SSL VPN源地址连接控制

简介

SSL VPN可以在功能层面对访问的客户端源地址进行限制，分为两种方式：

• 白名单：仅允许配置的IP范围访问SSL VPN服务。
• 黑名单：禁止特定的IP范围访问SSL VPN服务，其他源IP允许正常访问。

配置步骤

白名单

需求：只允许中国地区的IP访问FortiGate的SSL VPN服务。

1. 在“VPN→SSL-VPN设置”页面中，配置“限制访问”的方式为“特定主机有限访问”，点击下方的➕按钮，在选择条目窗口中点击“新建”按钮。

   

2. 选择地址类型。

   

3. 配置地址名称，类型选择“地理”，国家选择China，点击确认下发配置。

   

4. 选择上步创建的地理地址对象为限制访问的主机，点击页面下方的应用按钮下发配置。

   

   config firewall address
       edit "GEO_China"
           set type geography
           set country "CN"
       next
   end
   
   config vpn ssl settings
       set source-address "GEO_China"
   end

黑名单

在“VPN→SSL-VPN设置”页面中，配置“限制访问”的方式为“特定主机有限访问”，开启“源地址取反”功能，并配置不允许访问的客户端网段，如下图所示，除了“34.84.44.247/32”和“61.112.131.0/24”网段不允许访问SSL VPN服务外，其他客户端可以正常访问SSL VPN服务。

config vpn ssl settings
    set source-address "34.84.44.247/32" "61.112.131.0/24"
    set source-address-negate enable
end