FortiGate防火墙部署SSL接入功能

已于 2024-05-27 15:29:28 修改
阅读量594 收藏 1
点赞数 1
分类专栏: 网安运营 文章标签: ssl 运维
于 2022-10-16 18:15:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54768192/article/details/127349162
版权

网安运营 - 建设篇

第一章 FortiGate防火墙部署SSL接入功能

下章内容

第二章 FortiGate防火墙配置SSL用户分流

前言

FortiGate系列防火墙,全球500强企业FortinetFortiGate系列产品。

  1. 移动办公用户在外地连接到企业内网, 用于访问企业内网的服务器资源,非企业内网服务器资源则使用客户端流量访问

FortiGate防火墙的实施教程请参考大佬的博客:飞塔老梅子的CSDN博客。链接在文章底部。

  • FortiGate软件版本:FortiOS v6.4.10 build2000 (GA)
  • FortiGate硬件系列:FortiGate F系列


前置条件

1. 已入门学习了FortiGate相关的知识体系,具备Fortinet NSE的入门水平
2. 具备数通体系的华为HCIA水平


软件环境

1. 有域控、DNS服务和CA证书服务
2. 有自建邮箱

硬件环境

1. 首先,Fortinet没有模拟器。你得有一台FortiGate F系列的硬件防火墙(不用授权也能做SSL实验,授权只是提供库的更新)。软件的大版本是V6,相差几个小版本问题不大,但小版本尽量一致。


简易拓扑说明

(略)



FortiGate部署SSL

FortiGate防火墙配置解析DNS记录

开启DNS数据库功能
fg1

配置域控的DNS解析
fg2

DNS条目的配置,用于固定域控的DNS解析到指定IP
fg3

验证DNS解析

### FortiGate的CLI用法与常规的交换机CLI不同,ping命令的调用得加一个execute的前缀,如下。
execute ping dc01.xxx.com
execute ping dc02.xxx.com


FortiGate防火墙导入域控CA证书

fg4
fg5
导入CA证书后检查证书是否正确,主要检查Subject的CN字段,Issuer的CN字段,扩展的X509v3 Basic Constraints字段是否为CA:TRUE



FortiGate防火墙连接域控LDAPS

fg6

为了安全起见,域控新建一个用户,该用户拥有“只读的域控制器”权限即可,命名为fortigate用于LDAP查询。
使用安全的LDAPS,证书选择导入的CA证书
fg7

测试连接成功后浏览LDAP标识名称查询
fg8



FortiGate防火墙导入LDAP远程用户

导入远程LDAP用户
fg9
fg10
fg11

添加所有LDAP用户并提交
fg12

新建用户组,用于区分SSL用户组的具体作用
定义几个用户组,例如“访问内网服务器”、“访问内网有线+服务器”、“访问内网有线无线+服务器+分支机构”等等
fg13
fg14



FortiGate防火墙配置SSL门户

fg15

根据业务场景需要,此处只新建一个web模式门户,其他均为web+tunnel模式门户
带web模式的门户,下载FortiClient可选使用自定义链接,将通过FortiGate的SSL路由代理下载


新建一个web模式门户,用于拒绝未授权用户的访问
fg16

web+tunnel模式,启用隧道分割,开启Web模式,开启FortiClient下载

  1. 路由地址:下发给SSL用户的路由表,表示SSL用户可以访问的路由网段
  2. 源IP池:用户拨入SSL后获取的IP地址段。不同门户的IP池可以配置不同的地址段,在SSL用户地址池的网段范围内即可。
  3. Predefined Bookmarks:SSL用户登录Web门户时看到的全局书签。可以配置一些内网的特定资源,前提是配置的资源必须在该门户的路由地址段之内,否则配置上去的资源访问不到。
    支持的协议类型如下图,其中RDP类型书签里的安全选项,默认是Allow the server to choose the type of security。如果RDP账密没错但连接不成功则切换成Network Level Authentication(网络级别的认证)尝试访问
    fg17
  4. FortiClient客户端下载:FortiGate V6软件版本的下载仅支持Windows客户端和Mac客户端的下载,此处可选配置。也可以在自定义书签上配置不同操作系统客户端的下载链接。

fg18



FortiGate防火墙的SSL设置

fg19

SSL的配置要点:

  1. 可以监听多个接口,即开放多个公网IP接入SSL
  2. 可选修改默认的监听端口
  3. 空闲登出的超时时间指的是全局用户的SSL登录超时时间,此处选43200秒即12小时,即是SSL用户拨入后,无论有无操作,12小时后自动登退。
  4. 隧道模式的IP范围可以选较大范围的IP。如配置21位掩码的IP段,然后在SSL门户里配置不同门户不同IP段,以便在防火墙策略里做到颗粒度较高的策略管控。
  5. 隧道模式下,指定客户端的DNS服务器指的是将此处配置的DNS置顶到客户端的DNS地址列表,不会清除客户端原有的DNS。
  6. SSL的服务器证书配置,如果是对公网用户提供访问的,最好是用公有云的证书,如阿里云的免费DV证书等。这样移动办公用户访问SSL的Web门户时不会弹出证书告警。反之使用自建SSL证书则会弹出证书告警(因为用户没有导入自建的CA根证书导致)

认证/Portal映射 按照用户组分配不同的SSL策略

给不同权限的用户组分配SSL门户。
fg20



FortiGate防火墙配置SSL的防火墙策略

防火墙策略的配置尤为重要,并且也是最复杂最容易出错的部分。
fg21
fg22

防火墙策略配置要点:

  1. 防火墙策略的组成元素有名称、源接口、目的接口、源地址、目的地址、时间表、服务、动作、NAT、安全配置、流量日志
  2. 接口可以直接选中SSL隧道接口,重点区分流入流出的流量是来自哪个接口。
  3. 配置SSL的策略,源地址必须使用“IP段+用户”的形式完成,即可以根据 指定IP段 和 指定用户 做策略的管控。


FortiGate给SSL用户做双因子认证

参考如下链接,使用CLI对LDAP用户配置email的双因子认证。前提是FortiGate必须先配置好SMTP邮箱
FortiGate配置Email双因子认证
fg23

CLI配置email双因子认证

config user local				# 进入本地用户配置模式
edit xxxxxx						# 编辑xxx用户
show							# 查看当前编辑的用户配置
set two-factor email			# 配置双因子认证为email
set email-to xxxx@xxx.com		# 配置email地址是xxxx@xxx.com
end								# end保存并退出,可选show检查配置

配置后效果如下

FortiGate # config user local 
FortiGate (local) # edit testuser 

FortiGate (testuser) # show
config user local
    edit "testuser"
        set type ldap
        set two-factor email
        set email-to "testuser@xxx.com"
        set ldap-server "DC"
    next
end

FortiGate (testuser) #


验证FortiClient的Web门户

模拟移动办公用户去访问SSL门户地址 ,并使用远程LDAP用户登录
fg24
输入LDAP配置的SamAccountName属性值和域密码,无需加域后缀
Web门户登录成功后如下图:
fg25

FortiClient客户端登录成功后如下图:
fg26



验证SSL用户下发的路由表

(略)



参考来源

  1. FortiGate 6.4.10 文档
  2. 飞塔老梅子的博客_CSDN博客
  3. FortiGate配置Email双因子认证
歪果仨
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
飞塔FortiGate防火墙基础配置
04-23
FortiGate防火墙USG6000典型配置案例、IPSEC配置案例、SSL VPN配置案例、通过PPPoE接入互联网、通过PPPoE接入互联网、客户端L2TP over IPSec接入(VPN Client/Windows/Mac OS/Android/iOS、应用控制(限制P2P流量、禁用QQ)、基于用户的带宽管理
【隧道篇 / SSL】(6.0) ❀ 01. 通过 SSL 访问 IPsec (上) ❀ FortiGate 防火墙
防火墙技术专栏
09-03 1万+
  【简介】经常有人问可不可以通过SSL VPN到达某个防火墙,再通过防火墙防火墙之间的IPsec VPN访问另一台防火墙后的电脑。这是可以做到的!为了做到这个功能,我们先要一步一步学习怎样配置IPsec VPN。 配置环境   我们在广州有一台FortiGate 200D防火墙,在深圳有一台FortiGate 500D防火墙。每台防火墙都有自己的内网及宽带。   ① 我......
飞塔防火墙命令行手册CLI
08-15
飞塔防火墙命令行手册CLI,7.0.3版本,FortiOS
grafana+Prometheus 对飞塔防火墙监控模板
07-28
grafana+Prometheus 对飞塔防火墙监控模板。包含: vpn 在线人数,vpn ipsec状态,会话数,新建连接数,带宽出口监控等
FortiGate飞塔防火墙简明配置指南.pdf
09-29
FortiGate飞塔防火墙简明配置指南.pdf
教程篇(7.2) 16. SSL虚拟专用网络 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-19 1943
在本课中,你将学习如何配置和使用SSL虚拟专用网络。SSL虚拟专用网络是让远程用户访问你的私有网络的一种简单方法。
【隧道篇 / SSL】(6.0) ❀ 04. 通过 SSL 上网 ❀ FortiGate 防火墙
防火墙技术专栏
09-06 4719
  【简介】SSL可以远程登录防火墙,访问防火墙后面内网的资源,是远程办公的得力工具。除了能访问防火墙内网资料外,也可以通过防火墙的宽带接口上网。
实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问
最新发布
防火墙技术专栏
06-20 2366
虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。
教程篇(6.0) 11. SSL ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
09-29 4240
在这节课中,你将学习如何配置和使用SSL-VPN。SSL-VPN是一种简单的方法,可以让远程用户访问你的私有网络。 在本次课程中,你将探讨以下主题: 描述SSL-VPN SSL-VPN 部署模式 配置SSL-VPN 域和个人书签 强化 SSL-VPN 访问 监控和故障排查 在完成这节课程之后,你应该能够: 定义一个虚拟专用网络(VPN) 描述SSL-VPN和IP...
[个人笔记] FortiGate防火墙使用自建SSL证书
wendr的博客
10-16 1675
SSL - 运维篇 第二章 FortiGate防火墙使用自建SSL证书
飞塔防火墙IPSECVPN配置简单步骤.pdf
12-25
飞塔防火墙IPSECVPN配置简单步骤.pdf
飞塔防火墙配置文档,FortiGate
11-29
FortiGate防火墙实施文档,飞塔防火墙配置手册,部署手册。 FortiGate有四种工作模式:路由模式、透明模式、旁路模式及混合模式。 1、NAT(路由)模式:把设备当作网络出口,充分使用设备的NAT、路由选路、行为控制、VPN等功能部署方式。如图1; 2、透明模式:当用户网络已具备高性能的网络出口,又想使用FortiGate功能,则可以把FortiGate串接在内网核心交换机和网络出口设备之间,用户将不必变更网络拓扑和修改 路由,就 可使用FortiGate的行为控制、VPN等功能。如图2; 3、旁路模式:当用户网络已具备高性能的网络出口,也不想把设备串接在内网核心交换机和出口设备之间,又想使用FortiGate的VPN、DHCP等功能,则可将设备像一台服务 器一样旁挂在核心交换机上,如下图3; 4、混合模式(vdom):指设备同时工作于是路由模式和透明模式,将一个设备分成两个vdom域,一个vdom是透明模式,一个vdom是路由模式,将多个接口划入不同 的
Fortigate防火墙安全加固手册.doc
05-17
FortiGate V5.6飞塔防火墙 纯手打安全加固手册,亲手实施,编写文档。供大家参考,不足之处请指出
Fortinet-FortiOSAPI:用于与Fortigate防火墙(FortiOS)配置API进行交互PHP库
04-01
Fortinet Fortigate配置API(FortiOS) 用于与Fortigate防火墙(FortiOS)API(CMDB,日志和监视器)进行交互PHP库。 该库可以检索,创建,更新和删除防火墙上的配置。 您可以在上找到所有受支持的方法,您将需要...
飞塔FortiGate防火墙固件镜像6.2.4_1112(FGT_50E-v6-build1112-FORTINET.out)升级包
05-21
飞塔防火墙固件镜像6.2.4_1112版本,适用于 FortiGate 50E. 发布时间为:2020年5月10号(FGT_50E-v6-build1112-FORTINET.out)
​​【认证篇 / 远程】(7.0) ❀ 05. SSL 拨入由域帐户验证 ❀ FortiGate 防火墙
防火墙技术专栏
04-28 2240
当我们用LDAP连接域服务器后,可以取得域服务器的组内的帐户信息,当我们需要进行验证的时候,远程读取组内帐户信息进行验证,最常用的运行环境就是SSL VPN。
iptables部署和使用
因上努力,果上随缘。但行好事,莫问前程。
12-27 634
iptables是开源的基于数据包过滤的防火墙工具。
【隧道篇 / SSL】(5.2) ❀ 01. SSL 与 FortiClient 配置 ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
09-02 3万+
【简介】从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。...
教程篇(7.0) 12. FortiGate安全 & SSL安全隧道 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
02-18 6761
在本节课中,你将学习如何配置和使用SSL VPN。SSL VPN是一种让远程用户访问你的私有网络的简单方法。
Fortigate防火墙配置***使用Radius认证配置说明
05-17
要配置Fortigate防火墙的Radius认证,需要进行以下步骤: 1. 配置Radius服务器信息 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user radius edit "radius_server" set server "radius_server_ip" ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

歪果仨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值