Когда VPN-пользователи подключены к VPN HQ, их посещения интернета фактически происходит из внешней сети во внешнюю.
Для этого у нас есть правило NAT:
nat (outside, outside) source dynamic RemoteUsers interface
Где “RemoteUsers” — это фактический диапазон IP-адресов VPN.
По моему мнению, это практически не ограничивает доступ пользователей к интернету при подключении. Я не уверен, что это лучшая практика. Я знаю, что я могу ограничить доступ только к http и https, чтобы усилить безопасность.
Это правило раньше реализовывалось в ASA, и сейчас оно также есть в нашей лабораторной среде FMC/FTD. Вот мой вопрос:
- Есть ли другой способ сделать это?
- В случае FMC/FTD могут ли анализироваться трафики “внешняя — внешняя” с помощью IPS/IDS/URL/AMP?