【简介】在只有一端有飞塔防火墙的情况下,另一端用FortiClient客户端软件通过SSL访问防火墙后面的内网,这种访问方式在很多中小企业都盛行。例如总公司有防火墙,下面有三个分公司都没有防火墙,需要通过SSL拨号到总公司防火墙后访问内网的服务器。BOSS要求严格控制访问,分公司1只能访问Web服务器,分公司2只能访问ERP服务器,分公司3只能访问CRP服务器。而且SSL拨号生成的IP地址是固定的,为了好管理。你会怎么做?
建立地址对象
首先我们需要知道SSL拨号后产生的IP地址,和需要访问的服务器地址,这里可以建立这些地址的地址对象,方便以后的配置。
① 选择菜单【网络&对象】-【地址】,点击【新建】-【地址】。
② 输入自定义的用户名,输入SSL拨号后产生的IP地址,这里输入的是地址而不是地址范围,是为了使一个用户只生成一个地址。
③ 这里为三个分公司生成三个SSL地址。
④ 建立需要访问的服务器的IP地址对象。
⑤ 这里有三台服务器,分别在内网的不同网段。
建立用户
建立完地址对象后,我们还需要分别给三个分司建立允许SSL访问的用户。
① 选择菜单【用户&设备】-【设置用户】,点击【新建】。
② 默认为本地用户,点击【下一个】。
③ 输入用户名和登陆密码,点击【下一个】。
④ 邮件地址可以不用输入,点击【下一个】。
④ 这里我们只是给每个分公司建一个用户帐号,所以可以不用加入用户组,点击【完成】。如果每个分公司有多个帐号,建立组,并将用户加入组中。
⑤ 用同样的方法,为三个分公司建立三个用户。
SSL 门户
下面需要给三个分公司建立三个门户。
① 选择菜单【虚拟专网】-【SSL Portals】,点击【新建】。
② 输入自定义的用户名,启用隧道模式,路由地址就是需要访问的服务器地址,源IP池就是SSL拨号后产生的IP地址。可以允许客户端保存密码,自动和保持连接。这里我们只用隧道模式访问,所以将Web模式关闭。
③ 用同样的方法建立另外两个门户,除了路由地址和源IP池不同外,其它的设置相同。
SSL 设置
前面的准备工作做完了,就需要对SSL进行设置了。
① 选择菜单【虚拟专网】-【SSL 设置】,选择接口监听,也就是从哪条宽带访问进来。端口默认是443,但是和HTTPS有冲突,所以这里改成10443。
② 地址范围选择特定自定义IP范围,把前面新建的三个分公司的SSL生成IP地址都加入IP范围。在认证/Portal映射中点击新建,分别指定哪个用户访问哪个门户。另外全部其他用户/组也要选择一个门户,通常我们选择web-access。
③ 出现证书警告提示,这里点击【OK】就可以了。
建立策略
SSL 设置完成后,还需要配置相应的访问策略。
① SSL 设置后,会提示没有SSL策略,点击提示,可以进入到新建策略中。
② 默认流入接口是隧道接口,流出接口选择服务品接入的接口,源地址选择生成的SSL地址,这里要求必须同时选择VPN用户。目标地址就是要访问的服务器地址了。服务这里因为是Web服务器,所以只开放了Http和Https,开放Ping是方便测试网络有没有通。
③ 出现证书警告提示,这里点击【OK】就可以了。
④ 选择菜单【策略&对象】-【IPv4策略】,点击【新建】,用同样的办法建立其它两个分公司的SSL访问策略。
静态路由
还需要指定SSL的路由。
① 选择菜单【网络】-【路由】,点击【新建】。
② 这里用网段把三个IP都包含在内,设备选择隧道接口。也就是说,当需要访问10.99.255.0网段的数据时都会走SSL隧道。
客户端配置
防火墙配置好了,现在需要配置远程电脑上的FortiClient客户端了。
① 启用FortiClient,点击【配置】。
② 输入自定义的连接名,输入防火墙的外网IP,防火墙的SSL端口已经改为10443了,所以这里自定义端口打钩,输入10443,点击【应用】。
③ 我们分公司1指定了用户是meigang,这里输入用户名和密码,点击【连接】。
④ 出现证书提示,这里我们点击【是】。
⑤ SSL拨号成功,已经连接到防火墙了。生成的IP地址正是我们指定的10.99.255.10。
⑥ 可以远程访问服务器172.16.1.254了,因为只设置了这一个可访问地址,其它地址都访问不了。
⑦ 同样的方法,用户meixi这个帐号登录,生成的地址是10.99.255.20,只能访问172.16.2.254这个服务器。
⑧ 同样的方法,用户meiqiang这个帐号登录,生成的地址是10.99.255.30,只能访问172.16.3.254这个服务器。
飞塔技术-老梅子 QQ:57389522