飞塔 (Fortinet) 防火墙配置-SSL VPN (OS 5.2.7)

 SSL VPN 与 IPSec VPN的区别

  SSL VPN,与传统的IPSec VPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异:

  1、IPsec VPN多用于“网—网”连接,SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。

  2、SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。

  3、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。

  4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。

  5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。  

 SSL VPN 设置前的准备工作

  Fortigate在5.2版中有了很大的变化,和以前的设置方法有很大的不同,所以特意在这篇文章的标题注明了OS的版本。

  ① 首先需要定义一组SSL VPN拨号成功后产生的IP地址范围,飞塔默认地址对象名为SSLVPN_TUNNER_ADDR1,地址范围是:10.212.134.200-10.212.134.210,如果对SSL VPN自动生成的IP地址不太在意的话,可以使用默认的设置。这里我们手动建立一条地址对象,对象里的IP地址范围就是SSL VPN连接成功后分配的IP地址。接口必须选择ssl.root。

  ② 因为要确认SSL VPN连接成功后允许访问内网的哪些IP地址,这里需要建立一条地址对象,指定内网的IP地址范围。

  ③ 正常情况下,内网会有多个网段同时存在,为了SSL VPN可以访问内网的多个网段,这里再设置一条地址对象,指定内网的另一段IP地址。

  ④ 允许哪个用户可以访问SSL VPN,需要进行用户验证,这里我们在防火墙里新建一个用户。

  ⑤ 为了方便的管理多个用户,还需要建立一个组,把用户加入到组里面。

 SSL VPN 设置

  准备工作做完后,就可以开始配置SSL VPN环境了。

  ① 首先是配置SSL VPN入口,默认有三种登录方法,网页模式、隧道模式和两者都有的全模式。为了了解它们有什么不同,这里选择全模式,点击编辑。

  ② 在隧道模式的选项里路由地址为需要访问的内网地址,源IP池里也从默认的选项改成自定义的地址对象。网页模式不用修改。

  ③ 在SSL VPN的设置选项里,接口监听选择外网接口,也就是SSL VPN从哪根宽带进入。端口默认是443,但这个会与防火墙的https访问端口相冲突,所以这里端口改为10443,也可以根据喜好改成4430什么的,只要不冲突就行。

  ④ 地址范围这里需要选择特定自定义IP范围,然后加入专用的地址对象。认证这里将前面建立的SSL-VPN-User组加入,入口为全模式访问。 全部其它用户/组默认入口是红色的,必须要选择一个访问模式才能保存,这里随意选了一个网页访问。

  ⑤ 因为包含了隧道模式,就需要建立一条静态路由,即所有SSL VPN产生的地址都只走ssl.root接口。

  ⑥ 新建一条策略,允许SSL VPN访问内网指定的IP地址范围。这个介面与其它OS版本不同。

  ⑦ 还需要建一条策略,允许SSL VPN访问的返回。 这样,SSL VPN就设置好了。

 客户端下载与安装

  打开Firefox浏览器,输入防火墙外网地址加端口10443 ,就可以看到一个登录介面。

  ① 如果没有出现这个登录介面,说明SSL VPN没有配置成功。输入在防火墙建立的用户名和密码,就可以进入了。

  ② 登录后,可以看到登录的状态、时间、流量等信息,作为网页访问模式,在连接工具那里输入网页地址,就可以安全的访问站点了。如果作为隧道访问模式,还需要下载客户端。在这里可以下载多种客户端。

  ③ 这里下载的只是一个很小的安装引导程序。

  ④ 启动安装引导程序,才开始下载真正的安装程序。

  ⑤ 开始启动安装,这里省略安装过程,安装完后会提示重启。

  ⑥ 重启后会提示安装驱动程序。FortiClient不光只是客户端登录程序,同时还具备杀毒功能,可以根据提示是否安装杀毒功能。

 客户端连接及测试

  客户端安装完成后,需要经过简单配置,就可以用来与防火墙进行SSL VPN连接了。

  ① 启动客户端,点击配置VPN。

  ② 新建SSL VPN连接,输入连接名和描述,无程网关为防火墙的外网接口IP,端口默认是443,这里需要改成10443。

  ③ 然后就可以输入用户名和密码进行登录了。

  ④ 连接成功了,在右下角就会出现这个提示。

  ⑤ 双击右下角的FortiClient图标,可以在弹出窗口看到连接的情况。

  ⑥ 可以看到本机多了一个虚拟网卡。IP就是我们在地址对象设置的IP范围。

  ⑦ Ping防火墙的内网地址和内网连接的电脑的地址,都可以Ping通,说明SSL VPN连接成功。

 通过SSL VPN上网

  有的时候为了网络安全会限制客户端上网,如果客户端要上网,只能通过SSL VPN经过防火墙上网,要达到这个功能,设置上需要做个改动,并增加一条允许SSL VPN上网的策略。

  ① 首先,在入口的全访问模式下,不再启用隧道分割。

  ② 在SSL VPN设置中指定DNS,这是因为很多客户端的DNS会设置成默认网关。

  ③ 新建一条策略,允许SSL VPN通过Wan1上网,这里一定要加入用户组。

  ④ 再次连接成功后,就可以看到这次得到了DNS,网关也不是空的,为0.0.0.0。

  ⑤ Ping网站地址,例如www.163.com,可以看到客户端接收和发送字节数都是跳动,说明是通过SSL VPN在访问外网了。

-完-

时间: 2024-10-10 00:32:22

飞塔 (Fortinet) 防火墙配置-SSL VPN (OS 5.2.7)的相关文章

飞塔 (Fortinet) 防火墙配置-IPsec VPN (固定宽带-拨号宽带)

简介 VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网. IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务. 很多企业有类似这种的

飞塔 (Fortinet) 防火墙配置-绑定 MAC 地址 (基于接口)

IP / MAC 绑定需求 将MAC地址与IP地址进行绑定,可以防止IP地址欺骗的网络攻击,IP欺骗攻击试图从不同的电脑使用一个可信计算机的IP地址连接并通过防火墙,IP地址可以很方便的改动,但MAC地址是在工厂生产时就添加到以太网卡里,很难改变,受信任的主机同时注册IP和MAC地址,就可以避免欺诈连接. 飞塔防火墙绑定MAC地址有两种方式,一种是基于接口,这个需要用命令行进行配置,另一种是基于DHCP,可以在Web页面上完成.  IP / MAC 绑定接口 要想IP/MAC绑定起作用,首先需要

干货分享:配置SSL VPN步骤

SSL VPN为一款安全远程接入VPN的解决方案.它在允许远程访问的同时,实现了如下所述的种种安全功能: 对用户身份进行认证: 根据管理员定义的安全策略和客户端的安全状况,对用户进行授权: 检测远端用户接入设备的安全状态: 保证远端用户同内部网络的通信安全: 实时监控远程接入的连接. 与此同时,考虑到SSL VPN作为一个网络安全设备在网络中部署的便利性,对各种不同的网络环境的适应性以及用户使用的安全便利性,建议SSL-VPN提供了双机备份.多ISP接入.客户端智能选路等网络适应能力.同时,为了

K应用篇 ? 1. 防范 WiFi Kill 攻击 ? 飞塔 (Fortinet) 防火墙 OS 5.2.8

WiFi Kill案例 某校在校学生近二万人,采用飞塔防火墙和FortiAP组成校园无线网,学生通过校园无线网访问互联网. 近期许多学生反映,校园网无线WiFi可以连上,但是上不了网,经查证,原来是许多学生使用了一款叫"WiFi杀手"的手机软件. WiFi Kill 介绍 WiFi Kill (Wifi 杀手)是一个邪恶的软件,这个软件能把其他在同一WiFi网络的设备踢下线:更绝的是被踢的用户还感觉不到! WiFi Kill 被设计用来报复那些肆意侵占带宽的用户.其开发者Bponury

SSL VPN的无客户端配置实验

实验目的:主要是通过在ASA防火墙做SSL VPN的无客户端模式,来使得公网上的一台客户机能够通过加密隧道来访问局域网内部的资源.拓扑比较简单,主要是原理,配置过程如下: ISP运营商的配置,只需要配置IP地址即可. ISP(config)#int fa0/0 ISP(config-if)#ip add 10.0.0.2 255.255.255.0 ISP(config-if)#no shut ISP(config)#int fa0/1 ISP(config-if)#ip add 20.0.0.

SSL VPN 配置

一.配置环境 前言:SSL VPN一般配置在ASA防火墙上,而且一般用图形界面配置,命令行方式配置太多.这里因为做实验我们使用路由器来配置,路由器ios只能使用7200系列的,下面的实验设备都是用路由器来模拟的 如下图,在路由器上配置SSL VPN,使得客户端client能够通过SSL VPN访问服务器 基础配置:配置IP.路由,server打开http 二.SSL VPN 配置 1.  同步时间 为什么要同步时间:因为证书是有有效期的,如果时间不同步就没用了 方法1:直接设置时间,设置完成后通

SSL VPN笔记

SSL Secure Sockets Layer安全套接层:是一种安全协议,基于TCP应用层提供安全连接,可以为http提供安全连接,为网络上的数据传输提供安全性保证 安全机制:1.数据传输的机密性:利用对称密钥算法对传输的数据进行加密2.身份验证机制:基于证书利用数字签名方式对服务器和客户端进行身份验证,客户端的身份验证是可选的3.消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性 注: 没有第三方解密密钥,无法将密文恢复为明文的,从而保证数据传输的机密性对称密钥算法和MAC算法要

SSL VPN(WebVPN)

(1)将SSL VPN client模块传至路由器: R1#dir R1# 说明:本实验已经将SSL VPN client模块(sslclient-win-1.1.0.154.pkg)上传至路由器,如果需要,可以通过以下地址进行下载: http://www.china-ccie.com/download/sslclient/sslclient.rar (2)安装SSL VPN client模块: R1(config)#webvpn install svc disk0:sslclient-win-

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN

背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21. IPSEC介绍:ipsec-vpn也分路由模式和策略模式.我们这里使用的是策略模式. 俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释: ①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道 ②基于路由的