# 配置 WAN 接口(公网)
[H3C1020-SSL] interface GigabitEthernet 0/0
[H3C1020-SSL-GigabitEthernet0/0] ip address 1.1.1.1 255.255.255.0
[H3C1020-SSL-GigabitEthernet0/0] quit
# 配置 LAN 接口(内网)
[H3C1020-SSL] interface GigabitEthernet 0/1
[H3C1020-SSL-GigabitEthernet0/1] ip address 192.168.1.1 255.255.255.0
[H3C1020-SSL-GigabitEthernet0/1] quit
# 配置默认路由
[H3C1020-SSL] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2543.2 配置安全区域
# Trust 区域(内网)
[H3C1020-SSL] firewall zone trust
[H3C1020-SSL-zone-trust] import interface GigabitEthernet 0/1
[H3C1020-SSL-zone-trust] quit
# Untrust 区域(外网)
[H3C1020-SSL] firewall zone untrust
[H3C1020-SSL-zone-untrust] import interface GigabitEthernet 0/0
[H3C1020-SSL-zone-untrust] quit
# 创建 SSL VPN 专用区域(可选)
[H3C1020-SSL] firewall zone dmz
[H3C1020-SSL-zone-dmz] quit四、SSL VPN 详细配置
4.1 启用 SSL VPN 功能
# 启用 SSL VPN 功能
[H3C1020-SSL] ssl vpn enable
# 查看 SSL VPN 状态
[H3C1020-SSL] display ssl vpn status4.2 配置 SSL VPN 网关
# 创建 SSL VPN 网关
[H3C1020-SSL] ssl vpn gateway gateway1
# 配置网关监听地址和端口
[H3C1020-SSL-ssl-vpn-gateway-gateway1] listen-ip 1.1.1.1
[H3C1020-SSL-ssl-vpn-gateway-gateway1] port 443
# 配置网关域名(用于证书验证)
[H3C1020-SSL-ssl-vpn-gateway-gateway1] domain vpn.example.com
# 启用网关
[H3C1020-SSL-ssl-vpn-gateway-gateway1] enable
# 返回上级视图
[H3C1020-SSL-ssl-vpn-gateway-gateway1] quit4.3 配置 SSL 证书
方式一:使用自签名证书(测试环境)
# 生成自签名证书
[H3C1020-SSL] pki generate key-pair rsa name ssl-key length 2048
# 创建自签名证书
[H3C1020-SSL] pki self-signed-certificate create ssl-cert \
subject-name "CN=vpn.example.com,O=Company,C=CN" \
issuer-name "CN=vpn.example.com,O=Company,C=CN" \
key-pair ssl-key \
not-before "2024-01-01 00:00:00" \
not-after "2027-01-01 00:00:00"
# 在 SSL VPN 网关应用证书
[H3C1020-SSL] ssl vpn gateway gateway1
[H3C1020-SSL-ssl-vpn-gateway-gateway1] certificate ssl-cert
[H3C1020-SSL-ssl-vpn-gateway-gateway1] quit方式二:导入 CA 证书(生产环境推荐)
# 从 CA 机构申请证书后导入
[H3C1020-SSL] pki import certificate ssl-cert pem \
filename "flash:/ssl_cert.crt"
# 导入私钥
[H3C1020-SSL] pki import key-pair ssl-key pem \
filename "flash:/ssl_key.key"
# 应用证书到网关
[H3C1020-SSL] ssl vpn gateway gateway1
[H3C1020-SSL-ssl-vpn-gateway-gateway1] certificate ssl-cert
[H3C1020-SSL-ssl-vpn-gateway-gateway1] quit4.4 配置虚拟地址池
# 创建 IP 地址池
[H3C1020-SSL] ssl vpn ip-pool pool1
# 配置地址范围
[H3C1020-SSL-ssl-vpn-ip-pool-pool1] network 10.10.10.0 mask 255.255.255.0
# 配置可分配地址范围
[H3C1020-SSL-ssl-vpn-ip-pool-pool1] start-ip 10.10.10.100 end-ip 10.10.10.200
# 配置 DNS 服务器
[H3C1020-SSL-ssl-vpn-ip-pool-pool1] dns-server 192.168.1.2
# 配置 WINS 服务器(可选)
[H3C1020-SSL-ssl-vpn-ip-pool-pool1] wins-server 192.168.1.3
# 配置域名后缀
[H3C1020-SSL-ssl-vpn-ip-pool-pool1] domain example.com
[H3C1020-SSL-ssl-vpn-ip-pool-pool1] quit4.5 配置认证方案
本地认证
# 创建本地用户
[H3C1020-SSL] local-user admin01 class network
[H3C1020-SSL-luser-network-admin01] password cipher Admin@2024!
[H3C1020-SSL-luser-network-admin01] service-type sslvpn
[H3C1020-SSL-luser-network-admin01] authorization-attribute user-role network-admin
[H3C1020-SSL-luser-network-admin01] quit
# 创建普通用户
[H3C1020-SSL] local-user user01 class network
[H3C1020-SSL-luser-network-user01] password cipher User@2024!
[H3C1020-SSL-luser-network-user01] service-type sslvpn
[H3C1020-SSL-luser-network-user01] quit
# 批量创建用户(用户组方式)
[H3C1020-SSL] user-group finance
[H3C1020-SSL-user-group-finance] user finance01
[H3C1020-SSL-user-group-finance] user finance02
[H3C1020-SSL-user-group-finance] user finance03
[H3C1020-SSL-user-group-finance] quitRadius 认证(对接 AD/LDAP)
# 配置 Radius 方案
[H3C1020-SSL] radius scheme radius1
# 配置主 Radius 服务器
[H3C1020-SSL-radius-radius1] primary authentication 192.168.1.100
[H3C1020-SSL-radius-radius1] primary accounting 192.168.1.100
# 配置共享密钥
[H3C1020-SSL-radius-radius1] key authentication cipher Radius@Key2024
[H3C1020-SSL-radius-radius1] key accounting cipher Radius@Key2024
# 配置用户名格式
[H3C1020-SSL-radius-radius1] user-name-format without-domain
[H3C1020-SSL-radius-radius1] quit
# 配置认证域
[H3C1020-SSL] domain ssl-domain
[H3C1020-SSL-domain-ssl-domain] authentication sslvpn radius-scheme radius1
[H3C1020-SSL-domain-ssl-domain] authorization sslvpn radius-scheme radius1
[H3C1020-SSL-domain-ssl-domain] accounting sslvpn radius-scheme radius1
[H3C1020-SSL-domain-ssl-domain] quit4.6 配置 SSL VPN 策略组
# 创建策略组
[H3C1020-SSL] ssl vpn policy-group policy-admin
# 关联地址池
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] ip-pool pool1
# 配置认证方式
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] authentication-method local
# 配置用户组
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] user-group admin
# 配置访问模式(隧道模式)
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] tunnel-mode full-tunnel
# 配置分割隧道(只加密特定流量)
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] split-include 192.168.1.0 255.255.255.0
# 关联网关
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] gateway gateway1
# 启用策略组
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] enable
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] quit4.7 配置资源组
# 创建 Web 资源组(OA 系统)
[H3C1020-SSL] ssl vpn resource web-resource oa-system
# 配置资源 URL
[H3C1020-SSL-ssl-vpn-resource-web-oa-system] url http://192.168.1.10
[H3C1020-SSL-ssl-vpn-resource-web-oa-system] link-name "OA 办公系统"
# 配置资源描述
[H3C1020-SSL-ssl-vpn-resource-web-oa-system] description "公司 OA 办公系统"
[H3C1020-SSL-ssl-vpn-resource-web-oa-system] quit
# 创建 TCP 资源组(ERP 数据库)
[H3C1020-SSL] ssl vpn resource tcp-resource erp-db
# 配置服务器地址和端口
[H3C1020-SSL-ssl-vpn-resource-tcp-erp-db] server-ip 192.168.1.20
[H3C1020-SSL-ssl-vpn-resource-tcp-erp-db] server-port 1433
[H3C1020-SSL-ssl-vpn-resource-tcp-erp-db] link-name "ERP 数据库"
[H3C1020-SSL-ssl-vpn-resource-tcp-erp-db] quit
# 创建网络资源组(内网网段)
[H3C1020-SSL] ssl vpn resource network-resource internal-net
# 配置可访问网段
[H3C1020-SSL-ssl-vpn-resource-network-internal-net] network 192.168.1.0 255.255.255.0
[H3C1020-SSL-ssl-vpn-resource-network-internal-net] link-name "内网资源"
[H3C1020-SSL-ssl-vpn-resource-network-internal-net] quit4.8 关联资源到策略组
# 将资源关联到策略组
[H3C1020-SSL] ssl vpn policy-group policy-admin
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] resource web-resource oa-system
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] resource tcp-resource erp-db
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] resource network-resource internal-net
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] quit五、安全策略配置
5.1 配置域间安全策略
# 允许外网访问 SSL VPN 网关
[H3C1020-SSL] security-policy ip
[H3C1020-SSL-security-policy-ip] rule name ALLOW_SSL_VPN
[H3C1020-SSL-security-policy-ip-10-ALLOW_SSL_VPN] source-zone untrust
[H3C1020-SSL-security-policy-ip-10-ALLOW_SSL_VPN] destination-zone local
[H3C1020-SSL-security-policy-ip-10-ALLOW_SSL_VPN] destination-ip-subnet 1.1.1.1 32
[H3C1020-SSL-security-policy-ip-10-ALLOW_SSL_VPN] service tcp destination-port 443
[H3C1020-SSL-security-policy-ip-10-ALLOW_SSL_VPN] action pass
[H3C1020-SSL-security-policy-ip-10-ALLOW_SSL_VPN] quit
# 允许 SSL VPN 用户访问内网
[H3C1020-SSL-security-policy-ip] rule name ALLOW_VPN_TO_LAN
[H3C1020-SSL-security-policy-ip-20-ALLOW_VPN_TO_LAN] source-zone untrust
[H3C1020-SSL-security-policy-ip-20-ALLOW_VPN_TO_LAN] destination-zone trust
[H3C1020-SSL-security-policy-ip-20-ALLOW_VPN_TO_LAN] source-ip-subnet 10.10.10.0 24
[H3C1020-SSL-security-policy-ip-20-ALLOW_VPN_TO_LAN] destination-ip-subnet 192.168.1.0 24
[H3C1020-SSL-security-policy-ip-20-ALLOW_VPN_TO_LAN] action pass
[H3C1020-SSL-security-policy-ip-20-ALLOW_VPN_TO_LAN] quit
# 允许内网返回流量
[H3C1020-SSL-security-policy-ip] rule name ALLOW_LAN_TO_VPN
[H3C1020-SSL-security-policy-ip-30-ALLOW_LAN_TO_VPN] source-zone trust
[H3C1020-SSL-security-policy-ip-30-ALLOW_LAN_TO_VPN] destination-zone untrust
[H3C1020-SSL-security-policy-ip-30-ALLOW_LAN_TO_VPN] source-ip-subnet 192.168.1.0 24
[H3C1020-SSL-security-policy-ip-30-ALLOW_LAN_TO_VPN] destination-ip-subnet 10.10.10.0 24
[H3C1020-SSL-security-policy-ip-30-ALLOW_LAN_TO_VPN] action pass
[H3C1020-SSL-security-policy-ip-30-ALLOW_LAN_TO_VPN] quit
[H3C1020-SSL-security-policy-ip] quit5.2 配置 NAT 策略
# SSL VPN 用户访问内网不需要 NAT
[H3C1020-SSL] nat policy
[H3C1020-SSL-nat-policy] rule name NO_NAT_VPN
[H3C1020-SSL-nat-policy-rule-NO_NAT_VPN] source-zone untrust
[H3C1020-SSL-nat-policy-rule-NO_NAT_VPN] destination-zone trust
[H3C1020-SSL-nat-policy-rule-NO_NAT_VPN] source-ip-subnet 10.10.10.0 24
[H3C1020-SSL-nat-policy-rule-NO_NAT_VPN] destination-ip-subnet 192.168.1.0 24
[H3C1020-SSL-nat-policy-rule-NO_NAT_VPN] action no-nat
[H3C1020-SSL-nat-policy-rule-NO_NAT_VPN] quit
# 其他外网流量需要 NAT
[H3C1020-SSL-nat-policy] rule name NAT_VPN_TO_INTERNET
[H3C1020-SSL-nat-policy-rule-NAT_VPN_TO_INTERNET] source-zone untrust
[H3C1020-SSL-nat-policy-rule-NAT_VPN_TO_INTERNET] destination-zone untrust
[H3C1020-SSL-nat-policy-rule-NAT_VPN_TO_INTERNET] source-ip-subnet 10.10.10.0 24
[H3C1020-SSL-nat-policy-rule-NAT_VPN_TO_INTERNET] action source-nat easy-ip
[H3C1020-SSL-nat-policy-rule-NAT_VPN_TO_INTERNET] quit
[H3C1020-SSL-nat-policy] quit六、双因素认证配置(可选)
6.1 配置短信认证
# 配置短信服务器
[H3C1020-SSL] sms-authentication server sms-server1
# 配置短信服务器地址
[H3C1020-SSL-sms-server-sms-server1] url http://sms.example.com/send
# 配置认证参数
[H3C1020-SSL-sms-server-sms-server1] username sms_user
[H3C1020-SSL-sms-server-sms-server1] password cipher Sms@2024!
# 配置短信模板
[H3C1020-SSL-sms-server-sms-server1] template "您的验证码是:{code},5 分钟内有效"
[H3C1020-SSL-sms-server-sms-server1] quit
# 在策略组中启用短信认证
[H3C1020-SSL] ssl vpn policy-group policy-admin
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] second-authentication sms
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] sms-server sms-server1
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] quit6.2 配置动态令牌认证
# 配置 Radius 服务器(支持动态令牌)
[H3C1020-SSL] radius scheme radius-token
# 配置令牌服务器
[H3C1020-SSL-radius-radius-token] primary authentication 192.168.1.101
[H3C1020-SSL-radius-radius-token] key authentication cipher Token@Key2024
# 用户格式:username@token
[H3C1020-SSL-radius-radius-token] user-name-format with-domain
[H3C1020-SSL-radius-radius-token] quit
# 配置认证域
[H3C1020-SSL] domain token-domain
[H3C1020-SSL-domain-token-domain] authentication sslvpn radius-scheme radius-token
[H3C1020-SSL-domain-token-domain] quit七、客户端配置
7.1 Web 接入模式(无需客户端)
- 打开浏览器,访问:
https://1.1.1.1或https://vpn.example.com - 输入用户名和密码
- 登录成功后,在资源列表中点击要访问的系统
- 直接通过浏览器访问内网 Web 资源
7.2 隧道模式(需要客户端)
Windows 客户端安装
- 访问 SSL VPN 登录页面:
https://1.1.1.1 - 登录后,点击"下载客户端"
- 下载 H3C EasyConnect 客户端安装包
- 运行安装程序,完成安装
- 启动 EasyConnect 客户端
- 输入服务器地址:
1.1.1.1 - 输入用户名和密码
- 点击"连接",建立 VPN 隧道
Mac 客户端安装
- 访问 SSL VPN 登录页面
- 下载 Mac 版客户端
- 打开 DMG 文件,拖拽应用到 Applications
- 在"系统偏好设置 → 安全性与隐私"中允许应用运行
- 启动客户端,输入服务器地址和凭据
- 连接 VPN
移动端客户端(iOS/Android)
- App Store / Google Play 搜索"H3C EasyConnect"
- 下载安装应用
- 打开应用,添加新连接
- 输入服务器地址、用户名、密码
- 保存并连接
7.3 客户端配置示例
服务器地址:1.1.1.1
端口:443
用户名:admin01
密码:Admin@2024!
连接模式:隧道模式
保存密码:是(可选)
自动连接:是(可选)八、验证与测试
8.1 查看 SSL VPN 状态
# 查看 SSL VPN 网关状态
[H3C1020-SSL] display ssl vpn gateway
# 查看策略组配置
[H3C1020-SSL] display ssl vpn policy-group
# 查看地址池使用情况
[H3C1020-SSL] display ssl vpn ip-pool pool1
# 查看在线用户
[H3C1020-SSL] display ssl vpn session
# 输出示例:
# Total sessions: 3
# User IP Address Duration Status
# --------------------------------------------------
# admin01 10.10.10.101 00:15:30 Connected
# user01 10.10.10.102 00:08:45 Connected
# user02 10.10.10.103 00:02:10 Connected8.2 查看用户会话详情
# 查看特定用户会话
[H3C1020-SSL] display ssl vpn session username admin01
# 查看会话详细信息
[H3C1020-SSL] display ssl vpn session verbose
# 查看资源访问统计
[H3C1020-SSL] display ssl vpn resource statistics8.3 连通性测试
# 从防火墙 ping 远程用户虚拟 IP
[H3C1020-SSL] ping 10.10.10.101
# 测试内网资源访问(在客户端执行)
# Windows 命令行:
ping 192.168.1.10
ping 192.168.1.20
# 测试 Web 资源访问
# 浏览器访问:http://192.168.1.10(OA 系统)
# 浏览器访问:http://192.168.1.20(ERP 系统)8.4 查看日志信息
# 查看 SSL VPN 日志
[H3C1020-SSL] display logbuffer | include SSL
# 查看用户登录日志
[H3C1020-SSL] display ssl vpn log login
# 查看用户登出日志
[H3C1020-SSL] display ssl vpn log logout
# 查看错误日志
[H3C1020-SSL] display ssl vpn log error九、故障排查
9.1 客户端无法连接
问题 1:连接超时
# 检查步骤:
# 1. 检查网络连通性
ping 1.1.1.1
# 2. 检查 443 端口是否开放
telnet 1.1.1.1 443
# 3. 检查 SSL VPN 网关状态
[H3C1020-SSL] display ssl vpn gateway
# 4. 检查安全策略
[H3C1020-SSL] display security-policy ip rule name ALLOW_SSL_VPN
# 5. 检查证书是否有效
[H3C1020-SSL] display pki certificate ssl-cert问题 2:认证失败
# 检查步骤:
# 1. 检查用户名密码是否正确
[H3C1020-SSL] display local-user
# 2. 检查用户服务类型
[H3C1020-SSL] display local-user admin01
# 3. 检查认证域配置
[H3C1020-SSL] display domain ssl-domain
# 4. 检查 Radius 服务器连通性
[H3C1020-SSL] test aaa-scheme radius radius1
# 5. 查看认证失败日志
[H3C1020-SSL] display ssl vpn log login | include failed9.2 连接后无法访问资源
# 检查步骤:
# 1. 检查虚拟 IP 是否分配
[H3C1020-SSL] display ssl vpn session
# 2. 检查路由配置
[H3C1020-SSL] display ip routing-table
# 3. 检查安全策略
[H3C1020-SSL] display security-policy ip rule name ALLOW_VPN_TO_LAN
# 4. 检查资源组配置
[H3C1020-SSL] display ssl vpn resource
# 5. 检查 NAT 策略
[H3C1020-SSL] display nat policy9.3 连接频繁断开
# 检查步骤:
# 1. 检查会话超时配置
[H3C1020-SSL] display ssl vpn policy-group
# 2. 检查网络质量
# 在客户端执行:
ping 1.1.1.1 -t
# 3. 查看断开原因日志
[H3C1020-SSL] display ssl vpn log logout
# 4. 调整心跳间隔
[H3C1020-SSL] ssl vpn policy-group policy-admin
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] keepalive interval 309.4 常用调试命令
# 开启 SSL VPN 调试
[H3C1020-SSL] debugging ssl vpn all
[H3C1020-SSL] terminal monitor
[H3C1020-SSL] terminal debugging
# 查看调试信息
[H3C1020-SSL] display debugging
# 关闭调试(重要!)
[H3C1020-SSL] undo debugging all十、高级配置
10.1 配置并发用户数限制
# 限制策略组最大并发用户数
[H3C1020-SSL] ssl vpn policy-group policy-admin
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] max-users 50
# 限制全局最大并发用户数
[H3C1020-SSL] ssl vpn max-sessions 20010.2 配置会话超时
# 配置空闲超时(分钟)
[H3C1020-SSL] ssl vpn policy-group policy-admin
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] idle-timeout 30
# 配置会话最大时长(分钟)
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] session-timeout 48010.3 配置客户端检查
# 启用客户端环境检查
[H3C1020-SSL] ssl vpn policy-group policy-admin
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] host-check enable
# 配置检查项(杀毒软件、防火墙等)
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] host-check antivirus
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] host-check firewall
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] host-check os-patch10.4 配置单点登录(SSO)
# 配置 SSO 到 AD 域
[H3C1020-SSL] ssl vpn sso ad-sso
# 配置 AD 服务器
[H3C1020-SSL-sso-ad] server-ip 192.168.1.100
[H3C1020-SSL-sso-ad] domain EXAMPLE.COM
[H3C1020-SSL-sso-ad] username sso_user
[H3C1020-SSL-sso-ad] password cipher SSO@2024!
[H3C1020-SSL-sso-ad] quit10.5 配置负载均衡(多网关)
# 配置第二个 SSL VPN 网关
[H3C1020-SSL] ssl vpn gateway gateway2
[H3C1020-SSL-ssl-vpn-gateway-gateway2] listen-ip 1.1.1.2
[H3C1020-SSL-ssl-vpn-gateway-gateway2] port 443
[H3C1020-SSL-ssl-vpn-gateway-gateway2] enable
[H3C1020-SSL-ssl-vpn-gateway-gateway2] quit
# 配置网关组
[H3C1020-SSL] ssl vpn gateway-group gw-group
[H3C1020-SSL-ssl-vpn-gateway-group-gw-group] gateway gateway1
[H3C1020-SSL-ssl-vpn-gateway-group-gw-group] gateway gateway2
[H3C1020-SSL-ssl-vpn-gateway-group-gw-group] load-balance enable
[H3C1020-SSL-ssl-vpn-gateway-group-gw-group] quit十一、安全加固建议
11.1 使用强加密套件
# 配置 SSL 加密套件
[H3C1020-SSL] ssl vpn gateway gateway1
[H3C1020-SSL-ssl-vpn-gateway-gateway1] cipher-suite high
# 禁用弱加密算法
[H3C1020-SSL-ssl-vpn-gateway-gateway1] ssl protocol tlsv1.2 tlsv1.3
[H3C1020-SSL-ssl-vpn-gateway-gateway1] no ssl protocol tlsv1.0 tlsv1.111.2 密码策略
| 要求 | 配置值 |
|---|---|
| 最小长度 | 8 个字符 |
| 复杂度 | 大小写 + 数字 + 特殊字符 |
| 有效期 | 90 天 |
| 历史密码 | 不能重复使用最近 5 次密码 |
| 锁定策略 | 5 次失败锁定 30 分钟 |
11.3 访问控制
# 配置登录时间限制
[H3C1020-SSL] local-user admin01 class network
[H3C1020-SSL-luser-network-admin01] access-limit max 3
[H3C1020-SSL-luser-network-admin01] time-range work-time 08:00-18:00 working-day
[H3C1020-SSL-luser-network-admin01] quit
# 配置 IP 地址限制
[H3C1020-SSL] ssl vpn policy-group policy-admin
[H3C1020-SSL-ssl-vpn-policy-group-policy-admin] allowed-ip 202.100.1.0 255.255.255.011.4 审计日志
# 配置日志服务器
[H3C1020-SSL] info-center loghost 192.168.1.100
# 启用 SSL VPN 审计
[H3C1020-SSL] ssl vpn audit enable
# 配置审计内容
[H3C1020-SSL] ssl vpn audit login
[H3C1020-SSL] ssl vpn audit logout
[H3C1020-SSL] ssl vpn audit resource-access
[H3C1020-SSL] ssl vpn audit configuration-change总结
本文详细介绍了 H3C1020 防火墙 SSL VPN 的完整配置流程:
- 基础概念:SSL VPN 原理、与 IPSec 对比、工作模式
- 拓扑规划:网络地址、用户组、资源规划
- 基础配置:接口、路由、安全区域
- SSL VPN 配置:网关、证书、地址池、认证、策略组
- 安全策略:域间策略、NAT 配置
- 双因素认证:短信认证、动态令牌
- 客户端配置:Web 模式、隧道模式、移动端
- 验证测试:会话查看、连通性测试
- 故障排查:常见问题和调试方法
- 高级配置:并发限制、会话超时、客户端检查、SSO
- 安全加固:加密套件、密码策略、访问控制、审计日志
通过本文的配置,您可以实现:
- ✅ 安全的远程办公接入
- ✅ 灵活的资源访问控制
- ✅ 多因素认证保护
- ✅ 完善的会话管理和审计
- ✅ 跨平台客户端支持
SSL VPN 是现代企业远程办公的重要基础设施,建议在生产环境部署前充分测试,并根据实际需求调整配置。如有问题,欢迎留言讨论!🚀
附:配置脚本下载
完整的配置文件和客户端安装包可在评论区留言获取。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
