NetworkPro hướng dẫn cho bạn cách cấu hình SSL VPN Fortinet chế độ Web Tunnel Mode Trên Firewall Fortigate đơn giản.
Trong ví dụ này, bạn sẽ cho phép người dùng từ xa truy cập vào mạng công ty bằng SSL VPN, kết nối bằng chế độ web bằng trình duyệt web hoặc chế độ Tunnel bằng FortiClient.
Chế độ Web cho phép người dùng truy cập tài nguyên mạng, chẳng hạn như AdminPC được sử dụng trong ví dụ này.
Đối với người dùng kết nối qua chế độ tunnel, lưu lượng truy cập Internet cũng sẽ chuyển qua FortiGate, để áp dụng tính năng quét bảo mật cho lưu lượng này. Trong giai đoạn kết nối, FortiGate cũng sẽ xác minh rằng phần mềm chống vi-rút của người dùng từ xa đã được cài đặt và cập nhật hay chưa.
Công thức này nằm trong bộ sưu tập mạng FortiGate Cơ bản. Bạn cũng có thể sử dụng nó như một công thức độc lập.
Chỉnh sửa cổng SSL VPN
Bước 1: Để chỉnh sửa cổng SSL VPN toàn quyền truy cập, hãy đi tới VPN > SSL-VPN Portals. Cổng toàn quyền truy cập cho phép sử dụng chế độ Tunnel và chế độ web.
Bước 2: Trong Chế độ Tunnel, hãy tắt Enable Split Tunneling cho cả lưu lượng IPv4 và IPv6 để đảm bảo tất cả lưu lượng truy cập Internet sẽ đi qua FortiGate.
Bước 3: Đặt Pools IP nguồn để sử dụng dải IP mặc định SSLVPN_TUNNEL_ADDR1.
Bước 4: Trong Enable Web Mode, tạo Predefined Bookmarks cho bất kỳ tài nguyên nội bộ nào mà người dùng SSL VPN cần truy cập. Trong ví dụ, dấu trang cho phép người dùng từ xa truy cập RDP vào máy tính trong mạng nội bộ.
Cấu hình SSL VPN Tunnel
Bước 1: Để định cấu hình Tunnel SSL VPN, hãy đi tới VPN> Cài đặt SSL-VPN.
Bước 2: Đặt Listen on Interface(s) là wan1. Để tránh xung đột cổng, hãy đặt Listen on Port thành 10443.
Bước 3: Đặt Restrict Access (Quyền truy cập hạn chế) thành Allow access from any host
Theo tùy chọn, đặt Restrict Access thành Limit access to specific hosts và chỉ định địa chỉ của các máy chủ được phép kết nối với VPN này.
Bước 4: Trong ví dụ, chứng chỉ Fortinet Factory được sử dụng làm Server Certificate. Để đảm bảo rằng lưu lượng truy cập được an toàn, bạn nên sử dụng chứng chỉ do CA ký của riêng bạn. Để biết thêm thông tin về cách sử dụng chứng chỉ, hãy xem Ngăn cảnh báo chứng chỉ (chứng chỉ do CA ký).
Bước 5: Trong Tunnel Mode Client Settings, đặt Dải IP để sử dụng dải IP mặc định SSLVPN_TUNNEL-ADDR1
Bước 6: Trong Authentication/Portal Mapping, bấm Create New để thêm nhóm người dùng Employee và ánh xạ nhóm đó vào cổng toàn full-access.
Bước 7: Nếu cần, hãy lập bản đồ một cổng thông tin cho All Other Users/Groups.
Xác minh hệ điều hành và phần mềm của người dùng từ xa
Để xác minh rằng người dùng từ xa đang sử dụng các thiết bị cập nhật để kết nối với mạng của bạn, bạn có thể định cấu hình kiểm tra máy chủ cho cả hệ điều hành (được hỗ trợ cho Windows và Mac OS) và phần mềm.
Bạn có thể cấu hình kiểm tra máy chủ hệ điều hành cho các phiên bản hệ điều hành cụ thể. Việc kiểm tra này bao gồm các tùy chọn sau: cho phép thiết bị kết nối, chặn thiết bị hoặc kiểm tra xem hệ điều hành có được cập nhật hay không. Hành động mặc định cho tất cả các phiên bản hệ điều hành là cho phép.
Máy chủ lưu trữ phần mềm có thể xác minh xem thiết bị có phần mềm Chống vi rút được Trung tâm Bảo mật Windows công nhận, phần mềm tường lửa được Trung tâm Bảo mật Windows công nhận hay không hay cài đặt tùy chỉnh.
Định cấu hình cả hai lần kiểm tra bằng CLI:
config vpn ssl web portal
edit full-access
set os-check enable
config os-check-list {macos-high-sierra-10.13 | macos-sierra-10.12 | os-x-el-capitan-10.11 | os-x-mavericks-10.9 | os-x-yosemite-10.10 |windows-7 | windows-8 | windows-8.1 | windows-10 | windows-2000 | windows-vista | windows-xp}
set action {deny | allow | check-up-to-date}
end
set host-check {av | fw | av-fw| custom}
end
Kiểm tra kết quả
Các bước để kết nối với SSL VPN khác nhau tùy thuộc vào việc bạn đang sử dụng trình duyệt web hay FortiClient.
Trình duyệt web
Bước 1: Sử dụng trình duyệt Internet được hỗ trợ, kết nối với cổng web SSL VPN bằng cổng từ xa được định cấu hình trong cài đặt SSL VPN (trong ví dụ: https://172.25.176.62:10443).
Bước 2: Đăng nhập vào SSL VPN.
Bước 3: Sau khi xác thực, bạn có thể truy cập Cổng SSL-VPN . Từ cổng này, bạn có thể khởi chạy hoặc tải xuống FortiClient, truy cập Bookmarks hoặc kết nối với các tài nguyên khác bằng công cụ Quick Connection.
Trong ví dụ này, việc chọn dấu trang sẽ cho phép bạn kết nối với AdminPC.
Bước 4: Để kết nối với Internet, hãy chọn Quick Connection. Chọn HTTP / HTTPS, sau đó nhập URL và chọn Khởi chạy.
Bước 5: Để xem danh sách người dùng hiện được kết nối với SSL VPN, hãy đi tới Monitor > SSL-VPN Monitor. Người dùng được kết nối với VPN.
Bước 6: Nếu một thiết bị từ xa không kiểm tra được hệ điều hành hoặc máy chủ, một thông báo cảnh báo sẽ xuất hiện sau khi xác thực thay vì cổng thông tin.
FortiClient
Bước 1: Nếu bạn chưa làm như vậy, hãy tải xuống FortiClient từ www.forticlient.com.
Bước 2: Mở FortiClient Console và đi tới Remote Access . Thêm một kết nối mới.
Bước 3: Đặt VPN Type thành SSL VPN, đặt Remote Gateway thành IP của giao diện FortiGate đang nghe (trong ví dụ là 172.25.176.62). Chọn Customize Port và đặt nó thành 10443.
Bước 4: Chọn Add.
Bước 5: Đăng nhập vào SSL VPN.
Bước 6: Bạn có thể kết nối với Tunnel VPN.
Bước 7: Để xem danh sách người dùng hiện được kết nối với SSL VPN, hãy đi tới Monitor > SSL-VPN Monitor. Người dùng được kết nối với VPN.
Kết luận
Trên đây là hướng dẫn chi tiết cách để bạn có thể cấu hình SSL VPN Fortigate trên thiết bị tường lửa Fortinet. Cảm ơn bạn đã xem hết bài viết này và đừng quen chia sẻ nó đến với những người khác nữa nhé!
