功能说明
SANGFOR系列硬件设备可以为接入的VPN用户指定相应的访问权限,可以限制分支用户内网的某个IP、某个分支用户只能访问内网的特定计算机和特定服务参数;其次SDWAN智能选路策略也可以根据内网服务中五元组的定义来识别相应的应用,从而为SDWAN智能选路做应用识别。
操作场景
仅允许用户test访问总部的WEB服务器的WEB服务,对WEB服务器其它服务的访问请求都将被拒绝;分支内网其它IP的访问请求将被拒绝;SDWAN智能选路策略需要识别到某WEB服务器的WEB服务的五元组信息等等。
操作步骤
通过内网服务设置,对服务进行访问授权和应用识别可以实现VPN隧道内的安全管理,也可以实现SDWAN智能选路中根据不同的应用做对应的选路策略。页面如下。
在[VPN]-[通用配置/VPN内网服务]页面,点击<新增>,可以根据协议类型手动添加内网服务,如下图。
各配置项说明:
[名称]和[描述]可自定义,方便管理即可。
[协议类型]:选择定义的内网服务所使用的协议,支持TCP、UDP、ICMP。
选择[TCP]或[UDP],可以设置源IP范围、源端口范围、目标IP范围、目标端口范围等,点击<新增>,如下图。
选择[ICMP],可以设置源IP范围和目标IP范围,如下图。
所有配置完成后,点击<确定>,保存配置即可。
对于VPN内网服务,管理员可以进行编辑、删除、刷新的操作,如下图所示。
建议使用Chrome浏览器访问!