IPSec VPN 技术在IP传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构组建虚拟局域网的需要。IPSec组网的具体步骤,请参考:一次典型的IPSec VPN组网方案。很多情况下,我们还需要控制对端的访问权限。在本文中,我将介绍WFilter NGF中的IPSec VPN访问权限。
1. 防火墙规则的选项
IPSec隧道的配置中,”防火墙规则“有“自动”和“手动”两个选项:
自动:自动添加防火墙规则,允许对端访问本地局域网。
手动:不添加防火墙规则,默认禁止对端访问本地局域网。
手动的情况下,对端可以建立VPN连接,但是不能访问任何本地的网络资源。您需要手动来配置防火墙策略,手动配置防火墙策略虽然麻烦一些,但是可以实现更加细致的访问控制。如下图:
上图是允许对端访问本地局域网。接口要选择“外网”,方向“转发”,源IP是指对端的内网IP。
再配置一条禁止对端某指定IP的访问。然后把该规则拖动到“允许”规则的上面。
这样就可以实现更加细致的防火墙策略控制。如果“IPSec隧道”中的“防火墙规则”是“自动”,那么对端访问本地局域网是全部允许的。
