SSL VPN源地址连接控制

简介

SSL VPN可以在功能层面对访问的客户端源地址进行限制,分为两种方式:

  • 白名单:仅允许配置的IP范围访问SSL VPN服务。
  • 黑名单:禁止特定的IP范围访问SSL VPN服务,其他源IP允许正常访问。

配置步骤

白名单

需求:只允许中国地区的IP访问FortiGate的SSL VPN服务。

  1. 在“VPN→SSL-VPN设置”页面中,配置“限制访问”的方式为“特定主机有限访问”,点击下方的➕按钮,在选择条目窗口中点击“新建”按钮。

    image-20240306111340435

  2. 选择地址类型。

    image-20240315162817224

  3. 配置地址名称,类型选择“地理”,国家选择China,点击确认下发配置。

    image-20240315162912686

  4. 选择上步创建的地理地址对象为限制访问的主机,点击页面下方的应用按钮下发配置。

    image-20240315163126919

    config firewall address
        edit "GEO_China"
            set type geography
            set country "CN"
        next
    end
    
    config vpn ssl settings
        set source-address "GEO_China"
    end
    

黑名单

在“VPN→SSL-VPN设置”页面中,配置“限制访问”的方式为“特定主机有限访问”,并配置允许访问的客户端网段,如下图所示,除了“34.84.44.247/32”和“61.112.131.0/24”网段不允许访问SSL VPN服务外,其他客户端可以正常访问SSL VPN服务。

image-20240306113056434

config vpn ssl settings
    set source-address "34.84.44.247/32" "61.112.131.0/24"
    set source-address-negate enable
end

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-03-15 16:33:51

results matching ""

    No results matching ""