SSL VPN 基于用户的访问控制 - Fortinet技术支持中心

《SSL VPN 基于用户的访问控制 - Fortinet技术支持中心》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

SSLVPN基于用户的访问控制版本1.0时间2014年4月支持的版本N/A状态已审核反馈support_cn@fortinet.com文档说明：SSLVPN工作在隧道模式，可以根据用户VPN拨号的用户名，来实现对企业内部资源的访问控制，只需要在SSLVPN拨入时认证一次。测试版本：FortiOS5.0.6测试型号：FortiGate60D目录1.配置用户.................................................................................................................................22.配置用户组..............................................................................................................................33.SSL-VPN界面...........................................................................................................................44.SSL-VPN设置...........................................................................................................................55.SSL-VPN策略...........................................................................................................................65.1.建立策略......................................................................................................................65.2.配置SSLVPN认证规则，...........................................................................................66.SSL-VPN路由表.......................................................................................................................77.用户访问策略..........................................................................................................................87.1.定义基于用户策略......................................................................................................87.2.配置认证规则：...........................................................................................................98.认证测试...............................................................................................................................109.认证机制...............................................................................................................................101/11support.fortinet.com.cn 1.配置用户打开如下页面，点击新建来创建本地用户。选择“本地用户”，按照页面提示输入用户名和密码，逐步创建所需账户。添加防火墙本地账户配置脚本如下，用户较多的时候，通过脚本更为方便。configuserlocaledit"user1"settypepasswordsetpasswdxxxxxxnextedit"user2"settypepasswordsetpasswdxxxxxx2/11support.fortinet.com.cn nextedit"user3"settypepasswordsetpasswdxxxxxxnextend2.配置用户组根据业务需要，建立不同的用户组，一个用户可以属于不同的用户组，不用的用户组会被分配不同的网络资源访问权限。在如下菜单中选择用户组,点击新建后，输入组名和该用户组所包括的组成员：按上述步骤创建多个用户组：用户组配置脚本如下：3/11support.fortinet.com.cn configusergroupedit"group1"setmember"user1"nextedit"group2"setmember"user2"nextedit"groupall"setmember"user1""user2""user3"nextend3.SSL-VPN界面启用隧道模式：选择该模式，客户端从防火墙上获得IP地址，与防火墙之间建立一个安全的VPN通道，来访问内部网络资源。启用分隔隧道：客户端只有访问内部资源的时候，才会将流量发往SSLVPN通道，其他网络流量依然通过本地连接，是有拨入vpn后依然统统本地网络访问互联资源。内部网段需要在配置SSLVPN策略时候配置。4/11support.fortinet.com.cn IP池:定义分配各客户端的IP地址范围。如需更改，可以在防护墙对象菜单下修改。如：4.SSL-VPN设置IP池：定义分配给用户端的地址范围，界面内定义的IP池优先被使用。服务器证书：一般使用自签名即可，企业也可以使用自有的“本地证书”。登陆端口：SSLVPN的访问端口，对于5.0.6版本，默认为443，可以自定义，本例修改为10443。DNS服务器，WINS服务器：如果需使用域名来访问内部资源的时候，需要配置内部DNS。5/11support.fortinet.com.cn 5.SSL-VPN策略5.1.建立策略该策略用于定义SSL访问的源地址，目标网络等。访问类型：VPN；流入接口：outside，用户端将从该接口进行SSL的访问；远程地址：all，允许任何的IP地址对该防火墙进行SSLVPN的拨入；本地接口：inside，内部需要被访问的网络资源所在的接口；本地被保护网络：内部网络地址（192.168.118.0/24），如果在“SSLVPN界面”内开启了分隔隧道，会在客户端上生成一条关于该内部网络地址的路由表，本例为192.168.118.0/24，客户端只有访问这些ip地址的时候才会使用VPN通道。开启了分隔通道后，此处不可选择为all,需要配置具体的内网地址网段。如果不开启分隔隧道，则客户端的所有流量都将通过VPN通道。5.2.配置SSLVPN认证规则，在如上界面内点击“CreateNew”按钮来创建认证规则，：6/11support.fortinet.com.cn 用户组选择groupall，其包含所有的用户。该组包含了企业的所有账户，这些账户都可以实现VPN访问。配置规则后，如下所示：6.SSL-VPN路由表为SSL用户配置路由表，即防火墙通过ssl.root端口去访问客户端。ssl.root为防火墙自动生成的逻辑接口，可以理解为客户端与防火墙之间通过该接口直接相连。7/11support.fortinet.com.cn 7.用户访问策略完成了如上配置步骤，用户可以通过SSL拨入到防火墙，但无法访问任何的内部资源，需要通过配置策略来实现网络的访问。一种方法为通过普通的策略，直接定义用户的地址段可以访问内部的某些地址的某些服务端口，如下例定义了允许任何的用户访问内部的http,dns服务。用户每次拨入VPN都会分配不同的IP地址，所以该种方法无法针对账号进行区分，来分配资源。所以需要使用基于用户的认证策略，根据用户组分配不同访问资源。定义基于用户认证的策略步骤如下:7.1.定义基于用户策略策略类型：防火墙8/11support.fortinet.com.cn 策略子类型：选择用户认证流入接口：选择ssl.root源地址：SSLVPN地址池网段流出接口:内部接口inside启用NAT：是否对SSL用户的ip做NAT。7.2.配置认证规则：点击上图中“CreateNew”按钮来创建认证规。则如：允许用户组1内的用户可以访问192.168.118.1的HTTPS服务。按上述步骤逐步为不同用户组添加访问策略，实例如下：最后一条为denyall为系统默认策略。group1的用户（user1）可以访问192.168.118.1的https服务；group2的用户（user2）可以访问192.168.118.1的ssh服务；group1的用户（user1）可以访问192.168.118.2的ssh服；groupall的用户（user1，user2，user3）可以访问192.168.118.0/24的ping服务。不同的认证规则按照‘用户，目标地址，服务’等因素匹配，从上往下顺序执行，直到遇到一条匹配的策略为止，与普通防火墙策略的匹配机制相同。用户可根据业务需要自行定9/11support.fortinet.com.cn 义。8.认证测试通过diagnosedebugflow命令查看，防火墙处理过程：1用user2登陆VPN,无法访问192.168.118.1的httpsFGT60D4613020837#id=42003trace_id=1msg="vd-rootreceivedapacket(proto=6,10.0.0.1:61957->192.168.118.1:443)fromssl.root."id=42003trace_id=1msg="allocateanewsession-00001654"id=42003trace_id=1msg="findaroute:gw-192.168.118.1viawan1"id=42003trace_id=1msg="useaddr/intfhash,len=2"id=42003trace_id=1msg="Deniedbyforwardpolicycheck"2用user2登陆VPN，可以访问192.168.118.1的SSHid=42003trace_id=4msg="vd-rootreceivedapacket(proto=6,10.0.0.1:61961->192.168.118.1:22)fromssl.root."id=42003trace_id=4msg="allocateanewsession-0000165f"id=42003trace_id=4msg="findaroute:gw-192.168.118.1viawan1"id=42003trace_id=4msg="useaddr/intfhash,len=2"相关命令：diagnosedebugenablediagnosedebugapplicationsslvpn-1diagnosefirewallauthlist9.认证机制SSLVPN与基于策略用户的认证，属于2个独立的功能模块，都有各自的认证过程。默认情况下登陆SSLVPN需要输入VPN的用户名和密码。如果该用户需要访问内部资源，在匹配基于用户认证策略的时候，需要再次输入用户名密码，策略根据用户名来判断访问权限。但在实际应用中可以看到，登陆VPN后无需再次进行策略认证，系统直接根据VPN账号进行了访问控制，十分便于用户的使用。10/11support.fortinet.com.cn 如果用户希望2个认证过程独立分开，登陆ＶＰＮ后，只要拥有相关的账号，就可以访问相关资源，需要输入如下命令。configsystemglobalsetauth-policy-exact-matchdisableend该参数默认为enable，SSLVPN登陆的认证信息，可以同步到策略认证，实现类似单点登陆的认证过程。注：该机制目前还无法在IPSECVPN上实现，IPSEC用户通过Xauth认证登陆VPN后，如果需要访问内部资源，仍然需要再次认证。11/11support.fortinet.com.cn