星期二, 11月 01, 2011

Fortigate SSL VPN config


Fortigat SSL VPN 設定方式



  1. 啟用 SSL VPN連接,並在基本選項來設定SSL VPN配置

    1. 須執行以下程序才能完成設定SSL VPN的配置

      1. 啟用SSL VPN操作。

        • image

        • 我們必須啟用SSL VPN設定,讓Fortigate 可以接受SSL VPN的連線請求。

        • 在網頁介面去用SSL VPN的操作

        • 左邊選單 VPN > SSL > Config

        • 將Enable SSL-VPN 打勾

        • 按下 Apply

      2. 為tunnel-mode用戶端指定IP地址。

        • 當用戶端通過FortiGate設備驗證後,請求為tunnel-mode連接時,FortiGate的設備會從IP Pool為SSL VPN客戶端分配一個 IP地址。所以我們要在防火牆上面去設定一堆IP地址範圍作為"IP Pool”。

        • 有兩種方式可以設定IP POOL

          1. VPN > SSL > config 這裡可指定所有的 IP POOL的IP地址範圍,但是不能指定個別專屬的

          2. 另外就是在 web portal Tunnel-mode Widget裡面可以設定,而這裡的設定是會蓋過 VPN > SSL > config 的設定部分。

          • 注意:小心跟自己現有的IP位置重疊,不要分配現在正在使用的網路IP地址給用戶端,為了預防衝突,建議用罕用的私有網路地址(譬如 10.254.254.0/24)

          • (後補 文件P.24)

      3. 針對SSL VPN其他設置,可以做下列的修改或設定。

          1. 增加client的WINS或是DNS的服務

          2. 設定閒置連線時間

          3. 設定用戶端登入認證時間

          4. 指定SSL連線密碼加密方式

            • 加密方式決定數據安全的等級,但是必須視用戶端的瀏覽器版本而定。

          5. 啟用通過X.509認證之密碼登入方式

          6. 更換登入介面之預設port。SSL VPN預設port為10443。

          7. 登入介面之客製化。

  2. 建立web入口網站提供連線者進入的方式,如果要提供給不同的群組或使用者相異的功能進入方式,那就得建立不同的入口介面。
    網頁入口介面是定義SSL VPN 使用者可以使用哪些網路資源,譬如http/https,telnet,FTP,SMB/CIFS,VNC,RDP與SSH。透過不同的網頁入口,不同使用目的的使用者就可以透過他們專屬的介面登入Fortigate。Fortigate的管理者與SSL VPN 的用戶也可以自己調整網頁版面。
    首先,我們要先用基本功能設定調整好網頁入口,再來針對每個入口,而新增安全功能設定。

    1. 準備工作
      在設定網頁入口之前,我們必須知道有哪些不同使用方式的用戶,譬如,有些用戶只需要做遠端桌面連線到他們的PC,有些用戶只對檔案作存取,有些用戶可能兩著都要。所以我們必須按造之前提到的先建立SSL VPN的用戶群組織後根據這些群組來設定屬於他們的網頁入口。

    2. 這裡有三種已經準備好的預設網站入口設定
      image

      1. 完整功能:用戶可以使用所有的widgets ,包過Session的資訊,連線工具,書籤,以其通道模式。
        image

      2. 通道存取:包含Session 的資訊,跟通道目前狀況。
        image

      3. 網頁權限:包含Session資訊,以及書籤。
        image
        上面三種現成的可以直接使用,或是自己訂做不同的網頁入口

    3. 預設的網頁入口設定方式
      進入主題啦,我們如何來設定基本網頁入口
      1. 先到 VPN>SSL>Portal
        • 選擇 Create New
        • 進入 編輯對話框
          image
        • Name  :給新建的入口網頁一個名子
        • Applications:勾選哪些應用程式是給用戶使用的
        • Portal Message : 顯示在入口網頁頂端的文字
        • Theme:入口網頁主題顏色
        • Page Layout:單列或是雙列的欄位設計
        • Redirect  URL:當進入入口網頁後會跳出第二個視窗,可以跳出預先在這裡輸入的網址
      2. 自訂選項,可以選擇Virtual Desktop來設定該功能,此選項可之後再設定。
      3. 自訂選項 Security Control 設定暫存的清除,以及用戶端的檢查,此選項也可以日後設定。
      4. 選擇 OK,就可以看到入口網頁畫面。
      5. 選擇apply來儲存剛剛的設定。
    4. 入口網頁頁面設計
      image
    5. tunnel 模式相關設定
    6. Session 資訊設定
    7. 書籤設定
    8. 網路連線工具設定
  3. 建立遠端連線的專屬使用者帳號,並建立SSL VPN的用戶群,並針對不同的用戶群設定分別可使用的網站入口介面,並將使用者歸屬到適合他們身分的SSL VPN 用戶群。

  4. 根據所需要支持VPN運作模式所指定的參數來設定防火牆策略(Policies)

  5. 針對tunnel-mode功能,增加路由以確認用戶端的tunnel-mode封包可以到達SSL VPM接口。

  6. 可額外選擇設定SSL VPN事件記錄參數,並且監看SSL VPN活動的session

推文到plurk

0 意見:

張貼留言

 

Followers

哈克 Copyright © 2009 Blogger Template Designed by Bie Blogger Template