一、组网需求

如图所示，某公司内部有一台OA服务器，在外移动办公的工作人员需要通过SSL VPN WEB模式,拨入到公司内网来对内网主机进行访问。

具体有：

1.内网的证书WEB_HTTP/FTP服务器/文件共享服务器/远程桌面 192.168.1.200

2.内网Cisco路由器 192.168.1.123 Telnet 管理

3.内网FGT服务器 192.168.1.124 SSH 管理

二、网络拓扑

        

三、配置要点

1、基本上网配置

2、SSL VPN用户和用户组配置（本地用户/用户组）

3、sslvpn配置

4、配置SSL VPN

四、配置防火墙

1、基本上网配置

基本上网配置

配置详细过程请参照 "路由模式典型功能--单线上网--静态地址线路上网配置"一节：
接口IP配置如下：

 

路由配置如下

策略配置如下：

2、SSL VPN用户和用户组配置（本地用户/用户组）

创建本地用户vpnuser1：

创建本地SSL VPN用户组：SSL-VPN-User-Group并将vpnuser1加入到组中：

3、配置SSL VPN

1）配置SSL-VPN门户资源（Portal）

根据需求，我们选择WEB代理模式的SSL-VPN，选择默认的WEB-Access即可，当然也可以自己新建门户Portal资源，需要定义具体的资源如下：

1.内网的FTP服务器/文件共享服务器/远程桌面 192.168.1.200

2.内网Cisco路由器 192.168.1.123 Telnet 管理

3.内网FGT服务器 192.168.1.124 SSH 管理

为了方便VPN用户进行访问，可以把上述资源全部定义为书签。

定义：192.168.1.200的证书WEB_HTTP、文件共享、FTP、远程桌面书签资源：

定义：内网Cisco路由器 192.168.1.123 Telnet 管理书签

定义：内网FGT服务器 192.168.1.124 SSH 管理书签

其他可选择服务：

2）配置SSL VPN，关联SSL-VPN-User-Group和WEB-Access资源（关联用户组和资源）

会提示配置SSL VPN的策略：

3）配置SSL VPN策略，让关联的SSL-VPN-User-Group和WEB-Access资源生效（关联用户组和资源）

WEB-Access的SSL-VPN配置完毕。

注意WEB-Access只七层代理工作模式，不涉及到IP-POOL、隧道分割等路由问题，纯七层代理，FGT使用内网接口LAN 192.168.1.99去代理访问内网服务器资源。

三、检查配置结果

PC发起SSL VPN的访问：

总结：

1.用户组 关联 WEB-Access资源  这样的方式，实现更加复杂的需求。比如：不同的用户组可以关联不同的WEB-Access（Portal）资源，然后再策略调用让其生效即可。"什么样的用户访问（关联）什么样的资源" ---- 这是配置SSL VPN的基本思路。

2.为了兼容性可调整的项，但会牺牲掉一些安全性：

为兼容win7和IE7-IE10建议开启如下功能：

3.WEB代理防火墙的SSL VPN其实有比较多的使用局限性，原因是由于这种代理的SSL VPN只能实现一些WEB代理方式的应用，并不支持所有的应用（比如UDP），而且由于一些URL/HTML编码等兼容性问题，一些复杂OA业务系统网站，兼容性并不好，因此建议一般的简单的设备管理、服务器管理可以使用这种代理的方式访问，但是如果涉及到一些复杂的OA等应用系统还是建议使用隧道模式去实现，隧道模式完全不存在HTTP编码等兼容性问题。更加具备通用性。

4.FortiGate的SSL VPN是完全免费的，不需要收取任何的License费用，也没有任何的SSL VPN功能和登陆用户数限制。