验证篇(7.0) 05. SSL安全隧道用域帐户验证 ❀ 飞塔 (Fortinet) 防火墙

Posted 2022-04-29 meigang2012

　　【简介】当我们用LDAP连接域服务器后，可以取得域服务器的组内的帐户信息，当我们需要进行验证的时候，远程读取组内帐户信息进行验证，最常用的运行环境就是SSL VPN。

  SSL准备

　　在配置SSL之前，先要做个准备工作。

　　① 防火墙默认有一个SSLVPN_TUEEL_ADDR1地址对象，定义拨号后生成的IP地址。我们可以直接使用，默认范围200~210，共11个IP，如果不够用可以修改。新建一个或多个内网IP地址，用来允许拨号后访问限制。

　　② 新建一个域用户组。具体方法参考上一篇文章。

   SSL门户

　　准备好后，就可以配置SSL门户了。

　　① 选择菜单【VPN】-【SSL-VPN门户】，默认有三个门户，通常使用第一个，选择第一个门户，点击【编辑】。

　　② 隧道模式下，启用隧道分割，选择【基于策略目标启用】，这样只有指定的流量会通过SSL VPN隧道，而不是所有流量。隧道分割地址选择前面建立的内网地址对象。这样只有访问192.168.198.0的流量会通过SSL VPN隧道。源IP地址选择防火墙默认存在的SSLVPN_TUNNEL_ADDR1地址对象，SSL拨号生成这个源IP地址。其它默认，点击【确认】。

   SSL设置

　　配置好门户后，就可以开始设置SSL VPN了。

　　① 选择菜单【VPN】-【SSL-VPN设置】，首先选择接口，可以选择多个宽带接口，要求宽带IP能够远程访问。默认端口为443，与防火墙默口端口冲突，这里改成10443。超时时间默认5分钟，没有操作就断开连接。

　　② 只有禁用隧道分割，客户端才会获取到DNS，因为禁用隧道分割，所有流量都走SSL VPN隧道，再获得DNS，就可以通过防火墙的宽带接口上网了。认证/Portal映射新建一条用户组为LDAP域用户组，门户为刚才编辑的full-access，这样限制隧道模式只能访问172.16.198.0网段，而且必须通过域用户组验证。全部其他用户/组，选择web-access就可以了。

   SSL策略

　　完成SSL VPN门户、设置后，就可以建立访问策略了。

　　① 在SSL-VPN 配置窗口最上面，有一个创建策略链接，点击链接。

 　　② 流入接口默认是SSLVPN生成的虚拟接口ssl.root，输入自定义的策略名称，流出接口选择要访问的接口，可以是内网接口，也可以是宽带接口（禁用隧道分割的情况下）。

 　　③ 源地址选择SSLVPN_TUNNEL_ADDR1，应该还记得这是在full-access门户设置有选择过吧。这样就能对上了。除了源地址要能对上外，还需要核对用户。

　　④ 选择【用户】，选择域用户组。这样也就和SSL VPN设置最下的认证/Portal映射对上了。

　　④ 目标地址不能选择all，因为我们启用了隧道分割，选择full-access门户设置里选择的允许访问的内网IP地址。服务选择【ALL】，因为我们要访问的172.16.198.0网段与port7口是同一网段，因此不用启用NAT。点击【确认】，这样所有配置就都完成了。

   SSL验证

　　SSL配置完成了，我们来看看是否能通过域服务器进行验证。

　　① 最简单的方法，就是通过Web浏览器登录SSL VPN，在登录的时候输入域帐户名称和密码，看看是否通过。在SSL-VPN设置窗口，有一个Web模式访问链接，点击这个链接。

　　② 第一次访问会出现安全提示，点击【高级】。

　　③ 点击【继续前往...】。

 　　④ 然后弹出登录界面，注意看颜色和形状，和我们的防火墙登录界面不同，所以这里不是填写防火墙的登录帐号，而是SSL VPN用户帐号，由于我们配置的是域用户组，因此这里是填写域服务器内的用户帐号和密码。然后防火墙会通过LDAP与域服务器进行效验。用户名的填写格式与标识符有关，这个是标识符cn下的登录方式。

　　⑤ 当LDAP设置里标识符是sAMAccountName是，以这种格式输入用户名。

　　⑥ 标识符不同，读取的域帐户字段不同。

　　⑦ 能登录，说明通过域服务器的验证了。点击【快速连接】。

　　⑧ 选择【Ping】，输入Ping包测试的内网服务器IP地址。

　　⑨ 能Ping通，说明SSL VPN配置是成功的。

---