Fortinet安全解決方案

1、FortinetVPN 解決方案1. 概述Internet 應(yīng)用中，不可避免的要通過公用網(wǎng)絡(luò)來傳輸信息，其中就有可能包括機(jī)密信息。 由于In ter net是一個(gè)開放的、公用的網(wǎng)絡(luò)，黑客很容易通過在網(wǎng)絡(luò)設(shè)備上安裝網(wǎng)絡(luò)嗅包器（如 Sniffer、NIDS 等）中途竊取信息，造成泄密；黑客也可以偽裝成內(nèi)部用戶登錄到內(nèi)網(wǎng)中進(jìn)行 破壞活動(dòng)，因此我們需要在網(wǎng)絡(luò)上配置一整套VPN體系，對(duì)通過In ter net進(jìn)行的遠(yuǎn)程訪問 進(jìn)行嚴(yán)格的認(rèn)證和加密，使In ter net上的VPN成為經(jīng)過加密和認(rèn)證的安全鏈路，保證各節(jié) 點(diǎn)之間遠(yuǎn)程訪問的安全。采用 VPN 技術(shù)的目的是為了在不安全的信道上實(shí)現(xiàn)安全信息傳輸，保

2、證內(nèi)部信息在 In ter net上傳輸時(shí)的機(jī)密性和完整性，同時(shí)對(duì)In ter net上傳輸?shù)臄?shù)據(jù)進(jìn)行認(rèn)證。單獨(dú)的 VPN 網(wǎng)關(guān)的主要功能是數(shù)據(jù)包的加密/解密處理和身份認(rèn)證，沒有很強(qiáng)的訪問控 制功能（狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防DoS攻擊等）。在獨(dú)立的防火墻和VPN部署方式 下，防火墻無法對(duì)VPN的數(shù)據(jù)流量進(jìn)行任何訪問控制，由此帶來安全性、性能、管理上的 一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN能提供一個(gè)靈活、高效、完整的安全方 案,是當(dāng)前安全產(chǎn)品的發(fā)展趨勢(shì)。它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪 問控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DoS攻擊和入侵威脅；提供更好的處理性能，

3、簡(jiǎn)化 網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此， VPN 技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn) 品的組成部分。FortiGate便是一個(gè)集防火墻、VPN和應(yīng)用層過濾網(wǎng)關(guān)功能于一身的綜合安 全網(wǎng)關(guān)，可以提供各安全功能之間的完美聯(lián)動(dòng)、良好的兼容性和性能。FortiGate的VPN功能支持PPTP、L2TP、IPSec和SSL四種VPN協(xié)議，提供了前 所未有的方便和靈活的選擇。對(duì)遠(yuǎn)程移動(dòng)用戶或企業(yè)的出差用戶來說，既可以使用Windows 等系統(tǒng)自帶的PPTP/L2TP撥號(hào)軟件，也可以使用IPSec客戶端軟件FortiClient和企業(yè)建立 VPN的連接，還可以直接使用IE瀏覽器，通過Web方式創(chuàng)建基于S

4、SL的VPN隧道。應(yīng) 用 PPTP、 L2TP、 SSL 的好處是方便使用，不需要附加的軟件。而用 IPSec 客戶端軟件的 好處是高度的安全性保證，可以采用動(dòng)態(tài)的密鑰保證數(shù)據(jù)的安全。在企業(yè)本地網(wǎng)絡(luò)和遠(yuǎn)程網(wǎng) 絡(luò)之間可以采用IPSec協(xié)議來實(shí)現(xiàn)VPN的連接和數(shù)據(jù)的高度安全控制。配置簡(jiǎn)單靈活。由于充分利用了專用的ASIC芯片技術(shù)，處理復(fù)雜的VPN加密和認(rèn)證過程，極大加快 了 VPN通道的建立速度和數(shù)據(jù)加/解密的處理時(shí)間，達(dá)到了極高的VPN處理速度。內(nèi)容處 理器以獨(dú)特的設(shè)計(jì)方式，解決了防火墻設(shè)備處理高速加密數(shù)據(jù)流的瓶頸問題，并通過簡(jiǎn)單易 用的WEB管理提供給用戶人性化的管理界面。高性能的VPN加密處

5、理（DES,3DES,AES,MD5， SHA1） 使企業(yè)可以充分利用 VPN 技術(shù)構(gòu)建自己的 Intranet 網(wǎng)絡(luò)，無須考慮設(shè)備處理 速度的影響，256位的AES算法更提供了業(yè)界最高級(jí)別的安全防御體系，使企業(yè)的內(nèi)部數(shù) 據(jù)可以無憂地在公網(wǎng)上傳輸,以達(dá)到企業(yè)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。而今,迅速發(fā)展的廣域 網(wǎng)技術(shù)使公網(wǎng)的帶寬成倍的增長，同時(shí)又為企業(yè)VPN網(wǎng)絡(luò)提供了廣闊的發(fā)展空間。2. IPSec VPN解決方案企業(yè)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPSec安全協(xié)議的VPN和加密能力， 實(shí)現(xiàn)兩個(gè)或多個(gè)企業(yè)之間跨越In ter net的企業(yè)內(nèi)部網(wǎng)絡(luò)連接，實(shí)現(xiàn)了安全的企業(yè)內(nèi)部的數(shù)據(jù) 通信。

6、通過網(wǎng)關(guān)內(nèi)部策略控制體系對(duì)VPN的數(shù)據(jù)可以進(jìn)行有效的控制和管理，使企業(yè)的內(nèi) 部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。如下圖所示，IPSec VPN的部署都是成對(duì)進(jìn)行的，既可以在設(shè)備與設(shè)備之間（例如總部 的FortiGate與分支機(jī)構(gòu)、合作伙伴、SOHO辦公等節(jié)點(diǎn)的FortiGate）建立IPSec VPN隧 道，又可以在設(shè)備與客戶端軟件（例如總部的FortiGate與移動(dòng)辦公用戶PC上安裝的 FortiClient VPN 客戶端軟件）間建立。FortiGateIRSerVPNA * * L i 1分宴機(jī)構(gòu)AFortiGateFortiGate分支機(jī)構(gòu)BFortiClient 二FortiGate

7、IRSerVPNA * * L i 1分宴機(jī)構(gòu)AFortiGateFortiGate分支機(jī)構(gòu)BFortiClient 二FortiGate合作伙伴FortiGate總部InternetIPSetiVPN 1移動(dòng)辦公SOHO通過在廣域網(wǎng)的各個(gè)節(jié)點(diǎn)上安裝部署IPSec VPN設(shè)備或軟件，并進(jìn)行適當(dāng)設(shè)置，便可 建立全網(wǎng)的IPSec VPN隧道，使得總部、各分支機(jī)構(gòu)、合作伙伴、SOHO及移動(dòng)辦公用戶 之間所有跨越In ter net的數(shù)據(jù)傳輸均經(jīng)過IPSec VPN的加密及認(rèn)證保護(hù)，黑客無法在途中 竊取、篡改或破壞數(shù)據(jù)。上圖中總部與分支機(jī)構(gòu)A、移動(dòng)辦公用戶之間的IPSec VPN隧道 用紅色虛線表示，

8、實(shí)際上上圖中任意兩個(gè)節(jié)點(diǎn)之間均可使用 VPN 設(shè)備或軟件實(shí)現(xiàn) IPSec VPN 通信。FortiGate IPSec VPN有如下常見場(chǎng)景： LAN-LAN VPNLAN-LAN VPN是兩個(gè)局域網(wǎng)之間的VPN,在兩個(gè)局域網(wǎng)的In ter net出口處部署VPN 網(wǎng)關(guān)實(shí)現(xiàn)，通常有以下幾種環(huán)境：兩個(gè)局域網(wǎng)均使用靜態(tài)公網(wǎng)IP地址接入In ter net：最簡(jiǎn)單、經(jīng)典的VPN應(yīng)用；其中一個(gè)或兩個(gè)局域網(wǎng)使用動(dòng)態(tài)公網(wǎng)IP地址接入In ter net，例如ADSL方式：可 以使用DDNS（動(dòng)態(tài)域名解析）方式將動(dòng)態(tài)公網(wǎng)IP地址與FQDN域名綁定，建立VPN隧道的雙方均使用FQDN域名與對(duì)方通信； 其中一個(gè)

9、局域網(wǎng)使用私網(wǎng)IP地址接入In ter net,例如總部使用公網(wǎng)IP地址（靜態(tài)或 動(dòng)態(tài)IP地址均可），分支機(jī)構(gòu)使用私網(wǎng)IP地址:可以使用撥號(hào)VPN方式建立隧道， 由分支機(jī)構(gòu)向總部的公網(wǎng)IP地址或FQDN域名發(fā)起連接，總部無須事先知道分支 機(jī)構(gòu)使用的IP地址。利用NAT穿越技術(shù)，F(xiàn)ortiGate可以在NAT環(huán)境下，保證 VPN的正常通信。當(dāng)前在國內(nèi)IP地址緊張的情況下，很多的分支機(jī)構(gòu)都是通過服務(wù) 商提供的私有網(wǎng)絡(luò)地址連接公網(wǎng)的，在服務(wù)商的網(wǎng)絡(luò)出口處統(tǒng)一進(jìn)行地址轉(zhuǎn)換。在 這種情況下，只有支持NAT穿越技術(shù)的VPN產(chǎn)品能夠適應(yīng)服務(wù)商的NAT環(huán)境。撥號(hào)VPN撥號(hào)VPN與點(diǎn)對(duì)點(diǎn)VPN不同，VPN隧道的

10、雙方不是對(duì)等的角色，而是一方扮演服務(wù) 器，一方扮演客戶端，通常用于大量分支節(jié)點(diǎn)接入一個(gè)中心節(jié)點(diǎn)的環(huán)境，例如集團(tuán)公司的大 量分支機(jī)構(gòu)及移動(dòng)辦公用戶都通過IPSec VPN與總部連接，并進(jìn)行數(shù)據(jù)交換。撥號(hào)VPN客戶端既可以使用FortiGate設(shè)備（如分支機(jī)構(gòu)節(jié)點(diǎn)），也可以使用FortiClient客戶端軟件（如移動(dòng)辦公用戶）。iZB F&ntiClienL文件客戶端軟件（如移動(dòng)辦公用戶）。iZB F&ntiClienL文件翹題京:i三勺三?f二B遠(yuǎn)程詁問%FEjRTmET：FortiClient此計(jì)頁機(jī)FortiCILent保護(hù)彳 FortiClient具有PC和手機(jī)版本，支持Windows 2

11、000以上PC操作系統(tǒng)及Android、iOS 等系統(tǒng)的智能終端，移動(dòng)辦公用戶可以使用多種接入終端設(shè)備（PC、智能手機(jī)、Pad等）接 入VPN網(wǎng)絡(luò)，擴(kuò)展了 VPN網(wǎng)絡(luò)的覆蓋度。使用客戶端方式實(shí)現(xiàn)撥號(hào)VPN方式時(shí)，在核心VPN網(wǎng)關(guān)上可以通過配置向?qū)Чδ?簡(jiǎn)單的選擇選項(xiàng)、填寫參數(shù)，并點(diǎn)擊下一步，即可完成復(fù)雜的IPSec VPN配置。卜網(wǎng)卜網(wǎng)曙戶端迭項(xiàng)：FortiGate 支持多種身份認(rèn)證方法，包括預(yù)共享密鑰和數(shù)字證書認(rèn)證， X.509 數(shù)字證書 認(rèn)證可以與企業(yè)或機(jī)構(gòu)現(xiàn)有的PKI體系相結(jié)合，提供更高級(jí)別的安全保護(hù)。FortiGate支持 離線或SCEP在線申請(qǐng)數(shù)字證書方式，F(xiàn)ortiClient軟件

12、支持PC本地存儲(chǔ)或USB Key存儲(chǔ) 數(shù)字證書，使用更加靈活方便。除預(yù)共享密鑰及數(shù)字證書外,FortiGate還支持本地用戶、Windows域、Radius、LDAP、TACACS+等方式的用戶名和密碼認(rèn)證，在預(yù)共享密鑰及數(shù)字證書的基礎(chǔ)上進(jìn)一步提高安全 性。星形 VPN(Hub-Spoke)在實(shí)際應(yīng)用中，很多時(shí)候也需要進(jìn)行多個(gè)節(jié)點(diǎn)之間的VPN互訪，如下圖所示，除了總 部與分支機(jī)構(gòu)A、B之間的通信外，分支機(jī)構(gòu)A和B之間也需要進(jìn)行數(shù)據(jù)交換。FortiGate 可以通過星形VPN或全網(wǎng)狀VPN來實(shí)現(xiàn)這一需求。FortiGateFortiClientFortiGateFortiClientFortiG

13、ate使用Hub-Spoke方式實(shí)現(xiàn)星形VPN。在此結(jié)構(gòu)下，各分支機(jī)構(gòu)、合作伙伴、 SOHO及移動(dòng)用戶都與總部建立VPN隧道，而分支節(jié)點(diǎn) 之間的互訪都是通過總部節(jié)點(diǎn) 進(jìn)行的，例如上圖中分支機(jī)構(gòu)A和B之間的數(shù)據(jù)通信都繞經(jīng)總部的FortiGate設(shè)備進(jìn)行。對(duì) 于快速擴(kuò)張的企業(yè)或機(jī)構(gòu)，星形 VPN 具有好的擴(kuò)展性，新的 VPN 分支節(jié)點(diǎn)只需跟中心節(jié) 點(diǎn)之間建立一條VPN通道，便可很容易的加入到Hub-Spoke星形結(jié)構(gòu)中，實(shí)現(xiàn)與現(xiàn)有VPN 網(wǎng)絡(luò)中所有節(jié)點(diǎn)的通信；且只需要中心節(jié)點(diǎn)(總部)具有一個(gè)公網(wǎng) IP 地址，其余節(jié)點(diǎn)均可以 使用私網(wǎng)IP地址。星形VPN的缺點(diǎn)是中心節(jié)點(diǎn)的故障將導(dǎo)致所有分支節(jié)點(diǎn)也無法

14、互訪。全網(wǎng)狀 VPN(Full Mesh)通過全網(wǎng)狀VPN部署方式，可以克服星形VPN中心節(jié)點(diǎn)故障而導(dǎo)致所有分支節(jié)點(diǎn)無 法互訪的缺點(diǎn)。如下圖所示：FortiGateFortiGatcFortiGate總部/ IPSecVPN FortiGateFortiClientFortiGate合柞秋伴criiun在全網(wǎng)狀VPN結(jié)構(gòu)下，每兩個(gè)節(jié)點(diǎn)之間都建立直連的IPSec VPN隧道，無需第三方介 入即可直接通信。全網(wǎng)狀VPN的優(yōu)點(diǎn)是任意一點(diǎn)的故障都不會(huì)影響其它節(jié)點(diǎn)的互訪，但它 也有明顯的缺點(diǎn)，一是配置工作量大，且擴(kuò)展比較復(fù)雜，每一個(gè)新加入VPN網(wǎng)絡(luò)的節(jié)點(diǎn)都 需要與其它節(jié)點(diǎn) 建立VPN隧道；二是對(duì)網(wǎng)絡(luò)環(huán)境

15、要求更高，例如如果分支機(jī)構(gòu)A和B 都使用私網(wǎng)IP地址，便無法直接建立 VPN。星形VPN和全網(wǎng)狀VPN都可以使用 FortiManager的VPN管理功能快速配置，從而減少VPN管理員的配置難度和工作量。criiun基于策略與路由模式 VPN除了傳統(tǒng)的基于策略的IPSec VPN夕卜，F(xiàn)ortiGate還支持基于路由的VPN，在IPSecIP很虛擬接總鄒Fort(Gate物理接口數(shù)培通佶FortiGate隧道協(xié)商IP很虛擬接總鄒Fort(Gate物理接口數(shù)培通佶FortiGate隧道協(xié)商如上圖所示，物理接口之間進(jìn)行 VPN 隧道協(xié)商，虛擬接口之間進(jìn)行數(shù)據(jù)通信。在FortiGate 上, IPS

16、ec VPN虛擬接口與物理接口一樣可以進(jìn)行路由、安全策略等設(shè)置。使用基于路由的VPN,可以很容易的實(shí)現(xiàn)更多高級(jí)功能:在VPN隧道中實(shí)現(xiàn)OSPF、BGP等動(dòng)態(tài)路由或組播路由；通過靜態(tài)路由、動(dòng)態(tài)路由、策略路由、等值路由等實(shí)現(xiàn)VPN鏈路的冗余或負(fù)載分 擔(dān)；遠(yuǎn)程撥號(hào)VPN用戶可以使用VPN鏈路訪問In ter net, 來可以提高訪問的安全性, 二來便于企業(yè)或機(jī)構(gòu)對(duì)移動(dòng)辦公用戶的上網(wǎng)行為進(jìn)行過濾和監(jiān)控； 透明模式下的 VPN通常IPSec VPN都是在路由/NAT模式下實(shí)施的，但有時(shí)根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，VPN網(wǎng)關(guān)需要配置為透明模式，如下圖所示，內(nèi)網(wǎng)PC的網(wǎng)關(guān)指向路由器, FortiGate工作于透明模式。F

17、ortiGate卿摸式1921681119Z168A.0/24在這種情況下，F(xiàn)ortiGate仍然能夠根據(jù)管理員設(shè)置的VPN策略，截獲來自于內(nèi)網(wǎng)PC 向遠(yuǎn)端局域網(wǎng)的訪問請(qǐng)求，然后使用IPSec VPN進(jìn)行加密封裝后發(fā)往對(duì)端的FortiGate設(shè) 備；當(dāng)對(duì)端FortiGate設(shè)備返回?cái)?shù)據(jù)時(shí)，F(xiàn)ortiGate也能進(jìn)行解密操作并轉(zhuǎn)發(fā)回內(nèi)網(wǎng)的PC。相同IP地址段間的VPN通常情況下，VPN網(wǎng)絡(luò)兩端的局域網(wǎng)應(yīng)當(dāng)使用不同的IP地址段，以免發(fā)生IP地址沖 突，但由于機(jī)構(gòu)的合并，或某些比較老的網(wǎng)絡(luò)在規(guī)劃時(shí)并未考慮到將來可能的VPN互聯(lián)， 而在不同分支節(jié)點(diǎn)使用了同一段 IP 地址，如下圖所示，分支機(jī)構(gòu) A 和

18、 B 都使用了 /24 這一段 IP 地址。192.16S.1.0/241Q71 0/M.InternetFortiGate192.16S.1.0/241Q71 0/M.InternetFortiGateFortiGate利用FortiGate的IPSec VPN雙向NAT功能，可以支持這種相同IP地址段間的IPSec VPN通信需求。通過將兩端的IP地址段進(jìn)行NAT轉(zhuǎn)換后再進(jìn)入IPSec隧道，例如轉(zhuǎn)換為 192.168 20和,便可順利將這兩個(gè)/24網(wǎng)絡(luò)通過IPSec VPN連通。VPN 隧道中的安全過濾單獨(dú)的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認(rèn)證，沒有很強(qiáng)的 訪問

19、控制功能（防火墻過濾、防病毒、入侵防御等）。而由于 VPN 的加密特性，使得非法訪 問、蠕蟲、病毒、入侵等在 VPN 隧道中也是加密傳輸?shù)模讵?dú)立的安全網(wǎng)關(guān)和 VPN 部署 方式下，安全網(wǎng)關(guān)無法對(duì)VPN隧道中的加密信息進(jìn)行任何安全過濾，病毒、攻擊等可以很 容易的通過VPN在廣域網(wǎng)各節(jié)點(diǎn)之間傳播擴(kuò)散，由此帶來安全性、性能、管理上的一系列 問題。因此，將 VPN 和其它安全功能集成，提供一個(gè)靈活、高效、完整的安全方案，是當(dāng)前 安全技術(shù)的發(fā)展趨勢(shì)。它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略 的檢查，保護(hù)VPN網(wǎng)絡(luò)免受病毒、入侵等的威脅；提供更好的處理性能，簡(jiǎn)化網(wǎng)絡(luò)管理的 任務(wù)，快速

20、適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此， VPN 技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部 分。FortiGate便是一個(gè)集VPN、防火墻和多項(xiàng)應(yīng)用層安全功能于一身的綜合安全網(wǎng)關(guān)，可 以提供各安全功能之間的完美聯(lián)動(dòng)、良好的兼容性和性能。Jni&rnetFortiGate UW過濾Jni&rnetFortiGate UW過濾FortiGateUTM過濾如上圖所示，在FortiGate的VPN策略中應(yīng)用防火墻、防病毒、IPS、內(nèi)容過濾、反垃圾郵件、IM/P2P過濾等安全功能，可以在各種安全威脅進(jìn)入VPN加密隧道前或離開加密 隧道后進(jìn)行過濾，從而阻止病毒、蠕蟲、木馬、入侵、不良內(nèi)容等在VPN網(wǎng)絡(luò)各節(jié)點(diǎn)之間的傳播。3

21、. SSL VPN解決方案IPSec VPN的優(yōu)勢(shì)在于LAN-LAN連接，在Client-LAN環(huán)境下，使用IPSec VPN需要 在客戶端安裝復(fù)雜的軟件，而SSL VPN被稱之“無客戶端”，可以通過Web瀏覽器實(shí)現(xiàn)無客 戶端的遠(yuǎn)程訪問。通過SSL VPN，可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資 源上。雖然早期的SSL VPN只支持B/S模式(Web)應(yīng)用，具有一定的局限性，但是最新的SSLVPN產(chǎn)品(如FortiGate)支持通道模式。SSL通道模式與IPSec類似，支持各種B/S及C/S 應(yīng)用，且SSL VPN使用知名端口 TCP 443通信，因此連通性和兼容性都很好。如下圖所示

22、，在中心節(jié)點(diǎn)(如總部)部署FortiGate設(shè)備，并設(shè)置SSL VPN功能，各地的移動(dòng)辦公用戶便可與中心節(jié)點(diǎn)建立SSL VPN連接。IE總鄒(internetSSL VPNFirefoxFortiClientSSL VPNNetPCs pEFortiGate移動(dòng)辦公用戶便可與中心節(jié)點(diǎn)建立SSL VPN連接。IE總鄒(internetSSL VPNFirefoxFortiClientSSL VPNNetPCs pEFortiGateQ Flrtfbat 3SSL VPN SSL VPN接入模式FortiGate SSL VPN 用戶端接入支持兩種模式，分別為代理模式和隧道模式代理模式代理模式可以

23、為用戶提供快速高效的安全加密接入，用戶端只需要通過瀏覽器即可實(shí)現(xiàn) 是真正的無客戶端接入方式。通過一個(gè)網(wǎng)頁入口，用戶認(rèn)證成功后，可以訪問 HTTP/HTTPS、 Telnet、FTP、SMB/CIFS、VNC、RDP、SSL、Ping、Citrix 協(xié)議。隧道模式通過隧道模式，用戶可以自由的訪問內(nèi)網(wǎng)的任意資料，包括各種 C/S 服務(wù)應(yīng)用、除代理支持的協(xié)議外的其它協(xié)議等。用戶在第一次開啟隧道時(shí)，需要安裝一個(gè)客戶端軟件（ActiveX控件），此軟件不需要配置，只需安裝一次即可。用戶撥入后，會(huì)分配一個(gè)虛擬IP 地址，通過這個(gè)地址對(duì)內(nèi)網(wǎng)資料進(jìn)行訪問。隧道模式支持隧道分割方式，只允許訪問內(nèi)網(wǎng)的 數(shù)據(jù)進(jìn)入隧

24、道，去往In ter net的數(shù)據(jù)同時(shí)可以實(shí)現(xiàn)正常訪問。FortiGate SSL插件支持客戶端撥號(hào)軟件,通過撥號(hào)軟件，用戶可以方便的通過用戶名、密碼或證書訪問內(nèi)部資源，不需要再通過網(wǎng)頁入口開啟隧道模式。C Drmec t i onStatu弓：Discoiuiectd. Bytes Sent:0Duration： 00：00：00 Bytes Received：0Smttings. .CoriTLect DiEcoiLnect | Exit SSL VPN防火墻安全FortiGate SSL VPN 的訪問控制是基于防火墻功能實(shí)現(xiàn)。通過防火墻功能， FortiGate 設(shè)備可以控制允許哪些S

25、SL VPN用戶IP撥入;撥入用戶可以訪問哪些服務(wù)器的哪些端口， 非常方便的實(shí)現(xiàn)SSL VPN訪問控制功能。刪子類型 流X整口 耐址 侖出腳 目的刪3-1VEEl.Bot刪子類型 流X整口 耐址 侖出腳 目的刪3-1VEEl.Bot(5Elvpn tunnal intarfaca)0 allinternal(3 IdcbI1 awaysZ /UZCEPT用戶身份認(rèn)證FortiGate SSL VPN 支持以下認(rèn)證方式：用戶名/密碼認(rèn)證進(jìn)入網(wǎng)頁入口需要進(jìn)行用戶名/密碼認(rèn)證。認(rèn)證的方式支持支持傳統(tǒng)的 Radius、LDAP 、 Active Directory、SecurlD等認(rèn)證方式，同時(shí)提供L

26、ocal（本地?cái)?shù)據(jù)庫）認(rèn)證方式。證書認(rèn)證為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強(qiáng)的加密算法等措施之外， 必須建立一種信任及信任驗(yàn)證機(jī)制，即參加應(yīng)用的各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識(shí)，這就 是數(shù)字證書。 FortiGate 證書管理支持以下項(xiàng)目：/ 支持X.509標(biāo)準(zhǔn)協(xié)議。/ 支持客戶端證書認(rèn)證。/ 支持 Certificate Revocation List （證書撤銷列表）丁 支持 in termediate CA Certificate雙因素認(rèn)證對(duì)安全級(jí)別需求高的網(wǎng)絡(luò)需要“雙因素”認(rèn)證，即使用用戶 lD 與密碼之外的信息進(jìn)行認(rèn) 證。Fortinet公司的FortiToken是F

27、ortiGate專用的雙因子認(rèn)證令牌，符合誓約聯(lián)盟基于時(shí) 間的硬件一次性密碼令牌，通過FortiGuard實(shí)現(xiàn)在線交付使用，提供每分鐘更新的動(dòng)態(tài)密 鑰。虛擬桌面FortiGate的SSL VPN客戶端還支持“虛擬桌面”模式。在虛擬桌面模式下，利用流行 的“沙盒(Sandbox)”技術(shù)，為SSL VPN用戶在PC上開辟一塊虛擬空間，所有的SSL VPN 訪問都在這個(gè)“沙盒”中進(jìn)行。當(dāng)用戶退出SSL VPN虛擬桌面時(shí)，所有SSL VPN訪問產(chǎn)生的 “痕跡”都會(huì)被刪除，包括下載的文件、瀏覽器緩存、歷史記錄等。如果SSL VPN會(huì)話非正 常結(jié)束，文件可能被保留，但這些文件都是加密的，不能閱讀或修改。當(dāng)用戶開啟虛擬桌面 功能后，虛擬桌面會(huì)替換用戶普通桌面。同時(shí)，用戶可以控制哪些應(yīng)用可以在虛擬桌面上運(yùn) 行。虛擬桌面模式能夠更好的滿足用戶的安全要求，防止信息泄漏，即使SSL VPN用戶使 用公用計(jì)算機(jī)(例如使用他人或網(wǎng)吧的PC)來訪問單位內(nèi)部網(wǎng)絡(luò)，都沒有泄密的風(fēng)險(xiǎn)。 客戶端主機(jī)檢查當(dāng)客戶端通過SSL VPN撥入到FortiGate設(shè)備,并通過FortiG