教程篇(7.0) 12. FortiGate安全 & SSL安全隧道 ❀ Fortinet 网络安全专家 NSE 4

Posted 2022-02-24 meigang2012

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了教程篇(7.0) 12. FortiGate安全 & SSL安全隧道 ❀ Fortinet 网络安全专家 NSE 4相关的知识，希望对你有一定的参考价值。

在本节课中，你将学习如何配置和使用SSL VPN。SSL VPN是一种让远程用户访问你的私有网络的简单方法。

本节课，你将学习上图显示的主题。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示理解VPN概念的能力，你将能够更有效地理解FortiGate如何管理SSL VPN方法。

VPN创建一条隧道，允许用户或远程LAN安全访问你的私有网络，就像他们连接到你的LAN一样。

　　VPN通常用于局域网被不可信的公共网络(如internet)分隔的情况。VPN不仅可以在用户旅行时为他们提供安全的访问私人网络的机会，还可以将位于互联网上甚至世界另一端的分支机构网络连接起来。

　　VPN隧道内的用户数据经过加密处理，保护用户隐私。它不能被读取，即使它被未经授权的用户截获。VPN还采用安全方法，确保只有授权用户才能建立VPN并访问私有网络的资源。它们通常还提供防篡改功能。

　　大多数VPN为SSL或IPsec vpn。Fortios既支持这两种VPN，也支持不太常见的弱VPN，如PPTP。本节课中我们将重点介绍SSL VPN。

SSL VPN与IPsec VPN有什么不同?

　　协议不同。SSL和TLS通常用于封装和保护电子商务和网上银行(HTTP)。SSL VPN使用类似的技术，但通常封装非HTTP协议。SSL在网络堆栈中的位置高于IP，因此，它通常需要更多的比特——更多的带宽——用于SSL VPN报头。相比之下，IPsec使用一些特殊的协议。ESP主要用于封装和加密IPsec隧道内的UDP、RDP、HTTP等协议。

　　IPsec VPN也是一种标准。它可以与多个供应商互操作，并支持设备和网关对等体——而不仅仅是使用FortiGate的用户客户端，就像SSL VPN那样。

　　客户端软件也不同。在SSL VPN中，你的web浏览器可能是你唯一需要的客户端软件。你可以进入FortiGate的SSL VPN门户(HTTPS web页面)，然后登录。你也可以选择安装FortiClient或配置FortiGate作为SSL VPN客户端。这样可以增加通过VPN隧道发送的协议的数量。

　　相比之下，要使用IPsec VPN，通常需要安装特殊的客户端软件，或者使用本地网关(如桌面型号FortiGate)，才能连接到远程网关。你可能还需要在VPN对等体之间配置防火墙，以允许IPsec协议。然而，IPsec是大多数供应商支持的标准协议，因此VPN会话不仅可以在两个FortiGate设备之间建立，还可以在不同供应商的设备之间、网关和客户端之间建立。它具有高度的可扩展性和可配置性。相比之下，SSL VPN只能在计算机和特定于供应商的网关(如FortiGate)之间建立。

在你登录后，SSL VPN将你的计算机连接到你的私人网络。不需要用户配置的设置，并且防火墙通常配置为允许传出HTTP，因此技术支持呼叫的可能性较小。简单性使SSL VPN成为非技术用户或从公共计算机(如公共图书馆和Internet咖啡店中找到的计算机)连接的用户的理想选择。

　　通常情况下，当需要连续建立隧道，且需要与多种设备进行交互时，IPsec VPN是首选，而当人们出差，需要连接到办公室时，SSL VPN是首选。

答案：A

答案：B

你已经了解了SSL VPN功能相关的基本概念，以及SSL VPN与IPsec的不同之处。接下来，你将了解FortiGate支持的SSL VPN部署模式。

完成本节后，你应该能够实现上图显示的目标。

　　通过演示FortiGate允许SSL VPN连接的不同方式，你将能够更好地设计你的SSL VPN的配置。

可以使用两种方式访问SSL VPN。两者都可以建立SSL VPN连接，但它们不支持相同的特性。

　　你应该选择哪一个?

　　这取决于你需要通过VPN发送哪些应用程序、你的用户的技术知识以及你是否对他们的计算机具有管理权限。

　　隧道模式支持大多数协议，但需要安装VPN客户端，即虚拟网卡。要使用虚拟适配器对流量进行隧道化，必须使用FortiClient远程访问功能或FortiClient VPN-only客户端。

　　Web模式只需要一个Web浏览器，但支持的协议数量有限。

Web模式是最简单的SSL VPN方式。

　　与其他任何HTTPS网站一样，你只需登录到FortiGate上的SSL VPN门户网站页面。它的作用类似于服务器端反向代理，或简单的安全HTTP/HTTPS网关，将你与专用网络上的应用程序连接起来。

　　SSL VPN门户页面上的书签部分包含指向用户可访问的全部或部分资源的链接。快速连接小部件允许用户输入他们想要访问的服务器的URL或IP地址。web SSL VPN用户使用这两个小部件访问内部网络。Web模式的主要优点是它通常不需要你安装额外的软件。

　　Web模式有两个主要缺点：

　　● 所有与内部网络的交互都必须使用浏览器进行(通过web门户)。用户PC上运行的外部网络应用不能通过VPN发送数据。

　　● 这是一种安全的HTTP/HTTPS网关机制，它并不适用于访问所有内容，但只适用于少数流行的协议，如HTTP、FTP和Windows共享。

Web模式是如何工作的?

　　1. 远程用户通过HTTPS在浏览器中的SSL安全协议和FortiGate SSL VPN门户之间建立安全连接。

　　2. 连接后，用户提供凭据以通过身份验证检查。

　　3. 然后，FortiGate显示SSL VPN门户，该门户包含用户可访问的业务和网络资源。

　　不同的用户可以拥有不同的门户，具有不同的资源和访问权限。还要注意，远程资源看到的源IP是FortiGate的内部IP地址，而不是用户的IP地址。

隧道模式是FortiGate提供的第二个选项，用于访问SSL VPN中的资源。

　　隧道模式需要FortiClient连接到FortiGate。FortiClient向用户的PC添加一个标识为fortissl的虚拟网络适配器。每当FortiGate建立一个新的VPN连接时，这个虚拟适配器就会动态地从FortiGate接收一个IP地址。在隧道内部，所有的流量都是SSL/TLS封装的。

　　与web模式相比，隧道模式的主要优点是：VPN建立后，客户端上运行的任何IP网络应用都可以通过隧道发送流量。隧道模式的主要缺点是需要安装VPN软件客户端，需要管理权限。

隧道模式是如何工作的?

　　1. 用户通过FortiClient连接FortiGate。

　　2. 用户提供凭据以成功进行身份验证。

　　3. FortiGate建立隧道并为客户机的虚拟网络适配器(fortissl)分配一个IP地址。这是连接期间客户端的源IP地址。

　　4. 用户可以通过加密隧道访问业务和网络资源。

　　FortiClient对来自远程计算机的所有流量进行加密，并通过SSL VPN隧道发送。FortiGate接收加密的流量，解封装IP数据包，并将它们转发到私有网络，就像这些流量来自网络内部一样。

FortiGate可以配置为SSL VPN客户端，使用SSL-VPN Tunnel接口类型。当SSL VPN客户端连接建立后，客户端会动态地向SSL VPN服务器返回的子网添加路由。可以定义策略，允许客户端后面的用户通过SSL VPN隧道到达SSL VPN服务器上的目的地。

　　这种设置以隧道模式提供IP级别的连接，并允许将FortiGates配置为SSL VPN的星形拓扑。这有助于避免由中间设备引起的问题，例如：

　　● ESP数据包被阻断。

　　● UDP端口500或4500被阻断。

　　● 如果对端不支持IKE分片，分片丢弃，使用大型证书的IKE协商将失败。

　　当客户端指定的目的地址为all时，SSL VPN客户端会动态有效地创建一条缺省路由，并以ECMP的形式将新的缺省路由添加到已有的缺省路由中。你可以根据需要修改路由的距离或优先级。为了避免SSL VPN客户端学习到缺省路由，需要在SSL VPN服务器上定义指定的目的地址。使用分离隧道，只有服务器防火墙策略中定义的目的地址被路由到服务器，所有其他流量直接连接到internet。

　　该配置需要安装正确的CA证书，因为SSL VPN客户端FortiGate/user使用PSK和PKI客户端证书进行认证。FortiGate设备必须安装正确的CA证书，以验证到签署证书的根CA的证书链。

当FortiGate配置为客户端时，隧道模式如何工作?

　　1. 客户端FortiGate通过SSL/TLS连接服务器

　　2. 客户机FortiGate提供成功验证的凭据。它既包括PSK(本地或远程用户帐户)，也包括PKI(证书帐户)。

　　3. 服务器FortiGate建立隧道并为客户机的虚拟网络适配器分配一个IP地址。这是连接期间客户端的源IP地址。

　　4. 用户可以通过客户端FortiGate后的加密隧道访问业务和网络资源。

　　SSL VPN客户端FortiGate设备对来自远程计算机的所有流量进行加密，通过SSL VPN隧道发送。SSL VPN服务器FortiGate接收加密后的流量，将IP数据包进行解封装，并将其转发到私网，就像流量来自网络内部一样。

隧道模式也支持分割隧道。

　　当分割隧道被禁用时，客户端计算机产生的所有IP流量(包括互联网流量)都将通过SSL VPN隧道路由到FortiGate。这将FortiGate设置为主机的默认网关。你可以使用此方法将安全功能应用到这些远程客户机上的流量，或者监视或限制internet访问。这增加了更多的延迟和带宽的使用。

　　在客户端FortiGate到服务器FortiGate设置过程中，SSL VPN客户端FortiGate会动态有效地创建一条缺省路由，并以ECMP的形式将新的缺省路由添加到现有的缺省路由中。配置路由有以下几种选项：

　　● 为了使所有到SSL VPN服务器的流量都是缺省的，并且仍然有到服务器侦听接口的路由，SSL VPN客户端需要将从SSL VPN服务器上学习到的缺省路由设置为较低的距离服务器。

　　● 如果需要将这两条缺省路由都包含在路由表中，且从SSL VPN服务器学习到的路由优先，则SSL VPN客户端会为从服务器学习到的路由设置较低的距离。如果距离已经为零，则增加缺省路由的优先级。

　　启用分割隧道功能后，只有去往远端FortiGate后的私网的流量才会通过隧道进行路由。所有其他流量都是通过通常的非加密路由发送的。

　　分割隧道有助于节省带宽和缓解瓶颈。

答案：B

答案：A

现在你了解了FortiGate支持的SSL VPN操作模式。接下来，你将了解如何配置SSL VPN。

完成本节后，你应该能够实现上图显示的目标。

　　通过演示在FortiGate上配置SSL VPN设置的能力，你将能够更好地设计你的SSL VPN隧道的体系结构。

要配置SSL VPN，必须执行以下步骤：

　　1. 配置用户帐号和组。

　　2. 配置SSL VPN门户。

　　3. 配置SSL VPN设置。

　　4. 创建接受和解密数据包的防火墙策略。该策略也用于提供对内部网络的访问。

　　5. 也可以配置允许SSL VPN客户端访问internet的防火墙策略，并应用安全配置文件。用户流量将通过FortiGate进入互联网，在那里你可以监视或限制客户端访问互联网。

　　有些步骤的配置顺序可以与上图显示的顺序不同。

第一步是为SSL VPN客户端创建帐户和用户组。

　　SSL VPN的认证可以采用除Fortinet FSSO (Single Sign-On)协议的远程密码认证外的所有FortiGate认证方式。包括本地密码认证和远程密码认证(使用LDAP、RADIUS和TACACS+协议)。

　　FortiOS 6.4及以上版本还支持SSL VPN认证(证书方式)，或者证书和远程认证(LDAP或RADIUS方式)同时支持。

　　你还可以使用FortiToken配置双因素身份验证，以获得更好的安全性。

第二步是配置SSL VPN门户。SSL VPN门户包含用户可以访问的工具和资源链接。

　　在隧道模式下，启用分割隧道功能时，需要选择路由地址设置，该设置通常指定SSL VPN用户访问FortiGate后的网络。

　　对于隧道模式，需要选择IP池，以便用户在连接时获取IP地址。如果你没有创建自己的地址对象，则在地址对象中有一个默认的可用池。

　　开启web模式后，你可以自定义SSL VPN的门户，并预配置所有登录SSL VPN的用户的书签。此外，你可以单独配置每个门户并将其链接到特定的用户或用户组，这样它们就只能访问所需的资源。

上图展示了用户登录后的SSL VPN web模式门户页面的示例。通过下载FortiClient下拉列表，可以下载FortiClient VPN客户端。该FortiClient VPN客户端用于通过隧道方式连接SSL VPN。

　　还要注意，SSL VPN书签提供了到网络资源的链接。web模式的设置允许用户：

　　● 在书签一节中使用管理员定义的书签。用户不能修改管理员添加的书签。

　　● 使用小部件在你的书签部分添加个人书签。

　　● 使用快速链接小部件直接访问网络资源。

　　现在，你将通过书签或快速连接小部件了解SSL-VPN门户页面(web模式)上可用的协议和服务器应用程序的更多信息。

根据门户网站的配置，有下列一个或多个选项可供选择：

　　1. 通过HTTP/HTTPS协议访问私有网站。

　　2. 文件传输协议(FTP)，用于在SSL VPN客户端和私网中的主机或服务器之间传输文件。

　　3. 虚拟网络计算机 (VNC)，允许你远程控制私有网络中的另一台计算机。

　　4. 远程桌面协议 (RDP)，类似于VNC，允许你远程控制一台运行Microsoft Terminal Services的计算机。

　　5. 安全外壳 (SSH)，允许使用安全通道在两台主机之间交换数据。

　　6. 电传网络仿真 (TELNET)，是指通过SSL VPN中的虚拟文本终端登录远端主机的方式。

　　7. SSH文件传输协议 (SFTP)，用于在SSL VPN客户端和私网中的主机或服务器之间通过SSH协议传输文件。

　　8. SMB/CIFS协议，实现服务消息块协议(SMB) ，支持SSL VPN客户端与私网中的远端主机或服务器之间的文件共享。通过共享目录，支持通过SMB/CIFS协议共享Windows文件。

SSL VPN门户配置完成后，下一步是配置SSL VPN的相关配置。

　　让我们从连接设置部分开始。这里你需要将FortiGate接口映射到SSL VPN门户。SSL VPN门户的默认端口为443。这意味着用户需要连接到SSL VPN门户映射的FortiGate接口的IP地址，使用HTTPS端口443。启用重定向HTTP到SSL VPN后，用户通过HTTP协议(TCP端口80)连接时，会被重定向到HTTPS协议。

　　端口443是管理HTTPS协议的标准默认端口。这很方便，因为用户不需要在浏览器中指定端口。例如，https://www.example.com/在任何浏览器中都会自动使用443端口。这被认为是FortiGate上的有效设置，因为你通常不会通过每个接口访问SSL VPN登录。同样，通常也不需要在FortiGate的每个接口上启用管理访问。因此，即使端口可能重叠，每个端口用来访问的接口也可能不重叠。但是，如果SSL VPN登录门户和HTTPS admin访问使用同一个端口，并且在同一个接口上启用，则只会出现SSL VPN登录门户。要访问同一接口上的两个门户，你需要更改其中一个服务的端口号。如果更改管理员访问端口，将影响所有接口上该服务的端口号。

　　另外，不活动的SSL VPN在300秒(5分钟)不活动后断开。你可以使用GUI上的〖空闲登出〗更改此超时时间。

　　最后，与其他HTTPS网站一样，SSL VPN门户在用户连接时提供数字证书。默认情况下，门户使用自签名证书，这将触发浏览器显示证书警告。要避免此警告，你应该使用由公开的已知证书颁发机构(CA)签名的数字证书。或者，你可以将FortiGate自签名数字证书作为受信任的权威加载到浏览器中。

定义将用户映射到适当门户的隧道模式客户端设置和身份验证规则。

　　当用户连接时，为隧道分配IP地址。你可以选择使用默认范围或创建自己的范围。IP范围决定了同时可以连接多少用户。有两种IP分配方法，仅在CLI中可用，如上图所示：

　　● 第一个可用 (默认设置)

　　● 轮循

　　请注意，使用轮询方式时，忽略web门户中定义的地址池，必须设置ssl vpn setting下的tunnel-ippools或tunnel-ipv6-pools。只能配置一组IP池地址。

　　只有当DNS流量通过VPN隧道发送时，DNS服务器解析才有效。通常情况下，只有当分离隧道模式被禁用，并且所有流量都是通过隧道从用户的计算机发送的时候才会出现这种情况。

　　最后，你可以允许不同的用户组访问不同的门户。在上图所示的例子中，教师只能访问网站门户。会计师可以使用FortiClient连接隧道模式。

第四步(也是最后一步)是必需的，它涉及到为登录创建防火墙策略。

　　FortiGate上的SSL VPN流量使用一个名为SSL的虚拟接口ssl.<vdom_name>。每个虚拟域(VDOM)根据名称包含不同的虚拟接口。默认情况下，如果没有启用VDOM，那么设备使用一个称为root的VDOM进行操作。

　　为了激活并成功登录SSL VPN，需要在SSL VPN接口到需要允许SSL VPN用户访问的接口上配置防火墙策略，包括所有可以作为源登录的用户和组。如果没有这样的策略，就不会向用户呈现登录门户。

　　如果用户需要访问的其他接口后面有资源，那么你需要创建允许来自ssl.root的流量的额外策略进入这些接口。

任何来自SSL VPN用户的流量，无论是web门户还是隧道模式，都将进入SSL.<vdom_name>接口。

　　上图展示了一个防火墙策略的示例，这些防火墙策略被配置为允许访问用户通过SSL VPN连接时需要访问的其他接口后面的资源。

如果禁用了隧道分割，则需要创建额外的防火墙策略从ssl.root到出接口，允许客户端访问internet。

　　你还可以将安全配置文件应用于此防火墙策略，以限制用户对internet的访问。

要配置SSL VPN，必须执行以下步骤：

　　SSL VPN服务器FortiGate：

　　1. 为远程SSL VPN用户创建用户帐号和组。

　　● 创建两个帐户：本地/远程和PKI。PKI菜单只有通过命令行方式创建PKI用户后，才能在图形界面上使用，且CN只能在命令行方式下配置。如果没有指定CN，那么任何由CA签名的证书都是有效的和匹配的。

　　● 要求客户端使用他们的证书以及用户名和密码进行身份验证。

　　2. 配置SSL VPN门户

　　3. 配置SSL VPN设置

　　● 认证规则包括两个账号通过CLI进行认证。

　　4. 创建进出SSL VPN接口的防火墙策略。

　　5. 创建允许SSL VPN访问internet的防火墙策略(可选)。

要配置SSL VPN，必须执行以下步骤：

　　SSL VPN客户端FortiGate：

　　1. 创建PKI的用户：

　　● 如果FortiGate服务器上的PKI用户配置了CN，则需要通过命令行设置相同的CN。

　　● 选择允许FortiGate完成证书链并验证服务器证书的CA证书。

　　2. 使用ssl.<vdom>接口创建SSL VPN隧道接口。

　　3. 在VPN>SSL-VPN客户端创建和配置SSL VPN客户端，包括：

　　● 客户端名称

　　● 虚拟SSL VPN接口

　　● SSL VPN服务器FortiGate IP地址和SSL端口号

　　● 本地用户名和密码、PKI(对端)用户。客户端证书是用来识别此客户端的本地证书，并假定已安装在FortiGate上。SSL VPN服务器需要使用它进行认证。

　　● 当隧道分割功能被禁用时，会添加新的缺省路由，优先级和距离将起作用重要的角色

　　4. 创建防火墙策略，允许内部接口到SSL VPN接口的流量通过。

答案：A

现在你了解了如何为SSL VPN连接配置FortiGate，接下来，你将学习如何为不同的用户组创建多个SSL VPN登录站点，并管理用户添加的书签。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示理解这些主题的能力，你将能够为不同的用户组创建多个SSL VPN登录站点，并管理特定于用户的书签。

缺省情况下，所有SSL VPN用户都将看到管理员配置的相同书签和相同的主题。

　　缺省情况下，SSL VPN域和SSL VPN个人书签的自定义功能隐藏在FortiGate GUI.

为了增加SSL VPN部署的灵活性，你可以考虑配置SSL VPN域。

　　域是自定义登录页面。它们通常用于用户组，如会计团队和销售团队，但也可以用于单个用户。使用域，用户和用户组可以根据他们输入的URL访问不同的门户。

　　使用不同的门户，你可以分别定制每个登录页面，并分别限制并发用户登录。

　　FortiGate域的例子：

　　https://192.168.1.1

　　https://192.168.1.1/Accounting

　　https://192.168.1.1/TechnicalSupport

　　https://192.168.1.1/Sales

设置域之后，你必须在SSL VPN设置窗口中应用它们。

　　配置身份验证规则，以便将用户映射到适当的域。这些设置允许不同的用户组通过不同的域访问定义的门户。

　　在这上图显示的例子中，教师只能访问他们自己的领域。如果他们需要访问根域来查看全局门户，则需要为他们添加额外的身份验证规则。

当用户登录到自己的门户时，有一个选项允许他们创建自己的书签。管理员必须启用SSL VPN门户页面上的用户书签选项。

　　管理员可以在SSL VPN个人书签页面中查看和删除用户添加的书签。这允许管理员监视和删除不符合公司策略的任何不需要的书签。

　　在FortiGate命令行中，可以为每个用户创建书签。即使在门户中禁用了用户书签选项，这些书签也会出现，因为该选项只影响用户创建和修改他们自己的书签(而不是管理员定义的书签)的能力。

　　根据你想要创建的书签类型，你可能需要配置应用程序需要的其他信息，比如网站的URL和FTP站点的文件夹。

答案：A

现在你了解了如何配置SSL VPN域，并查看了用户添加的书签。接下来，你将学习如何加强SSL VPN访问。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示理解如何加强SSL VPN访问的安全性的能力，你将能够限制用户，确保你的内部网络是安全的，并限制攻击和病毒从外部来源进入网络的可能性。

当用户通过SSL VPN连接到你的网络时，你的网络和用户PC之间就建立了一个门户。VPN会话有两种安全方式：连接被加密，用户必须使用他们的凭证(例如用户名和密码)登录。但是，你可以配置额外的安全检查来增加连接的安全性。

　　提高安全性的一种方法是通过客户机完整性检查。客户端完整性检查连接的计算机是否安装或运行了特定的安全软件(如杀毒软件、防火墙软件等)，以确保连接计算机的安全性。此特性仅支持Microsoft Windows客户端，因为它访问Windows安全中心来执行检查。或者，你可以自定义此特性，以使用其他应用程序的GUID检查它们的状态。GUID是Windows配置注册表中标识每个Windows应用程序的唯一ID。客户端完整性还可以检查防病毒和防火墙应用程序的当前软件版本和签名版本。

　　客户端完整性校验适用于web模式和隧道模式。

客户端完整性检查是在VPN还在建立的时候执行的，就在用户身份验证完成之后。如果客户端PC上没有运行所需的软件，则VPN连接尝试将被拒绝，即使有有效的用户凭据。每个web门户都启用了客户端完整性，可以使用CLI命令或FortiGate GUI进行配置。

　　可识别的软件列表，以及相关的注册表键值，只在CLI上可用。软件分为反病毒(av)、防火墙(fw)和自定义三种类型。Custom用于组织可能需要的定制或专有软件。管理员可以通过GUI和CLI两种方式对av、fw进行设置，但自定义设置只能通过CLI方式进行。

　　管理员还可以配置操作系统版本和补丁设置，允许或禁止来自特定操作系统版本的VPN连接。

　　启用客户端完整性检查的缺点是，它会导致大量的管理开销，原因如下：

　　● 为了成功建立连接，所有用户都必须更新他们的安全软件。

　　● 软件更新可能导致注册表键值的更改，这也可能阻止用户成功连接。

　　因此，管理员必须深入了解Windows操作系统和随后的注册表行为，以便正确地扩展使用和维护该功能。

你也可以通过安全证书(X.509)应用双因子身份验证来加强你的SSL VPN连接，方法如下：

　　● 要求客户端使用其证书进行身份验证。当远程客户端发起连接时，FortiGate将提示客户端浏览器获取其客户端证书，这是身份验证过程的一部分。

　　● 在客户端的浏览器上安装FortiGate的CA证书

通过限制主机连接地址，可以确保SSL VPN访问的安全性。在考虑适当的安全配置时，设置IP限制规则非常有用。并不是所有的IP都需要访问登录页面。通过该方法，可以设置限制特定IP访问的规则。一个简单的规则是根据地理IP地址允许或禁止流量。

　　你必须选择“限制访问特定主机”，并在主机字段中指定IP地址或网络。这将只允许那些用户访问登录页面。允许从任何主机访问设置允许所有IP连接。

　　在CLI中，可以配置VPN的SSL设置为禁止指定IP地址通过。

你还可以配置FortiGate功能，在远程用户登录SSL VPN门户时，根据客户端的MAC地址进行检查。这可以确保只有特定的计算机或设备连接到SSL VPN隧道。

　　这个设置提供了更好的安全性，因为密码可能会被泄露。MAC地址可以绑定到特定的门户，可以是整个MAC地址或地址的子集。

　　该设置仅在隧道模式部署时支持。

答案：A

答案：B

现在你了解了如何加强SSL VPN访问的安全性。接下来，你将学习如何监视SSL VPN会话、查看日志、配置SSL VPN计时器，并解决常见问题。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示SSL VPN监控和故障排除的能力，你将能够避免、识别和解决常见问题和错误配置。

你可以在SSL VPN小部件上监视哪些SSL VPN用户被连接。这显示了当前连接到FortiGate的所有SSL VPN用户的名称、他们的IP地址(隧道内部和外部)和连接时间。

　　当用户使用隧道模型进行连接时，Active Connections列显示了FortiGate为客户机计算机上的fortissl虚拟适配器分配的IP地址。否则，用户只连接到web门户页面。

你也可以查看SSL VPN的日志。在日志和报告>事件：

　　● 选择VPN Events，显示新的连接请求，以及SSL VPN隧道是否建立或关闭。

　　● 选择用户事件，可以查看SSL VPN用户的认证动作。

当SSL VPN连接断开时，无论是用户断开还是SSL VPN空闲配置断开，都会删除FortiGate会话表中所有关联的会话。防止初始用户结束隧道后，通过验证的SSL VPN会话(尚未过期的会话)再次使用。

　　SSL VPN用户空闲设置与防火墙认证超时时间设置不关联。这是一个单独的空闲选项，专门为SSL VPN用户。如果FortiGate在配置的超时时间内没有看到来自该用户的任何数据包或活动，则认为该远程用户是空闲的。

对于高时延的SSL VPN连接，FortiGate会导致客户端在完成DNS解析、token输入等协商过程之前超时。在config vpn ssl设置下添加了两个新的CLI命令来解决这个问题。第一个命令允许设置登录超时时间，替换之前的硬超时时间值。第二个命令用来设置SSL VPN连接的DTLS hello超时时间。

　　此外，计时器可以帮助你减少Slowloris和R-U-Dead-Yet等漏洞，这些漏洞允许远程攻击者通过部分HTTP请求导致拒绝服务。