高级篇 / ZTNA(7.0) ❀ 06. 域用户自动安装 FortiClient (下) ❀ FortiGate 防火墙
Posted 飞塔老梅子
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了高级篇 / ZTNA(7.0) ❀ 06. 域用户自动安装 FortiClient (下) ❀ FortiGate 防火墙相关的知识,希望对你有一定的参考价值。
【简介】中大型企业通常会使用Windows Server对电脑进行管理,我们可以利用Windows Server的自动安装功能,将所有电脑安装FortiClient客户端。
FortiClient EMS 添加域
我们可以FortiClient添加域,并将域用户信息加入FortiClient EMS。
① 登录FortiClient EMS,选择菜单【Endpoints】-【Manage Domains】,右边窗口点击【Add】。
② 输入域服务器的IP地址或主机名称,端口修改为【389】,专有门称记得的就可以直接输入,不记得不输入也可以,连接成功后会自动填入。绑定类型默认为【常规】。输入域服务器的帐号和密码,这里最好是输入管理员帐号和密码。点击【测试】。
③ 只要所有参数都正确,就能看到连接成功的提示【Success】,点击【Save】。
④ 在管理域菜单,可以看到域服务器的详细信息。
⑤ 选择菜单【Endpoints】-【Domains】,会出现域,点击域,可以看到有哪些电脑访问了域。
⑥ 点击域名左边下拉箭头,可以看到域服务器的整个结构。
终端配置文件
我们可以通过配置终端配置文件,来控制终端FortiClient的功能。
① FortiClient EMS 7.0.6版本的终端配置文件和早期版本不同,早期版本是建立配置文件,然后里面的内容不同,现在的版本直接列出内容,建立内容的不同配置文件。这里我们选择【Remote Access】,点击【Add】。
② 假设我们为了内网电脑的安装,虽然安装了FortiClient,但是要禁用VPN功能,这样我们输入名称为ONNET,关闭个人VPN和SSL VPN及IPsec VPN,点击【Save】。
③ 再次点击【Add】,这次我们要配置一个从外网访问进来的配置文件,输入名称OFFNET,关闭【IPsec VPN】,点击【Add Tunnel】。
④ 出现选择VPN类型提示,默认选择【Manual】,点击【Next】。
⑤ 输入自定义的VPN名称,远程网关输入防火墙宽带接口IP,端口默认是443,由于443会和防火墙默认端口冲突,通常会改成10443,点击【Save】。
⑥ 如果外网的客户端要访问多个SSL VPN,那么还可以建立多个隧道。点击【Save】。
⑦ 这样两个关于VPN的配置文件就创建好了,一个内网ONNET关闭了所有VPN访问,一个外网OFFNET关闭了IPsec VPN,配置了SSL VPN隧道。
On-fabric检测规则
配置过防火墙的就知道,通常我们需要指定某些网段能上网,某些网段不能上网,这就需要用到地址对象。
① 选择菜单【Endpoint Policy & Components】-【On-fabric Detection Rules】。点击右上角的【Add】。
② 输入规则名称,点击【Add Rule】。
③ 检测类型选择【Local IP/Subnet】,输入IP范围,也就是内网电脑的IP地址范围。点击【Add Rule】。
④ 可以建立多条检测规则,这里我们只检测内网IP地址,点击【Save】。
创建管理策略
所有的因素都配置好了,下一步就是创建管理策略了。
① 选择菜单【Endpoint Policy & Components】-【Manage Policies】。可以看到已经有一条默认策略,我们可以直接修改这条默认策略,也可以新建策略,点击【Add】。
② 首先输入自定义的策略名称,点击终端组下面的【Edit】。
③ 终出窗口点击域名前面的+号,钩选【Computers】,点击【Save】。
④ 可以看到Endpoint Groups出现了选择的内容,也就是说这条策略对所有登录域并且安装及启动FortiClient的电脑有效。
⑤ 除了可以的终端组控制之外,也可以直接选择要控制的用户。
⑥ Profile (Off-Fabric) 是控制外网访问进来的,和可以 Profile一起配置,内网的VPN选择ONNET,外网的VPN选择OFFNET。后面我们会测试他们的区别。
⑦ On-Fabric Detection Rules 选择我们刚刚建立的【ONNET_Subnet】,点击【Save】。这条策略就创建好了。我们看到,只有加入域的电脑,指定的用户,在指定的IP范围才能匹配这条策略。
⑧ 策略创建完成,在默认策略的上方,优先匹配。
FortiClient 安装
下一步就要配置FortiClient安装了。
① 选择菜单【Deployment & Installers】-【FortiClinet Installer】,点击右上角的【Add】。
② 安装类型默认选择正式版本,下面的版本号会显示最新的版本,钩选【请及时更新最新补丁】,点击【Next】。
③ 输入部署包自定义名称,最好加上版本号,点击【Next】。
④ 功能默认全选,点击【Next】。
⑤ 为了在安装完成后能快速启动FortiClient,这里钩选择【启用桌面快捷方式】和【启用户动菜单快捷方式】,点击【Next】。
⑥ 配置完成,点击【Finish】。
⑦ 点击刚刚建立的部署包,可以看到配置内容。注意这里还会有一个下载安装包的链接。
⑧ 双击链接或者用浏览器打开链接,可以下载最新的FortiClient安装程序。链接指向的是安装了FortiClient EMS的服务器。如果没有建域服务器,内网的电脑可以分别打开这个链接安装FortiClient客户端。
管理部署
虽然现在可以每台电脑手动下载安装了,但是还是应该利用自动部署安装。
① 选择菜单【Deployment & Installers】-【Manage Deployment】,点击右上角的【Add】。
② 输入自定义的部署名称,Endpoint Groups的选择是不是很眼熟?对了,和策略里一样,这里也是选择域下面的计算机。部署包选择前面的定义的FCT_7.0.7。
③ 默认【Start at a Scheuduled Time】是启动的,可以在指定时间运行部署安装。这里我们想立即看到效果,因此关闭。输入域帐号(前面要加入域名称,用\\隔开)及密码,点击【Save】。
④ 部署配置完成。
验证
部署配置好了,下一步就看验证效果了。
① 启动客户端电脑,登录域。
② 默认是没有安装FortiClient的。
③ 回到FortiClient EMS,选择【Endpoints】-【All Endpoints】,找到登录的计算机,可以看到出现部署和策略两个信息,点击后,可以看到具体的部署状态。部署完成后,状态为Online。
④ 再回到客户端,桌面上多出一个FortiClinet图标,双击图标。
⑤ 打开FortiClinet后可以看到已经连接到FortiClient EMS。
⑥ 选择【REMOTE ACCESS】,发现VPN不起作用,这是因为此电脑状态为Online,在内网运行,匹配策略里ONNET的配置。
⑦ 为了更接近现实,我们新加入一台电脑登录域。
⑧ 启动后并不会自动安装FortiClient。
⑨ 这是因为这台电脑的信息并没有同步到FortiClient EMS,选择菜单【Endpoints】-【Manage Domains】,选择前面建好的域,【Sync】进行同步。
⑩ 再选择菜单【ALL Endpoints】,这次可以看到新添加的电脑了。
⑾ 耐心等待几分钟,就可以看到在客户端电脑自动安装FortiClient了。
⑿ 在FortiClient EMS可以看主机CLIENT-1处动部署了。
以上是关于高级篇 / ZTNA(7.0) ❀ 06. 域用户自动安装 FortiClient (下) ❀ FortiGate 防火墙的主要内容,如果未能解决你的问题,请参考以下文章
高级篇 / ZTNA(7.0) ❀ 06. 域用户自动安装 FortiClient (下) ❀ FortiGate 防火墙
高级篇 / ZTNA(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙
高级篇 / ZTNA(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙
高级篇 / ZTNA(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙