(2)VPN接入帐号信息要设好:
对于企业来说我们可以为VPN接入安全分级,通过设置多个不同用户组不同权限的VPN接入帐号来实现企业远程接入的多层管理。不过不管接入后权限如何都需要我们为对应的人员提供相应的授权帐号。因此第二步针对VPN安全设备的设置就落在VPN接入帐号上。
第一步:同样在VPN安全设备管理界面,找到VPN信息设置下的用户管理。
第二步:在用户管理中通过“新增用户”按钮创建一个帐户,在这里设置接入密码以及认证属性,在认证方面存在本地认证,LDAP认证,Radius认证等,前者是通过VPN安全设备自身帐户库来达到认证目的,而后者是需要一台专门的radius认证服务器来实现认证。而LDAP通常被公司用作用户信息的中心资源库,同时也被当作一种认证服务。
第三步:在帐户属性中我们还会看到有管启用虚拟IP的信息,在这里要求我们填写一个特定的IP地址,这样当远程主机或网络使用该帐户连接VPN时会自动分配给接入者一个虚拟IP,记住这个虚拟IP地址最好与内网IP一样,这样才能够保证接入后可以顺利使用内网应用与服务。
小提示:
不管为接入帐号设置什么样的虚拟IP,在建立帐号之前我们都需要手工建立相应的虚拟IP池,然后才能够保证VPN接入帐户处的设置可以生效。虚拟IP池支持多个IP段一起作用。
拥有了VPN接入帐号后我们还没有完全完成VPN安全设备的配置工作,要想能够有效的提高设备安全,我们还需要针对VPN接入者的安全权限进行细分。
(3)VPN接入权限要分配好:
默认情况下任何通过VPN接入的帐号只要分配了符合内网规则的虚拟IP的话,该接入主机将与内网其他计算机拥有相同的访问权限。访问各个计算机,使用各个网络应用和网络服务。不过很多时候我们并不希望这种接入带来随意使用的效果,我们要针对远程VPN接入者的使用权限进行仔细划分。这点对于提高VPN设备和内网应用的安全性是非常重要的。下面我们就简单了解下如何针对VPN接入权限进行分配。