实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

这篇具有很好参考价值的文章主要介绍了实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。


  实验要求与环境

  OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  OldMei集团上海分公司需要实时访问深圳总部的域服务器和ERP服务器,上海分公司和深圳总部都部署有FortiGate防火墙,两地防火墙通过宽带创建IPsec VPN连接,访问一直很正常。忽然某日无法远程访问,经排查,两地上网正常,IPsec VPN则一直无法连接。要求尽快恢复远程访问功能。

  解决方案:由于IPsec VPN无法连接,只能另外想办法,FortiGate防火墙FortiOS 7.2支持FortiGate作为客户端使用SSL VPN进行远程访问,但是需要有证书的支持。

  实验目标:笔记本电脑通过网卡上网,可以从上海分公司访问深圳总部的域服务器远程桌面。

  获取证书

  获取证书的方法有很多,这里只介绍在FortiAuthenticator上获取证书的方法,其它方法自行研究。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ① 登录FortiAuthenticator,选择菜单【Certificate Management】-【Certificate Authorities】-【Local CAs】,点击【Create New】,创建一个新的本地CA证书。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ② 证书内容很多,这里只要填写证书ID和名称就可以了,其它均保持默认,点击【OK】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ③ 这样一个本地CA证书就创建好了,So easy!

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ④ 下一步是创建用户证书,选择【End Entities】-【Users】,点击【Create New】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑤ 通常会建立多个用户证书,例如有多台设备以星状拓扑连接,所以用户证书ID和名称带上一个序号。Certificate Authority选项会自动出现刚才创建的本地CA证书。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑥ 点击【OK】后用户证书也就创建好了,容易得有点过份哈。要想看证书内容,只要点击证书就可以。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑦ 证书的有效期默认为一年,在生产环境的时候,这个时间可以调大一些。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑧ 下一步是下载用户证书,钩选证书,点击【Export key and Cert】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑨ 输入两次相同的自定义密码,这个密码在证书导入的时候要用到的,点击【OK】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑩ 点击【Download PKCS#12 files】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑪ 证书是以PKCS#12文件格式保存的。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑫ 同样还要下载本地CA证书,选择菜单【Certifate Authorities】-【Local CAs】,钩选证书,点击【Export Certificate】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑬ 本地CA证书下载成功。

  深圳总部防火墙导入证书

  获得本地CA证书和用户证书后,就可以将证书导入深圳总部防火墙了。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ① 登录深圳总部防火墙,在菜单上却找不到证书选项,这是因为默认是关闭的。选择菜单【系统管理】-【可见功能】,启用【证书】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ② 刷新一下,可以看到出现证书菜单选项,选择菜单【证书】,点击【创建/导导】-【CA证书】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ③ 类型选择【文件】,找到CA证书文件,点击【确认】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ④ CA证书导入成功,注意看是否有效。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑤ 下一步是导入用户证书,这次是点击【创建/导入】-【证书】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑥ 出现向导提示,点击【导入证书】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑦ 由于我们在FortiAuthenticator下载证书保存的是PKCS#12格式,因此在这里选择对应的类型,找到证书文件,输入在下载证书时设置的密码。点击【下一步】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑧ 提示证书导入成功。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑨ 在本地证书列表上出现导入的证书,状态为有效。

  深圳总部防火墙PKI与用户

  FortiGate防火墙作为SSL VPN客户端使用PSK和PKI客户端证书进行认证。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ① 点击右上角命令图标,打开CLI控制台,输入命令config user peer,创建PKI,编辑一个PKI用户,用户名可自定义,set ca CA_Cert_1 命令设置CA证书。也就是我们前面导入的CA证书,end命令保存并退出。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ② 刷新视窗,在用户与认证菜单下多出了一个PKI菜单。选择【PKI】菜单,右边显示刚才用命令的创建的UserCert1,选择并点击【编辑】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ③ subject字段输入【CN=UserCert1】,点击【确认】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ④ 为啥填这个呀,因为这是证书UserCert1的subject的内容。你也可以复制粘贴。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑤ 然后就要创建一个登录时用到的验证用户了。选择菜单【用户与认证】-【设置用户】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑥ 出现向导提示,默认是创建本地用户,点击【下一步】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑦ 输入用户名称和密码,点击【下一步】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑧ 联系人信息保持默认,点击【下一步】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑨ 由于这里只有一台FortiGate作为客户端进行连接,所以只创建一个用户,没有创建用户组,如果是多台设备连接,要用到多个用户,建议使用用户组。 

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑩ 用户创建完成。

  深圳总部防火墙SSL-VPN门户、设置及策略

  前提条件都准备好了,现在可以配置SSL VPN了。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ① 选择菜单【VPN】-【SS L-VPN门户】,选择full-access,点击【编辑】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ② 门户的主要作用,就是指定什么流量走隧道进来。这里选择【基于策略目标启用】,隧道分离地址选择要访问的服务器地址对象。如果没有,可以创建。其它保持默认。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ③ 门户设置完后,选择菜单【SSL-VPN设置】,选择拨号进来的宽带接口,修改监听端口,服务器证书这次选择前面导入的UserCert1证书。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ④ 为了简化操作,我们将【全部其他用户/组】对应的门户设置为【full-access】,SSL-VPN设置就配置完了。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑤ 最后还要创建一条允许SSL虚拟接口访问DMZ接口的策略。这样深圳总部防火墙的所有配置就都完成了。

  上海分公司防火墙配置

  下面我们开始配置上海分公司防火墙。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ① 用同样的方法导入两个证书文件,具体操作步骤就不再重复了。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ② 通过命令创建PKI,这里一次性直接输入完成。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ③ 内容和深圳总部防火墙的设置完全相同。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ④ 下一步是创建一个虚拟接口,选择菜单【网络】-【接口】,点击【新建】-【接口】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑤ 输入自定义名称,类型选择【SSL-VPN隧道】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑥ 接口选择【wan1】,启用https、ping协议。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑦ wan1下的SSL VPN虚拟接口就创建好了。 

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑧ 选择菜单【VPN】-【SSL-VPN客户端】,点击【新建】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑨ 输入自定义名称,接口选择刚刚在wan1下面创建的SSL VPN虚拟接口,服务器输入深圳防火墙wan1接口公网IP。端口已经设置成为10443,用户名和密码也在深圳防火墙里已经设置好的,最后是客户端和对等体的证书。点击【确认】。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ⑩ 最后就是创建访问策略,和普通上网策略一样,只是流出接口选择SSL VPN虚拟接口。记住这里一定要启用NAT。这是因为对方只认拨号后生成的IP,这里启用NAT,就是将所有IP转换成拨号生成的IP。

  检验效果

  配置完后,作为客户端的上海分公司防火墙会自动拨号,发起连接。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ① 在上海分公司防火墙上选择菜单【仪表板】-【网络】,点击【路由】,查看路由表,可以看到自动生成了两条走SSL VPN隧道的路由。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ② 从上海分公司internal接口,可以成功的ping通深圳总部的域服务器。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ③ 远程桌面也能正常打开,感觉比IPsec下略有延迟。

实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

  ④ 深圳总部防火墙可以看到SSL VPN的连接状态。


 文章来源地址https://www.toymoban.com/news/detail-493471.html

到了这里,关于实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问

    【简介】前面我们实验的是FortiClient客户端与防火墙进行VPN连接,现在我们要做的实验是防火墙与防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月03日
    浏览(47)
  • 实验篇(7.2) 12. 站对站安全隧道 - 仅一方发起连接(FortiGate-IPsec) ❀ 远程访问

    【简介】上一篇实验发现,两端都是可以远程的公网IP的话,两端防火墙都可以发出连接请求,并且都能够连通。这样的好处是安全隧道不用随时在线,只在有需求时才由发起方进行连接。但是现实中很多情况下只有一端公网IP可以远程,那么还能用IPsec安全隧道吗?   实验要

    2024年02月09日
    浏览(33)
  • 实验篇(7.2) 18. 星型安全隧道 - 分支互访(IPsec) ❀ 远程访问

    【简介】Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行

    2024年02月12日
    浏览(38)
  • 实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问

    【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?    实验要求与环境

    2024年02月04日
    浏览(45)
  • 实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

    【简介】要想所有的流量都走安全隧道,就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙,再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。    实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽

    2024年02月09日
    浏览(37)
  • 实验篇(7.2) 08. 通过安全隧道访问内网服务器 (FortiClient-IPsec) ❀ 远程访问

    【简介】通过对SSL VPN与IPsec VPN的对比,我们知道SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN,IPsec VPN对所有的IP应用均透明。我们看看怎么用FortiClient实现IPsec VPN远程访问。    实验要求与环境 OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。

    2024年02月16日
    浏览(39)
  • 实验篇(7.2) 06. 通过安全隧道访问远端内网服务器 (FortiClient-SSL) ❀ 远程访问

    【简介】直接映射服务器到公网,没有验证不安全;通过Web浏览器访问远程内网服务器,有验证也安全,但是支持的协议太少。那有没有即安全,又能支持所有协议的访问方法呢?我们来看看SSL VPN的隧道模式。    实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务

    2024年02月06日
    浏览(45)
  • 【隧道篇 / SSL】(7.0) ❀ 01. FortiClient 7.0报错-7200解决办法 ❀ FortiGate 防火墙

    【简介】FortiOS 7.0已经推出一段时间了,胆大上进的有把FortiGate防火墙的固件升级到了7.0,尊崇FortiClient版本最好与FortiGate防火墙固件同一版的原则,也安装了FortiClient 7.0版,但是SSL VPN拨号报一个错,难倒了很多人。   FortClient 7.0报错 我们来看看到底是报什么错,让大家伤脑

    2024年02月04日
    浏览(48)
  • 【隧道篇 / SSL】(7.4) ❀ 02. 通过SSL VPN Web模式走对方宽带上网 ❀ FortiGate 防火墙

    【简介】SSL VPN Web模式下,只通过浏览器就可以访问远程内网,省去了安装客户端的烦恼,缺点的是支持的协议不多。FortiOS 7.4版本还支持走对方宽带上网。让我们来验证一下这个功能。   配置宽带 在配置SSL VPN之前,我们需要做一些准备工作。 ① 防火墙固件版本为7.4.2。 ②

    2024年01月24日
    浏览(42)
  • 【隧道篇 / SSL】(7.4) ❀ 01. 只允许国内IP通过SSL VPN访问内网 ❀ FortiGate 防火墙

    【简介】SSL VPN可以让公司员工远程访问公司内网的服务器,发现有些国外IP也在尝试登录SSL VPN,领导要求,只允许国内IP可以登录SSL VPN,如何解决这个问题?   SSL VPN配置条件 要想成功的配置SSL VPN,首先需要有一条可以远程访问的宽带,然后是验证用的用户名和密码,以及

    2024年01月19日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包