很多公司出于工作需要，都會提供遠程辦公撥入的VPN，供員工在外地可以連接到企業(yè)內網處理工作。但是這也帶來一些安全方面的隱患；所以很多情況下，我們需要對外網撥入后的訪問權限進行控制。

在本例中，我將結合WSG上網行為管理網關的openvpn來介紹如何限制外網撥入后的訪問權限。

1. 對整個VPN網段進行訪問限制

如下圖，openvpn的通訊網段是10.8.0.x，這意味著客戶機撥入VPN后會獲取到10.8.0.x的IP地址，然后我們就可以通過防火墻規(guī)則對10.8.0.x這個網段進行訪問控制。

撥入的客戶端默認處于“外網區(qū)域”，要訪問內網區(qū)域，需要通過外網區(qū)域的“轉發(fā)”。而外網的轉發(fā)是默認禁止的。所以，我們通過添加下面的防火墻規(guī)則，允許10.8.0.x訪問內網的IP段192.168.1.x。如圖：

沒有這條規(guī)則的話，客戶端撥入后是不能訪問內網的。

2. 限制指定的VPN用戶

有些情況下，我們還需要對指定的VPN用戶進行單獨的訪問權限管控。要達到這個目的，我們需要先指定vpn用戶的IP地址。如圖：

然后再通過防火墻規(guī)則，設置該IP的訪問權限。如下圖：

綜上所述，就是如何限制VPN撥入后訪問權限的具體配置步驟。