【簡介】直接將內網服務器映射成公網IP，可以方便的從任何地方訪問服務器的指定端口，但是這種方式下，服務器是公開且暴露的。那有沒有即方便、又比較安全的遠程訪問服務器的方法呢？我們來看看SSL VPN的Web模式。

??SSL VPN介紹

　　從概念角度來說，SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來實現遠程接入的一種新型VPN技術。SSL協(xié)議是網景公司提出的基于WEB應用的安全協(xié)議，它包括：服務器認證、客戶認證（可選）、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對于內、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。

　　SSL VPN與傳統(tǒng)的IPSec VPN技術各具特色，各有千秋。SSL VPN比較適合用于移動用戶的遠程接入（Client-Site），而IPSec VPN則在網對網（Site-Site）的VPN連接中具備先天優(yōu)勢。這兩種產品將在VPN市場上長期共存，優(yōu)勢互補。

　　在產品的表現形式上，兩者有以下幾大差異：

　　1、IPsec VPN多用于“網—網”連接，SSL VPN用于“移動客戶—網”連接。SSL VPN的移動用戶使用標準的瀏覽器，無需安裝客戶端程序，即可通過SSL VPN隧道接入內部網絡；而IPSec VPN的移動用戶需要安裝專門的IPSec客戶端軟件。

　　2、SSL VPN是基于應用層的VPN，而IPsec VPN是基于網絡層的VPN。IPsec VPN對所有的IP應用均透明；而SSL VPN保護基于Web的應用更有優(yōu)勢，當然好的產品也支持TCP/UDP的C/S應用，例如文件共享、網絡鄰居、Ftp、Telnet、Oracle等。

　　3、SSL VPN用戶不受上網方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打開UDP500端口。

　　4、SSL VPN只需要維護中心節(jié)點的網關設備，客戶端免維護，降低了部署和支持費用。而IPSec VPN需要管理通訊的每個節(jié)點，網管專業(yè)性較強。

　　5、SSL VPN 更容易提供細粒度訪問控制，可以對用戶的權限、資源、服務、文件進行更加細致的控制，與第三方認證系統(tǒng)（如：radius、AD等）結合更加便捷。而IPSec VPN主要基于IP組對用戶進行訪問控制。

　　SSL VPN有兩種模式：

　　Web代理模式：FortiGate將來自遠端瀏覽器的頁面請求轉發(fā)給Web服務器，然后將服務器的響應回傳給終端用戶。

　　隧道模式：需要下載運行的客戶端支持?？蛻舳撕虵ortiGate設備建立SSL隧道后，FortiGate為客戶端分配IP，客戶端通過建立的虛接口直接通過SSL隧道連接到內部網絡。

　　通過對SSL VPN兩種模式的比較，Web代理模式的優(yōu)點是只需要Web瀏覽器就可以直接訪問，缺點是因為瀏覽器的限制，可以訪問的協(xié)議有限。隧道模式缺點是需要安裝FortiClient客戶端，操作略為復雜，但優(yōu)點是可以運行所有協(xié)議。.

　　即然我們是要即方便，又安全的遠程訪問，那么不安裝客戶端，直接用瀏覽器訪問，是我們的首選。?

?實驗要求與環(huán)境

　　OldMei集團深圳總部部署了一臺服務器，用來對所有內網的設備進行管理。為了方便管理員在任何位置都能訪問，啟用了遠程桌面功能。管理員已經通過映射內網服務器到公網IP，實現了遠程訪問服務器的功能，但是感覺這種方式不安全，希望用一種即方便，又安全的方式進行遠程訪問。

　　根據前面文章的介紹，我們已經在桌面上創(chuàng)建了模擬遠程訪問平臺。這里不再敘述。

　　管理員在家里將筆記本電腦配置為家中寬帶上網。

　　通過公網IP，遠程登錄深圳總部防火墻。?

??配置用戶與用戶組

　　SSL VPN之所以更加安全，是因為可以對所有訪問用戶進行身份驗證。所以，在配置SSL VPN之前，我們需要先建立驗證用戶。

　?、?通常我們會創(chuàng)建用戶組，將多個功能相同的用戶加入到用戶組中。選擇菜單【用戶與認證】-【用戶組】，點擊【新建】。

　?、?輸入用戶組名，建議用下劃線隔開。默認類型為【防火墻】，點擊【確認】。

　　③ 新用戶組創(chuàng)建好了，下面就是創(chuàng)建用戶了。

　?、?選擇菜單【用戶與認證】-【設置用戶】，點擊【新建】。

　?、?默認選擇【本地用戶】，點擊【下一步】。

　?、?輸入新的用戶名和密碼，點擊【下一步】。

　?、?雙因子認證是輸入兩次密碼認證，目前我們還不需要，默認是禁用的，點擊【下一步】。

　　⑧ 用戶帳戶狀態(tài)默認是【啟用】，以后不用這個用戶了，可以不刪除，只需要用戶帳戶狀態(tài)選擇【禁用】就可以了。啟用【用戶組】，選擇我們前面創(chuàng)建的SSL_VPN_User用戶組。

　?、?一個用戶組可以加入多個用戶，同樣，一個用戶也可以加入多個用戶組，點擊【提交】。

　?、?用戶列表顯示新建的用戶信息，可以重復相同步驟，創(chuàng)建多個用戶。

??配置地址與地址組

　　除了創(chuàng)建驗證用戶與用戶組之外，我們還要限制SSL VPN對內網的訪問，通過地址與地址組來實現。

　　① 通常我們會創(chuàng)建地址組，將多個地址對象加入到地址組中。這樣的話，所有的操作只引用地址組，地址組內地址對象的增加和刪除，不會對配置造成大的修改。選擇菜單【策略&對象】-【地址】，點擊【新建】-【地址】。

　　② 輸入地址對象名稱，不要用中文，因為在后期如果需要用命令操作時，會顯示亂碼。這里輸入域服務器的IP地址，注意要加子網掩碼。接口是用來過濾地址對象的，當地址對象非常多的時候，可以通過選擇接口，快速過濾出只屬于接口的地址對象。建議養(yǎng)成添加注釋的習慣，方便理解。注釋可用中文。

　?、?地址對象創(chuàng)建好后，點擊【新建】-【地址組】。當然也可以先建地址組，再建地址對象。

　?、?由于我們創(chuàng)建地址對象時，將IP和接口捆綁了，所以創(chuàng)建地址組時，也根據接口創(chuàng)建，不要將其它接口的地址對象，加入不同的接口組。正確操作是將所有DMZ接口下的服務器IP地址對象，加入同一個地址組。

　?、?在地址組列表，可以看到剛才創(chuàng)建的地址組對象。接口為DMZ。

??配置SS-VPN門戶與SSL-VPN設置

　　用戶組和地址組都創(chuàng)建完成，就可以配置SSL了，首先，我們要配置SSL門戶。

　?、?選擇菜單【VPN】-【SSL-VPN門戶】，可以看到默認有三個，一個是Web模式，一個是隧道模式，一個是兩者兼有。隧道模式需要安裝FortiClient客戶端，比較麻煩，我們先測試Web模。選擇【web-access】，點擊【編輯】。

　?、?這個門戶設置，關閉了隧道模式，啟用了Web模式。這里我們保留默認設置。

　　③ 當我們需要經常用Web瀏覽器通過SSL訪問內網時，希望有一些快捷方式，不用每次進行輸入，點開即可。這就是書簽的作用。暫時不做修改，點擊【取消】退出。

　?、?選擇菜單【SSL-VPN設置】，首先需要選擇寬帶接口，即允許從哪個接口撥入到防火墻，可以選擇多個寬帶接口。SSL VPN監(jiān)聽端口默認為443，但是這和防火墻的管理端口相同，所以需要修改一下端口號，通常設置為8443或10443。

　　大家猜一猜，如果，防火墻的管理端口443和SSL VPN默認端口443都不修改的話，啟動了SSL VPN會怎么樣？顯示的將會是SSL VPN登錄界面，你再也無法登錄防火墻了。

　　服務器證書選擇FortiGate防火墻自帶的。這里記得一定要選擇，不能為空。

　?、?我們可以限制SSL VPN撥入的IP，這樣只有管理員能從家里的寬帶撥入。其它地方都不行。也可以配置空閑登出時間，防止長時間在線。

　　另外，隧道模式根據默認的地址對象生成一個IP，以生成的IP來訪問防火墻內部。這個在策略配置時會看到。

　?、?認證/門戶映射這個是必需填的。點擊【新建】。

　?、?這里就用到了我們一開始創(chuàng)建的用戶組了。用戶是通過Web訪問認證。

　?、?很多人配置到這里，就直接點了【應用】，但是沒有通過。因為還少設置一樣，全部其他用戶/組，是必須設置的，點擊【尚未設置】。

　?、?選擇最簡單的【web-access】門戶，點擊【確認】。

　?、?配置完認證/門戶映射，點擊【應用】。 SSL-VPN設置就配置完了。

??配置SS-VPN策略

　　SSL-VPN設置配置完后，還需要配置SSL-VPN策略。

　　① SSL-VPN設置配置完后，在界面的最上方，會提示還需創(chuàng)建SSL-VPN策略，點擊鏈接。

　?、?SSL-VPN設置完成，防火墻會創(chuàng)建一個專用SSL-VPN虛擬接口，策略的流入接口就是這個虛擬接口ssl.root。流出接口選擇服務器所在接口DMZ，SSL-VPN默認使用【SSLVPN_TUNNEL_ADDR1】地址對象生成撥號后的IP。所以源地址需要選擇這個地址對象，后面配置我們還會經常碰到，現在沒理解沒關系。

　?、?SSL VPN策略的源地址比較特殊，除了限制IP地址外，還要強制用戶認證，需要再加入在SSL-VPN設置里的用到的用戶組，達到這兩個條件才能通過。

　?、?為了限制SSL VPN撥號進來訪問的內容，目標地址就起到作用了。這里只允許訪問指定服務器IP。

　?、?前面我們配置策略的時候，已經了解到服務即端口，在這里控制開放哪些端口，由于Web瀏覽器支持的端口數有限，這里我們選擇【ALL】。建議在配置策略時，服務先選擇【ALL】，當所有內容配置完成并通后，再進行修改，更細粒度的控制通過的流量。一開始就控制很嚴格，排錯會非常麻煩。這里NAT不要啟用。其它設置保持默認，點擊【確認】，SSL VPN策略就建好了。

??驗證效果

　　SSL-VPN門戶、設置和策略都配置完后，就可以用瀏覽器登錄SSL VPN了。

　?、?SSL-VPN設置界面會顯示Web模式訪問的地址，點擊鏈接，或打開瀏覽器輸入此鏈接。

　　②?顯示和初次登錄防火墻一樣的提示，但地址后面有端口號10443，和登錄防火墻是有區(qū)別的。點擊【高級】。

　?、?點擊【繼續(xù)前往218.253.83.14 (不安全)】。

?　　④ 出現登錄提示，為了區(qū)別與防火墻的登錄，特意用了不同的顏色。而且下面還多了一個【啟動FortiClient】。這里輸入我們創(chuàng)建的用戶名和密碼。

?　?、?出現這個窗口，表示SSL VPN Web登錄成功。點擊【快速連接】。

　?、?快速連接顯示了一些常用的功能，也就是SSL VPN Web模式所支持的協(xié)議。我們先來測試一下是否可以Ping通10.10.10.254這臺服務器。

　　⑦?顯示成功信息，說明服務器IP可以Ping通。為什么我們在家中的瀏覽器，也能ping通遠程防火墻內部的服務器IP？那是因為瀏覽器通過SSL VPN驗證，生成了防火墻內部IP，所以也就能訪問內部的服務器了。

　?、?為數不多的協(xié)議里，竟然支持RDP遠程桌面訪問。配置好參數，點擊【開始】。注意，安全設置那里要選擇【Network Level Authentication.】。

　?、?遠程桌面連接成功，我們可以在瀏覽器上控制遠端的服務器了。

　　⑩ 換一個操作系統(tǒng)，是不是也會成功呢？這里我們換一臺蘋果電腦試試。

　　? 用iMac電腦也成功的進入了遠程桌面。文章來源地址http://www.zghlxwxcb.cn/news/detail-618466.html

到了這里，關于實驗篇(7.2) 05. 通過瀏覽器訪問遠端內網服務器 (SSL) ? 遠程訪問的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！