本文将通过实例简要说明SRX5308/FVS336G的SSL VPN拔入方法，SRX5308和FVS336G的配置方式基本一样，因此，本文将以FVS336G为例，配置SSL VPN的设置，具体配置如下：

一、网络拓朴结构及部署

SRX5308/FVS336G作为一个VPN防火墙网关，只需直接接在Internet的出口处，并通过光纤或ADSL线路上网，网络拓朴结构如上图所示。

SRX5308/FVS336G的局域网IP:192.168.10.1/255.255.255.0

SRX5308/FVS336G的WAN IP：121.32.28.179/255.255.255.248

二、SRX5308/FVS336G的设置

1. 创建门户Portal Layouts
   打开SRX5308/FVS336G的管理菜单，点击VPN>SSL VPN》Portal Layouts菜单页面，如下图所示：
    
   
    
   点击Add 添加按钮，创建一个新的门户：netgear800
    
   
    
   Portal layout Name：输入一个门户的名字，要求是英文或数字，本例输入netgear800作测试之用；
   Portal Site title：输入一个门户站点的标题；
   Banner title：输入一个横幅的标题；
   Banner Message：输入该横幅的信息；
   Display banner message on login page：在登陆的门户站点上显示横幅”Banner”的信息；
   HTTP meta tags for cache control：选中该选项，在用户退出时会清除HTTP的缓存，这样可以保证用户信息的安全，建议选中该项；
   ActiveX web cache cleaner：在用户退出时清除web网页上ActiveX的缓存；
   SSLVPN portal Pages to Display中的两个选项：
   VPN Tunnel page：显示VPN 隧道的页面，
   Port Forwarding：显示端口转发的页面。
   填入以上相应的信息，并点击应用。生成以下页面：
    
   
    
   https://192.168.10.1/portal/netgear800的网址即是Portal Layout的地址，如果从公网访问，需输入公网IP地址https://121.32.28.179/portal/netgear800即可。
    
2. 为新的门户“netger800”创建域
   点击Users>Domain菜单下面的add添加按钮
    
   
    
3. 添加新的域Domain和组Group
    
   
    
   Domain Name：输入域的名字；
   Authentication Type：选择认证的类型，本例选本地用户数据库，即用SRX5308/FVS336G的本地用户数据库作认证，用户也可以用其它的认证方式进行认证，如AD域，Radius等；
   Select Portal：这里选择刚才我们创建的新的门户：netgear800
   点击Apply即可生成新的域：NETGEAR，如下图所示：
    
   
    
   生成新的域的同时，系统自动生成默认的组netgear，归属新建的域Domain“NETGEAR”，如下图所示：
    
   
    
4. 创建用户名：
    
   
    
   点击管理菜单Users>Users的add添加按钮，为新建的Domain创建用户名，如下图所示：
    
   
   User name：输入用户名字；
   User Type：用户类型，本例选SSL VPN User，用于SSL VPN的连接；
   Select Group：选刚才创建的NETGEAR组；
   Password ：输入密码；
   Confirm Password：再次确认密码；
   IDLE Timeout：默认是10分钟，即10分钟用户没用流量或操作，VPN即自动断开；
   点击Apply应用即生成新的用户名：netgear2008。
    
5. 设置用户策略
   打开管理菜单Users>Users并点击刚创建的用户名中的polices，如下图所示：
    
   
    
   在默认的情况下，Deny Login from WAN Interface中是不选中的，如果被选中，用户是没有权限从外网WAN口访问SRX5308/FVS336G的，因此，在设置管理员登陆或用户登陆时需特别注意。如下图所示：
    
   
    
6. 设置VPN Client的IP地址
   刚才我们已在SRX5308/FVS336G设置了门户，域和相应的用户名，一切准备就绪，但如果要VPN Client用户访问到SRX5308/FVS336G时能访问到局域网内的资源，还需设置SSL VPN Client选项，该选项是为拔入到SRX5308/FVS336G的用户分配一个虚拟的私有IP，使SSL VPN客户端的用户象局域网的用户一样能正常访问局域网内的资源，一般情况下，我们只需配置和SRX5308/FVS336G相同网段的IP给SSL VPN Client用户即可，如本便的SRX5308/FVS336G的局域网IP是192.168.10.0/24，那我们只需分配192.168.10.100~150这样的IP即可，如下图所示：
    
   
    
   注意：默认的情况下不要选用Enable Full tunnel Support，否则SSL VPN连接成功后，你的客户端电脑并不能上网。
   设置了SSL VPN Client的网段后，SRX5308/FVS336G还需添加本地的网段路由，如本例，你只需在本面SSL VPN Client页面下面选项”Add routers for vpn tunnel Clients”添加192.168.10.0/255.255.255.0的网段即可。
   当然，你也可以分配其它的网段，假如你在局域网内有三层交换机或路由，也可以在本选项中添加相应的网段，如下图所示：
    
   

二、客户端的拔入

移动用户只需在Internet Exploer 中输入https://121.32.28.179/portal/netgear800即可，如下图所示，IE会弹出以下登陆界面：

输入刚创建的用户名和密码，同时选中正确的Domain：NETGEAR，点击Login即可登陆到SRX5308/FVS336G的管理界面，如下图所示：

如果要建立SSL VPN的连接，只需点击页面中间的图标：Connect using VPN Tunnel，这时IE会提示你要下载并安装ActiveX控件，如下图所示：

左键点击该提示，并点击安装ActiveX控件即可，如下图所示：

IE会再次提示需要安装相应的插件，点击安装即可。

IE再次提示用户需安装VPN隧道的虚拟网卡，点击仍然继续，如下图所示：

安装完成，这时我们即可看到电脑桌面右下角的位置出现一个黄色的小圆，如下图所示：

这时，SSL VPN已建立，同时SRX5308/FVS336G已为用户分配了一个虚拟IP:192.168.10.101我们可以通过命令ipconfig查看到，此时，我们可以象在局域网一样访问SRX5308/FVS336G局域网内部的资源了。