01
2021
09

如何限制外网拨入VPN后的访问权限?

很多公司出于工作需要,都会提供远程办公拨入的VPN,供员工在外地可以连接到企业内网处理工作。但是这也带来一些安全方面的隐患;所以很多情况下,我们需要对外网拨入后的访问权限进行控制。

在本例中,我将结合WSG上网行为管理网关的openvpn来介绍如何限制外网拨入后的访问权限。

1. 对整个VPN网段进行访问限制

如下图,openvpn的通讯网段是10.8.0.x,这意味着客户机拨入VPN后会获取到10.8.0.x的IP地址,然后我们就可以通过防火墙规则对10.8.0.x这个网段进行访问控制。

202109011630469826803535.png

拨入的客户端默认处于“外网区域”,要访问内网区域,需要通过外网区域的“转发”。而外网的转发是默认禁止的。所以,我们通过添加下面的防火墙规则,允许10.8.0.x访问内网的IP段192.168.1.x。如图:

202109011630469907873817.png

没有这条规则的话,客户端拨入后是不能访问内网的。

2. 限制指定的VPN用户

有些情况下,我们还需要对指定的VPN用户进行单独的访问权限管控。要达到这个目的,我们需要先指定vpn用户的IP地址。如图:

202109011630469997134982.png

202109011630470010137373.png

然后再通过防火墙规则,设置该IP的访问权限。如下图:

202109011630470044131481.png


综上所述,就是如何限制VPN拨入后访问权限的具体配置步骤。


« 上一篇 下一篇 »