SSL VPN 與 IPSec VPN的區別
SSL VPN,與傳統的IPSec VPN技術各具特色,各有千秋。SSL VPN比較適合用於移動用戶的遠程接入(Client-Site),而IPSec VPN則在網對網(Site-Site)的VPN連接中具備先天優勢。這兩種產品將在VPN市場上長期共存,優勢互補。在產品的表現形式上,兩者有以下幾大差異:
1、IPsec VPN多用於“網—網”連接,SSL VPN用於“移動客戶—網”連接。SSL VPN的移動用戶使用標准的浏覽器,無需安裝客戶端程序,即可通過SSL VPN隧道接入內部網絡;而IPSec VPN的移動用戶需要安裝專門的IPSec客戶端軟件。SSL VPN 設置前的准備工作
Fortigate在5.2版中有了很大的變化,和以前的設置方法有很大的不同,所以特意在這篇文章的標題注明了OS的版本。
① 首先需要定義一組SSL VPN撥號成功後產生的IP地址范圍,飛塔默認地址對象名為SSLVPN_TUNNER_ADDR1,地址范圍是:10.212.134.200-10.212.134.210,如果對SSL VPN自動生成的IP地址不太在意的話,可以使用默認的設置。這裡我們手動建立一條地址對象,對象裡的IP地址范圍就是SSL VPN連接成功後分配的IP地址。接口必須選擇ssl.root。
② 因為要確認SSL VPN連接成功後允許訪問內網的哪些IP地址,這裡需要建立一條地址對象,指定內網的IP地址范圍。
③ 正常情況下,內網會有多個網段同時存在,為了SSL VPN可以訪問內網的多個網段,這裡再設置一條地址對象,指定內網的另一段IP地址。
④ 允許哪個用戶可以訪問SSL VPN,需要進行用戶驗證,這裡我們在防火牆裡新建一個用戶。
⑤ 為了方便的管理多個用戶,還需要建立一個組,把用戶加入到組裡面。