FortiOS SSL VPN 用户访问权限配置

于 2024-09-25 01:42:00 发布
阅读量1.5k 收藏 11
点赞数 33
分类专栏: Fortigate防火墙管理配置 文章标签: ssl 网络 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37888039/article/details/142503802
版权

简介

使用不同用户组或用户登录 SSL VPN 隧道模式后,可配置不同的访问权限。
本文介绍为不同用户组分配不同访问权限的配置方法。
相关组件
FortiGate:FortiOS v6.4.14 build2093 (GA)
客户端:Windows11,安装 FortiClient VPN 7.2.3.0929
在这里插入图片描述
用户及用户组配置

config user local
 edit "test1" //用于访问 Server1
	 set type password
	 set passwd-time 2014
	 set passwd xx
 next
 edit "test2" //用于访问 Server2
	set type password
 	set passwd-time 2014
 	set passwd xx
 next
end
config user group
 edit "ssl1" //用于访问 Server1
 set member "test1"
 next
 edit "ssl2" //用于访问 Server2
 set member "test2"
 next
end

地址对象配置

config firewall address 
 edit "server1" //定义 Server1 IP 地址
 set subnet 192.168.1.99 255.255.255.255
 next
 edit "server2" //定义 Server2 IP 地址
 set subnet 192.168.1.100 255.255.255.255
 next
 edit "ssl1addr" //ssl1 用户组内用户 ssl 隧道模式分配的 IP 地址范围
 set type iprange
 set start-ip 192.168.1.1
 set end-ip 192.168.1.100
 next
 edit "ssl2addr" //ssl2 用户组内用户 ssl 隧道模式分配的 IP 地址范围
 set type iprange
 set start-ip 192.168.100.101
 set end-ip 192.168.100.200
 next
edit "local" //用于配置隧道分割时,可访问内网网段(非必须,也
可以直接使用 ssl1addr 和 ssl2addr)
 set subnet 192.168.1.0 255.255.255.0
 next
end

SSL VPN 配置

  • 新建 Portal
    新建两个 Portal,在配置防火墙策略时,分别应用于 ssl1 和 ssl2 用户组。在这里插入图片描述
    如果启用隧道分割,需要选择 routing address,即 SSL VPN 用户需要访问的
    内网网段 IP。配置 source IP pools,在关联用户组后,不同的用户组拨入 SSL VPN
    后,会分配不同的 source IP pools 里的 IP 地址。
  • SSL VPN setting
    在 setting页面中,除了要配置 SSL VPN 登录的端口号等信息外,还可配置允许连接 SSL VPN
    的主机 IP、登录用户超时时间、用户组与 Portal 关联等信息,如下图所示:
    在这里插入图片描述

介绍如下:
Listen on Interface:在哪个接口上开启 SSL VPN,一般为外部公网接口。
Listen on Port:登录 SSL VPN 使用的端口号。默认为 443,会有警告与 HTTPS
管理登录端口冲突。
Restrict Access:可登录SSL VPN的源IP。通常选择为Allow access from any host。
Tunnel Mode Client Settings——Address Range:如果选择 Automatically assign
addresses,会有提示为“隧道用户将得到 10.212.134.200 - 10.212.134.210 范围内
的 IP”,但实测证明,即使选择这项,隧道用户得到的 IP 仍是在 Portal 里配置的
Source IP Pools 内的 IP。
Authentication/Portal Mapping:此处配置用户组与 Portal 的对应关系。

防火墙策略配置

config firewall policy
 edit 2
 set srcintf "ssl.root"
 set dstintf "switch"
 set srcaddr "ssl1addr"
 set dstaddr "server1"
 set action accept
 set schedule "always"
 set service "ALL"
 set logtraffic disable
 set groups "ssl1"
 next
 edit 3
 set srcintf "ssl.root"
 set dstintf "switch"
 set srcaddr "ssl2addr"
 set dstaddr "server2"
 set action accept
 set schedule "always"
 set service "ALL"
 set groups "ssl2"
 next
end

结果验证
在这里插入图片描述
在这里插入图片描述

【漏洞预警】FortiOS 和 FortiProxy 身份认证绕过漏洞(CVE-2024-55591)
李火火的安全圈
01-17 2131
2025年1月14日,Fortinet 发布安全公告(FG-IR-24-535)称修复了一个可导致FortiOS 和 FortiProxy身份验证绕过的高危漏洞:CVE-2024-55591。攻击者可无需身份认证通过向 Node.js websocket 模块发送特制请求,最终获取设备的超级管理员权限
Fortinet 防火墙 IPSEC配置
最新发布
weixin_61960865的博客
06-20 3581
由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。9、以上是隧道的建立,因为ipsec是基于路由或基于策略实现的所有还需要写好进出口的安全策略,以及出口的静态路由。(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是。
FortiOS 5.0 配置手册 中文
12-15
5.0 系统 中文配置手册
FortiOS安全配置文件-中文版-V5.6.3
03-19
官文资料FortiOS安全配置文件,V5.6.3,英译中。2018年3月
教程篇(7.4) 10. SSL VPN & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
03-28 3754
在本课中,你将学习如何配置和使用SSL VPNSSL VPN是让远程用户访问你的私人网络的简单方法。
SSL-VPNFortiClient6.0.5客户端配置
Helpdesk相关资料整理
05-16 4955
2)设置SSL VPN参数,具体包括连接名称、类型(SSL-VPN)、描述、远程网关(FGT防火墙SSL VPN服务端地址或域名)、自定义端口(根据SSLVPN的设置)、认证(登录时提示)、客户端证书(无)、遇到无效的服务器证书不提示(建议勾选),设置完成后点击“保存”5)SSL VPN连接成功(服务端设置,见前面配置案例章节)页面将显示连接名称、服务器端地址、连接时间、接收字节数、发送字节数等信息。3)点击左侧 远程访问,选择2)中建立的SSL VPN连接,输入用户名、密码,点击连接。
【翻译篇】❀ 01. 介绍 ❀ 安全配置文件 ❀ FortiOS 手册 5.6.3
防火墙技术专栏
02-18 1017
01.介绍
FortiOS-7-Administration_Guide.pdf
04-07
9.ROUTING 和安全 monitor:介绍了 FortiOS 7.0.0 的ROUTING 和安全监控,包括 static & dynamic routing monitor、DHCP monitor、IPsec monitor、SSL-VPN monitor 和 Firewall Users monitor 等。 10. 设备清单和 ...
【翻译篇】❀ 09. 入侵防御 ❀ 安全配置文件 ❀ FortiOS 手册 5.6.3
防火墙技术专栏
02-21 925
09. 入侵防御
forticlient vpn从安装到连接遇到的一些问题(The server you want to connect to requests identification)
lh87270202的博客
07-08 9625
Fortinet-The server you want to connect to requests identification
forticlientsslvpn_cli 端命令行工具使用
qq_21442867的博客
04-06 2568
/root/forticlientsslvpn/64bit/forticlientsslvpn_cli --server xx.xx.xx.xx:xxx --keepalive --vpnuser yandun
FortiClient
01-31
FortiClient 端点安全为网络终端提供全面的,动态的安全。FortiClient是一个基于客户端的软件解决方案,为台式机和笔记本电脑提供远程登录。win10可以使用
Forticlient(5.6.6.1167)
04-22
(Fortigate)的客户端,版本号是5.6.6.1167,2018年4月份最新版。
教程篇(7.4) 11. IPsec VPN & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-02 1957
在本课中,你将了解IPsec VPN的架构组件以及如何配置它们。
实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问
防火墙技术专栏
06-20 2762
虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。
【隧道篇 / SSL】(7.4) ❀ 02. 通过SSL VPN Web模式走对方宽带上网 ❀ FortiGate 防火墙
防火墙技术专栏
01-22 4093
SSL VPN Web模式下,只通过浏览器就可以访问远程内网,省去了安装客户端的烦恼,缺点的是支持的协议不多。FortiOS 7.4版本还支持走对方宽带上网。让我们来验证一下这个功能。
Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞
smellycat000的专栏
06-12 1235
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Fortinet 发布新的 Fortigate 固件更新,修复了一个位于 SSL VPN设备中未披露的严重的预认证远程代码执行漏洞。该修复方案在上周五 FortiOS 固件版本6.0.17、6.2.15、6.4.13、7.0.12和7.2.5中发布。虽然发布公告中并未提及,但安全专业人员和管理人员提到,这些更新悄悄地修复了一个将在6月13日披露的...
教程篇(7.0) 12. FortiGate安全 & SSL安全隧道 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
02-18 8548
在本节课中,你将学习如何配置和使用SSL VPNSSL VPN是一种让远程用户访问你的私有网络的简单方法。
实验篇(7.2) 06. 通过安全隧道访问远端内网服务器 (FortiClient-SSL) ❀ 远程访问
防火墙技术专栏
06-04 2482
直接映射服务器到公网,没有验证不安全;通过Web浏览器访问远程内网服务器,有验证也安全,但是支持的协议太少。那有没有即安全,又能支持所有协议的访问方法呢?我们来看看SSL VPN的隧道模式。
FortiOS 6.4.0管理员指南:全面配置与管理
4. **CLI使用** - CLI是高级用户和系统管理员的重要工具,包括连接方法、基本命令语法、子命令集和权限管理。这对于进行复杂配置和诊断问题非常实用。 5. **FortiExplorer for iOS** - 提供了一个移动应用,方便...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aggy阿吉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值