FortiOSV30MR7SSLVPN用户使用手册

FortiOSV.3.0MR7SSLVPN用户使用手册介绍本章向您介绍有关FortiGate设备的SSL(SSL:SecureSocketsLayer)安全层套接VPN技术以及有关Fortinet公开技术说明的补充信息.本章包括一下内容:●有关FortiGateSSLVPN●有关该手册●FortiGate设备技术手册●相关文档●客户服务与技术支持有关FortiGateSSLVPNFortiGateSSLVPN技术使通过互联网进行的业务更为安全。除了加密并保证从web浏览器发送到web服务器的信息安全，FortiGateSSLVPN也可以加密大多数基于互联网的流量。FortiGate设备内嵌的SSLVPN功能能够保证soho、中型以及大型公司与服务提供商通过互联网传输数据的机密性与完整性。FortiGate设备同样提供加强的验证与对公司网络资源与服务的限制级访问。SSLVPN有两种操作模式，只能够应用于NAT/路由模式，分别为：●web-only模式，只能应用于安装web浏览器的瘦远程用户。●通道模式，应用于运行各种用户与服务器应用程序的远程计算机设备。FortiGate设备提供的SSLVPN应用于web-only模式时，远程用户端与FortiGate设备之间通过FortiGate设备的SSLVPN安全功能与远程用户端基于web浏览器的SSL安全功能建立连接。连接建立后，FortiGate设备可以提供通过一个web入口网站，访问所选择的服务与网络资源。具有对计算机设备完全的管理权限并使用各种应用程序的用户，应用于通道模式的SSLVPN允许远程用户如同直接连接网络般访问本地内部网络。通道模式下，安全SSL连接由FortiGate设备首先发起，并下载SSLVPN用户端软件（ActiveX插件）到web浏览器。用户安装SSLVPN用户软件后，便可以在SSL连接开放的任何时候与FortiGate设备建立VPN通道。使用SSLVPN功能时，所有的用户流量都被加密并发送到SSLVPN，包括发送到私网的流量与常规情况下非加密发送的互联网流量。通道分割可以保证该到达私网的流量被发送到SSLVPN网关。互联网流量是通过常规的非加密路由被发送的。这样既保存了带宽也减少了流量瓶颈。通道分割功能默认情况下没有启动。根据远程计算机设备中安装的应用程序数量以及类型判断使用SSLVPN的模式，只应用于web或通道模式。任何web模式不支持的对应用的访问，通道模式下均可以实现。有关这些模式操作的详细信息，参见配置FortiGate设备SSLVPN。关于本手册本手册就如何使用基于web管理器配置SSLVPN操作进行了说明，包括以下的章节：●配置FortiGateSSLVPN功能；描述两种操作模式，建议拓扑结构部署并提供相连接的附属架构信息。有关配置每种模式涉及的高级别的步骤均配合以详细操作说明。本章同时运行支持两种模式所需的基本管理任务进行了说明并有针对每种模式的逐步说明。●配置使用web入口；有关web入口的应用以及如何配置使用。本章节同时也对如何安装ActiveX插件以及通道模式启动后发起VPN通道进行了说明.注释以下是本手册中的注释说明：●举例说明中，私有IP地址用于私有与公共IP地址。●注意与警告标识中的提示较为重要的信息。显示附件说明。注意：突出示附件明。对于可能造成意外的不良的结果包括警告：于可能造成意外的不良的果包括数据丢失或者设备损害等命令或程序发出警告提示。排版说明FortiGate技术文档您可以登录Fortinet技术文档网站，获得最新发布的Fortinet技术文档。公开以下Fortinet产品技术手册：FortiGate设备快速启动指南有关连接与安装Fortinet设备的信息。FortiGate设备安装手册如何安装FortiGate设备的描述。包括硬件信息，默认配置信息，安装操作，连接操作以及基本的配置操作。根据产品号选择不同的安装手册。FortiGate设备管理员使用手册有关如何配置FortiGate设备的基本信息，包括如何定义FortiGate病毒防护与防火墙策略；说明排版明举例单命令菜命令进入VPNIPSEC阶段1击”新建”并点新建.键盘输入关名称字段，键入远程在网名称字段，入程VPN户或用（例如，Central_office_1）码范例代范例ConfigsysglobalSetips-openenableendCLI命令句法Configfirewallpolicyeditid_integersethttp_retry_countretry_interersetnatipaddress_ipv4maskend文档名称FortiGate设备员使用手册管理使用手册源文件内容HTMLHEADTITLEFirewallAuthentication/TITLE/HEADBODYH4Youmustauthenticatetousethisservice./H4输出程序出Welcome！变量address_ipv4如何应用入侵保护，病毒防护，网页内容过滤以及垃圾邮件过滤以及如何配置VPN。FortiGate设备在线帮助在线帮助是对FortiGate管理员手册的HTML格式上下文有关的检索与查询。您可以通过基于web的管理其访问在线帮助。FortiGate设备CLI使用参考手册有关如何使用FortiGateCLI（命令行接口）以及所以FortiGateCLI命令。日志信息参考手册只有在FortinetKnowledgeCenter（Fortinet知识库）可以获得，FortiGate日志信息参考对FortiGate日志信息的结构与FortiGate设备所生成的日志信息有关内容做了描述。FortiGate设备HA用户指南深入介绍了FortiGate高可用性的性能与FortiGate群集协议的信息。FortiGate设备配置IPS用户指南对如何配置FortiGate入侵检测系统与FortiGateIPS是如何处理一些一般的入侵作了描述。FortiGate设备配置IPSecVPN用户指南对使用基于web的管理器如何配置IPSecVPN进行了逐步详细的说明。FortiGate设备SSLVPN用户指南对FortiGateIPSecVPN与FortiGateSSLVPN技术进行比较，并对通过基于web的管理器，远程用户怎样配置只适用于网络模式与通道模式SSLVPN访问做了描述。FortiGate设备配置PPTPVPN用户指南使用基于web的管理器如何配置PPTPVPN。证书管理用户指南管理电子证书的程序包括生成电子证书的请求，安装签发的证书，引入CA根权威证书与证书撤销名单，以及备份与存储安装的证书信息与私人密钥。FortiGate设备配置VLAN与VDOM用户指南在NAT/路由与透明模式下如何配置VLAN与VDOM。Fortinet知识库其它有关Fortinet技术手册信息都可以从Fortinet公司网站（）中的知识库板块获得。知识库涵盖涉及Fortinet产品故障排除与解释说明性的文章、FAQ以及技术说明等。Fortinet技术文档的建议与意见如果您在本文档或任何Fortinet公司的技术文档中发现错误或疏漏之处，欢迎您将有关信息发送到techdoc@fortinet.com。客户服务与技术支持Fortinet公司技术支持将确保您的Fortinet系统在您的网络中能够快速启动，轻松配置并能够可靠运行。敬请访问Fortinet技术支持网站所提供的技术支持服务。配置FortiGateSSLVPN本章的内容有关SSL与IPSecVPN技术比较，以及SSLVPN运行的两种模式说明。针对每种模式的配置涉及的高级操作辅助以详细步骤与过程说明。本章包括以下内容：●SSL与IPSecVPN技术比较●SSLVPN操作模式●拓扑结构●配置概述●配置SSLVPN设置●配置用户帐户与SSLVPN用户组●配置防火墙策略●配置SSLVPN事件日志●监控活动的SSLVPN会话●配置SSLVPN书签与书签组●SSLVPN主机OS路径查看●设置允许对SSLVPN通道用户组的唯一访问允许●SSLVPN虚拟接口（ssl.root）●SSLVPN丢弃连接SSL与IPSecVPN技术比较对于同时支持SSL和IPSecVPN技术的设备。这两项技术均可以将加密与VPN网关功能结合建立通过互联网的私有通信通道，从而减少物理网络的成本。同时，这两项技术使您通过单个管理工具定义并部署网络访问与防火墙策略。另外，它们还支持单个客户端/用户验证程序（包括可选项X509安全证书）。根据您的网络部署自由的选择使用这两项技术。一般情况下，IPSecVPN对于site－to－site的连接，使用基于装置的防火墙提供网络防护，以及经公司批准的用户计算机设备分配到用户使用，这样的情况下使用IPSecVPN是不错的选择。SSLVPN适用于依靠大范围瘦客户端计算机设备的分散用户从远程访问公司应用和/或资源的情况下使用。SSLVPN与IPSecVPN通道也可以同时使用。遗留程序与web启用的程序IPSec更适用于基于网络的遗留程序，而不是基于web的遗留。作为第三层网络技术，IPSec在两个主机设备之间建立一个安全通道。IP数据包被VPN用户端封装且运行于主机的服务器软件。SSL典型的应用于安全的web业务，以利用通过web启动的IP应用的优势。web浏览器与web服务器之间建立一个安全的HTTP链接后，应用数据通过通道在被选中的用户端与服务器应用之间直接传输。验证差别IPSec是比较稳定的技术，各项功能使用与实现很成熟，能够支持许多遗留程序，例如smartcard与biometric.SSL支持登录web服务器的前端机，登录后可以访问很多不同企业的应用。Fortinet公司提供的实施使您可以对web服务器分配具体的端口并定制登录页面。连接性IPSec支持到同一个VPN通道的多个连接，多个远程VPN设备作为同一网络的一部分生效。SSL在两个终端形成连接，例如一个远程用户端与企业网络之间。不支持涉及三方或多方的业务，因为流量只在用户端与服务器应用之间传输。使用便捷性虽然管理IPSecVPN相对简单，但是对于SSLVPN在配置方面更简单。IPSec协议可能被一些公司，饭店以及其他公共场所屏蔽或限制使用，但SSL协议通常不会被限制。用户端软件要求在所有的IPSecVPN对等必须安装专门的IPSecVPN软件，且用户端与软件必须配置相兼容的设置。使用SSLVPN访问服务器端的应用，远程用户必须安装有web浏览器（InternetExplore，Netscape或Mozilla、Firefox），且如果使用了Telnet/RDP，需在SunJava运行的环境。通道模式下的用户端计算机设备也必须安装ActiveX（IE）或启动Java平台（Mozilla/Firefox）。访问控制IPSecVPN只提供安全的网络访问。当访问一个公司的网络资源，可以对具体的IPSec对等和/或用户端启动IPSecVPN。许多应用用户的安全选项被限制。SSLVPN提供到某些应用的安全访问。web-only模式提供远程用户通过装备了web浏览器的瘦用户端计算机访问服务器程序。通道模式的SSLVPN提供远程用户从笔记本电脑、机场候机亭、Internet吧以及饭店连接到内部网络的功能。通过用户组访问SSLVPN应用是被控制的。会话续接支持FortiGate设备HA群集中启动会话续接功能，IPSecVPN通道支持会话续接功能。HA故障恢复后，IPSecVPN通道会话将在不丢失数据的情况下继续。SSLVPN通道不支持会话续接功能，但是支持SSLVPN用户端与FortiGate设备之间的通信的cookie恢复。也就是说，故障恢复后，SSLVPN用户端可以