【簡(jiǎn)介】SSL VPN可以讓公司員工遠(yuǎn)程訪問(wèn)公司內(nèi)網(wǎng)的服務(wù)器，發(fā)現(xiàn)有些國(guó)外IP也在嘗試登錄SSL VPN，領(lǐng)導(dǎo)要求，只允許國(guó)內(nèi)IP可以登錄SSL VPN，如何解決這個(gè)問(wèn)題？

?SSL VPN配置條件

　　要想成功的配置SSL VPN，首先需要有一條可以遠(yuǎn)程訪問(wèn)的寬帶，然后是驗(yàn)證用的用戶名和密碼，以及需要訪問(wèn)的IP網(wǎng)段。

　　① 不管是ADSL寬帶還是固定IP寬帶，都需要有一個(gè)公網(wǎng)IP地址。并且該公網(wǎng)IP地址要能遠(yuǎn)程訪問(wèn)。測(cè)試是否通遠(yuǎn)程訪問(wèn)的方法很簡(jiǎn)單，就是在管理訪問(wèn)啟用PING。

　?、?然后在外網(wǎng)PING該公網(wǎng)IP地址，如果能PING通，說(shuō)明可以遠(yuǎn)程訪問(wèn)。有些撥號(hào)寬帶得到的是100.64開頭的IP地址，這些地址無(wú)法在公網(wǎng)上PING通，也就無(wú)法遠(yuǎn)程。

　　③ 如果是ADSL撥號(hào)寬帶，且獲得的公網(wǎng)IP可以遠(yuǎn)程，那么可以選擇菜單【網(wǎng)絡(luò)】-【DNS】，創(chuàng)建FortiGuard DDNS，?如果是固定IP，就不需要這個(gè)步驟。

　　④?FortiGuard DDNS允許設(shè)置一個(gè)固定的域名，將接口IP和域名綁定。只要訪問(wèn)域名，就會(huì)解析成綁定的IP地址。我們知道ADSL撥號(hào)寬帶獲得的公網(wǎng)IP會(huì)經(jīng)常改變，每次公網(wǎng)IP改變后，F(xiàn)ortiGuard會(huì)將最新的IP和域名重新綁定，這樣只要對(duì)域名進(jìn)行訪問(wèn)，即使公網(wǎng)IP改變也沒有影響。

　?、?登錄SSL VPN時(shí)需要進(jìn)行身份驗(yàn)證，建立用戶組，可以將多個(gè)用戶加入用戶組中，對(duì)用戶組進(jìn)行權(quán)限分配。如果權(quán)限不同，也可以創(chuàng)建多個(gè)用戶組。

　?、?創(chuàng)建用戶，用戶可以是本地用戶也可以是遠(yuǎn)程用戶，將新建的用戶加入用戶組。

　?、?將需要遠(yuǎn)程訪問(wèn)的IP網(wǎng)段創(chuàng)建地址對(duì)象。

　?、?如果SSL VPN要訪問(wèn)的IP網(wǎng)段比較多，也可以創(chuàng)建地址組，將多個(gè)要訪問(wèn)的IP網(wǎng)段加入地址組。到目前為止，所有的準(zhǔn)備工作就都完成了。

??SSL VPN門戶

　　當(dāng)所有配置條件都OK后，就可以配置SSL VPN門戶了。

　?、?選擇菜單【VPN】-【SSL-VPN門戶】，full-access包含隧道和Web兩種模式，tunnel-access只包含隧道模式，由于Web模式不是很安全，推薦使用隧道模式。選擇【tunnel-access】，點(diǎn)擊【編輯】。

　　②?由于只允許訪問(wèn)內(nèi)網(wǎng)的服務(wù)器，隧道分割選擇【基于策略目標(biāo)啟用】，也就是說(shuō)在防火墻策略的目標(biāo)地址中，需要填寫具體要訪問(wèn)的IP地址。隧道分離地址選擇前面創(chuàng)建的地址組，也就是說(shuō)，只允許地址組的這些IP通過(guò)SSL VPN隧道。源IP地址為默認(rèn)的地址對(duì)象，內(nèi)容是SSL VPN撥號(hào)后自動(dòng)生成的IP的地址。地址對(duì)象內(nèi)容可以修改。

　?、?還用一種情況，就是SSL VPN撥號(hào)后，客戶端所有流量都走SSL VPN隧道，包括上網(wǎng)流量。這樣可以通過(guò)防火墻走防火墻上的寬帶上網(wǎng)。這種情況門戶里的隧道分割選擇【禁用】，這也是默認(rèn)選項(xiàng)。

??SSL VPN設(shè)置

　　SSL VPN門戶配置好后，就可以進(jìn)行下一步了。

　　① 選擇菜單【VPN】-【SSL-VPN設(shè)置】，選擇寬帶接口，可以同時(shí)選擇多個(gè)寬帶接口，分別通過(guò)多個(gè)寬帶接口撥入。默認(rèn)監(jiān)聽端口是443，會(huì)和防火墻的默認(rèn)https端口沖突，建議修改，常見的有8443、10443。服務(wù)器證書選擇默認(rèn)內(nèi)置證書。記住一定要選擇，不然連接會(huì)報(bào)錯(cuò)。

　　②?限制訪問(wèn)選擇【特定主機(jī)有限訪問(wèn)】，主機(jī)選擇基于IP地理位置數(shù)據(jù)庫(kù)的地理地址對(duì)象CHINA，關(guān)于地理地址對(duì)象參考其它文章。只樣只有國(guó)內(nèi)IP網(wǎng)段才可以撥入。如果要走SSL VPN隧道上網(wǎng)，而上網(wǎng)DNS與本地上網(wǎng)DNS不同，就需要配置DNS服務(wù)器。

　　③?在認(rèn)證/門戶映射，將用新創(chuàng)建的用戶組SSL_VPN_Users和修改的門戶tunnel-access進(jìn)行映射。其它用戶組也和tunnel-access映射。這樣設(shè)置就完成了

??SSL VPN訪問(wèn)策略

　　SSL VPN門戶和設(shè)置完成后，就可以配置訪問(wèn)策略了。

　?、?創(chuàng)建新的策略，SSL VPN配置完成后，在接口里會(huì)多出一個(gè)SSL-VPN tunnel interface (ssl.root) 虛擬接口?？梢栽诓呗缘牧魅虢涌诤土鞒鼋涌谝谩腟SL-VPN隧道進(jìn)來(lái)的流量，需要訪問(wèn)防火墻時(shí)，必須同時(shí)經(jīng)過(guò)自動(dòng)生成的IP地址和用戶驗(yàn)證。目標(biāo)地址選擇允許訪問(wèn)的內(nèi)網(wǎng)服務(wù)器地址組，限制訪問(wèn)范圍。

　?、?如果SSL VPN門戶里隧道分割選擇了【禁用】，那么客戶端所有流量都會(huì)進(jìn)入SSL VPN隧道，在客戶端創(chuàng)建SSL VPN隧道訪問(wèn)寬帶的策略，那么客戶端就可以通過(guò)防火墻上的寬帶上網(wǎng)了。

??FortiClient客戶端

　　SSL VPN在防火墻上的所有配置都完成了。下一步需要在客戶端安裝及配置FortiClient。

　　① 可以在?https://www.fortinet.com/support/product-downloads#vpn 網(wǎng)址下載FortiClient VPN客戶端。?由于服務(wù)器在國(guó)外，下載速度會(huì)比較慢。

　?、?也可以在 https://support.fortinet.com 網(wǎng)站中下載，前提是需要有注冊(cè)帳號(hào)，并注冊(cè)了防火墻設(shè)備，且設(shè)備在服務(wù)期內(nèi)。

　　③?FortiClient支持多種平臺(tái)，也有多個(gè)版本，其中FortiClientVPN僅支持SSL VPN和IPsec VPN功能，如果我們只用于SSL VPN撥號(hào)，可以選擇這個(gè)版本。x64表示支持64位的操作系統(tǒng)。

　?、?這里以Mac平臺(tái)為例，下載并安裝啟動(dòng)FortiClient VPN，首頁(yè)顯示歡迎信息，鉤選【我承認(rèn)這個(gè)自由軟件不附帶任何產(chǎn)品支持。對(duì)于使用此免費(fèi)軟件時(shí)遇到的任何問(wèn)題，我不會(huì)聯(lián)系Fortinet技術(shù)支持。】，點(diǎn)擊【我接受】。

　?、?點(diǎn)擊【配置VPN】。

　?、?輸入自定義的連接名，遠(yuǎn)程網(wǎng)關(guān)填寫FortiGuard DDNS里配置的域名，如果是固定IP，直接填寫IP地址。由于端口已經(jīng)從443改為10443，這里鉤選擇【自定義端口】，將443改為10443，點(diǎn)擊【保存】。注意這里一定要鉤選【自定義端口】，不然直接改端口號(hào)是無(wú)效的。

　　⑦?輸入前面創(chuàng)建的用戶和密碼，點(diǎn)擊【連接】。

　?、?顯示無(wú)效服務(wù)器證書提示，這里忽略，點(diǎn)擊【Continue】。

　　⑨?顯示連接成功介面，這里客戶端FortiClient獲得的IP地址是由防火墻上的SSLVPN_TUNNEL_ADDR1地址對(duì)象分配的。

　　⑩?因?yàn)榉阑饓ι蟿?chuàng)建了SSL VPN虛擬接口訪問(wèn)Internal接口的策略，這里可以從客戶端的電腦Ping通防火墻的Internal接口，也就能遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)下的服務(wù)器了。

　　??如果客戶端的外網(wǎng)IP不匹配地理地址對(duì)象CHINA，也就是非國(guó)內(nèi)IP，那么同樣的配置發(fā)起連接后，顯示報(bào)錯(cuò)提示，無(wú)法連接成功。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-805577.html

到了這里，關(guān)于【隧道篇 / SSL】(7.4) ? 01. 只允許國(guó)內(nèi)IP通過(guò)SSL VPN訪問(wèn)內(nèi)網(wǎng) ? FortiGate 防火墻的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！