SSLVPN組網(wǎng)示意如圖10-1所示，企業(yè)希望通過SSLVPN開放一個安全的加密通道，使網(wǎng)絡管理員在出差時能訪問企業(yè)內網(wǎng)的Telnet服務器進行網(wǎng)絡維護。企業(yè)使用本地認證對出差的網(wǎng)絡管理員（用戶組為group1）進行用戶認證，認證域為default，通過認證的用戶能夠獲得接入企業(yè)內部網(wǎng)絡的權限，同時登錄虛擬網(wǎng)關頁面后可以自動啟用端口轉發(fā)功能，將網(wǎng)絡管理員對特定端口的訪問請求轉發(fā)到企業(yè)內網(wǎng)的Telnet服務器。其中，路由器R1模擬ISP的路由器。圖10-1端口轉發(fā)組網(wǎng)示意【配置思路】（1）配置接口IP地址、安全區(qū)域，完成網(wǎng)絡基本參數(shù)的配置。（2）配置認證域，創(chuàng)建用戶組和用戶。（3）配置SSLVPN虛擬網(wǎng)關，配置端口轉發(fā)、角色授權。（4）配置安全策略，允許移動辦公用戶登錄SSLVPN網(wǎng)關，允許出差員工訪問企業(yè)內部資源。（5）驗證和調試，檢查能否實現(xiàn)任務需求。【配置步驟】這里僅介紹與防火墻相關的配置。配置防火墻的網(wǎng)絡基本參數(shù)（1）在工作界面中選擇“網(wǎng)絡”→“接口”選項。（2）單擊GE0/0/1接口對應的編輯按鈕，按表10-1所示的參數(shù)進行Untrust區(qū)域配置。表10-1 Untrust區(qū)域的參數(shù)安全區(qū)域UntrustIP地址/24（3）單擊“確定”按鈕。（4）參考上述步驟，按表10-2所示的參數(shù)配置GE0/0/2接口的Trust區(qū)域。表10-2 Trust區(qū)域的參數(shù)安全區(qū)域TrustIP地址/24配置用戶和認證在工作界面中選擇“對象”→“用戶”→“default”選項，按圖10-2新建用戶組和用戶。圖10-2新建用戶組和用戶配置SSLVPN網(wǎng)關（1）在工作界面中選擇“網(wǎng)絡”→“SSLVPN”→“SSLVPN”選項，單擊“新建”按鈕，按圖10-3配置SSL網(wǎng)關，單擊“下一步”按鈕。圖10-3配置SSL網(wǎng)關（2）配置SSL協(xié)議的版本、加密套件、會話超時時間和生命周期，也可直接使用默認值，單擊“下一步”按鈕。（3）選擇“端口轉發(fā)”業(yè)務，單擊“下一步”按鈕。（4）配置端口轉發(fā)。啟用“客戶端自動啟用”，然后在“端口轉發(fā)資源列表”中，單擊“新建”，按圖10-4配置新建端口轉發(fā)資源，單擊“確定”，單擊“下一步”按鈕。圖10-4配置端口轉發(fā)配置SSLVPN的角色授權/用戶。（1）在“角色授權列表”中，單擊“新建”，按圖10-5配置角色授權參數(shù)。配置完成后單擊“確定”。圖10-5配置角色授權（2）返回“角色授權/用戶”配置界面，單擊“完成”。配置安全策略，允許出差員工訪問總部文件服務器。（1）配置從Internet到防火墻的安全策略，允許出差員工登錄SSLVPN網(wǎng)關。在工作界面中選擇“策略”→“安全策略”→“安全策略”選項，單擊“新建”按鈕，按照表10-3所示的參數(shù)配置安全策略policy01。表10-3 policy01安全策略的參數(shù)名稱policy01源安全區(qū)域Untrust目的安全區(qū)域Local目的地址/地區(qū)/24服務HTTPS注意，如果修改了HTTPS端口號，則此處建議按照修改后的端口號開放安全策略動作允許（2）配置防火墻到內網(wǎng)的安全策略，允許出差員工訪問企業(yè)內網(wǎng)資源。在工作界面中選擇“策略”→“安全策略”→“安全策略”選項，單擊“新建”按鈕，按照表10-4所示的參數(shù)配置安全策略policy02。表10-4 policy02安全策略的參數(shù)名稱policy02源安全區(qū)域Local目的安全區(qū)域Trust目的地址/地區(qū)/24動作允許驗證和調試（1）在瀏覽器地址欄中輸入“:443”，訪問SSLVPN登錄界面。首次訪問該界面時，需要根據(jù)瀏覽器的提示信息安裝控件。（2）在登錄界面中輸入用戶名和