硬件防火墙配置SSL VPN

前言

现在企业使用VPN是一种很普遍的办公方式，相对于有的企业内部知识库、文件服务、代码管理、OA系统、财务系统等等信息系统，都是仅限企业局域网可访问，都不会把这些服务暴露在公网上，增加企业信息安全风险，如果企业职员出差或者居家办公，要访问企业内部信息系统，那么VPN就很重要了，即使人不在公司，只要有Internet网，就能通过VPN网络进行认证，然后连接到企业内网服务。

OpenVPN应用

对于这种企业VPN部署教程，看到的大多都是OpenVPN解决方案居多，就如下图所示这个部署方式比较适用小型企业需求，中型或者以上企业，用这种方式部署，体验效果很拉跨，这个倒不是说性能方面，而是审计方面！

OpenVPN设计就是以匿名性为主，所有用户连接到OpenVPN Server只有服务器端日志记录登录账号、时间、用户公网IP、分配的虚拟IP、登录状态等等字段信息，但问题是用户访问企业内网服务所显示的请求IP，都是OpenVPN Server IP，而不是OpenVPN Server分配的虚拟IP地址，所以不好追溯是谁有违规操作。

试想如果是500个或以上VPN终端并发连接，一旦有谁忘记某些内部信息系统登录密码，在那尝试登录导致IP被锁，那么其他人都无法正常访问，因为请求IP都是一个，甚至有的人电脑尝试内网横向渗透，导致被安全部门态势感知捕获要求处理，但你无法找出是哪个用户在执行这种操作，但又要及时处理，要尽快完成安全事件闭环，怎么办？直接做ACL策略限制OpenVPN Server IP继续访问？那一堆人都在连着VPN办公，你只要阻断该IP流量，那么大家都不能正常访问企业内部网络，随之而来就是大量投诉！

所以以下则适用设备VPN接入访问，解决审计问题

使用防火墙设备VPN功能

前期准备

名称	IP	子网	描述
Primary LDAP	10.100.10.1	24	主LDAP Server 服务
Secondary LDAP	10.100.10.2	24	从LDAP Server 服务
Firewall devices	10.88.15.254	24	防火墙接口IP
VPN address pool	10.90.10.x	24	VPN地址分配池

我这里的VPN账户都是集成账户，不用考虑人员入职你去创建本地VPN账户，以及人员离职了你还要删除本地账户，人少还好说，人多了就很烦！所以人员账户的创建和停用，由人资那边的流程管理系统自动处理集成账户就好，而这些集成账户使用的管理服务，无论是OpenLDAP Server还是Active Directory部署的，都可以对接VPN账户接入。

这种方式的好处就是没有OpenVPN Server服务，有分配局域网独立的VPN网段，用户登录VPN后，分配的VPN地址都是独立的，访问内网信息系统的请求IP都是VPN客户端IP，无论是该IP再尝试爆破服务密码，或者在做什么违规操作，直接拉黑指定的VPN客户端IP，都不会影响其他用户，甚至根据要求配置ACL策略。