|
一、问题描述: 1. 参照官方文档为vsys创建共享公共IP的独占型SSL网关,并只开启了网络扩展功能。该VSYS只有一个连接内部的接口,所有vsys共享使用一个Internet出口。 在为该SSLVPN 网络扩展配置允许访问的内网网段安全策略时。 请问源区域应该如何选择?
该vsys只含有一个接口属于区域【OOB】, 网络扩展分配的地址池属于10.163.123.0/24,SSL用户通过网络扩展访问OOB区域网络。创建安全策略时,不知道该策略的原区域如何选择? 还是说这种场景这个策略的源区域只能选择any? 2. SSL用户拨入vsys的SSL网关,并通过网络扩展访问内部网络时,会话如下(源区域空白): HRP_M<SH2_NFV_FW-M-ITS_SSL>display firewall session table verbose 2020-11-05 15:31:26.030 +08:00 Current Total Sessions : 7 SSL VPN: ITS_SSL --> ITS_SSL ID: a48f3bdb817883eb05fa419cf Zone: --> OOB TTL: 00:20:00 Left: 00:19:44 Recv Interface: Eth-Trunk1.1505 Interface: Eth-Trunk1.10 NextHop: 10.163.7.5 MAC: 4077-a9d5-4bd4 <--packets: 681 bytes: 777,060 --> packets: 419 bytes: 77,794 10.163.123.105:11815[10.163.7.6:2412] --> 10.163.0.10:8443 PolicyName: ITS-SSL_VPN TCP State: established SSH VPN: ITS_SSL --> ITS_SSL ID: a58f3af7fe72010af05fa4183d Zone: --> OOB TTL: 00:20:00 Left: 00:20:00 Recv Interface: Eth-Trunk1.1505 Interface: Eth-Trunk1.10 NextHop: 10.163.7.5 MAC: 4077-a9d5-4bd4 <--packets: 146 bytes: 13,422 --> packets: 181 bytes: 12,166 10.163.123.105:11532[10.163.7.6:2050] --> 10.163.0.10:22 PolicyName: ITS-SSL_VPN TCP State: established SSL VPN: ITS_SSL --> ITS_SSL ID: a58f3bdb8295029fb05fa419d3 Zone: --> OOB TTL: 00:20:00 Left: 00:19:59 Recv Interface: Eth-Trunk1.1505 Interface: Eth-Trunk1.10 NextHop: 10.163.7.5 MAC: 4077-a9d5-4bd4 <--packets: 198 bytes: 171,155 --> packets: 187 bytes: 50,951 10.163.123.105:11842[10.163.7.6:2427] --> 10.163.0.10:8443 PolicyName: ITS-SSL_VPN TCP State: established
二、问题根因: 因为是ssl vpn解密后的报文,源安全域默认继承的是根墙(public)下的安全域,但是虚墙和根墙的安全域的ID是不一样的,所以显示为空,这个属于内部的安全域的继承处理。
三、正确配置方法: 实际使用时不需要配置源安全域,配置为any即可。(使用虚墙和不使用虚墙时都可以这么使用)。
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 60550
发表于 2023-11-20 21:59:22
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2023-11-20 22:16:18
