【簡介】SSL可以遠端登入防火牆,通路防火牆後面内網的資源,是遠端辦公的得力工具。除了能通路防火牆内網資料外,也可以通過防火牆的寬帶接口上網。
使用者組與使用者
SSL登入防火牆時,需要輸入使用者名和密碼以驗證合法性。這就需要我們在防火牆上預先建立使用者組和使用者。
① 在防火牆上選擇菜單【使用者&裝置】-【使用者組】,點選【建立】,我們建立一個SSL專用的使用者組。
② 輸入使用者組名稱,類型預設為防火牆,點選【确認】。
③ 使用者組就建好了,但是建立的組裡沒有成員,下一步我們建立使用者。
④ 選擇菜單【使用者&裝置】-【設定使用者】,點選【建立】,我們建立一個SSL專用的使用者。
⑤ 使用者類型預設為本地使用者,點選【下一個】。
⑥ 輸入建立的使用者名及密碼,點選【下一個】。
⑦ 郵件位址、SMS、雙因子認證都保持預設設定,點選【下一個】。
⑧ 啟用使用者組,選擇剛才建立的SSL專用使用者組,點選【送出】。
⑨ 一個使用者就建好了,可以根據需要建立多個使用者,都加入專用組中。
SSL設定
SSL設定需要經過三個過程,首先是設定SSL門戶,然後是SSL設定,最後是建立SSL政策。
① 選擇菜單【虛拟專網】-【SSL門戶】,預設有三個門戶,滑鼠輕按兩下【full-access】,表示可以同時用web和隧道兩種方式登入。
② 通常我們保持所有預設設定就可以了,隧道模式下的〖啟用隧道分割〗選項,不啟用的話,所有流量都走隧道,啟用的話,隻有指定IP網段會走隧道。這裡我們不啟用隧道分割,讓所有流量都走隧道,包括上網流量。系統預先建好一段不常用的位址段,用來給撥号成功後配置設定IP位址。
③ 選擇菜單【虛拟專網】-【SSL設定】,監聽接口選擇防火牆的寬帶接口,如果有多條寬帶的話,也可以選擇多個接口。監聽端口預設為443,由于與防火牆的登入端口有沖突,這裡改成8443,在用戶端軟體裡要輸入這個端口号。允許從任何主機接入,選擇自動配置設定置位址,也就是門戶裡那個位址對象的内容。指定DNS,在認證/Portal映射中加入建立的使用者組,指定使用者組使用full-access門戶,其它使用者使用web-access門戶。
④ 選擇菜單【政策&對象】-【建立】,建立允許SSL通路政策。
⑤ 建立一條允許SSL通路内網的政策,源位址裡選擇預定義的位址對象和使用者組,對SSL進行安全驗證。NAT不啟用。
⑥ 再建立一條允許SSL通過Wan口上網的政策。NAT啟用。
⑦ SSL撥通後,所有的流量都會走隧道,這兩條政策,引導通路内網或走外網出去。
FortiClient 設定
飛塔防火牆使用FortiClient用戶端軟體連接配接SSL,該軟體有Windows、MAC、安卓、iOS等版本。
① 盡量使用與防火牆固件相同的FortiClient版本,我們将以6.0.1版本的FortiClient為例。
② 選擇【REMOTE ACCESS】,點選【配置】。
③ 預設選擇為SSL,輸入連接配接名,遠端網關為防火牆的外網接口位址,自定義端口,端口号和防火牆裡的設定相同,這裡是8443。其它保持預設,點選【儲存】。
④ 輸入防火牆裡建立的使用者名和密碼,點選【連接配接】。
⑤ 出現安全警報提示,點選【是】。
⑥ 當出現IP位址及接收發送位元組數時,表示SSL連接配接成功。
SSL驗證
SSL連接配接成功後,就可以通過通路對方内網IP,也可以通過走對方寬帶上網了。
① 在DOS指令下輸入 ipconfig/all 指令,檢視電腦的IP配置情況,可以看到有一塊虛拟網卡,獲得了IP位址和網關及DNS。DNS采用8.8.8.8的話,可以解析原來通路不了的網站。
② 在DOS指令下輸入 route print 指令,檢視本機電腦上的路由表,其中有一條預設路由就是走SSL接口,優先于本地寬帶接口。
③ Ping遠端防火牆的内網接口位址,能夠Ping通,說裡防火牆裡的那條SSL通路内網政策是起作用的。
④ 用浏覽器通路以前本地寬帶打開不了的網站,發現現在能打開了,說明防火牆上的SSL通路寬帶政策也起作用了。
⑤ 回到防火牆上,選擇菜單【螢幕】-【SSL螢幕】,可以看到已經有一個使用者通過SSL連接配接到防火牆了。