IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 验证篇(7.0) 05. SSL安全隧道用域帐户验证 ? 飞塔 (Fortinet) 防火墙 -> 正文阅读

[网络协议]验证篇(7.0) 05. SSL安全隧道用域帐户验证 ? 飞塔 (Fortinet) 防火墙

  【简介】当我们用LDAP连接域服务器后,可以取得域服务器的组内的帐户信息,当我们需要进行验证的时候,远程读取组内帐户信息进行验证,最常用的运行环境就是SSL VPN。

? SSL准备

  在配置SSL之前,先要做个准备工作。

  ① 防火墙默认有一个SSLVPN_TUEEL_ADDR1地址对象,定义拨号后生成的IP地址。我们可以直接使用,默认范围200~210,共11个IP,如果不够用可以修改。新建一个或多个内网IP地址,用来允许拨号后访问限制。

  ② 新建一个域用户组。具体方法参考上一篇文章。

?? SSL门户

  准备好后,就可以配置SSL门户了。

  ①?选择菜单【VPN】-【SSL-VPN门户】,默认有三个门户,通常使用第一个,选择第一个门户,点击【编辑】。

  ②?隧道模式下,启用隧道分割,选择【基于策略目标启用】,这样只有指定的流量会通过SSL?VPN隧道,而不是所有流量。隧道分割地址选择前面建立的内网地址对象。这样只有访问192.168.198.0的流量会通过SSL?VPN隧道。源IP地址选择防火墙默认存在的SSLVPN_TUNNEL_ADDR1地址对象,SSL拨号生成这个源IP地址。其它默认,点击【确认】。

?? SSL设置

  配置好门户后,就可以开始设置SSL?VPN了。

  ① 选择菜单【VPN】-【SSL-VPN设置】,首先选择接口,可以选择多个宽带接口,要求宽带IP能够远程访问。默认端口为443,与防火墙默口端口冲突,这里改成10443。超时时间默认5分钟,没有操作就断开连接。

  ②?只有禁用隧道分割,客户端才会获取到DNS,因为禁用隧道分割,所有流量都走SSL?VPN隧道,再获得DNS,就可以通过防火墙的宽带接口上网了。认证/Portal映射新建一条用户组为LDAP域用户组,门户为刚才编辑的full-access,这样限制隧道模式只能访问172.16.198.0网段,而且必须通过域用户组验证。全部其他用户/组,选择web-access就可以了。

?? SSL策略

  完成SSL?VPN门户、设置后,就可以建立访问策略了。

  ①?在SSL-VPN?配置窗口最上面,有一个创建策略链接,点击链接。

?  ② 流入接口默认是SSLVPN生成的虚拟接口ssl.root,输入自定义的策略名称,流出接口选择要访问的接口,可以是内网接口,也可以是宽带接口(禁用隧道分割的情况下)。

?  ③?源地址选择SSLVPN_TUNNEL_ADDR1,应该还记得这是在full-access门户设置有选择过吧。这样就能对上了。除了源地址要能对上外,还需要核对用户。

  ④?选择【用户】,选择域用户组。这样也就和SSL?VPN设置最下的认证/Portal映射对上了。

  ④?目标地址不能选择all,因为我们启用了隧道分割,选择full-access门户设置里选择的允许访问的内网IP地址。服务选择【ALL】,因为我们要访问的172.16.198.0网段与port7口是同一网段,因此不用启用NAT。点击【确认】,这样所有配置就都完成了。

?? SSL验证

  SSL配置完成了,我们来看看是否能通过域服务器进行验证。

  ①?最简单的方法,就是通过Web浏览器登录SSL?VPN,在登录的时候输入域帐户名称和密码,看看是否通过。在SSL-VPN设置窗口,有一个Web模式访问链接,点击这个链接。

  ②?第一次访问会出现安全提示,点击【高级】。

  ③?点击【继续前往...】。

?  ④?然后弹出登录界面,注意看颜色和形状,和我们的防火墙登录界面不同,所以这里不是填写防火墙的登录帐号,而是SSL?VPN用户帐号,由于我们配置的是域用户组,因此这里是填写域服务器内的用户帐号和密码。然后防火墙会通过LDAP与域服务器进行效验。用户名的填写格式与标识符有关,这个是标识符cn下的登录方式。

  ⑤?当LDAP设置里标识符是sAMAccountName是,以这种格式输入用户名。

  ⑥?标识符不同,读取的域帐户字段不同。

  ⑦ 能登录,说明通过域服务器的验证了。点击【快速连接】。

  ⑧ 选择【Ping】,输入Ping包测试的内网服务器IP地址。

  ⑨ 能Ping通,说明SSL?VPN配置是成功的。


  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-04-30 09:03:26  更:2022-04-30 09:03:45 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/30 3:54:02-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码