【简介】在某些特殊场合下,只希望财务(或BOSS)的指定电脑能够通过SSL VPN远程访问公司内网。其它的电脑都不可以,即使知道SSL VPN的连接方式。要达到这个目的,只需要将SSL VPN与MAC地址进行绑定就可以了。
SSL VPN 连接
首先我们来看看示例中的SSL VPN设置情况。
① SSL VPN门户这里选择的是full-access,即可以用Web浏览器登录,也可以用FortiClient客户端登录。登录后可以访问内网地址172.18.1.0和172.18.2.0。
② SSL VPN允许从Wan1口登录,端口号为10443,SSL-VPN-Address设置的是SSL VPN拨号成功后自动生成的地址。SSL-VPN-User记录的是允许登录的用户。这些用户因为选择的是full-access,即可以Web登录,也可以FortiClient登录。除了这些设置外,还要建立一条允许从外网访问的策略。这里就不再详细介绍了,具体操作看相应的文章。
③ 打开FortiClient客户软件,配置SSL VPN连接,因为防火墙Wan1接口是ADSL宽带,IP地址经常变,所以使用的是防火墙自带的DDNS,此处操作看相关文章。防火墙的SSL VPN端口是10443,因此这里端口也是10443。
④ 输入用户名和密码,用户名存放在SSL-VPN-User组中。
⑤ 拨号成功后,得到一个新的IP地址。这个IP地址是防火墙SSL-VPN-Address设置的地址范围。
⑥ 查看电脑上的路由表,可以看到增加了两条访问防火墙内网的静态路由。
⑦ Ping防火墙的内网地址是通的,说明SSL VPN是OK的。
SSL VPN 绑定 MAC 地址
要限制SSL VPN的访问,我们可以绑定MAC地址,只有此MAC地址的电脑才可以访问。
① 官方资料:当远程客户端试图登录到门户时,你可以让防火墙对客户端的MAC地址进行检查,确保只有特定的计算机或设备可以连接到隧道。这可以确保即使密码丢失也不会受到破坏。MAC地址可以绑定到特定的门户,可以是整个MAC地址,也可以是一个子集地址。
② 首先用 config vpn ssl web portal 编辑SSL VPN的门户,用 edit ? 命令可以看到默认的三个门户。
③ SSL VPN设置的时候SSL-VPN-User用户组启用的是full-access门户,所以这里选择full-access。用 set mac-addr-check ? 命令,可以看到有enable和disable两个状态。
④ 只有MAC地址检测为enable,才会对SSL VPN登录的MAC地址进行检查比较。MAC地址行动有两种状态,一种是允许,一种是拒绝,当登录的MAC地址匹配的时候,是允许连接还是拒绝连接。
⑤ mac-addr-action默认的状态就是allow,所以这条命令可以不输入。然后要做的是config mac-addr-check-rule 配置MAC地址检查规则。用edit命令新建一条规则,规则名称可以任起。
⑥ 查看电脑网卡的MAC地址。
⑦ 用set mac-addr-list 命令设置与SSL VPN绑定的MAC地址,MAC地址可以是多个,用空格格开就可以了。除了绑定具体的MAC地址,也可以绑定MAC地址子集,用mac-addr-mask掩码来区分。就象IP地址的子网掩码一样。IP地址最大掩码是32,MAC地址最大掩码是48,这也是默认值。所以如果指定了具体的MAC地址,掩码也可以不用输入。最后用二个end命令结束并保存。
⑧ 这里把完整的命令集中显示一下,其中有两条是默认参数的,就没有加上去。
验证效果
加了这些命令后,我们换一块网卡,试试刚才的登录是否还能成功。
① 现在换无线网卡上网,这块网卡的MAC地址显然与绑定的MAC地址不同。
② 登录的时候出现错误提示:你的pc不能满足防火墙设置的主机检查要求。请检查你的操作系统版本或防病毒和防火墙应用程序是否安装正确,或者你有正确的网络接口。
③ 用FireFox浏览器Web登录SSL VPN的时候,会出现错误提示,那是因为HostCheck Plugin是Java applet程序,但是Firefox 5.4版本 64位已经不支持Java了,所以看到报错提示。
④ 用IE浏览器Web登录SSL VPN,就会看到显示正常的错误提示。一样是不能登录的。
⑤ 把 mac-addr-action 设置为deny ,也就是作用相反,绑定MAC地址不通过。
⑥ 可以看到,无线网卡没有绑定MAC地址的现在可以连接SSL VPN了,而绑定了的MAC地址的网卡则不能连接SSL VPN了。
飞塔技术-老梅子 QQ:57389522