如何配置SSL VPN version 4.0 1.SSL VPN功能介绍 1.1 SSL VPN功能介绍 FortiGate SSL VPN功能使用SSL和代理技术使授权用户得到安全的可靠的Web客户端,服务器端应用或者其他文件资源共享等等服务。FortiGate SSL VPN只能工作在NAT模式下面,透明模式不支持SSL VPN功能。FortiGate SSL VPN提供如下2种工作模式: A、Web模式,远程用户使用浏览器就可以通过这种模式的SSL VPN访问公司内部资源,只限于HTTP/HTTPS,FTP,SMB/CIFS,Telnet,VNC,RDP服务; B、隧道模式,防火墙会虚拟出一个“ssl.root”接口出来,所有使用SSL隧道模式的流量都相当于进出此SSL VPN接口,远程用户需要安装一个SSL VPN的客户端软件,支持所有的应用。 1.2 典型拓扑结构如下, (点击放大) 1.3 SSL VPN支持的认证协议有: 1. 本地认证 2. Radius认证 3. Tacacs+认证 4. LDAP认证 5. PKI证书认证 6. Windows AD认证 1.4 SSL VPN 和 IPSEC VPN比较 SSL VPN IPSEC VPN 1. 主要针对漫游用户 主要用于站点直接 2. 基于Web应用 基于IP层的安全协议 3. 主要应用于2点直接VPN 连接 主要应用于多点,构建VPN 网络 4. 有浏览器就可以使用 需要安装特定的IPSEC VPN客户端软件 5. 基于用户的访问控制策略 主要是基于站点的访问控制策略 6. 没有备份功能 具有隧道备份和连接备份功能 2.Web模式配置 Web模式配置大概需要如下几个步骤: 1. 启用SSL VPN; 2. 新建SSL VPN用户 3. 新建SSL VPN用户组 4. 建立SSL VPN策略 下面我们具体介绍一下Web模式的详细配置。 2.1启用SSL VPN 打开Web浏览器登陆防火墙,进入 虚拟专网---->SSL---->设置,勾上“启动 SSL-VPN”,其他配置根据需要修改或使用默认配置就可以了,如下图: (点击放大) 2.2新建SSL VPN用户 进入 设置用户---->本地,点击“新建”按钮新建一个本地用户,用户类型我们同时可以支持本地用户,Radius用户,Tacacs+用户,LDAP用户等等,这里我们只使用本地用户举例,如下图: (点击放大) (点击放大) 2.3 新建SSL VPN界面 进入 SSL 界面设置,新建SSL VPN 界面,输入名称及选中 web访问 ssl vpn时所需的应用确认。 (点击放大) 如需使用通道模式,请确认当前界面中有Tunnel mode 的部件,参考下图: (点击放大) 2.4 新建SSL VPN用户组 进入 设置用户---->用户组,点击“新建”按钮新建一个 SSL类别的用...