北京市海淀区北四环西路

52号中芯大厦12层电话:(010)62960376如何配置SSLVPN版本1.
0时间2011年9月作者胡丹丹(ddhu@fortinet.
com)支持的版本FortiOSv4.
2,v4.
3状态草稿北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376目录1.
目的.
32.
环境介绍.
33.
SSLVPNWeb模式配置33.
1.
启用SSLVPN33.
2.
新建SSLVPN用户及用户组.
43.
3.
编辑SSLVPN界面.
53.
4.
建立SSLVPN策略.
63.
5.
登陆SSLVPNWeb模式后的界面.
74.
隧道模式配置84.
1.
编辑通道模式84.
2.
隧道模式的策略94.
3隧道模式的静态路由.
104.
4启用隧道模式.
115.
SSLVPN客户端.
126.
SSLVPN监视器.
157.
常用的SSLVPN诊断命令.
16北京市海淀区北四环西路52号中芯大厦12层电话:(010)629603761.
目的本文档针对SSLVPN4.
0MR2及以上的web代理模式以及隧道模式配置进行说明.
2.
环境介绍本文使用FortiGate60B做演示.
本文支持的系统版本为FortiOSv4.
0MR2及更高.
3.
SSLVPNWeb模式配置3.
1.
启用SSLVPN4.
2版本中无需特定启用SSL-vpn,默认功能已经启用北京市海淀区北四环西路52号中芯大厦12层电话:(010)629603763.
2.
新建SSLVPN用户及用户组进入设置用户---->设置用户,点击"新建"按钮新建一个本地用户,用户类型我们同时可以支持本地用户,Radius用户,Tacacs+用户,LDAP用户等等,这里我们只使用本地用户举例,如下图:新建SSLVPN用户组北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376选择sslvpn界面full-access允许web代理及隧道模式.
3.
3.
编辑SSLVPN界面进入SSL界面设置,新建SSLVPN界面(或使用系统自带默认界面),输入名称及选中web访问sslvpn时所需的应用确认.
编辑界面,选择web方式需要使用的应用北京市海淀区北四环西路52号中芯大厦12层电话:(010)629603763.
4.
建立SSLVPN策略进入防火墙-->策略,新建一条防火墙策略,源接口是外网接口,源地址可以是SSL的地址或者任意,目的接口是服务器所连接的接口,目的地址可以是只能允许访问的服务器地址段或任意服务器地址,模式是:SSL-VPN,然后添加SSL认证组,选择之前建立的SSLVPN类型的用户组就可以了,具体如下图显示:北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376如果没用数字证书,请不要勾选SSL客户端认证限制FortiGate防火墙模式使用的SSLVPN的端口是10443,这样,就可以从外网通过https://防火墙外网口地址:10443登陆到防火墙Web模式的SSLVPN入口,通过防火墙认证后使用SSLVPN访问内网服务器资源了.
3.
5.
登陆SSLVPNWeb模式后的界面北京市海淀区北四环西路52号中芯大厦12层电话:(010)629603764.
隧道模式配置隧道模式的SSLVPN可在之前的web模式配置基础上继续配置.
4.
1.
编辑通道模式打开Web浏览器登陆防火墙,进入虚拟专网-->SSL-->界面,选中界面添加TunnelMode部件;(full-access和tunnel-access默认包含tunnlemode部件)如需使用通道模式,请确认当前界面中有Tunnelmode的部件,参考下图:FortiGate防火墙还支持另外一种方式的隧道模式SSLVPN叫做通道分割方式(SplitTunnel),这种模式下,客户端在SSLVPN隧道启动的时候只会在客户端虚拟出一条到达SSLVPN服务器方向的一条静态路由,系统原来的默认网关不会被更改,这样的话从客户端发起的连接只有连向SSLVPN服务器端北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376路由时才会通过SSLVPN隧道传送到防火墙,其它的所有非SSLVPN应用的数据包仍然会通过客户端系统原来的网关转发,以达到通道分割的目的4.
2.
隧道模式的策略防火墙移用隧道模式SSLVPN之后,系统会虚拟出一个"sslvpn隧道接口",所有使用SSL隧道模式的流量都相当于进出此SSLVPN接口,对应的ssl.
root接口可以在防火墙-->策略里面找到.
进入防火墙-->策略,点击"新建"按钮新建一条防火墙策略,按如下配置设置:1.
源接口:sslvpn隧道接口2.
源地址:SSL隧道模式分配的通道IP范围3.
目的接口:服务器所在的接口4.
目的地址:允许SSLVPN客户端访问的服务器资源等5.
时间表:根据需要配置6.
服务:允许SSLVPN客户端访问的服务器服务7.
模式:ACCEPT8.
NAT等所有其他选项可以根据具体需要配置北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376具体参加下图示配置:此处动作为ACCEPT如果有反向的从服务器端到SSLVPN客户端的访问需求的话,可以同时建立一条方向的防火墙策略以允许服务器到客户端的访问,如下图示:4.
3隧道模式的静态路由北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376防火墙虚拟的"ssl.
root"接口时不会自动创建目ssl路由,所以需要手工添加一条目的地址是SSLVPN虚拟接口通道IP地址范围的静态路由,如下图示:4.
4启用隧道模式从外网通过https://防火墙外网口地址:10443登陆到防火墙Web模式的SSLVPN入口,进入到SSLVPNWeb模式界面下面,如下图显示:安装SSLClient后,北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376点击左上角的"激活SSL-VPN通道模式",如下图显示:可以看到"LinkStatus"显示成"Up",并且有显示通过SSLVPN隧道收发的字节数,同时会在客户端操作系统里面虚拟出一个Fortinet的网络连接来,表示SSLVPN隧道已经建立并且可以被客户端使用了.
5.
SSLVPN客户端我们同时提供Windows、Linux和Mac版本的SSLVPN客户端软件,具体如下详细描述.
北京市海淀区北四环西路52号中芯大厦12层电话:(010)629603765.
1.
Windows下面的SSLVPN客户端Windows版本的SSLVPN客户端有2种格式安装包可以选择,分别是.
msi和.
exe.
在通过浏览器登陆到防火墙Web模式的SSLVPN界面里面去下载,登陆上Web模式后防火墙会检测客户端机器是否已经安装了SSLVPN客户端软件,如果没有安装或安装的SSLVPN客户端版本太低的话,登陆过后的Web模式界面里面会有提示要求用户下载新版本的SSLVPN客户端软件安装,并有下载地址.
用户需要退出Web模式的SSLVPN界面才可以启动SSLVPN客户端软件,界面如下:SSLVPN客户端软件同时支持用户名密码+证书的认证方式,如果在"虚拟专网-->SSL-->设置"里面启用了"要求客户端认证"的话,隧道模式登陆时候必北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376须同时提供客户证书才能通过防火墙的认证,这个证书可以打开IE浏览器,进入到工具-->Internet选项-->内容-->证书里面导入客户端正式,之后再打开SSLVPN客户端软件时可以自动选上之前从IE浏览器里面导入的证书.
如果没有启用"要求客户端认证"的话和Web模式下认证是一样的只需要提供用户名和密码就可以了.
5.
2Linux/Mac下面的SSLVPN客户端Linux/Mac环境下面不支持Web模式的SSLVPN登陆方式,只能通过SSLVPN客户端软件登陆SSLVPN,同时也不支持自动客户端软件安装检测和从防火墙Web模式的界面里面下载SSLVPN客户端软件,只能从support.
fortinet.
com网站里面下载.
如下显示Linux环境下SSLVPN客户端登陆界面:同时,如果要是证书认证方式,客户端证书只能手工上传到客户端上.
客户端可北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376以通过代理服务器和防火墙建立SSLVPN隧道,打开"AdvancedSetting"可以配置代理服务器等设置,如下显示:6.
SSLVPN监视器通过虚拟专网-监视器-SSL-VPN监视器可以查看连接至防火墙上的VPN隧道状态信息北京市海淀区北四环西路52号中芯大厦12层电话:(010)629603767.
常用的SSLVPN诊断命令1.
diagdebugendiagdebugapplicationsslvpn-12.
diagsnifferpacketany'port10443'4