FortiGate防火墙部署SSL接入功能

网安运营 - 建设篇

第一章 FortiGate防火墙部署SSL接入功能

  • 网安运营 - 建设篇
  • 下章内容
  • 前言
    • 前置条件
      • 软件环境
      • 硬件环境
      • 简易拓扑说明
  • FortiGate部署SSL
    • FortiGate防火墙配置解析DNS记录
    • FortiGate防火墙导入域控CA证书
    • FortiGate防火墙连接域控LDAPS
    • FortiGate防火墙导入LDAP远程用户
    • FortiGate防火墙配置SSL门户
    • FortiGate防火墙的SSL设置
      • 认证/Portal映射 按照用户组分配不同的SSL策略
    • FortiGate防火墙配置SSL的防火墙策略
    • FortiGate给SSL用户做双因子认证
      • CLI配置email双因子认证
  • 验证FortiClient的Web门户
  • 验证SSL用户下发的路由表
  • 参考来源


下章内容

第二章 FortiGate防火墙配置SSL用户分流


前言

FortiGate系列防火墙,全球500强企业FortinetFortiGate系列产品。

  1. 移动办公用户在外地连接到企业内网, 用于访问企业内网的服务器资源,非企业内网服务器资源则使用客户端流量访问

FortiGate防火墙的实施教程请参考大佬的博客:飞塔老梅子的CSDN博客。链接在文章底部。

  • FortiGate软件版本:FortiOS v6.4.10 build2000 (GA)
  • FortiGate硬件系列:FortiGate F系列


前置条件

1. 已入门学习了FortiGate相关的知识体系,具备Fortinet NSE的入门水平
2. 具备数通体系的华为HCIA水平


软件环境

1. 有域控、DNS服务和CA证书服务
2. 有自建邮箱


硬件环境

1. 首先,Fortinet没有模拟器。你得有一台FortiGate F系列的硬件防火墙(不用授权也能做SSL实验,授权只是提供库的更新)。软件的大版本是V6,相差几个小版本问题不大,但小版本尽量一致。


简易拓扑说明

(略)



FortiGate部署SSL

FortiGate防火墙配置解析DNS记录

开启DNS数据库功能
FortiGate防火墙部署SSL接入功能_第1张图片

配置域控的DNS解析
FortiGate防火墙部署SSL接入功能_第2张图片

DNS条目的配置,用于固定域控的DNS解析到指定IP
FortiGate防火墙部署SSL接入功能_第3张图片

验证DNS解析

### FortiGate的CLI用法与常规的交换机CLI不同,ping命令的调用得加一个execute的前缀,如下。
execute ping dc01.xxx.com
execute ping dc02.xxx.com


FortiGate防火墙导入域控CA证书

FortiGate防火墙部署SSL接入功能_第4张图片
FortiGate防火墙部署SSL接入功能_第5张图片
导入CA证书后检查证书是否正确,主要检查Subject的CN字段,Issuer的CN字段,扩展的X509v3 Basic Constraints字段是否为CA:TRUE



FortiGate防火墙连接域控LDAPS

FortiGate防火墙部署SSL接入功能_第6张图片

为了安全起见,域控新建一个用户,该用户拥有“只读的域控制器”权限即可,命名为fortigate用于LDAP查询。
使用安全的LDAPS,证书选择导入的CA证书

FortiGate防火墙部署SSL接入功能_第7张图片

测试连接成功后浏览LDAP标识名称查询
FortiGate防火墙部署SSL接入功能_第8张图片



FortiGate防火墙导入LDAP远程用户

导入远程LDAP用户
FortiGate防火墙部署SSL接入功能_第9张图片
FortiGate防火墙部署SSL接入功能_第10张图片
FortiGate防火墙部署SSL接入功能_第11张图片

添加所有LDAP用户并提交
FortiGate防火墙部署SSL接入功能_第12张图片

新建用户组,用于区分SSL用户组的具体作用
定义几个用户组,例如“访问内网服务器”、“访问内网有线+服务器”、“访问内网有线无线+服务器+分支机构”等等
FortiGate防火墙部署SSL接入功能_第13张图片
FortiGate防火墙部署SSL接入功能_第14张图片



FortiGate防火墙配置SSL门户

FortiGate防火墙部署SSL接入功能_第15张图片

根据业务场景需要,此处只新建一个web模式门户,其他均为web+tunnel模式门户
带web模式的门户,下载FortiClient可选使用自定义链接,将通过FortiGate的SSL路由代理下载


新建一个web模式门户,用于拒绝未授权用户的访问
FortiGate防火墙部署SSL接入功能_第16张图片

web+tunnel模式,启用隧道分割,开启Web模式,开启FortiClient下载

  1. 路由地址:下发给SSL用户的路由表,表示SSL用户可以访问的路由网段
  2. 源IP池:用户拨入SSL后获取的IP地址段。不同门户的IP池可以配置不同的地址段,在SSL用户地址池的网段范围内即可。
  3. Predefined Bookmarks:SSL用户登录Web门户时看到的全局书签。可以配置一些内网的特定资源,前提是配置的资源必须在该门户的路由地址段之内,否则配置上去的资源访问不到。
    支持的协议类型如下图,其中RDP类型书签里的安全选项,默认是Allow the server to choose the type of security。如果RDP账密没错但连接不成功则切换成Network Level Authentication(网络级别的认证)尝试访问

    FortiGate防火墙部署SSL接入功能_第17张图片
  4. FortiClient客户端下载:FortiGate V6软件版本的下载仅支持Windows客户端和Mac客户端的下载,此处可选配置。也可以在自定义书签上配置不同操作系统客户端的下载链接。

FortiGate防火墙部署SSL接入功能_第18张图片



FortiGate防火墙的SSL设置

FortiGate防火墙部署SSL接入功能_第19张图片

SSL的配置要点:

  1. 可以监听多个接口,即开放多个公网IP接入SSL
  2. 可选修改默认的监听端口
  3. 空闲登出的超时时间指的是全局用户的SSL登录超时时间,此处选43200秒即12小时,即是SSL用户拨入后,无论有无操作,12小时后自动登退。
  4. 隧道模式的IP范围可以选较大范围的IP。如配置21位掩码的IP段,然后在SSL门户里配置不同门户不同IP段,以便在防火墙策略里做到颗粒度较高的策略管控。
  5. 隧道模式下,指定客户端的DNS服务器指的是将此处配置的DNS置顶到客户端的DNS地址列表,不会清除客户端原有的DNS。
  6. SSL的服务器证书配置,如果是对公网用户提供访问的,最好是用公有云的证书,如阿里云的免费DV证书等。这样移动办公用户访问SSL的Web门户时不会弹出证书告警。反之使用自建SSL证书则会弹出证书告警(因为用户没有导入自建的CA根证书导致)

认证/Portal映射 按照用户组分配不同的SSL策略

给不同权限的用户组分配SSL门户。
FortiGate防火墙部署SSL接入功能_第20张图片



FortiGate防火墙配置SSL的防火墙策略

防火墙策略的配置尤为重要,并且也是最复杂最容易出错的部分。
FortiGate防火墙部署SSL接入功能_第21张图片
FortiGate防火墙部署SSL接入功能_第22张图片

防火墙策略配置要点:

  1. 防火墙策略的组成元素有名称、源接口、目的接口、源地址、目的地址、时间表、服务、动作、NAT、安全配置、流量日志
  2. 接口可以直接选中SSL隧道接口,重点区分流入流出的流量是来自哪个接口。
  3. 配置SSL的策略,源地址必须使用“IP段+用户”的形式完成,即可以根据 指定IP段 和 指定用户 做策略的管控。


FortiGate给SSL用户做双因子认证

参考如下链接,使用CLI对LDAP用户配置email的双因子认证。前提是FortiGate必须先配置好SMTP邮箱
FortiGate配置Email双因子认证
FortiGate防火墙部署SSL接入功能_第23张图片

CLI配置email双因子认证

config user local				# 进入本地用户配置模式
edit xxxxxx						# 编辑xxx用户
show							# 查看当前编辑的用户配置
set two-factor email			# 配置双因子认证为email
set email-to [email protected]		# 配置email地址是[email protected]
end								# end保存并退出,可选show检查配置

配置后效果如下

FortiGate # config user local 
FortiGate (local) # edit testuser 

FortiGate (testuser) # show
config user local
    edit "testuser"
        set type ldap
        set two-factor email
        set email-to "[email protected]"
        set ldap-server "DC"
    next
end

FortiGate (testuser) # 


验证FortiClient的Web门户

模拟移动办公用户去访问SSL门户地址 ,并使用远程LDAP用户登录
FortiGate防火墙部署SSL接入功能_第24张图片
输入LDAP配置的SamAccountName属性值和域密码,无需加域后缀
Web门户登录成功后如下图:
FortiGate防火墙部署SSL接入功能_第25张图片

FortiClient客户端登录成功后如下图:
FortiGate防火墙部署SSL接入功能_第26张图片



验证SSL用户下发的路由表

(略)



参考来源

  1. FortiGate 6.4.10 文档
  2. 飞塔老梅子的博客_CSDN博客
  3. FortiGate配置Email双因子认证

你可能感兴趣的:(网安运营,ssl,运维)