H3C SECPATH F1000-AK系列防火墙能不能做sslvpn准入

可以的

不支持，可以绑定用户地址

H3C SecPath F1000-AK系列防火墙支持SSL VPN功能，但SSL VPN准入控制中不支持基于MAC地址白名单的认证方式。该系列防火墙的SSL VPN访问控制主要基于用户身份认证、安全策略、资源访问控制（如IP地址、端口、应用等）以及终端安全检查（如安全补丁、杀毒软件状态）等方式实现，无法通过MAC地址进行接入控制。

如需实现MAC地址级别的准入控制，建议在SSL VPN接入的上下层网络设备或配合第三方NAC系统实现。

1.12.7  配置SSL VPN用户绑定IP地址

1. 功能简介

客户端使用IP接入方式访问SSL VPN网关时，网关需要为客户端分配IP地址。通过配置本功能，可以保证同一个用户多次访问该网关时能使用固定范围的IP地址。本功能提供以下两种方式为SSL VPN用户绑定IP地址：

·     指定固定的地址范围：为用户绑定分配的IP地址列表，当网关从地址池中为客户端分配IP地址时，优先分配绑定的IP地址。

·     指定可分配的地址数目：网关也可以为客户端自动分配空闲的IP地址，即网关会从地址池中获取指定个数的空闲IP地址，为用户绑定。

2. 配置限制和指导

当SSL VPN策略组中引用了地址池时，配置SSL VPN用户绑定的IP地址必须是此地址池中的IP地址。

当SSL VPN策略组中未引用地址池时，配置SSL VPN用户绑定的IP地址必须是此SSL VPN访问实例引用的地址池中的IP地址。

未关联VPN实例或在同一VPN实例中，不同SSL VPN用户不能绑定相同的IP地址。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入SSL VPN访问实例视图。

sslvpn context context-name

(3)     创建SSL VPN用户，并进入SSL VPN用户视图。

user username

(4)     配置SSL VPN用户绑定的IP地址。

ip-tunnel bind address { ip-address-list | auto-allocate number }

缺省情况下，SSL VPN用户未绑定IP地址