拓扑介绍
内网段为 10.1.1.0/24,核心 LSW1 作为内网网关。 公网地址为 192.168.88.100,防火墙作为公网出口将内网流量 SNAT 成公网地址出网。 注:192.168.0.0/16 实际为内网段,本文只是以此地址举例。 SSL 地址为 10.10.10.10-10.10.10.20。
防火墙接交换机端口安全域为 trust,接 Cloud 端口安全域为 untrust。
需求:在防火墙配置 SSL,在外人员连接 SSL 后,可访问 Server1。 默认已完成安全域、路由的配置,此处不做配置说明。
开启防火墙 web 管理功能
创建 web 登录用户
此处的用户并非 ssl 账号,而是用于登录防火墙 web 做配置的账户。
[FW1]aaa
[FW1-aaa]manager-user web
[FW1-aaa]password cipher Huawei@123
[FW1-aaa-manager-user-web]level 15
[FW1-aaa-manager-user-web]service-type web
创建一个账号名为 web、密码为 Huawei@123,权限为 15,服务类型为 web 的账户。
开启 web 管理服务
[FW1]web-manager enable
[FW1]web-manager security enable
[FW1]web-manager security enable port 8443
开启 web 管理服务,使用 https 管理,设置管理端口为 8443。
[FW1]interface GigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]service-manage https permit
开启接口下的 https 管理,即允许该接口访问自身的 https 服务。 注:因模拟器配置不便,本文在防火墙 WAN 口开启 https。正常应该在内网地址口(G1/0/1)开启 https 做配置。
配置 SSL
登录 web 界面
1> 访问 https://192.168.88.100:8443
2> 使用前面新建的 web 用户登录
新增 SSL 用户
1> 依次点击对象、用户、务必勾选 SSLVPN、新建
2> 创建一个 ssl 用户组,将其放在 default 用户组下
