VPN篇(5.2) 10. 绑定网卡访问 SSL VPN ❀ 飞塔 (Fortinet) 防火墙

来源：互联网发布：上海工作知乎编辑：程序博客网时间：2024/05/16 09:10

【简介】在某些特殊场合下，只希望财务（或BOSS）的指定电脑能够通过SSL VPN远程访问公司内网。其它的电脑都不可以，即使知道SSL VPN的连接方式。要达到这个目的，只需要将SSL VPN与MAC地址进行绑定就可以了。

SSL VPN 连接

首先我们来看看示例中的SSL VPN设置情况。

① SSL VPN门户这里选择的是full-access，即可以用Web浏览器登录，也可以用FortiClient客户端登录。登录后可以访问内网地址172.18.1.0和172.18.2.0。

② SSL VPN允许从Wan1口登录，端口号为10443，SSL-VPN-Address设置的是SSL VPN拨号成功后自动生成的地址。SSL-VPN-User记录的是允许登录的用户。这些用户因为选择的是full-access，即可以Web登录，也可以FortiClient登录。除了这些设置外，还要建立一条允许从外网访问的策略。这里就不再详细介绍了，具体操作看相应的文章。

③ 打开FortiClient客户软件，配置SSL VPN连接，因为防火墙Wan1接口是ADSL宽带，IP地址经常变，所以使用的是防火墙自带的DDNS，此处操作看相关文章。防火墙的SSL VPN端口是10443，因此这里端口也是10443。

④ 输入用户名和密码，用户名存放在SSL-VPN-User组中。

⑤ 拨号成功后，得到一个新的IP地址。这个IP地址是防火墙SSL-VPN-Address设置的地址范围。

⑥ 查看电脑上的路由表，可以看到增加了两条访问防火墙内网的静态路由。

⑦ Ping防火墙的内网地址是通的，说明SSL VPN是OK的。

SSL VPN 绑定 MAC 地址

要限制SSL VPN的访问，我们可以绑定MAC地址，只有此MAC地址的电脑才可以访问。

① 官方资料：当远程客户端试图登录到门户时，你可以让防火墙对客户端的MAC地址进行检查，确保只有特定的计算机或设备可以连接到隧道。这可以确保即使密码丢失也不会受到破坏。MAC地址可以绑定到特定的门户，可以是整个MAC地址，也可以是一个子集地址。

② 首先用 config vpn ssl web portal 编辑SSL VPN的门户，用 edit ? 命令可以看到默认的三个门户。

③ SSL VPN设置的时候SSL-VPN-User用户组启用的是full-access门户，所以这里选择full-access。用 set mac-addr-check ? 命令，可以看到有enable和disable两个状态。

④ 只有MAC地址检测为enable，才会对SSL VPN登录的MAC地址进行检查比较。MAC地址行动有两种状态，一种是允许，一种是拒绝，当登录的MAC地址匹配的时候，是允许连接还是拒绝连接。

⑤ mac-addr-action默认的状态就是allow，所以这条命令可以不输入。然后要做的是config mac-addr-check-rule 配置MAC地址检查规则。用edit命令新建一条规则，规则名称可以任起。

⑥ 查看电脑网卡的MAC地址。

⑦ 用set mac-addr-list 命令设置与SSL VPN绑定的MAC地址，MAC地址可以是多个，用空格格开就可以了。除了绑定具体的MAC地址，也可以绑定MAC地址子集，用mac-addr-mask掩码来区分。就象IP地址的子网掩码一样。IP地址最大掩码是32，MAC地址最大掩码是48，这也是默认值。所以如果指定了具体的MAC地址，掩码也可以不用输入。最后用二个end命令结束并保存。