设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 377|回复: 2
收起左侧

[分享] USG虚拟防火墙使用SSL VPN安全策略源区域如何配置

[复制链接]
 成长值: 59920
发表于 2023-11-20 21:59:22 | 显示全部楼层 |阅读模式
一、问题描述:
1. 参照官方文档为vsys创建共享公共IP的独占型SSL网关,并只开启了网络扩展功能。该VSYS只有一个连接内部的接口,所有vsys共享使用一个Internet出口。
  在为该SSLVPN 网络扩展配置允许访问的内网网段安全策略时。  请问源区域应该如何选择?

该vsys只含有一个接口属于区域【OOB】, 网络扩展分配的地址池属于10.163.123.0/24,SSL用户通过网络扩展访问OOB区域网络。创建安全策略时,不知道该策略的原区域如何选择? 还是说这种场景这个策略的源区域只能选择any?

                               
登录/注册后可看大图
2. SSL用户拨入vsys的SSL网关,并通过网络扩展访问内部网络时,会话如下(源区域空白):

                               
登录/注册后可看大图

                               
登录/注册后可看大图
HRP_M<SH2_NFV_FW-M-ITS_SSL>display firewall session table  verbose
2020-11-05 15:31:26.030 +08:00
Current Total Sessions : 7
SSL  VPN: ITS_SSL --> ITS_SSL  ID: a48f3bdb817883eb05fa419cf
Zone:  --> OOB  TTL: 00:20:00  Left: 00:19:44
Recv Interface: Eth-Trunk1.1505
Interface: Eth-Trunk1.10  NextHop: 10.163.7.5  MAC: 4077-a9d5-4bd4
<--packets: 681 bytes: 777,060 --> packets: 419 bytes: 77,794
10.163.123.105:11815[10.163.7.6:2412] --> 10.163.0.10:8443 PolicyName: ITS-SSL_VPN
TCP State: established
SSH  VPN: ITS_SSL --> ITS_SSL  ID: a58f3af7fe72010af05fa4183d
Zone:  --> OOB  TTL: 00:20:00  Left: 00:20:00
Recv Interface: Eth-Trunk1.1505
Interface: Eth-Trunk1.10  NextHop: 10.163.7.5  MAC: 4077-a9d5-4bd4
<--packets: 146 bytes: 13,422 --> packets: 181 bytes: 12,166
10.163.123.105:11532[10.163.7.6:2050] --> 10.163.0.10:22 PolicyName: ITS-SSL_VPN
TCP State: established
SSL  VPN: ITS_SSL --> ITS_SSL  ID: a58f3bdb8295029fb05fa419d3
Zone:  --> OOB  TTL: 00:20:00  Left: 00:19:59
Recv Interface: Eth-Trunk1.1505
Interface: Eth-Trunk1.10  NextHop: 10.163.7.5  MAC: 4077-a9d5-4bd4
<--packets: 198 bytes: 171,155 --> packets: 187 bytes: 50,951
10.163.123.105:11842[10.163.7.6:2427] --> 10.163.0.10:8443 PolicyName: ITS-SSL_VPN
TCP State: established

二、问题根因:
因为是ssl vpn解密后的报文,源安全域默认继承的是根墙(public)下的安全域,但是虚墙和根墙的安全域的ID是不一样的,所以显示为空,这个属于内部的安全域的继承处理。

三、正确配置方法:
实际使用时不需要配置源安全域,配置为any即可。(使用虚墙和不使用虚墙时都可以这么使用)。

发表于 2024-5-13 16:53:14 | 显示全部楼层
华为认证,值得拥有!
板凳 2024-5-13 16:53:14 回复 收起回复
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-6-15 07:03 , Processed in 0.070708 second(s), 9 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表