Fortigat SSL VPN 設定方式
-
啟用 SSL VPN連接,並在基本選項來設定SSL VPN配置
-
須執行以下程序才能完成設定SSL VPN的配置
-
啟用SSL VPN操作。
-
為tunnel-mode用戶端指定IP地址。
-
當用戶端通過FortiGate設備驗證後,請求為tunnel-mode連接時,FortiGate的設備會從IP Pool為SSL VPN客戶端分配一個 IP地址。所以我們要在防火牆上面去設定一堆IP地址範圍作為"IP Pool”。
-
有兩種方式可以設定IP POOL
-
VPN > SSL > config 這裡可指定所有的 IP POOL的IP地址範圍,但是不能指定個別專屬的
-
另外就是在 web portal Tunnel-mode Widget裡面可以設定,而這裡的設定是會蓋過 VPN > SSL > config 的設定部分。
-
注意:小心跟自己現有的IP位置重疊,不要分配現在正在使用的網路IP地址給用戶端,為了預防衝突,建議用罕用的私有網路地址(譬如 10.254.254.0/24)
-
(後補 文件P.24)
-
-
-
針對SSL VPN其他設置,可以做下列的修改或設定。
-
-
增加client的WINS或是DNS的服務
-
設定閒置連線時間
-
設定用戶端登入認證時間
-
指定SSL連線密碼加密方式
-
加密方式決定數據安全的等級,但是必須視用戶端的瀏覽器版本而定。
-
-
啟用通過X.509認證之密碼登入方式
-
更換登入介面之預設port。SSL VPN預設port為10443。
-
登入介面之客製化。
-
-
-
-
-
建立web入口網站提供連線者進入的方式,如果要提供給不同的群組或使用者相異的功能進入方式,那就得建立不同的入口介面。
網頁入口介面是定義SSL VPN 使用者可以使用哪些網路資源,譬如http/https,telnet,FTP,SMB/CIFS,VNC,RDP與SSH。透過不同的網頁入口,不同使用目的的使用者就可以透過他們專屬的介面登入Fortigate。Fortigate的管理者與SSL VPN 的用戶也可以自己調整網頁版面。
首先,我們要先用基本功能設定調整好網頁入口,再來針對每個入口,而新增安全功能設定。 -
準備工作
在設定網頁入口之前,我們必須知道有哪些不同使用方式的用戶,譬如,有些用戶只需要做遠端桌面連線到他們的PC,有些用戶只對檔案作存取,有些用戶可能兩著都要。所以我們必須按造之前提到的先建立SSL VPN的用戶群組織後根據這些群組來設定屬於他們的網頁入口。 -
這裡有三種已經準備好的預設網站入口設定
- 預設的網頁入口設定方式
進入主題啦,我們如何來設定基本網頁入口- 先到 VPN>SSL>Portal
- 自訂選項,可以選擇Virtual Desktop來設定該功能,此選項可之後再設定。
- 自訂選項 Security Control 設定暫存的清除,以及用戶端的檢查,此選項也可以日後設定。
- 選擇 OK,就可以看到入口網頁畫面。
- 選擇apply來儲存剛剛的設定。
- 入口網頁頁面設計
- tunnel 模式相關設定
- Session 資訊設定
- 書籤設定
- 網路連線工具設定
-
建立遠端連線的專屬使用者帳號,並建立SSL VPN的用戶群,並針對不同的用戶群設定分別可使用的網站入口介面,並將使用者歸屬到適合他們身分的SSL VPN 用戶群。
-
根據所需要支持VPN運作模式所指定的參數來設定防火牆策略(Policies)
-
針對tunnel-mode功能,增加路由以確認用戶端的tunnel-mode封包可以到達SSL VPM接口。
-
可額外選擇設定SSL VPN事件記錄參數,並且監看SSL VPN活動的session
留言
張貼留言