SSL VPN 与 IPSec VPN的区别
SSL VPN,与传统的IPSec VPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异:
1、IPsec VPN多用于“网—网”连接,SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。
2、SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。
3、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。
4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。
5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。
SSL VPN 设置前的准备工作
Fortigate在5.2版中有了很大的变化,和以前的设置方法有很大的不同,所以特意在这篇文章的标题注明了OS的版本。
① 首先需要定义一组SSL VPN拨号成功后产生的IP地址范围,飞塔默认地址对象名为SSLVPN_TUNNER_ADDR1,地址范围是:10.212.134.200-10.212.134.210,如果对SSL VPN自动生成的IP地址不太在意的话,可以使用默认的设置。这里我们手动建立一条地址对象,对象里的IP地址范围就是SSL VPN连接成功后分配的IP地址。接口必须选择ssl.root。
② 因为要确认SSL VPN连接成功后允许访问内网的哪些IP地址,这里需要建立一条地址对象,指定内网的IP地址范围。
③ 正常情况下,内网会有多个网段同时存在,为了SSL VPN可以访问内网的多个网段,这里再设置一条地址对象,指定内网的另一段IP地址。
④ 允许哪个用户可以访问SSL VPN,需要进行用户验证,这里我们在防火墙里新建一个用户。
⑤ 为了方便的管理多个用户,还需要建立一个组,把用户加入到组里面。
SSL VPN 设置
准备工作做完后,就可以开始配置SSL VPN环境了。
① 首先是配置SSL VPN入口,默认有三种登录方法,网页模式、隧道模式和两者都有的全模式。为了了解它们有什么不同,这里选择全模式,点击编辑。
② 在隧道模式的选项里路由地址为需要访问的内网地址,源IP池里也从默认的选项改成自定义的地址对象。网页模式不用修改。
③ 在SSL VPN的设置选项里,接口监听选择外网接口,也就是SSL VPN从哪根宽带进入。端口默认是443,但这个会与防火墙的https访问端口相冲突,所以这里端口改为10443,也可以根据喜好改成4430什么的,只要不冲突就行。
④ 地址范围这里需要选择特定自定义IP范围,然后加入专用的地址对象。认证这里将前面建立的SSL-VPN-User组加入,入口为全模式访问。 全部其它用户/组默认入口是红色的,必须要选择一个访问模式才能保存,这里随意选了一个网页访问。
⑤ 因为包含了隧道模式,就需要建立一条静态路由,即所有SSL VPN产生的地址都只走ssl.root接口。
⑥ 新建一条策略,允许SSL VPN访问内网指定的IP地址范围。这个介面与其它OS版本不同。
⑦ 还需要建一条策略,允许SSL VPN访问的返回。 这样,SSL VPN就设置好了。
客户端下载与安装
打开Firefox浏览器,输入防火墙外网地址加端口10443 ,就可以看到一个登录介面。
① 如果没有出现这个登录介面,说明SSL VPN没有配置成功。输入在防火墙建立的用户名和密码,就可以进入了。
② 登录后,可以看到登录的状态、时间、流量等信息,作为网页访问模式,在连接工具那里输入网页地址,就可以安全的访问站点了。如果作为隧道访问模式,还需要下载客户端。在这里可以下载多种客户端。
③ 这里下载的只是一个很小的安装引导程序。
④ 启动安装引导程序,才开始下载真正的安装程序。
⑤ 开始启动安装,这里省略安装过程,安装完后会提示重启。
⑥ 重启后会提示安装驱动程序。FortiClient不光只是客户端登录程序,同时还具备杀毒功能,可以根据提示是否安装杀毒功能。
客户端连接及测试
客户端安装完成后,需要经过简单配置,就可以用来与防火墙进行SSL VPN连接了。
① 启动客户端,点击配置VPN。
② 新建SSL VPN连接,输入连接名和描述,无程网关为防火墙的外网接口IP,端口默认是443,这里需要改成10443。
③ 然后就可以输入用户名和密码进行登录了。
④ 连接成功了,在右下角就会出现这个提示。
⑤ 双击右下角的FortiClient图标,可以在弹出窗口看到连接的情况。
⑥ 可以看到本机多了一个虚拟网卡。IP就是我们在地址对象设置的IP范围。
⑦ Ping防火墙的内网地址和内网连接的电脑的地址,都可以Ping通,说明SSL VPN连接成功。
通过SSL VPN上网
有的时候为了网络安全会限制客户端上网,如果客户端要上网,只能通过SSL VPN经过防火墙上网,要达到这个功能,设置上需要做个改动,并增加一条允许SSL VPN上网的策略。
① 首先,在入口的全访问模式下,不再启用隧道分割。
② 在SSL VPN设置中指定DNS,这是因为很多客户端的DNS会设置成默认网关。
③ 新建一条策略,允许SSL VPN通过Wan1上网,这里一定要加入用户组。
④ 再次连接成功后,就可以看到这次得到了DNS,网关也不是空的,为0.0.0.0。
⑤ Ping网站地址,例如www.163.com,可以看到客户端接收和发送字节数都是跳动,说明是通过SSL VPN在访问外网了。
-完-