在现有总部网络环境基础上,配置 SSL VPN,使外部终端不需要直接暴露到总部内网中,也能通过安全加密方式接入公司网络,并访问内部资产。

最终验证结果是:SSL VPN 服务成功部署在总部防火墙外网口,Windows 10 客户端通过专用 SSLVPN Client 成功接入后,获得虚拟地址 192.168.30.50,能够访问总部内网地址 192.168.10.254,并成功打开内部业务系统 http://192.168.10.101。

和前一个 L2TP over IPSec 场景不同,SSL VPN 的重点不在于系统自带拨号,而在于由防火墙提供一个基于 SSL/TLS 的远程接入入口。用户先访问 SSL VPN 客户端下载页,再通过专用客户端建立加密隧道,之后再以内网身份访问

一、实验目标与网络基础

本次 SSL VPN 仍然以现有总部环境为基础。总部防火墙外网口为 ge2,地址 172.16.11.92/24,作为远程接入入口;内部业务网段为 192.168.10.0/24,其中防火墙 trust 口地址为 192.168.10.254,WAF/App 业务地址为 192.168.10.101。外部 Windows 10 主机通过公网侧网络访问防火墙外网口,完成 SSL VPN 接入。

这套结构的意义在于,外部用户不需要直接暴露内部系统,只需要先进入 VPN,再通过总部内网地址访问业务系统。这样既保留了内网资源的隔离性,也使远程办公场景具备了可达性。


二、先为 SSL VPN 单独准备地址池

划分一段 SSL VPN 用户地址池, 192.168.30.10 - 192.168.30.50/24,名称为 SSL_VPN-POOL。客户端接入后实际拿到的地址是 192.168.30.50,说明该地址池配置已经生效。

三、证书是 SSL VPN 能否工作的重要前提

SSL VPN 和 L2TP over IPSec 最大的不同之一,就是它必须依赖服务器证书来建立 TLS 加密会话。如果没有可调用的服务器证书对象,SSL VPN 虽然界面可以配置,但实际服务无法正常挂载。

检查了防火墙已有的管理证书,但随后发现 SSL VPN 页面读取的并不是单纯的管理证书,而是证书管理中业务调用的证书对象。先在防火墙本地生成一个自签 CA

再用这个本地 CA 签发一张通用名称为 172.16.11.92 的一般证书,并将其导入到证书管理中,最终形成 SSL VPN 可用的服务器证书对象 ssl_VPN。

客户端访问的实际地址是 https://172.16.11.92:64443,因此服务器证书与实际访问地址保持一致,有助于保证匹配关系清晰。

虽然这是一张自签证书,客户端访问时可能会有证书告警,但对于实验环境来说已经足够使用。


四、SSL VPN 服务本体配置

开始配置 SSL VPN 服务本身。监听接口选择总部外网口 ge2,本地 IP 选择 172.16.11.92,监听端口使用 64443,VPN 地址池引用前面准备好的 SSL_VPN-POOL,认证方式使用单因子认证,认证服务器选择 local,服务器证书选择已经导入完成的 ssl_VPN。

从原理上讲,这一步就是在防火墙外网口上真正挂起一个 SSL VPN 服务。外部用户访问 172.16.11.92:64443 时,请求会被这个服务接收,并使用挂载的服务器证书建立 HTTPS 加密连接。认证服务器使用 local,远程用户仍然通过本地用户数据库完成身份认证,这样和前面已经验证成功的本地用户体系保持一致,配置上也更简单。

除了服务入口本身,还需要补上可访问网络列表。这里添加了 192.168.10.0/24,表示 SSL VPN 用户登录成功后,允许访问总部内网这个网段中的资源。

配置保存后,在浏览器中访问 https://172.16.11.92:64443 后,显示 SSLVPN 客户端下载页。

这说明防火墙已经在外网口成功监听 SSL VPN 服务,证书已经被服务正常调用,HTTPS 访问链路没有问题。

五、Windows 10 客户端安装与接入

在客户端下载页中选择 Windows 客户端并安装。安装过程中选择国际版,因为我防火墙 SSL VPN 服务配置时选的国际算法,客户端和服务端在算法体系上需要保持一致。

客户端安装完成后,首次启动时需要填写服务器地址和端口。这里服务器地址填写 172.16.11.92,端口保持 64443,不启用仅限于穿透场景。

连接后再输入本地认证用户 win10 的用户名和密码,客户端成功建立 SSL VPN 隧道,并显示公私网信息。

其中公网侧地址显示为防火墙外网入口 172.16.11.92,私网侧地址显示为 192.168.30.50,客户端已经从 SSL VPN 地址池中成功获取到了虚拟地址。

六、访问验证:能否进入总部内网

SSL VPN 建立成功后,验证要分两层来做。第一层是总部内网网关可达性,也就是测试客户端是否真的进入了总部网络。这里通过 ping 192.168.10.254 进行验证,结果成功,说明 SSL VPN 用户已经能够到达总部防火墙 trust 区域。第二层是业务资产可访问性,也就是测试内部服务本身是否可达。

此作者没有提供个人介绍。
最后更新于 2026-05-12