很多公司出于工作需要，都會提供遠(yuǎn)程辦公撥入的VPN，供員工在外地可以連接到企業(yè)內(nèi)網(wǎng)處理工作。但是這也帶來一些安全方面的隱患；所以很多情況下，我們需要對外網(wǎng)撥入后的訪問權(quán)限進(jìn)行控制。

在本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)的openvpn來介紹如何限制外網(wǎng)撥入后的訪問權(quán)限。

1. 對整個(gè)VPN網(wǎng)段進(jìn)行訪問限制

如下圖，openvpn的通訊網(wǎng)段是10.8.0.x，這意味著客戶機(jī)撥入VPN后會獲取到10.8.0.x的IP地址，然后我們就可以通過防火墻規(guī)則對10.8.0.x這個(gè)網(wǎng)段進(jìn)行訪問控制。

撥入的客戶端默認(rèn)處于“外網(wǎng)區(qū)域”，要訪問內(nèi)網(wǎng)區(qū)域，需要通過外網(wǎng)區(qū)域的“轉(zhuǎn)發(fā)”。而外網(wǎng)的轉(zhuǎn)發(fā)是默認(rèn)禁止的。所以，我們通過添加下面的防火墻規(guī)則，允許10.8.0.x訪問內(nèi)網(wǎng)的IP段192.168.1.x。如圖：

沒有這條規(guī)則的話，客戶端撥入后是不能訪問內(nèi)網(wǎng)的。

2. 限制指定的VPN用戶

有些情況下，我們還需要對指定的VPN用戶進(jìn)行單獨(dú)的訪問權(quán)限管控。要達(dá)到這個(gè)目的，我們需要先指定vpn用戶的IP地址。如圖：

然后再通過防火墻規(guī)則，設(shè)置該IP的訪問權(quán)限。如下圖：

綜上所述，就是如何限制VPN撥入后訪問權(quán)限的具體配置步驟。