SSL VPN 使用者登入排程設定
Zyxel Employee
當完成SSL VPN建立後,如有需排程連線SSL VPN時間,如:限制使用者只能於特定時段(ex:上班時間)連線SSL VPN以存取內部資料,可透過下列步驟進行設定。
若尚未進行SSL VPN設定,可參考下列論壇文章:遠端加密通道安全存取服務。https://community.zyxel.com/tw/discussion/10745/
測試型號:ATP100
對應韌體版本:V5.00(ABPS.0)b7
有兩部分需要設定:
步驟一、新增一筆Firewall policy:
Configuration>安全性策略>策略控制>新增
(紅框內為必須做設定的選項)
(1)至:ZyWALL(此台防火牆)
(2)使用者:可以建立使用者群組,將會使用到SSL VPN的帳號加入群組。
(3)排程:選擇排程物件,排程設定參閱第2項。
(4)動作:選取reject或deny皆可。
Reject:此動作為阻擋封包,並另行發出icmp通知,當用戶端連線時,防火牆偵測到為SSL VPN排程非使用時段,程式執行過程會直接中斷,故在阻擋連線被disconnect的速度較快。
Deny:此動作為阻擋封包,不另行發出icmp通知,當用戶端連線時,防火牆偵測到為SSL VPN排程非使用時段,程式執行會等到time out才中斷,故在阻擋連線被disconnect的速度較慢。
步驟二、新增排程設定:
設定>物件>排程>重複執行>新增
(1)目前設定範例為:每週一到週五,18:00至隔日早上8:00之間關閉SSLVPN服務,週六、日全天關閉。
(2)設定三筆排程確認無誤
(3)建立一筆排程群組,並將三組排程設定加入:
設定>物件>排程>排程群組>新增
以上則完成設定,需要注意的事項為,此項來源用戶封鎖是依照SSL VPN用戶的登入IP來進行:
如有管理者測試用戶帳號連線失敗時,請留意管理者IP也會同步被封鎖無法登入ATP100管理介面,需更換一組Public IP才可登入管理者帳號。
