1.組網及需求

　　某高校有一臺FGT系列防火牆放置於網際網路出口，拓撲如下圖：

　　現需求通過組建sslvpn web代理模式和隧道模式以實現：

　　1.web代理模式：能訪問 http://lib.xxxx.edu.cn（位於校園網內）該網址，並通過該網址跳轉到校外的中國知網等網際網路及校園網地址（目的地址不固定 all）

　　2.在web代理的模式下，實現用學校防火牆出口ip訪問目標網站資源，可實現網際網路受限文件的查閱下載。

　　3.隧道模式：訪問校園網內部固定IP地址段的伺服器server-2，同時隧道模式下啟用隧道分割，客戶端獲取明細路由，訪問校園網路時走sslvpn隧道。

2.配置要點

　　1. sslvpn 介面設定：web代理模式下，目標地址為all，同時隧道模式下又要啟用隧道分割，則不能在一條sslvpn介面裡同時啟用web代理模式及隧道模式（目標地址為all，無法啟用隧道分割，防火牆會報錯）：

　　　　需新增兩條sslvpn介面，這裡新增full-access為web代理模式的sslvpn；新增tunnel-access為隧道模式sslvpn；

　　2. 防火牆 sslvpn策略設定：建立兩條sslvpn防火牆策略，一條匹配web代理模式sslvpn，一條匹配隧道模式sslvpn；

　　a. web代理模式和隧道模式的源地址均來自網際網路，均為all

　　b.web代理模式sslvpn策略：既要訪問內網，也需訪問互連網，則目標埠為all，目的地址也為all；

　　c. 隧道模式sslvpn策略：目標埠為防火牆連線校園網的埠，目標地址為server-2；

　　d.由於這裡有兩條sslvpn策略，且源地址相同，為了避免sslvpn流量匹配出錯，需用認證使用者進行區分：user1用於web代理模式登入，user3用於隧道模式登入；

3.1）新建使用者

　　2）配置sslvpn

　　3）SSL 介面配置

　　Location:登入地址，此處填寫 http://lib.xxxx.edu.cn

　　4）配置sslvpn策略

　　a. web代理模式策略設定

　　SSL策略內新增使用者，點選"新增"

　　新增sslvpn相應的使用者組、服務、以及介面portal

　　b.隧道模式策略設定

　　新增sslvpn相應的使用者組、服務、以及介面portal

　　使用者組：選擇允許登陸vpn的使用者組：選擇sslvpntunnel 

　　SSL-VPN Portal：tunnel-access

4.隧道模式其他配置

　　1）隧道模式新增普通防火牆策略

　　只允許撥號使用者訪問內網的server地址

　　2）隧道模式新增路由

　　目的IP/子網掩碼：10.212.134.0/24，為SSL使用者地址池網段。

　　裝置：選擇ssl.root介面

　　其他預設，點選"確定"