很多公司出于工作需要，都會(huì)提供遠(yuǎn)程辦公撥入的VPN，供員工在外地可以連接到企業(yè)內(nèi)網(wǎng)處理工作。但是這也帶來(lái)一些安全方面的隱患；所以很多情況下，我們需要對(duì)外網(wǎng)撥入后的訪(fǎng)問(wèn)權(quán)限進(jìn)行控制。

在本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)的openvpn來(lái)介紹如何限制外網(wǎng)撥入后的訪(fǎng)問(wèn)權(quán)限。

1. 對(duì)整個(gè)VPN網(wǎng)段進(jìn)行訪(fǎng)問(wèn)限制

如下圖，openvpn的通訊網(wǎng)段是10.8.0.x，這意味著客戶(hù)機(jī)撥入VPN后會(huì)獲取到10.8.0.x的IP地址，然后我們就可以通過(guò)防火墻規(guī)則對(duì)10.8.0.x這個(gè)網(wǎng)段進(jìn)行訪(fǎng)問(wèn)控制。

撥入的客戶(hù)端默認(rèn)處于“外網(wǎng)區(qū)域”，要訪(fǎng)問(wèn)內(nèi)網(wǎng)區(qū)域，需要通過(guò)外網(wǎng)區(qū)域的“轉(zhuǎn)發(fā)”。而外網(wǎng)的轉(zhuǎn)發(fā)是默認(rèn)禁止的。所以，我們通過(guò)添加下面的防火墻規(guī)則，允許10.8.0.x訪(fǎng)問(wèn)內(nèi)網(wǎng)的IP段192.168.1.x。如圖：

沒(méi)有這條規(guī)則的話(huà)，客戶(hù)端撥入后是不能訪(fǎng)問(wèn)內(nèi)網(wǎng)的。

2. 限制指定的VPN用戶(hù)

有些情況下，我們還需要對(duì)指定的VPN用戶(hù)進(jìn)行單獨(dú)的訪(fǎng)問(wèn)權(quán)限管控。要達(dá)到這個(gè)目的，我們需要先指定vpn用戶(hù)的IP地址。如圖：

然后再通過(guò)防火墻規(guī)則，設(shè)置該IP的訪(fǎng)問(wèn)權(quán)限。如下圖：

綜上所述，就是如何限制VPN撥入后訪(fǎng)問(wèn)權(quán)限的具體配置步驟。