欢迎来到天天文库
浏览记录
ID:22657216
大小:882.50 KB
页数:22页
时间:2018-10-30
《[计算机]飞塔如何配置sslvpn》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、如何配置SSLVPN1.SSLVPN功能介绍1.1SSLVPN功能介绍FortiGateSSLVPN功能使用SSL和代理技术使授权用户得到安全的可靠的Web客户端,服务器端应用或者其他文件资源共享等等服务。FortiGateSSLVPN只能工作在NAT模式下面,透明模式不支持SSLVPN功能。FortiGateSSLVPN提供如下2种工作模式:A、Web模式,远程用户使用浏览器就可以通过这种模式的SSLVPN访问公司内部资源,只限于HTTP/HTTPS,FTP,SMB/CIFS,Telnet,VNC,RDP服务
2、;B、隧道模式,防火墙会虚拟出一个“ssl.root”接口出来,所有使用SSL隧道模式的流量都相当于进出此SSLVPN接口,远程用户需要安装一个SSLVPN的客户端软件,支持所有的应用。1.2典型拓扑结构如下,(点击放大)1.3SSLVPN支持的认证协议有:1.本地认证2.Radius认证3.Tacacs+认证4.LDAP认证1.PKI证书认证2.WindowsAD认证1.4SSLVPN和IPSECVPN比较 SSLVPN IPSECVP
3、N1.主要针对漫游用户 主要用于站点直接2.基于Web应用 基于IP层的安全协议3.主要应用于2点直接VPN连接 主要应用于多点,构建VPN网络4.有浏览器就可以使用 需要安装特定的IPSECVPN客户端软件5.基于用户的访问控制策略 主要是基于站点的访问控制策略6.没有备份功能 具有
4、隧道备份和连接备份功能2.Web模式配置Web模式配置大概需要如下几个步骤:1.启用SSLVPN;2.新建SSLVPN用户3.新建SSLVPN用户组4.建立SSLVPN策略下面我们具体介绍一下Web模式的详细配置。 2.1启用SSLVPN打开Web浏览器登陆防火墙,进入虚拟专网---->SSL---->设置,勾上“启动SSL-VPN”,其他配置根据需要修改或使用默认配置就可以了,如下图:(点击放大)2.2新建SSLVPN用户进入设置用户---->本地,点击“新建”按钮新建一个本地用户,用户类型我们同时可以支持本
5、地用户,Radius用户,Tacacs+用户,LDAP用户等等,这里我们只使用本地用户举例,如下图:(点击放大) 2.3新建SSLVPN用户组进入设置用户---->用户组,点击“新建”按钮新建一个SSL类别的用户组,可用成员选择上面新建的用户成员,启动Web应用里面可以选择上需要开通的SSLVPN服务,其他默认设置就可以了,如下图所示:(点击放大)2.4建立SSLVPN策略进入防火墙---->策略,新建一条防火墙策略,源接口是SSLVPN用户端所连接的接口,源地址可以是任意,目的接口是服务器所连接的接口,目的地
6、址可以是只能允许访问的服务器地址段或任意服务器地址,模式是:SSL-VPN,可用组选择刚刚建立的SSLVPN类型的用户组就可以了,具体如下图显示:(点击放大)FortiGate防火墙模式使用的SSLVPN的端口是10443,这样,就可以从外网通过https://防火墙外网口地址:10443登陆到防火墙Web模式的SSLVPN入口,通过防火墙认证后使用SSLVPN访问内网服务器资源了。2.5如何设置防火墙默认的SSLVPN登陆端口,具体如下:(点击放大) 2.6登陆SSLVPNWeb模式后的界面如下:3.隧道模
7、式配置隧道模式的SSLVPN配置必须在Web模式配置完的机场上才能进行,大概步骤如下:1.配置Web模式SSLVPN;2.打开Web浏览器登陆防火墙,进入虚拟专网---->SSL---->设置,设置“通道IP范围”;1.进入设置用户---->用户组,编辑Web模式下建立的SSLVPN用户组,在“SSL-VPN用户组选项”里面启用“启动SSL-VPN通道服务”2.配置相关的隧道模式SSLVPN防火墙策略3.配置相关的隧道模式SSLVPN静态路由这里不在累述Web模式SSLVPN配置步骤,如下配置步骤是在Web模式
8、SSLVPN已经配置完成的基础上进行的,具体步骤下面详细描述:3.1修改SSLVPN设置进入虚拟专网---->SSL---->设置,配置隧道模式SSLVPN的客户端使用的地址范围,如下图示:(点击放大)3.2修改SSLVPN用户组进入设置用户---->用户组,编辑Web模式下建立的SSLVPN用户组,在“SSL-VPN用户组选项”里面启用“启动SSL-VPN通道服务”,如下图示:(点击
此文档下载收益归作者所有