FORTINET飞塔防火墙配置SSLVPN.doc

FORTINET 飞塔防火墙 配置SSL VPN 1．SSL VPN功能介绍 1．1 SSL VPN功能介绍 FortiGate SSL VPN功能使用SSL和代理技术使授权用户得到安全的可靠的Web客户端，服务器端应用或者其他文件资源共享等等服务。FortiGate SSL VPN只能工作在NAT模式下面，透明模式不支持SSL VPN功能。FortiGate SSL VPN提供如下2种工作模式： A、Web模式，远程用户使用浏览器就可以通过这种模式的SSL VPN访问公司内部资源，只限于HTTP/HTTPS,FTP,SMB/CIFS,Telnet,VNC,RDP服务; B、隧道模式，防火墙会虚拟出一个“ssl.root”接口出来，所有使用SSL隧道模式的流量都相当于进出此SSL VPN接口，远程用户需要安装一个SSL VPN的客户端软件，支持所有的应用。 1．2 典型拓扑结构如下， 1．3 SSL VPN支持的认证协议有： 本地认证 Radius认证 Tacacs+认证 LDAP认证 PKI证书认证 Windows AD认证 1．4 SSL VPN 和 IPSEC VPN比较 SSL VPN IPSEC VPN 主要针对漫游用户 主要用于站点直接 基于Web应用 基于IP层的安全协议 主要应用于2点直接VPN连接 主要应用于多点，构建VPN网络 有浏览器就可以使用 需要安装特定的IPSEC VPN客户端软件 基于用户的访问控制策略 主要是基于站点的访问控制策略 没有备份功能 具有隧道备份和连接备份功能 2．Web模式配置 Web模式配置大概需要如下几个步骤： 启用SSL VPN; 新建SSL VPN用户 新建SSL VPN用户组 建立SSL VPN策略 下面我们具体介绍一下Web模式的详细配置。 2．1启用SSL VPN 打开Web浏览器登陆防火墙，进入 虚拟专网----SSL----设置，勾上“启动SSL-VPN”，其他配置根据需要修改或使用默认配置就可以了，如下图： 2．2新建SSL VPN用户 进入 设置用户----本地，点击“新建”按钮新建一个本地用户，用户类型我们同时可以支持本地用户，Radius用户，Tacacs+用户，LDAP用户等等，这里我们只使用本地用户举例，如下图： 2．3 新建SSL VPN界面 进入 SSL 界面设置，新建SSL VPN 界面，输入名称及选中web访问ssl vpn时所需的应用确认。 如需使用通道模式，请确认当前界面中有Tunnel mode 的部件，参考下图: 2．4 新建SSL VPN用户组 进入 设置用户----用户组，点击“新建”按钮新建一个SSL类别的用户组，可用成员选择上面新建的用户成员，启动Web应用里面可以选择上需要开通的SSL VPN服务，选择相应的登录界面，其他默认设置就可以了，如下图所示： 2．5 建立SSL VPN策略 进 入 防火墙----策略，新建一条防火墙策略，源接口是SSL VPN用户端所连接的接口，源地址可以是任意，目的接口是服务器所连接的接口，目的地址可以是只能允许访问的服务器地址段或任意服务器地址，模式 是：SSL-VPN，添加SSL认证组，选择刚刚建立的SSL VPN类型的用户组就可以了，具体如下图显示： FortiGate防火墙模式使用的SSL VPN的端口是10443，这样，就可以从外网通过https://防火墙外网口地址:10443 登陆到防火墙Web模式的SSL VPN入口，通过防火墙认证后使用SSL VPN访问内网服务器资源了。 如何设置防火墙默认的SSL VPN登陆端口，具体如下： 2．6 登陆SSL VPN Web模式后的界面如下： 3．隧道模式配置 隧道模式的SSL VPN配置必须在Web模式配置完的基础上才能进行，大概步骤如下： 配置Web模式SSL VPN; 打开Web浏览器登陆防火墙，进入 虚拟专网----SSL----界面，选中界面 添加Tunnel Mode 部件; 进入 设置用户----用户组，编辑Web模式下建立的SSL VPN用户组，在“SSL-VPN用户组选项”里面启用“启动SSL-VPN通道服务” 配置相关的隧道模式SSL VPN防火墙策略 配置相关的隧道模式SSL VPN静态路由 这里不在累述Web模式SSL VPN配置步骤，如下配置步骤是在Web模式SSL VPN已经配置完成的基础上进行的，具体步骤下面详细描述： 3．1 修改SSL VPN设置 进入 虚拟专网----SSL----设置，配置隧道模式SSL VPN的客户端使用的地址范围，如下图示： 3．2 修改SSL VPN用户组 进入 虚拟专网----SSL----界面，选中界面 添加Tunnel Mode 部件，如下图示： 3．3 配置相关的隧道模式SS