- 描述SSL-VPN
- SSL-VPN 部署模式
- 配置SSL-VPN
- 域和个人书签
- 强化 SSL-VPN 访问
- 监控和故障排查
- 定义一个虚拟专用网络(VPN)
- 描述SSL-VPN和IPsec VPN之间的区别
通过展示理解VPN概念的能力,你将能够更有效地理解FortiGate如何管理SSL-VPN方法。
当局域网被一个不受信任的公共网络分隔开时,通常会使用VPN,比如Internet。除了为远行用户提供安全访问私人网络的同时,VPN还可以连接互联网上的分支办公室网络,甚至可以连接到世界的另一端。
VPN隧道内的用户数据是为了隐私而加密的。它不能被读取,即使它被未经授权的用户拦截。VPN也使用安全方法来确保只有经过授权的用户才能建立VPN并访问私有网络的资源。他们通常还提供防篡改。
大多数VPN都是SSL或IPsec VPN。FortiOS全部支持又支持不常见的、较弱的VPN,如PPTP。在这节课中,我们将重点讨论SSL-VPN。
协议是不同的。SSL和TLS通常用于在Internet(HTTP)上封装和保护电子商务和在线银行业务。SSL-VPN使用类似的技术,但通常使用非HTTP协议封装。SSL在网络栈上比IP更高,因此,对于SSL-VPN头来说,它通常需要更多的比特——更多的带宽。相比之下,IPsec使用了一些特殊的协议。主要协议是ESP,它封装和加密了UDP、RDP、HTTP或其他在IPsec隧道内的协议。
另外,IPsec VPN是一个标准。它可以与多个供应商进行互操作,并支持那些设备和网关的对等点——而不仅 仅是带有FortiGate的用户客户端,比如SSL-VPN。
客户端软件也是不同的。在SSL-VPN中,您的web浏览器可能是你所需要的唯一客户机软件。你可以进入FortiGate的SSL-VPN门户(一个HTTPS web页面),然后登录。或者,你可以安装插件或FortiClient。这增加了可以通过VPN隧道发送的协议数量。
相比之下,为了使用IPsec VPN,你通常需要安装特殊的客户端软件,或者有一个本地网关,比如桌面型FortiGate,以便连接到远程网关。你可能还需要在VPN对等点之间配置防火墙,以允许IPsec协议。然而,IPsec是大多数供应商支持的标准协议,因此VPN会话不仅可以在两个FortiGate设备之间建立,也可以在不同 厂商的设备之间,以及网关和客户端之间建立。它具有高度可扩展性和可配置性。相比之下,SSL-VPN只能在 计算机和特定于供应商的网关之间建立,比如FortiGate。
一般来说,当隧道必须连续不断地向上并与许多类型的设备进行互操作时,IPsec VPN就更受欢迎,而当人们旅行并需要连接到办公室时,SSL-VPN就更受欢迎。
接下来,你将了解到由FortiGate支持的SSL-VPN部署模式。
你应该选择哪一个?
这取决于您需要通过VPN发送哪些应用程序、你的用户的技术知识,以及你是否在他们的计算机上有管理权限。
隧道模式支持大多数协议,但需要安装VPN客户端,或者更具体地说,是一个虚拟网络适配器。要使用虚拟适 配器来隧道通信,你必须使用FortiClient或它的独立的FortiSSL-VPN客户端组件。
Web模式只需要一个Web浏览器,但是支持有限数量的协议。
就像你在任何其他HTTPS网站上一样,你只需登录到位于FortiGate的SSL-VPN门户web页面即可。它就像一个服务器端反向代理,或者一个简单的安全的HTTP/HTTPS网关,它将您连接到私有网络上的应用程序。
SSL-VPN Portal 上的Bookmarks部分包含指向用户可访问的全部或部分可用资源的链接。Quick Connection小部件允许用户输入他们想要到达的服务器的URL或IP地址。一个web SSL-VPN用户使用这两个 小部件来访问内部网络。web模式的主要优点是它通常不需要你安装额外的软件。
Web模式有两个主要缺点:
- 所有与内部网络的交互都必须完全使用浏览器(通过web门户)完成。运行在用户PC上的外部网络应用程序不能跨VPN发送数据。
- 这是一种安全的HTTP/HTTPS网关机制,它不能用于访问所有东西,但有很少流行的协议,如HTTP、FTP 和Windows共享。
- 远程用户使用HTTPS在web浏览器和FortiGate的SSL-VPN门户之间建立安全连接。
- 一旦连接起来,用户就会提供凭证,以便通过身份验证检查。
- 然后,FortiGate显示SSL-VPN门户,它包含服务和网络资源供用户访问。
不同的用户可以有不同的门户,具有不同的资源和访问权限。还要注意,远程资源所看到的源IP是FortiGate的内部IP地址,而不是用户的IP地址。
隧道模式需要Fortinet的独立SSL-VPN客户端,FortiClient,连接到FortiGate。FortiClient将一个虚拟网络适配器添加到用户的PC上。这个虚拟适配器每次都动态地从FortiGate中接收一个IP地址,而FortiGate则建立一个新的VPN连接。在隧道内,所有的流量都是SSL/TLS封装。
隧道模式优于web模式的主要优点是,在VPN建立之后,在客户机上运行的任何IP网络应用程序都可以通过隧道发送流量。主要的缺点是隧道模式需要安装VPN软件客户端,这需要管理权限。
- 用户通过FortiClient连接到FortiGate。
- 用户提供成功认证的凭证。
- FortiGate建立隧道,并将一个IP地址分配给客户的虚拟网络适配器(fortissl)。这是客户端在连接期 间的源IP地址。
- 然后,用户可以通过加密的隧道访问服务和网络资源。
FortiClient将所有来自远程计算机的流量加密,并将其发送到SSL-VPN隧道。FortiGate接收加密的流量,将IP数据包的数据包封装起来,并将其转发到私有网络,就好像流量来自于网络内部一样。
当分割隧道被禁用时,由客户端计算机生成的所有IP流量——包括Internet流量——都被路由到SSL-VPN隧道 到FortiGate。这就设置了作为主机默认网关的FortiGate。您可以使用这种方法来将安全特性应用到远程客户端 的流量,或者监视或限制Internet接入。这增加了更多的延迟,增加了带宽的使用。
当分离隧道启用时,只有在远端FortiGate后面的私有网络的流量才会通过隧道进行路由。所有其他的流量都是通过正常的未加密路由发送的。
拆分隧道有助于节省带宽并缓解瓶颈。
- 为SSL-VPN用户定义身份验证
- 配置SSL-VPN门户
- 配置SSL-VPN设置
- 为SSL-VPN定义防火墙策略
通过展示在FortiGate上配置SSL-VPN设置的能力,你将能够更好地设计你的SSL-VPN隧道的架构。
- 配置用户帐户和组。
- 配置SSL-VPN门户。
- 配置SSL-VPN设置。
- 创建一个防火墙策略来接受和解密数据包。该策略还用于提供对内部网络的访问。
- 可选地,配置防火墙策略,允许从SSL-VPN客户端到Internet,并应用安全配置文件。用户流量将通过 FortiGate进入互联网,在那里你可以监控或限制客户端访问互联网。
有些步骤可以按照不同的顺序配置,而不是在这张幻灯片上显示的。
除了使用Fortinet单点登录(FSSO)协议之外的远程密码认证之外,所有的FortiGate认证方法都可以用于SSL-VPN认证。这包括本地密码认证和远程口令认证(使用LDAP、RADIUS和TACACS+协议)。
你还可以配置带有FortiToken的双因子认证,以获得更好的安全性。
在隧道模式下,当你启用分割隧道时,你需要选择Routing Address 设置,它通常指定了FortiGate的后台网络,以便让SSL-VPN用户访问。
另外,对于隧道模式,你需要为用户选择一个IP池,以便在连接时获得IP地址。如果你不创建自己的地址对象,那么在address对象中有一个默认池。
如果启用了web模式,你可以定制SSL-VPN门户和预配置书签,以便所有登录到SSL-VPN门户的用户都能看到。 另外,你可以单独配置并将每个门户链接到特定的用户或用户组,这样他们就仅可以访问所需的资源。
还要注意,SSL-VPN书签提供了网络资源的链接。web模式的设置允许用户: 在Bookmarks部分使用管理员定义的书签。用户不能修改管理员添加的书签。 在Your Bookmarks 中使用小部件来添加个人书签。 直接使用Quick Connection小部件访问网络资源。
让我们通过Bookmarks或Quick Connection 小部件探索SSL-VPN门户(web模式)上的协议和服务器应用程序。
- HTTP/HTTPS允许你访问私人网站。
- 文件传输协议(FTP)允许您在SSL-VPN客户端和位于私有网络中的主机或服务器之间传输文件。
- SMB/CIFS,实现服务器消息块(SMC)协议,以支持在私有网络中SSL-VPN客户端和远程主机或服务器 之间的文件共享。通过共享目录支持通过SMB/CIFS共享的Windows文件共享。
- 虚拟网络计算(VNC)允许您远程控制私有网络中的另一台计算机。
- 远程桌面协议(RDP),类似于VNC,允许您远程控制运行Microsoft终端服务的计算机。
- Secure Shell(SSH)允许两个主机之间使用一个安全通道交换数据。
- 电传打字网络仿真(TELNET),允许在SSL-VPN中虚拟的、纯文本的终端登录到远程主机。
- Citrix使用了SOCKS来支持Citrix客户端连接到SSL-VPN端口转发模块,以便提供远程连接。
- 端口转发提供了web模式和隧道模式之间的中间地带。当SSL-VPN从客户端应用程序接收数据时,数据将被加密并发送到FortiGate,然后将流量转发到应用服务器。
在隧道模式不实用的情况下,端口转发是最合适的解决方案,而其他web模式的书签不够灵活。
Web模式不能为应用程序支持提供足够的灵活性,因为它连接到有限数量的协议。
SSL-VPN用户可以登录到SSL-VPN门户,并选择一个端口转发书签,该书签定义了特定的服务器应用程序地 址和端口,以及在用户的计算机上侦听哪个端口。
因此,在用户的一边,而不是创建一个与本地IP(隧道模式)分离的IP隧道,端口转发需要安装一个端口转发 模块,这是一个Java applet,它监听用户计算机上的本地端口。
当用户的应用程序通过连接到loopback地址(127.0.0.1)指向Java applet时,applet代理就会在用户的计算机 上接收应用程序数据,对其进行加密,并将其发送到FortiGate。然后将流量转发到私有网络中的应用程序服务器。
注意,端口转发只支持使用静态TCP端口的应用程序。它不支持动态端口或UDP的流量。
只有两种类型的书签可以用于端口转发:citrix和portforward。
让我们从Connection Settings 部分开始。在这里,你需要将一个FortiGate的接口映射到SSL-VPN门户。 SSL-VPN门户的缺省端口是443。这意味着用户需要使用端口443-HTTPS连接到SSL-VPN门户的FortiGate接 口的IP地址。如果你允许Redirect HTTP to SSL-VPN,那么使用HTTP(TCP端口80)连接的用户将被重定向 到HTTPS。
端口443是HTTPS协议管理的标准缺省端口。这很方便,因为用户不需要在浏览器中指定端口。例如, https://www.example.com/在任何浏览器中自动使用端口443。这在FortiGate上被认为是一个有效的设置,因 为您通常不会通过每个接口访问SSL-VPN登录。同样地,您通常不会在您的FortiGate的每个接口上启用管理访 问。因此,即使端口可能重叠,但是每个接口使用的端口可能不会。但是,如果SSL-VPN登录门户和HTTPS 管理访问都使用同一个端口,并且都在同一个接口上启用,那么只有SSL-VPN登录门户才会出现。要在同一个 接口上访问两个门户,您需要更改其中一个服务的端口号。如果您改变了管理访问端口,这将影响到所有接口 上该服务的端口号。
另外,一个不活跃的SSL-VPN在300秒(5分钟)的不活动之后断开连接。您可以使用GUI上的Idle Logout设 置来更改这个超时。
最后,与其他HTTPS网站一样,当用户连接时,SSL-VPN门户会显示数字证书。默认情况下,门户使用自签 名证书,该证书触发浏览器显示证书警告。为了避免警告,您应该使用由一个公开的证书颁发机构(CA)签署 的数字证书。或者,您也可以将FortiGate自签名的数字证书加载到浏览器中作为受信任的权限。
当用户连接时,隧道被分配一个IP地址。您可以选择使用默认范围或创建您自己的范围。IP范围决定了多少用 户可以同时连接。
DNS服务器解析只有在通过VPN隧道发送DNS流量时才有效。一般情况下,只有当隧道分割模式被禁用,所有 的流量都从用户的计算机通过隧道传输时,才会出现这种情况。
此外,您还可以允许有条件的端点在隧道模式的SSL-VPN上自注册。在用户进行身份验证之后,FortiGate发送 给FortiClient IP地址和端口以供注册使用。如果用户接受了注册邀请,注册就会继续,而FortiClient配置文件会 被下载到客户端。通过浏览器连接到SSL-VPN的用户将被重定向到一个捕获的门户,以下载和安装FortiClient 软件。
最后,您可以允许不同的用户组访问不同的门户。在这张幻灯片上的例子中,教师只能访问web门户。会计人员可以使用FortiClient在隧道模式中进行连接。
在FortiGate上的SSL-VPN通信使用一个名为ssl.<vdom_name>的虚拟接口。每个虚拟域(VDOM)都基于其 名称包含一个不同的虚拟接口。默认情况下,如果没有启用VDOM,则该设备使用一个名为root的VDOM操作。
要激活并成功登录到SSL-VPN,必须有一个从SSL-VPN接口到您想要访问SSL-VPN用户的接口的防火墙策略, 包括所有可以作为源登录的用户和组。如果没有这样的策略,就不会向用户提供登录门户。
如果在其他用户需要访问的接口背后有资源,那么你需要创建额外的策略,允许来自ssl.root的流量退出这些接 口。
这张幻灯片展示了一个防火墙策略的例子,它被配置为允许访问其他接口背后的资源,用户在通过SSL-VPN连接时需要访问这些接口。
你还可以将安全配置文件应用到这个防火墙策略中,以限制用户对Internet的访问。
接下来,你将学习如何为不同的用户组创建多个SSL-VPN登录站点,并管理用户添加的书签。
- 为SSL-VPN门户配置域
- 为SSL-VPN门户配置个人书签
通过展示理解这些主题的能力,你将能够为不同的用户组创建多个SSL-VPN登录站点,并管理特定于用户的书签。
默认情况下,定制SSL-VPN域和SSL-VPN书签的功能在FortiGate GUI上是隐藏的。
域是自定义登录页面。它们通常用于用户组,比如你的会计团队和您的销售团队,但也适用于个人用户。有了域,用户和用户组可以根据他们输入的URL访问不同的门户。
通过不同的门户,你可以分别定制每个登录页面,并单独限制并发用户登录。
在FortiGate上的一个域例子:
https://192.168.1.1
https://192.168.1.1/Accounting
https://192.168.1.1/TechnicalSupport
https://192.168.1.1/Sales
配置认证规则,以便将用户映射到适当的域。这些设置允许不同的用户组通过不同的域访问已定义的门户。
在这张幻灯片上的例子中,教师只能访问他们自己的域。如果他们需要访问根域来查看全局门户,您需要为他 们添加一个额外的认证规则。
管理员可以在SSL-VPN Personal Bookmarks 页面上查看和删除用户添加的书签。这允许管理员监视和删除与公司策略不匹配的不需要的书签。
在FortiGate CLI上,您可以为每个用户创建书签。即使在门户中禁用了用户书签选项,这些书签也会出现,因为该选项只会影响用户创建和修改他们自己的书签的能力——而不是管理员定义的书签。
根据您想要创建的书签类型,您可能需要配置应用程序需要的附加信息,比如用于网站的URL和FTP站点的文件夹。
- 配置客户端完整性检查
- 使用安全证书应用双重身份验证
- 通过IP和MAC地址限制客户机
通过演示如何加强SSL-VPN访问的安全性,你将能够限制用户,确保你的内部网络是安全的,并限制攻击和病毒从外部来源进入网络的可能性。
提高安全性的一种方法是通过客户端完整性检查。客户端完整性通过检查是否安装和运行特定的安全软件,如 杀毒软件或防火墙软件,确保连接计算机的安全。这个特性只支持Microsoft Windows客户端,因为它访问 Windows安全中心来执行它的检查。或者,您可以定制这个特性,以使用其全局唯一标识符(GUID)来检查 其他应用程序的状态。GUID是在Windows配置注册表中唯一标识每个Windows应用程序的ID。客户端完整性 还可以检查反病毒和防火墙应用程序的当前软件和签名版本。
客户端完整性检查适用于web模式和隧道模式。
在CLI上可以找到被识别软件的列表,以及相关的注册表键值。软件分为三类:反病毒(av)、防火墙(fw) 和自定义。自定义用于组织可能需要的定制或专有软件。管理员只能在CLI上配置这些设置。
启用客户机完整性检查的缺点是,由于以下因素,它可能导致大量的管理开销:
- 为了成功地建立连接,所有用户必须更新他们的安全软件。
- 软件更新会导致对注册表键值的更改,这也可以防止用户成功地连接。
因此,管理员必须对Windows操作系统和随后的注册表行为有深入的了解,以便适当地扩展和维护该特性。
- 要求客户使用他们的证书进行身份验证。当远程客户端启动一个连接时,FortiGate将提示客户端浏览器作为身份验证过程的一部分。
- 在客户的浏览器上安装FortiGate的CA证书。
默认的配置被设置为Limit access to specific hosts ,但是Hosts是空的。您必须在主机字段中指定IP地址或 网络。这将只允许那些用户访问登录页面。Allow access from any host 允许所有IP连接。
在CLI上,你可以配置VPN SSL设置以禁止特定IP。
这个设置提供了更好的安全性,因为密码可能会被破坏。MAC地址可以绑定到特定的门户,可以是整个MAC 地址或地址的子集。
- 监控SSL-VPN连接的用户
- 检查SSL-VPN日志
- 配置SSL-VPN计时器
- 解决常见的SSL-VPN问题
- 识别SSL-VPN的硬件加速组件
通过展示在SSL-VPN监控和故障排查方面的能力,你将能够避免、识别和解决常见问题和错误配置。
当用户通过隧道模型连接时,Active Connections 显示由FortiGate分配到客户端计算机上的fortissl虚拟 适配器的IP地址。否则,用户只连接到web门户页面。
- 选择 VPN Events 显示当有一个新的连接请求时,是否SSL-VPN隧道被建立和关闭。
- 选择 User Events提供与SSL-VPN用户相关的身份验证操作。
- 选择 Endpoint Events显示用户何时使用FortiClient在隧道模式中建立或关闭SSL-VPN。
SSL-VPN用户空闲设置与防火墙认证超时设置无关。它是专门针对SSL-VPN用户的一个单独的空闲选项。当 FortiGate在配置的超时期间没有看到任何来自用户的数据包或活动时,远程用户就被认为是空闲的。
此外,计时器还可以帮助您减轻诸如慢速和R-U-Dead-Yet之类的漏洞,这使得远程攻击者可以通过部分HTTP 请求导致拒绝服务。
- 在您的web浏览器中启用cookie。
- 在你的web浏览器中设置网络隐私选项。
- 使用与你的FortiOS固件兼容的FortiClient版本。
- 启用分割隧道或为SSL-VPN连接创建一个出口防火墙策略,以允许对外部资源的访问。
- 连接到正确的端口号。
- 将SSL-VPN组、SSL-VPN用户和目的地地址添加到防火墙策略中。
- 通过超时刷新非活动会话。
- List:列出登录用户的名单
- info:显示一般的SSL-VPN信息
- statistics:显示关于FortiGate的内存使用情况的统计数据
- hw-acceleration-status:显示SSL硬件加速的状态
命令诊断调试应用程序sslvpn显示了SSL-VPN连接的整个调试消息列表。
请记住,要使用上面列出的命令,你必须首先运行诊断调试enable命令。
这种专门的IPsec和SSL/TLS协议处理器处理大多数最新的加密算法。
默认情况下,卸载过程是建立的。如果出于测试目的,您想禁用它,您可以只在防火墙策略配置级别使用CLI。
你还可以使用CLI查看SSL-VPN加速的状态。
- 定义一个虚拟专用网络(VPN)
- 描述SSL-VPN和IPsec VPN之间的区别
- 描述SSL-VPN模式之间的区别
- 为SSL-VPN用户定义身份验证
- 配置SSL-VPN门户
- 配置SSL-VPN设置
- 为SSL-VPN定义防火墙政策
- 为SSL-VPN门户配置域
- 为SSL-VPN门户配置个人书签
- 配置客户端完整性检查
- 使用安全证书应用双重身份验证
- 通过IP和MAC地址限制客户机
- 监控SSL-VPN连接的用户
- 检查SSL-VPN日志
- 配置SSL-VPN计时器
- 解决常见的SSL-VPN问题
