捐血一袋救人一命

2010年8月25日 星期三

Fortigate SSL VPN

Fortigate SSL VPN只能在NAT模式下運行,不能在通透模式在運行。

Fortigate SSL VPN有兩種運作模式

1.Web Mode:支援HTTP/HTTPS/FTP/SMB/CIFS/Telnet/VNC/RDP,它是使用Java Applet,所以任何瀏覽器均可。

2.Tunnel Mode:流量會從”ssl.root”虛擬介面進出,需要另外安裝SSL VPN Client,這個軟體可以在Fortinet網站上下載(Free),它包含在 Fortigate Client軟體中!

PS.此模式要安裝 Fortigate Client,有支援 Windows、Mac、iOS、Android,使用上蠻方便的。

Fortigate SSL VPN可支援以下認證方式:

  1. 本機(Fortigate)
  2. Radius
  3. Tacacs
  4. LDAP
  5. PKI
  6. Windows AD

 

接下來簡單介紹Web Mode,使用本機認證的設定

1.啟用 SSL VPN,請勾選啟動 SSL-VPN

image

2.建立本機帳號,請按下「新增」

image

3.輸入「用戶名稱」,點選「輸入密碼」,並在右方空格中輸入該帳號的密碼。

PS.當您設定的使用者密碼少於六個字元時,系統會提示建議您設定長一點的密碼。

image

4.接著建立一個群組,,加入將剛才建立的帳號,並允許該群組使用 SSL VPN。請按下「新增」

image

5.接著在「名稱」一欄,輸入群組的名稱,型式選擇 SSL VPN, Portal請選擇web-access,然後將剛才建立的帳號加入成員,最後按下「允許」

image

6.接著建立允許SSL VPN連接的政策,如果您的畫面跟下圖不太一樣,請不要擔心,只要把「採取動作」改為SSL VPN,就會一樣了

image

 

到這邊就完成設定了!很簡單吧

另外,要與內外網互連,還要設定路由及防火牆政策。

另外要注意的是,Fortigate 預設的 SSL VPN Port 是 10443,不是 443

  1. Port 443預設用來遠端管理Fortigate 時可以用 HTTPS
  2. Port 443容易被人 Scan

所以建議不要改成443 Port;不過…如果考量到通用性,可能需要更改其他埠,因為10443這個不是標準通訊協定埠。

另外,在FortiClient軟體中,包含許多功能,例如:防毒、防間諜軟體、防火牆、網路內容過濾…等等,你可能只是單純需要SSL VPN

不想安裝這些有的沒的功能,一來會拖慢電腦速度,二來還可能會跟原有的資安軟體衝突!

在安裝FortiClient時,會將SSLVPNClient.msi安裝檔存放到暫存目錄下,如果只要用SSL VPN Client,先執行安裝一次FortiClient,然後用搜尋功能找出此檔案,複製出來(X86 & X64系統均為同一個檔案)

然後先把 FortiClient SSL VPN移除掉,接著移除FortiCleint EndPoint Security,重新開機後,再去執行SSLVPNClient.msi,即可只安裝SSL VPN Client!

PS.安裝 FortiClient 的好處是,可以在登入Windows之前,先連接SSL VPN

2 意見:

匿名 提到...

設定完成,但是https://xx.xx.xx.xx:10443,
會先出現一個憑證無效,點選仍要連線後,就出現無法顯示網頁,
也就是登入畫面都出不來。
XP IE8也是一樣,可能是哪裡有問題?

匿名 提到...

更新你的Fortigate Firmware即可!
去看一下Release Note有提到喔…