下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","L3VPN")}}

L3VPN

更新时间:2023-06-06

L3VPN主要用于定义、配置和管理各种基于IP协议的SSL VPN内网资源,以适应各种各样不同协议(TCP/UDP/ICMP)的应用程序访问SSL VPN内网资源和内网服务器。在[资源管理]页面,点击<新增>按钮, 选择[L3VPN],弹出[编辑L3VPN资源]对话框,设置界面如下。

名称和描述:可随意填写便于理解记忆的文字,名称:填写的文字会显示在SSL用户成功登录SSL VPN后,出现的“资源列表”中。

类型:选择该L3VPN资源的协议类型,SSL VPN内置了常用应用服务的定义,直接选择设备会自动识别端口范围和协议,如无所需的类型,可选择Other,设置协议,然后自行设定下面的端口范围。

如果类型选择为[OTHER],则需要选择协议,可选择为TCPUDPICMP,根据定义L3VPN所使用的协议进行选择。

地址:填写提供L3VPN服务的服务器地址,支持“单IP或域名”和“IP段”的形式。点击,弹出[添加/编辑资源地址]对话框,可单个添加,如下图所示。

也可批量添加,选择[批量添加],如下图所示。

端口范围:定义该[L3VPN]所使用的端口,已预定义好的资源类型一般不需修改,如果前面类型选择了[Other],则填写该服务所使用的端口。

启用资源地址伪装:勾选后将隐藏资源的真实地址,防止内部服务器地址泄露。

应用程序路径:此处填写某些C/S结构服务可能用到的客户端软件的路径。

所属组:后面下拉框可以将该资源划入相应的“资源组”,默认属于“默认资源组”

如果不勾选[允许用户可见]选项,则登录SSL VPN后,在“L3VPN应用列表”中不显示该资源的信息,但实际上该资源是可用的。隐藏资源有利于保护内网资源服务器的信息。

URL访问控制:用来设置允许用户只能访问特定的URL地址,只支持L3VPN应用的HTTP类型的应用。

首次使用L3VPN时计算机会自动安装虚拟网卡控件,需要以administrator登录系统才可以安装上。若PC上有防火墙或杀毒软件,可能会抯挡PC安装插件,可先关闭防火墙或杀毒软件。

配置案例

添加一个L3VPN资源服务器是192.168.1.10,开放PING服务。

步骤8.点击<新增>按钮,选择[TCP应用],名称自定义为ping,类型默认选择Other,协议选择ICMP,如下图所示。

步骤9.再点击,弹出[添加/编辑资源地址]对话框,填写服务器IP 192.168.1.10,端口80,如下图所示。

步骤10.点击<保存>,完成TCP应用资源的添加,如下图所示。