FortiGate防火墙部署SSL接入功能

网安运营 - 建设篇

---

下章内容

第二章 FortiGate防火墙配置SSL用户分流

---

前言

FortiGate系列防火墙，全球500强企业Fortinet的FortiGate系列产品。

1. 移动办公用户在外地连接到企业内网， 用于访问企业内网的服务器资源，非企业内网服务器资源则使用客户端流量访问

FortiGate防火墙的实施教程请参考大佬的博客：飞塔老梅子的CSDN博客。链接在文章底部。

• FortiGate软件版本：FortiOS v6.4.10 build2000 (GA)
• FortiGate硬件系列：FortiGate F系列

前置条件

1. 已入门学习了FortiGate相关的知识体系，具备Fortinet NSE的入门水平
2. 具备数通体系的华为HCIA水平

软件环境

1. 有域控、DNS服务和CA证书服务
2. 有自建邮箱

硬件环境

1. 首先，Fortinet没有模拟器。你得有一台FortiGate F系列的硬件防火墙（不用授权也能做SSL实验，授权只是提供库的更新）。软件的大版本是V6，相差几个小版本问题不大，但小版本尽量一致。

简易拓扑说明

（略）

FortiGate部署SSL

FortiGate防火墙配置解析DNS记录

开启DNS数据库功能

配置域控的DNS解析

DNS条目的配置，用于固定域控的DNS解析到指定IP

验证DNS解析

### FortiGate的CLI用法与常规的交换机CLI不同，ping命令的调用得加一个execute的前缀，如下。
execute ping dc01.xxx.com
execute ping dc02.xxx.com

FortiGate防火墙导入域控CA证书

导入CA证书后检查证书是否正确，主要检查Subject的CN字段，Issuer的CN字段，扩展的X509v3 Basic Constraints字段是否为CA:TRUE

FortiGate防火墙连接域控LDAPS

为了安全起见，域控新建一个用户，该用户拥有“只读的域控制器”权限即可，命名为fortigate用于LDAP查询。
使用安全的LDAPS，证书选择导入的CA证书

测试连接成功后浏览LDAP标识名称查询

FortiGate防火墙导入LDAP远程用户

导入远程LDAP用户

添加所有LDAP用户并提交

新建用户组，用于区分SSL用户组的具体作用
定义几个用户组，例如“访问内网服务器”、“访问内网有线+服务器”、“访问内网有线无线+服务器+分支机构”等等

FortiGate防火墙配置SSL门户

根据业务场景需要，此处只新建一个web模式门户，其他均为web+tunnel模式门户
带web模式的门户，下载FortiClient可选使用自定义链接，将通过FortiGate的SSL路由代理下载

新建一个web模式门户，用于拒绝未授权用户的访问

web+tunnel模式，启用隧道分割，开启Web模式，开启FortiClient下载

1. 路由地址：下发给SSL用户的路由表，表示SSL用户可以访问的路由网段
2. 源IP池：用户拨入SSL后获取的IP地址段。不同门户的IP池可以配置不同的地址段，在SSL用户地址池的网段范围内即可。
3. Predefined Bookmarks：SSL用户登录Web门户时看到的全局书签。可以配置一些内网的特定资源，前提是配置的资源必须在该门户的路由地址段之内，否则配置上去的资源访问不到。
   支持的协议类型如下图，其中RDP类型书签里的安全选项，默认是Allow the server to choose the type of security。如果RDP账密没错但连接不成功则切换成Network Level Authentication（网络级别的认证）尝试访问
   
4. FortiClient客户端下载：FortiGate V6软件版本的下载仅支持Windows客户端和Mac客户端的下载，此处可选配置。也可以在自定义书签上配置不同操作系统客户端的下载链接。

FortiGate防火墙的SSL设置

SSL的配置要点：

1. 可以监听多个接口，即开放多个公网IP接入SSL
2. 可选修改默认的监听端口
3. 空闲登出的超时时间指的是全局用户的SSL登录超时时间，此处选43200秒即12小时，即是SSL用户拨入后，无论有无操作，12小时后自动登退。
4. 隧道模式的IP范围可以选较大范围的IP。如配置21位掩码的IP段，然后在SSL门户里配置不同门户不同IP段，以便在防火墙策略里做到颗粒度较高的策略管控。
5. 隧道模式下，指定客户端的DNS服务器指的是将此处配置的DNS置顶到客户端的DNS地址列表，不会清除客户端原有的DNS。
6. SSL的服务器证书配置，如果是对公网用户提供访问的，最好是用公有云的证书，如阿里云的免费DV证书等。这样移动办公用户访问SSL的Web门户时不会弹出证书告警。反之使用自建SSL证书则会弹出证书告警（因为用户没有导入自建的CA根证书导致）

认证/Portal映射 按照用户组分配不同的SSL策略

给不同权限的用户组分配SSL门户。

FortiGate防火墙配置SSL的防火墙策略

防火墙策略的配置尤为重要，并且也是最复杂最容易出错的部分。

防火墙策略配置要点：

1. 防火墙策略的组成元素有名称、源接口、目的接口、源地址、目的地址、时间表、服务、动作、NAT、安全配置、流量日志
2. 接口可以直接选中SSL隧道接口，重点区分流入流出的流量是来自哪个接口。
3. 配置SSL的策略，源地址必须使用“IP段+用户”的形式完成，即可以根据 指定IP段 和 指定用户 做策略的管控。

FortiGate给SSL用户做双因子认证

参考如下链接，使用CLI对LDAP用户配置email的双因子认证。前提是FortiGate必须先配置好SMTP邮箱
FortiGate配置Email双因子认证

CLI配置email双因子认证

config user local				# 进入本地用户配置模式
edit xxxxxx						# 编辑xxx用户
show							# 查看当前编辑的用户配置
set two-factor email			# 配置双因子认证为email
set email-to xxxx@xxx.com		# 配置email地址是xxxx@xxx.com
end								# end保存并退出，可选show检查配置

配置后效果如下

FortiGate # config user local 
FortiGate (local) # edit testuser 

FortiGate (testuser) # show
config user local
    edit "testuser"
        set type ldap
        set two-factor email
        set email-to "testuser@xxx.com"
        set ldap-server "DC"
    next
end

FortiGate (testuser) # 

验证FortiClient的Web门户

模拟移动办公用户去访问SSL门户地址 ，并使用远程LDAP用户登录

输入LDAP配置的SamAccountName属性值和域密码，无需加域后缀
Web门户登录成功后如下图：

FortiClient客户端登录成功后如下图：

验证SSL用户下发的路由表

（略）

参考来源

1. FortiGate 6.4.10 文档
2. 飞塔老梅子的博客_CSDN博客
3. FortiGate配置Email双因子认证