概述

面对当今现代分布式员工队伍，组织需要保持远程用户的连接性和工作效率，同时确保业务连续性和安全性。组织需要提供端点保护，作为全面互联安全策略的一部分。

瞻博网络安全连接是基于客户端的 SSL-VPN 应用程序，可让您安全地连接和访问网络上的受保护资源。此应用程序与 SRX 系列防火墙结合使用时，可帮助组织从全球各地的设备快速实现动态、灵活和适应性强的连接。瞻博网络安全连接使用安全的 VPN 连接将可见性和实施从客户端扩展到云端。

瞻博网络安全连接解决方案包括：

• SRX 系列防火墙 — 作为用户通过瞻博网络安全连接与企业网络或云中的受保护资源之间通信的入口和出口点。

• 瞻博网络安全连接应用程序 — 保护受保护资源与运行 Microsoft Windows、Apple macOS 和 iOS/iPadOS 以及 Android 操作系统的主机客户端之间的连接。瞻博网络安全连接应用程序通过 VPN 隧道连接到 SRX 系列防火墙，以访问网络中的受保护资源。

图 1 展示了瞻博网络安全连接远程访问解决方案，用于为不同位置的远程用户建立安全 VPN 连接。

本文档适用于希望在 SRX 系列防火墙上为瞻博网络安全连接配置远程访问 VPN 的系统管理员。如果您是远程用户，请参阅 《瞻博网络安全连接用户指南》。

瞻博网络安全连接的优势

• 使用 VPN 从任何地方进行安全远程访问

• 简单的用户体验

• 从单个控制台轻松管理远程客户端、策略和 VPN 事件（使用 J-Web）

动态 VPN 是瞻博网络的传统产品。阅读本主题，了解瞻博网络安全连接和动态 VPN 之间的区别，以及瞻博网络安全连接优于动态 VPN 的原因。

图 2 显示了瞻博网络安全连接和动态 VPN 之间的高级比较。

表 1 显示了 SRX 系列防火墙上动态 VPN 与瞻博网络安全连接之间的连接功能相关差异：

表 1：SRX 系列防火墙上动态 VPN 和瞻博网络安全连接之间的差异

连接功能	动态 VPN	瞻博网络安全连接
连接模式	IPsec 模式	IPsec 是首选模式。 瞻博网络安全连接根据需要自动将协议更改为 SSL-VPN，以绕过阻止 IPsec 流量的限制性网络。
VPN 连接模式	基于策略的 VPN，要求每个防火墙策略定义连接和 VPN 建立。	基于路由的 VPN 连接。 允许您定义细粒度防火墙策略，包括其他服务，如高级威胁防御 （ATP） 云、用户防火墙等。

注意：

由于瞻博网络安全连接提供更多优势，因此我们不提供动态 VPN 作为远程访问 VPN 部署的解决方案。虽然我们计划停止对动态 VPN 的支持，但我们建议您将现有的动态 VPN 部署迁移到瞻博网络安全连接。有关迁移到瞻博网络安全连接的信息，请参阅 从 Junos OS 动态 VPN 迁移到瞻博网络安全连接。

图 3 显示了瞻博网络安全连接的部署方案。确保调整配置值以映射到您的环境。

要使流量正确流动，您可以在受保护网络中为分配给客户端的 IP 地址添加路由，以定向到 SRX 系列防火墙，或者对所有进入受保护网络的客户端流量进行 NAT 处理。

注意：

您必须确保 SRX 系列防火墙使用签名证书或自签名证书，而不是默认的系统生成证书。在开始配置瞻博网络安全连接之前，请务必阅读 部署瞻博网络安全连接的先决条件中的说明。