×

深信服社区»版块 安全类 下一代防火墙NGAF 关于sangfor IPSEC VPN,请问下总部与分支之间想要作访问 ...

关于sangfor IPSEC VPN,请问下总部与分支之间想要作访问限制,应该再那里作?

查看数: 1630 | 评论数: 9 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2023-11-2 11:38

正文摘要:

防火墙系统版本是8.0.69,两端都是深信服防火墙当出口设备,举例拓补图如下: 需求:允许广州分部192.168.10.1/24内所有客户端访问总部的192.168.1.254这个服务器,但是只允许广州的192.168.1.50-60这几个IP开放 R ...

回复

小小胖 发表于 2023-11-6 20:39
新架构,需要给vpntun口单独划分一个区域,默认是全拒绝的,定义了vpntun区域,然后做应用控制策略放通。
应用控制策略就根据源、目的区域,源目的IP地址,源目的端口做就限制就行了,看需求在总部防火墙上做就行。
第一个需求:这边源就是vpntun区域,目的是LAN区域,源IP192.168.10.0/24,目的IP192.168.1.254 服务any,允许;第二个需求:源就是vpntun区域,目的是LAN区域,源IP192.168.1.50-60,目的IP192.168.1.254 服务3389,允许
向上吧,少年 发表于 2023-11-6 09:06
单独给vpntun口划分一个vpn区域,然后做应用控制策略
小小胖 发表于 2023-11-5 14:09
小德 发表于 2023-11-3 13:23
单独给vpntun口划分一个vpn区域,然后做应用控制策略
吾闲逛 发表于 2023-11-2 17:36
先定义一个VPN区域关联vpntun口 然后在策略里面应用防护策略去做限制
牵网线的 发表于 2023-11-2 15:56
vpn区域绑定应用控制策略
新手260505 发表于 2023-11-2 15:08
在【防火墙设置】-【过滤规则设置】-【VPN<->LAN】新建规则,选规则方向为LAN->VPN,选择对应的IP组即可,动作根据需求设置允许或者拒绝
或者 直接本地防火墙限制一下  貌似也行吧(狗头)
ggbang 发表于 2023-11-2 14:17
新架构,需要给vpntun口单独划分一个区域,默认是全拒绝的,定义了vpntun区域,然后做应用控制策略放通。
应用控制策略就根据源、目的区域,源目的IP地址,源目的端口做就限制就行了,看需求在总部防火墙上做就行。
第一个需求:这边源就是vpntun区域,目的是LAN区域,源IP192.168.10.0/24,目的IP192.168.1.254 服务any,允许;第二个需求:源就是vpntun区域,目的是LAN区域,源IP192.168.1.50-60,目的IP192.168.1.254 服务3389,允许
满意度修复大师 发表于 2023-11-2 14:01
单独给vpntun口划分一个vpn区域,然后做应用控制策略