1、SSL VPN Course 201,什么是SSL VPN,免客户端的VPN 不需要预先安装客户端软件 采用浏览器的方式 嵌入式支持SSL 与应用相关的VPN 创建客户端和网关之间的SSL链接 通道是建立在SSL会话基础上的,什么是SSL-VPN网关FortiGate,对加密链接的完整的内容扫描 检测SSL VPN用户的加密连接的数据流 保障客户端数据不含恶意内容的第二种安全手段 防御的内容包括: Antivirus, IDS/IPS, Firewall, Content inspection, Antispam,SSL VPN Users,FortiGate System,SSL VPN,V
2、PN traffic decrypted and inspected,Corporate LAN,User establishes VPN connection,Clean Traffic is routed to corporate LAN,什么是SSL VPN 两种模式,代理模式 安全连接到门户界面 任何支持SSL version 2 or 3的浏览器通道模式 分配虚拟IP地址(近似PPP) 采用ActiveX控件 主机安全是基于防火墙策略,设置SSL VPN启用VPN进程,虚拟专网 SSL 设置,设定为通道模式SSL VPN用户的IP地址范围。,启用SSL VPN,设置验证使用服务器证书
3、。缺省是由FortiGate发放的。,与用户组CA认证相对应,用CA来认证用户,用户与FortiGate之间保持Idle的最长时间,登录时,所显示的门户信息,分配IP时分配的DNS和WINS,设置SSL VPN设置用户,支持以下类型的认证:本地用户 建立在防火墙上的用户名和密码 RADIUS用户 取自Radius的用户名和密码 LDAP / AD用户 取自LDAP服务器的用户名和密码 TACACS+ 取自TACACS服务器的用户名和密码 FSAE / NTLM (AD)用户 可以实现单点登录 PKI 基于CA证书(不需要用户名和密码),设置SSL VPN 用户组(1),新建一个类型为SSL V
4、PN的用户组 用户 用户组 选择新建,选择类别为SSL VPN 选择用户组的成员通道模式代理模式客户端分配的IP地址,设置SSL VPN 用户组(2),启用代理模式代理模式所支持的协议检测客户端是否安装有杀毒软件类安全软件 清除用户设备登录与退出造成的暂时性文件,设置SSL VPN防火墙策略,防火墙策略是客户端所连接的接口到所要访问的内部网接口 动作设置为SSL-VPN选择允许的用户组,设置SSL VPN用户登录,在完成以上步骤后,用户就可以实现登录了 输入https:/接口ip:10443 注意端口缺省为10443该端口可以设置输入用户名和密码,设置SSL VPN门户,通道模式点击“激活SS
5、L-VPN通道模式”安装控件代理模式,通道模式设置防火墙策略(1),通道模式是通过虚拟接口“ssl.root”来与内网通讯的。 所以要设置SSL.root与其他接口之间的策略,策略的动作是Accept,通道模式设置防火墙策略(2),我们还需要对路由进行调整添加一条到ssl.root的静态路由,目标地址是ssl vpn分配的ip地址,设备选择SSL虚拟接口,通道模式通道分割(1),通道模式下,会自动生成一个虚拟的网卡(fortissl) 在缺省状态下,SSL VPN是将所有的流量都转移到通道上,包括Internet流量 生成一个缺省的路由,将所有的流量导入到虚拟网卡的网段,通道模式通道分割(2)
6、,如果希望只将需要的流量导入到通道,而其他的流量转入Internet,则我们需要设置通道分割 在动作设置为SSL-VPN的防火墙策略中,目的地址设置为所要访问的网段 在PC上会自动生成一个192.168.1.0/24的静态路由,缺省路由仍指向Internet接入,代理模式设置书签(1),用户可以自己在界面上定义书签,代理模式设置书签(2),管理员也可以为用户组定义一个公有的书签 步骤一:在虚拟专网SSL标签处定义一个标签,如果是vnc、telnet等应用则输入主机IP,如果是Web应用则输入URL,如果是ftp应用则输入文件夹,代理模式设置书签(2),步骤二、定义一个标签组,选择所要使用的标签,代理模式设置书签(3),步骤三、在用户组处选择使用标签组 设置用户组用户组,在用户组的选项里选择SSL标签,实验,设置两个用户组,group1和group2,group1组可以通过通道模式和代理模式来访问DMZ区的服务器192.168.3.1,group2可以通过代理模式来访问DMZ区的服务器192.168.3.1,并且为group2设置书签http:/192.168.3.1,,
