| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> 验证篇(7.0) 05. SSL安全隧道用域帐户验证 ? 飞塔 (Fortinet) 防火墙 -> 正文阅读 |
|
[网络协议]验证篇(7.0) 05. SSL安全隧道用域帐户验证 ? 飞塔 (Fortinet) 防火墙 |
【简介】当我们用LDAP连接域服务器后,可以取得域服务器的组内的帐户信息,当我们需要进行验证的时候,远程读取组内帐户信息进行验证,最常用的运行环境就是SSL VPN。 ? SSL准备 在配置SSL之前,先要做个准备工作。 ① 防火墙默认有一个SSLVPN_TUEEL_ADDR1地址对象,定义拨号后生成的IP地址。我们可以直接使用,默认范围200~210,共11个IP,如果不够用可以修改。新建一个或多个内网IP地址,用来允许拨号后访问限制。 ② 新建一个域用户组。具体方法参考上一篇文章。 ?? SSL门户 准备好后,就可以配置SSL门户了。 ①?选择菜单【VPN】-【SSL-VPN门户】,默认有三个门户,通常使用第一个,选择第一个门户,点击【编辑】。 ②?隧道模式下,启用隧道分割,选择【基于策略目标启用】,这样只有指定的流量会通过SSL?VPN隧道,而不是所有流量。隧道分割地址选择前面建立的内网地址对象。这样只有访问192.168.198.0的流量会通过SSL?VPN隧道。源IP地址选择防火墙默认存在的SSLVPN_TUNNEL_ADDR1地址对象,SSL拨号生成这个源IP地址。其它默认,点击【确认】。 ?? SSL设置 配置好门户后,就可以开始设置SSL?VPN了。 ① 选择菜单【VPN】-【SSL-VPN设置】,首先选择接口,可以选择多个宽带接口,要求宽带IP能够远程访问。默认端口为443,与防火墙默口端口冲突,这里改成10443。超时时间默认5分钟,没有操作就断开连接。 ②?只有禁用隧道分割,客户端才会获取到DNS,因为禁用隧道分割,所有流量都走SSL?VPN隧道,再获得DNS,就可以通过防火墙的宽带接口上网了。认证/Portal映射新建一条用户组为LDAP域用户组,门户为刚才编辑的full-access,这样限制隧道模式只能访问172.16.198.0网段,而且必须通过域用户组验证。全部其他用户/组,选择web-access就可以了。 ?? SSL策略 完成SSL?VPN门户、设置后,就可以建立访问策略了。 ①?在SSL-VPN?配置窗口最上面,有一个创建策略链接,点击链接。 ? ② 流入接口默认是SSLVPN生成的虚拟接口ssl.root,输入自定义的策略名称,流出接口选择要访问的接口,可以是内网接口,也可以是宽带接口(禁用隧道分割的情况下)。 ? ③?源地址选择SSLVPN_TUNNEL_ADDR1,应该还记得这是在full-access门户设置有选择过吧。这样就能对上了。除了源地址要能对上外,还需要核对用户。 ④?选择【用户】,选择域用户组。这样也就和SSL?VPN设置最下的认证/Portal映射对上了。 ④?目标地址不能选择all,因为我们启用了隧道分割,选择full-access门户设置里选择的允许访问的内网IP地址。服务选择【ALL】,因为我们要访问的172.16.198.0网段与port7口是同一网段,因此不用启用NAT。点击【确认】,这样所有配置就都完成了。 ?? SSL验证 SSL配置完成了,我们来看看是否能通过域服务器进行验证。 ①?最简单的方法,就是通过Web浏览器登录SSL?VPN,在登录的时候输入域帐户名称和密码,看看是否通过。在SSL-VPN设置窗口,有一个Web模式访问链接,点击这个链接。 ②?第一次访问会出现安全提示,点击【高级】。 ③?点击【继续前往...】。 ? ④?然后弹出登录界面,注意看颜色和形状,和我们的防火墙登录界面不同,所以这里不是填写防火墙的登录帐号,而是SSL?VPN用户帐号,由于我们配置的是域用户组,因此这里是填写域服务器内的用户帐号和密码。然后防火墙会通过LDAP与域服务器进行效验。用户名的填写格式与标识符有关,这个是标识符cn下的登录方式。 ⑤?当LDAP设置里标识符是sAMAccountName是,以这种格式输入用户名。 ⑥?标识符不同,读取的域帐户字段不同。 ⑦ 能登录,说明通过域服务器的验证了。点击【快速连接】。 ⑧ 选择【Ping】,输入Ping包测试的内网服务器IP地址。 ⑨ 能Ping通,说明SSL?VPN配置是成功的。 |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/30 3:54:02- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |