背景:
客户想通过VPN进一步收缩互联网区电脑访问内网服务器某些服务,想通过服务器边界防护墙做管控,只允许VPN访问内网服务器某些服务,不允许其他地址访问,客户做法是通过防护墙应用控制策略做只“允许VPN虚拟地址池地址”访问对应内网服务器业务,但是不生效,找到我司技术人员询问不生效原因 排查步骤: ①确定VPN部署模式为单臂旁挂部署核心交换 ②确认VPN虚拟IP地址池地址与客户在AF配置源IP是否一致(下图为VPN查看配置虚拟IP地址池的位置)
③在VPN进行抓包,通过模拟客户端登录VPN后访问对应业务,从VPN后台抓包查看既有虚拟IP地址池访问业务数据包也有VPN设备的IP
④确定SSL VPN配置是由VPN设备IP作为源IP去访问业务还是以虚拟IP地址池IP作为源地址访问业务:可以在【系统设置】-【SSL VPN选项】-【系统选项】-【资源服务选项】对WEB应用、TCP应用、L3VPN应用的资源访问模式进行查看,如下图所示:
⑤如上所述,该客户VPN设置访问资源是通过VPN设备IP作为源IP去访问应用,所以AF上应用控制策略应该使用VPN设备源IP作为应用访问控制的源IP进行限制,访问控制方可生效,设置后通过vpn访问业务正常,其他非允许IP不允许访问业务对应服务,达到客户最初目的!
结论:
客户端登录SSL VPN访问VPN发布应用资源怎么判断使用虚拟IP地址池地址访问还是使用VPN自身地址访问,是在VPN设置中可以灵活设置,具体配置位置在【系统设置】-【SSL VPN选项】-【系统选项】-【资源服务选项】对WEB应用、TCP应用、L3VPN应用的资源访问模式进行配置即可!
|