【簡(jiǎn)介】SSL VPN Web模式下，只通過瀏覽器就可以訪問遠(yuǎn)程內(nèi)網(wǎng)，省去了安裝客戶端的煩惱，缺點(diǎn)的是支持的協(xié)議不多。FortiOS 7.4版本還支持走對(duì)方寬帶上網(wǎng)。讓我們來驗(yàn)證一下這個(gè)功能。

?配置寬帶

　　在配置SSL VPN之前，我們需要做一些準(zhǔn)備工作。

　?、?防火墻固件版本為7.4.2。

　?、?將寬帶接入WAN1接口。選擇菜單【網(wǎng)絡(luò)】-【接口】，選擇wan1接口，點(diǎn)擊【編輯】。

　　③ 為了驗(yàn)證效果，這里wan1接口連接是路由器。通過DHCP獲得IP地址、網(wǎng)關(guān)及DNS等。實(shí)際使用環(huán)境一般連接是ADSL撥號(hào)寬帶或固件IP寬帶，獲得或配置的公網(wǎng)IP要能遠(yuǎn)程訪問。

　?、?DHCP和ADSL撥號(hào)寬帶都會(huì)自動(dòng)生成默認(rèn)路由，因此不需要手動(dòng)創(chuàng)建靜態(tài)路由，只有配置固定IP寬帶時(shí)，才需要手動(dòng)配置默認(rèn)路由。

　　⑤ 選擇菜單【儀表板】-【網(wǎng)絡(luò)】，查看路由小部件，可以看到wan1口自動(dòng)生成的默認(rèn)路由。ADSL撥號(hào)寬帶也會(huì)自動(dòng)生成默認(rèn)路由。

　?、?選擇菜單【網(wǎng)絡(luò)】-【DNS】，當(dāng)寬帶為DHCP或ADSL撥號(hào)時(shí)，這里會(huì)顯示【動(dòng)態(tài)獲得DNS服務(wù)器】，注意這里重要。因?yàn)榉阑饓ψ鲇蛎馕鰰?huì)用到。

??配置用戶和用戶組

　　SSL VPN登錄時(shí)需要驗(yàn)證用戶名和密碼，所以需要在防火墻上預(yù)先配置。

　　①?用戶和用戶組的配置可以不分先后，這里我習(xí)慣先配置用戶組。選擇菜單【用戶與認(rèn)證】-【用戶組】，點(diǎn)擊【新建】。

　　②?輸入自定義的用戶組名，點(diǎn)擊【確認(rèn)】，這樣一個(gè)空的用戶組就創(chuàng)建好了。

　　③?選擇菜單【用戶與認(rèn)證】-【設(shè)置用戶】，點(diǎn)擊【新建】。

　?、?用戶類型默認(rèn)為【本地用戶】，點(diǎn)擊【下一步】。

　?、?輸入自定義的用戶名和密碼，點(diǎn)擊【下一步】。

　?、?聯(lián)系人信息保持默認(rèn)，不要啟用【雙因子認(rèn)證】，點(diǎn)擊【下一步】。

　?、?啟用【用戶組】，選擇剛才創(chuàng)建的【SSL_VPN_Users】用戶組，點(diǎn)擊【提交】，新用戶就創(chuàng)建好了，并加入了SSL VPN用戶組。如果要?jiǎng)?chuàng)建多個(gè)用戶，重復(fù)上述步驟即可。

??配置SSL VPN門戶

　　對(duì)于SSL VPN門戶，F(xiàn)ortiOS 7.4版本和以前的版本相比有很多不同之處。

　　① 點(diǎn)擊菜單【VPN】，在子菜單中并沒看到我們熟悉的SSL VPN菜單，這是因?yàn)镕ortiOS 7.4將力推更安全的ZTNA，那如果仍然想使用SSL VPN怎么辦？?

　?、?選擇菜單【系統(tǒng)管理】-【可見功能】，啟用【SSL-VPN】，點(diǎn)擊【應(yīng)用】。

　?、?再次查看VPN菜單，可以看到有了SSL VPN子菜單，點(diǎn)擊【SSL-VPN門戶】，可以看到默認(rèn)門戶只有兩個(gè)，而以前版本還有一個(gè)web-access。點(diǎn)擊【新建】。

　　④ 新建SSL-VPN門戶內(nèi)容里，也沒有以前熟悉的Web模式。這是因?yàn)閃eb模式相對(duì)來說安全級(jí)別不高，被新版本關(guān)閉了。

　?、?在命令窗口下使用命令 config system global, set ssl-vpn-web-mode enable 啟用SSL VPN的Web模式，end保存并退出。

　　⑥?選擇菜單【VPN】-【SSL-VPN門戶】，可以看到熟悉的web-access又出現(xiàn)了，選擇【web-access】，點(diǎn)擊編輯。

　?、?新版本出于安全原因，不建議使用SSL VPN Web模式。這里保持默認(rèn)配置，不做修改。

??配置SSL VPN設(shè)置

　　下一步進(jìn)行SSL VPN設(shè)置。

?　?、?選擇菜單【VPN】-【SSL-VPN設(shè)置】，接口選擇前面配置好的【wan1】，監(jiān)聽端口默認(rèn)是443，會(huì)和防火墻的HTTPS管理端口號(hào)沖突，這里需要修改一下。

　?、?監(jiān)聽端口改為【10443】，當(dāng)然也可以改成其它數(shù)字。點(diǎn)擊【服務(wù)器證書】右邊下拉按鈕，彈出菜單選擇【Fortinet_Factory】，服務(wù)器證書可以用防火墻自帶的，也可以使用自定義的證書，必須選擇，不能空白，否則后面會(huì)報(bào)錯(cuò)。

　?、?【限制主機(jī)有限訪問】可以對(duì)源IP進(jìn)行限制，例如只允許國(guó)內(nèi)IP訪問，或只允許家中寬帶訪問。【空閑登錄】默認(rèn)300秒沒有操作，就退出SSL VPN。這里都保持默認(rèn)配置。

　　④ 在認(rèn)證/門戶映射點(diǎn)擊【新建】。

　　⑤ 用戶/組選擇前面創(chuàng)建的【SSL_VPN_Users】用戶組，門戶選擇【web-access】。點(diǎn)擊【確認(rèn)】。

　　⑥ 映射創(chuàng)建成功，注意【全部其它用戶/組】，門戶為【尚未設(shè)置】，這個(gè)一定要設(shè)置，不然配置無法完成，點(diǎn)擊【尚未設(shè)置】，選擇一個(gè)門戶。

　?、?建議選擇功能最少的【web-access】，全部設(shè)置完成，點(diǎn)擊【應(yīng)用】。

??配置SSL VPN策略

　　SSL VPN門戶和SSL VPN設(shè)置都配置完后，下一步就是配置SSL VPN的策略了。

　?、?選擇菜單【策略&對(duì)象】-【防火墻策略】，可以看到目前只有一條隱式拒絕策略，沒有其它策略。點(diǎn)擊【新建】。

　?、?SSL VPN會(huì)自動(dòng)創(chuàng)建一個(gè)虛擬接口，進(jìn)入流量都是通過這個(gè)虛擬接口表達(dá)。創(chuàng)建一條SSL VPN虛擬接口走wan1口上網(wǎng)的策略，和普通接口上網(wǎng)策略的不同的是，源這里做了兩次驗(yàn)證，一個(gè)是驗(yàn)證IP地址，另一個(gè)是用戶名和密碼，兩者必須都滿足才能匹配策略。

　?、?為了查看流量的情況，這里我們將日志記錄允許流量更改為【全部會(huì)話】。正常運(yùn)行后不建議選擇【全部會(huì)話】，因?yàn)榇罅可扇罩緯?huì)占系統(tǒng)資源。

　?、?SSL VPN訪問寬帶接口的策略就創(chuàng)建好了，注意最后面的字節(jié)數(shù)為0B。

??驗(yàn)證效果

　　下面我們將模仿從外網(wǎng)通過SSL VPN Web模式登錄，以驗(yàn)證是否可以通Web模式上網(wǎng)。

　?、?將電腦網(wǎng)卡接入路由器，只配置IP地址和子網(wǎng)掩碼，不配置網(wǎng)關(guān)和DNS，那么這臺(tái)電腦確認(rèn)是無法上網(wǎng)的。

　?、?在SSL VPN設(shè)置界面中，可以看到Web模式訪問的完整地址。

　　③ 瀏覽器輸入地址 https://172.16.200.2:10443，顯示登錄界面，輸入創(chuàng)建的用戶名和密碼，點(diǎn)擊【登錄】。

　?、?快速連接默認(rèn)是HTTP/HTTPS，輸入域點(diǎn)，例如 baidu.com ，點(diǎn)擊【Launch now】。

　?、?竟然打開了百度網(wǎng)站，要知道此時(shí)電腦只配置了IP地址和子網(wǎng)掩碼，沒有配置網(wǎng)關(guān)和DNS，是不可能上網(wǎng)的。

　?、?查看瀏覽器訪問地址，可以證實(shí)是由防火墻后的寬帶上網(wǎng)的。

　?、?同樣的方法訪問IP地址查詢網(wǎng)站，例如ip138.com，可以看到最終上網(wǎng)IP是來自路由器上的寬帶。

　?、?雖然可以通過瀏覽器走遠(yuǎn)程防火墻上網(wǎng)，但是訪問不同的網(wǎng)站只能在SSL VPN Portal上輸入域名，不過對(duì)經(jīng)常訪問的網(wǎng)站可以建立書簽。

　　⑨ 點(diǎn)擊【Create new bookmark】，可以創(chuàng)建書簽。

　?、?點(diǎn)擊書簽就可以直接打開網(wǎng)站，不用再輸入域名了。是不是很方便？

??進(jìn)階

　　愿意動(dòng)腦子的可以再進(jìn)行深入研究，這里拋個(gè)磚。

　?、?由于在配置SSL VPN虛擬接口上網(wǎng)策略時(shí)啟用了記錄全部日志，因此選擇菜單【日志&報(bào)表】-【轉(zhuǎn)發(fā)流量】，可以看到日志內(nèi)容顯示，用戶wenwen訪問baidu.com，走的是wan1口，匹配第一條策略。

　　②?回到策略列表，可以看到，明明已經(jīng)上網(wǎng)產(chǎn)生了流量，但是策略最后面的字節(jié)數(shù)仍然為0B，有誰知道這是為什么？

　?、?現(xiàn)在我們?cè)倌M固定IP寬帶，wan1接口配置靜態(tài)IP。

　　④?再創(chuàng)建一條默認(rèn)靜態(tài)路由。

　?、?再回到DNS設(shè)置頁面，【動(dòng)態(tài)獲取DNS服務(wù)器】已經(jīng)不在再顯示了。防火墻自身的解析工作由默認(rèn)的96.45.45.45、96.45.46.46完成。

　　⑥ 再次SSL VPN登錄，訪問其它網(wǎng)站。

　　⑦ 除了少部分網(wǎng)站外，大部分網(wǎng)站都無法打開。原因是DNS解析失敗。

　?、?再次回到DNS設(shè)置界面，將DNS服務(wù)器設(shè)置為【設(shè)置】，主DNS服務(wù)器輸入寬帶本身的DNS IP地址，備服務(wù)器輸入通用的DNS IP地址。注意DNS協(xié)議要啟用【DNS (UDP/53)】，這樣我們輸入的DNS IP才能起作用。

　　⑨ 再次訪問相同的網(wǎng)址，就可以正常打開了。

　　【總結(jié)】SSL VPN Web模式下只用瀏覽器，就可以遠(yuǎn)程登錄防火墻，并通過防火墻上的寬帶上網(wǎng)，雖然只支持HTTP和HTTPS協(xié)議，但是無需安裝客戶端，就能遠(yuǎn)程瀏覽網(wǎng)頁，已經(jīng)是非常不錯(cuò)了。文章來源地址http://www.zghlxwxcb.cn/news/detail-819913.html

到了這里，關(guān)于【隧道篇 / SSL】(7.4) ? 02. 通過SSL VPN Web模式走對(duì)方寬帶上網(wǎng) ? FortiGate 防火墻的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！