歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

飛塔 (Fortinet) 防火牆配置-SSL VPN (OS 5.2.7)

\ SSL VPN 與 IPSec VPN的區別

  SSL VPN,與傳統的IPSec VPN技術各具特色,各有千秋。SSL VPN比較適合用於移動用戶的遠程接入(Client-Site),而IPSec VPN則在網對網(Site-Site)的VPN連接中具備先天優勢。這兩種產品將在VPN市場上長期共存,優勢互補。在產品的表現形式上,兩者有以下幾大差異:

  1、IPsec VPN多用於“網—網”連接,SSL VPN用於“移動客戶—網”連接。SSL VPN的移動用戶使用標准的浏覽器,無需安裝客戶端程序,即可通過SSL VPN隧道接入內部網絡;而IPSec VPN的移動用戶需要安裝專門的IPSec客戶端軟件。
  2、SSL VPN是基於應用層的VPN,而IPsec VPN是基於網絡層的VPN。IPsec VPN對所有的IP應用均透明;而SSL VPN保護基於Web的應用更有優勢,當然好的產品也支持TCP/UDP的C/S應用,例如文件共享、網絡鄰居、Ftp、Telnet、Oracle等。
  3、SSL VPN用戶不受上網方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打開UDP500端口。
  4、SSL VPN只需要維護中心節點的網關設備,客戶端免維護,降低了部署和支持費用。而IPSec VPN需要管理通訊的每個節點,網管專業性較強。
  5、SSL VPN 更容易提供細粒度訪問控制,可以對用戶的權限、資源、服務、文件進行更加細致的控制,與第三方認證系統(如:radius、AD等)結合更加便捷。而IPSec VPN主要基於IP組對用戶進行訪問控制。  

\ SSL VPN 設置前的准備工作

  Fortigate在5.2版中有了很大的變化,和以前的設置方法有很大的不同,所以特意在這篇文章的標題注明了OS的版本。

\

  ① 首先需要定義一組SSL VPN撥號成功後產生的IP地址范圍,飛塔默認地址對象名為SSLVPN_TUNNER_ADDR1,地址范圍是:10.212.134.200-10.212.134.210,如果對SSL VPN自動生成的IP地址不太在意的話,可以使用默認的設置。這裡我們手動建立一條地址對象,對象裡的IP地址范圍就是SSL VPN連接成功後分配的IP地址。接口必須選擇ssl.root。

\

  ② 因為要確認SSL VPN連接成功後允許訪問內網的哪些IP地址,這裡需要建立一條地址對象,指定內網的IP地址范圍。

\

  ③ 正常情況下,內網會有多個網段同時存在,為了SSL VPN可以訪問內網的多個網段,這裡再設置一條地址對象,指定內網的另一段IP地址。

\

  ④ 允許哪個用戶可以訪問SSL VPN,需要進行用戶驗證,這裡我們在防火牆裡新建一個用戶。

\

  ⑤ 為了方便的管理多個用戶,還需要建立一個組,把用戶加入到組裡面。

Copyright © Linux教程網 All Rights Reserved