在這節課中，你將學習如何配置和使用SSL-VPN。SSL-VPN是一種簡單的方法，可以讓遠端使用者訪問你的私有網路。

在本次課程中，你將探討以下主題：

• 描述SSL-VPN
• SSL-VPN 部署模式
• 配置SSL-VPN
• 域和個人書籤
• 強化 SSL-VPN 訪問
• 監控和故障排查

在完成這節課程之後，你應該能夠：

• 定義一個虛擬專用網路（VPN）
• 描述SSL-VPN和IPsec VPN之間的區別

　　通過展示理解VPN概念的能力，你將能夠更有效地理解FortiGate如何管理SSL-VPN方法。

虛擬專用網（VPN）建立了一個隧道，它可以讓使用者或遠端LAN安全地訪問你的私有網路，就好像它們連線到你的區域網一樣。

　　當局域網被一個不受信任的公共網路分隔開時，通常會使用VPN，比如Internet。除了為遠行使用者提供安全訪問私人網路的同時，VPN還可以連線網際網路上的分支辦公室網路，甚至可以連線到世界的另一端。

　　VPN隧道內的使用者資料是為了隱私而加密的。它不能被讀取，即使它被未經授權的使用者攔截。VPN也使用安全方法來確保只有經過授權的使用者才能建立VPN並訪問私有網路的資源。他們通常還提供防篡改。

　　大多數VPN都是SSL或IPsec VPN。FortiOS全部支援又支援不常見的、較弱的VPN，如PPTP。在這節課中，我們將重點討論SSL-VPN。

SSL-VPN與IPsec VPN有何不同？

　　協議是不同的。SSL和TLS通常用於在Internet（HTTP）上封裝和保護電子商務和線上銀行業務。SSL-VPN使用類似的技術，但通常使用非HTTP協議封裝。SSL在網路棧上比IP更高，因此，對於SSL-VPN頭來說，它通常需要更多的位元——更多的頻寬。相比之下，IPsec使用了一些特殊的協議。主要協議是ESP，它封裝和加密了UDP、RDP、HTTP或其他在IPsec隧道內的協議。

　　另外，IPsec VPN是一個標準。它可以與多個供應商進行互操作，並支援那些裝置和閘道器的對等點——而不僅 僅是帶有FortiGate的使用者客戶端，比如SSL-VPN。

　　客戶端軟體也是不同的。在SSL-VPN中，您的web瀏覽器可能是你所需要的唯一客戶機軟體。你可以進入FortiGate的SSL-VPN門戶（一個HTTPS web頁面），然後登入。或者，你可以安裝外掛或FortiClient。這增加了可以通過VPN隧道傳送的協議數量。

　　相比之下，為了使用IPsec VPN，你通常需要安裝特殊的客戶端軟體，或者有一個本地閘道器，比如桌面型FortiGate，以便連線到遠端閘道器。你可能還需要在VPN對等點之間配置防火牆，以允許IPsec協議。然而，IPsec是大多數供應商支援的標準協議，因此VPN會話不僅可以在兩個FortiGate裝置之間建立，也可以在不同 廠商的裝置之間，以及閘道器和客戶端之間建立。它具有高度可擴充套件性和可配置性。相比之下，SSL-VPN只能在 計算機和特定於供應商的閘道器之間建立，比如FortiGate。

登入後，SSL-VPN將您的計算機連線到你的私有網路。不需要使用者配置的設定，並且防火牆通常配置為允許傳出HTTP，因此技術支援呼叫的可能性更小。簡單性使得SSL-VPN對於非技術使用者或從公共計算機中連線的使用者來說是理想的，例如在公共圖書館和網路咖啡館中找到的使用者。

　　一般來說，當隧道必須連續不斷地向上並與許多型別的裝置進行互操作時，IPsec VPN就更受歡迎，而當人們旅行並需要連線到辦公室時，SSL-VPN就更受歡迎。

 小測驗。

現在你經瞭解了關於SSL-VPN的基本概念，以及SSL-VPN與IPsec的不同之處。

　　接下來，你將瞭解到由FortiGate支援的SSL-VPN部署模式。

在完成本節之後，你應該能夠描述SSL-VPN模式之間的區別。通過展示你對FortiGate允許SSL-VPN連線的不同方式的理解能力，你將能夠更好地設計你的SSL-VPN的配置。

 你可以使用兩種模式來訪問SSL-VPN。兩者都可以構建SSL-VPN連線，但它們不支援相同的特性。

　　你應該選擇哪一個？

　　這取決於您需要通過VPN傳送哪些應用程式、你的使用者的技術知識，以及你是否在他們的計算機上有管理許可權。

　　隧道模式支援大多數協議，但需要安裝VPN客戶端，或者更具體地說，是一個虛擬網路介面卡。要使用虛擬適 配器來隧道通訊，你必須使用FortiClient或它的獨立的FortiSSL-VPN客戶端元件。

　　Web模式只需要一個Web瀏覽器，但是支援有限數量的協議。

Web access是最簡單的SSL-VPN模式。

　　就像你在任何其他HTTPS網站上一樣，你只需登入到位於FortiGate的SSL-VPN門戶web頁面即可。它就像一個伺服器端反向代理，或者一個簡單的安全的HTTP/HTTPS閘道器，它將您連線到私有網路上的應用程式。

　　SSL-VPN Portal 上的Bookmarks部分包含指向使用者可訪問的全部或部分可用資源的連結。Quick Connection小部件允許使用者輸入他們想要到達的伺服器的URL或IP地址。一個web SSL-VPN使用者使用這兩個 小部件來訪問內部網路。web模式的主要優點是它通常不需要你安裝額外的軟體。

　　Web模式有兩個主要缺點：

• 所有與內部網路的互動都必須完全使用瀏覽器（通過web門戶）完成。執行在使用者PC上的外部網路應用程式不能跨VPN傳送資料。
• 這是一種安全的HTTP/HTTPS閘道器機制，它不能用於訪問所有東西，但有很少流行的協議，如HTTP、FTP  和Windows共享。

web模式是如何工作的？

1. 遠端使用者使用HTTPS在web瀏覽器和FortiGate的SSL-VPN門戶之間建立安全連線。
2. 一旦連線起來，使用者就會提供憑證，以便通過身份驗證檢查。
3. 然後，FortiGate顯示SSL-VPN門戶，它包含服務和網路資源供使用者訪問。

　　不同的使用者可以有不同的門戶，具有不同的資源和訪問許可權。還要注意，遠端資源所看到的源IP是FortiGate的內部IP地址，而不是使用者的IP地址。

隧道模式是FortiGate提供了在SSL-VPN中訪問資源的第二個選項。

　　隧道模式需要Fortinet的獨立SSL-VPN客戶端，FortiClient，連線到FortiGate。FortiClient將一個虛擬網路介面卡新增到使用者的PC上。這個虛擬介面卡每次都動態地從FortiGate中接收一個IP地址，而FortiGate則建立一個新的VPN連線。在隧道內，所有的流量都是SSL/TLS封裝。

　　隧道模式優於web模式的主要優點是，在VPN建立之後，在客戶機上執行的任何IP網路應用程式都可以通過隧道傳送流量。主要的缺點是隧道模式需要安裝VPN軟體客戶端，這需要管理許可權。

隧道模式是如何工作的？

1. 使用者通過FortiClient連線到FortiGate。
2. 使用者提供成功認證的憑證。
3. FortiGate建立隧道，並將一個IP地址分配給客戶的虛擬網路介面卡（fortissl）。這是客戶端在連線期  間的源IP地址。
4. 然後，使用者可以通過加密的隧道訪問服務和網路資源。

　　FortiClient將所有來自遠端計算機的流量加密，並將其傳送到SSL-VPN隧道。FortiGate接收加密的流量，將IP資料包的資料包封裝起來，並將其轉發到私有網路，就好像流量來自於網路內部一樣。

隧道模式也支援隧道分割。

　　當分割隧道被禁用時，由客戶端計算機生成的所有IP流量——包括Internet流量——都被路由到SSL-VPN隧道 到FortiGate。這就設定了作為主機預設閘道器的FortiGate。您可以使用這種方法來將安全特性應用到遠端客戶端 的流量，或者監視或限制Internet接入。這增加了更多的延遲，增加了頻寬的使用。

　　當分離隧道啟用時，只有在遠端FortiGate後面的私有網路的流量才會通過隧道進行路由。所有其他的流量都是通過正常的未加密路由傳送的。

　　拆分隧道有助於節省頻寬並緩解瓶頸。

 小測驗。

現在你已經瞭解了由FortiGate支援的SSL-VPN操作模式。接下來，你將瞭解如何配置SSL-VPN。

在完成本節之後，你應該能夠：

• 為SSL-VPN使用者定義身份驗證
• 配置SSL-VPN門戶
• 配置SSL-VPN設定
• 為SSL-VPN定義防火牆策略

　　通過展示在FortiGate上配置SSL-VPN設定的能力，你將能夠更好地設計你的SSL-VPN隧道的架構。

要配置SSL-VPN，你必須採取以下步驟：

1. 配置使用者帳戶和組。
2. 配置SSL-VPN門戶。
3. 配置SSL-VPN設定。
4. 建立一個防火牆策略來接受和解密資料包。該策略還用於提供對內部網路的訪問。
5. 可選地，配置防火牆策略，允許從SSL-VPN客戶端到Internet，並應用安全配置檔案。使用者流量將通過  FortiGate進入網際網路，在那裡你可以監控或限制客戶端訪問網際網路。

　　有些步驟可以按照不同的順序配置，而不是在這張幻燈片上顯示的。

第一步是為SSL-VPN客戶端建立賬戶和使用者組。

　　除了使用Fortinet單點登入（FSSO）協議之外的遠端密碼認證之外，所有的FortiGate認證方法都可以用於SSL-VPN認證。這包括本地密碼認證和遠端口令認證（使用LDAP、RADIUS和TACACS+協議）。

　　你還可以配置帶有FortiToken的雙因子認證，以獲得更好的安全性。

第二步是配置SSL-VPN門戶。SSL-VPN門戶包含供使用者訪問的工具和資源連結。

　　在隧道模式下，當你啟用分割隧道時，你需要選擇Routing Address 設定，它通常指定了FortiGate的後臺網路，以便讓SSL-VPN使用者訪問。

　　另外，對於隧道模式，你需要為使用者選擇一個IP池，以便在連線時獲得IP地址。如果你不建立自己的地址物件，那麼在address物件中有一個預設池。

　　如果啟用了web模式，你可以定製SSL-VPN門戶和預配置書籤，以便所有登入到SSL-VPN門戶的使用者都能看到。 另外，你可以單獨配置並將每個門戶連結到特定的使用者或使用者組，這樣他們就僅可以訪問所需的資源。

這張幻燈片展示了使用者登入後的SSL-VPN web模式門戶頁面的示例。它允許你從Download FortiClient下拉列表中下載一個獨立的客戶端。這個獨立的客戶端用於在隧道模式中連線到SSL-VPN。

　　還要注意，SSL-VPN書籤提供了網路資源的連結。web模式的設定允許使用者： 在Bookmarks部分使用管理員定義的書籤。使用者不能修改管理員新增的書籤。 在Your Bookmarks 中使用小部件來添加個人書籤。 直接使用Quick Connection小部件訪問網路資源。

　　讓我們通過Bookmarks或Quick Connection 小部件探索SSL-VPN門戶（web模式）上的協議和伺服器應用程式。

根據web門戶的配置，可以使用以下的一個或多個：

1. HTTP/HTTPS允許你訪問私人網站。
2. 檔案傳輸協議（FTP）允許您在SSL-VPN客戶端和位於私有網路中的主機或伺服器之間傳輸檔案。
3. SMB/CIFS，實現伺服器訊息塊（SMC）協議，以支援在私有網路中SSL-VPN客戶端和遠端主機或伺服器  之間的檔案共享。通過共享目錄支援通過SMB/CIFS共享的Windows檔案共享。
4. 虛擬網路計算（VNC）允許您遠端控制私有網路中的另一臺計算機。
5. 遠端桌面協議（RDP），類似於VNC，允許您遠端控制執行Microsoft終端服務的計算機。
6. Secure Shell（SSH）允許兩個主機之間使用一個安全通道交換資料。
7. 電傳打字網路模擬（TELNET），允許在SSL-VPN中虛擬的、純文字的終端登入到遠端主機。
8. Citrix使用了SOCKS來支援Citrix客戶端連線到SSL-VPN埠轉發模組，以便提供遠端連線。
9. 埠轉發提供了web模式和隧道模式之間的中間地帶。當SSL-VPN從客戶端應用程式接收資料時，資料將被加密併發送到FortiGate，然後將流量轉發到應用伺服器。

　　在隧道模式不實用的情況下，埠轉發是最合適的解決方案，而其他web模式的書籤不夠靈活。

隧道模式提供了一個第三層連線，使用者可以在上面執行任何應用程式。然而，它並不總是可行的選項，因為它需要安裝虛擬網路介面卡（FortiClient），而且使用者並不總是具有實現這一點所需的管理級別訪問許可權。

　　Web模式不能為應用程式支援提供足夠的靈活性，因為它連線到有限數量的協議。

　　SSL-VPN使用者可以登入到SSL-VPN門戶，並選擇一個埠轉發書籤，該書籤定義了特定的伺服器應用程式地 址和埠，以及在使用者的計算機上偵聽哪個埠。

　　因此，在使用者的一邊，而不是建立一個與本地IP（隧道模式）分離的IP隧道，埠轉發需要安裝一個埠轉發 模組，這是一個Java applet，它監聽使用者計算機上的本地埠。

　　當用戶的應用程式通過連線到loopback地址（127.0.0.1）指向Java applet時，applet代理就會在使用者的計算機 上接收應用程式資料，對其進行加密，並將其傳送到FortiGate。然後將流量轉發到私有網路中的應用程式伺服器。

　　注意，埠轉發只支援使用靜態TCP埠的應用程式。它不支援動態埠或UDP的流量。

　　只有兩種型別的書籤可以用於埠轉發：citrix和portforward。

在配置SSL-VPN門戶之後，下一步是配置SSL-VPN設定。

　　讓我們從Connection Settings 部分開始。在這裡，你需要將一個FortiGate的介面對映到SSL-VPN門戶。 SSL-VPN門戶的預設埠是443。這意味著使用者需要使用埠443-HTTPS連線到SSL-VPN門戶的FortiGate接 口的IP地址。如果你允許Redirect HTTP to SSL-VPN，那麼使用HTTP（TCP埠80）連線的使用者將被重定向 到HTTPS。

　　埠443是HTTPS協議管理的標準預設埠。這很方便，因為使用者不需要在瀏覽器中指定埠。例如， https://www.example.com/在任何瀏覽器中自動使用埠443。這在FortiGate上被認為是一個有效的設定，因 為您通常不會通過每個介面訪問SSL-VPN登入。同樣地，您通常不會在您的FortiGate的每個介面上啟用管理訪 問。因此，即使埠可能重疊，但是每個介面使用的埠可能不會。但是，如果SSL-VPN登入門戶和HTTPS 管理訪問都使用同一個埠，並且都在同一個介面上啟用，那麼只有SSL-VPN登入門戶才會出現。要在同一個 介面上訪問兩個門戶，您需要更改其中一個服務的埠號。如果您改變了管理訪問埠，這將影響到所有介面 上該服務的埠號。

　　另外，一個不活躍的SSL-VPN在300秒（5分鐘）的不活動之後斷開連線。您可以使用GUI上的Idle Logout設 置來更改這個超時。

　　最後，與其他HTTPS網站一樣，當用戶連線時，SSL-VPN門戶會顯示數字證書。預設情況下，門戶使用自籤 名證書，該證書觸發瀏覽器顯示證書警告。為了避免警告，您應該使用由一個公開的證書頒發機構（CA）簽署 的數字證書。或者，您也可以將FortiGate自簽名的數字證書載入到瀏覽器中作為受信任的許可權。

定義隧道模式客戶端設定和將使用者對映到適當門戶的認證規則。

　　當用戶連線時，隧道被分配一個IP地址。您可以選擇使用預設範圍或建立您自己的範圍。IP範圍決定了多少用 戶可以同時連線。

　　DNS伺服器解析只有在通過VPN隧道傳送DNS流量時才有效。一般情況下，只有當隧道分割模式被禁用，所有 的流量都從使用者的計算機通過隧道傳輸時，才會出現這種情況。

　　此外，您還可以允許有條件的端點在隧道模式的SSL-VPN上自注冊。在使用者進行身份驗證之後，FortiGate傳送 給FortiClient IP地址和埠以供註冊使用。如果使用者接受了註冊邀請，註冊就會繼續，而FortiClient配置檔案會 被下載到客戶端。通過瀏覽器連線到SSL-VPN的使用者將被重定向到一個捕獲的門戶，以下載和安裝FortiClient 軟體。

　　最後，您可以允許不同的使用者組訪問不同的門戶。在這張幻燈片上的例子中，教師只能訪問web門戶。會計人員可以使用FortiClient在隧道模式中進行連線。

第四個，也是最後一個強制步驟，包括建立用於登入的防火牆策略。

　　在FortiGate上的SSL-VPN通訊使用一個名為ssl.<vdom_name>的虛擬介面。每個虛擬域（VDOM）都基於其 名稱包含一個不同的虛擬介面。預設情況下，如果沒有啟用VDOM，則該裝置使用一個名為root的VDOM操作。

　　要啟用併成功登入到SSL-VPN，必須有一個從SSL-VPN介面到您想要訪問SSL-VPN使用者的介面的防火牆策略， 包括所有可以作為源登入的使用者和組。如果沒有這樣的策略，就不會向用戶提供登入門戶。

　　如果在其他使用者需要訪問的介面背後有資源，那麼你需要建立額外的策略，允許來自ssl.root的流量退出這些接 口。

任何來自SSL-VPN使用者的流量，無論是在web門戶還是隧道模式下，都從ssl.<vdom_name>介面中退出。

　　這張幻燈片展示了一個防火牆策略的例子，它被配置為允許訪問其他介面背後的資源，使用者在通過SSL-VPN連線時需要訪問這些介面。

如果分割隧道是禁用的，你需要從SSL建立一個額外的防火牆策略。從ssl.root到出口介面，允許客戶端訪問 Internet。

　　你還可以將安全配置檔案應用到這個防火牆策略中，以限制使用者對Internet的訪問。

 小測驗。

現在你已經瞭解瞭如何配置SSL-VPN連線的FortiGate。

　　接下來，你將學習如何為不同的使用者組建立多個SSL-VPN登入站點，並管理使用者新增的書籤。

在完成本節之後，你應該能夠：

• 為SSL-VPN門戶配置域
• 為SSL-VPN門戶配置個人書籤

　　通過展示理解這些主題的能力，你將能夠為不同的使用者組建立多個SSL-VPN登入站點，並管理特定於使用者的書籤。

預設情況下，所有SSL-VPN使用者都會看到相同的書籤，由管理員配置，以及相同的主題。

　　預設情況下，定製SSL-VPN域和SSL-VPN書籤的功能在FortiGate GUI上是隱藏的。

為了給你的SSL-VPN部署增加靈活性，你可以考慮配置SSL-VPN域。

　　域是自定義登入頁面。它們通常用於使用者組，比如你的會計團隊和您的銷售團隊，但也適用於個人使用者。有了域，使用者和使用者組可以根據他們輸入的URL訪問不同的門戶。

　　通過不同的門戶，你可以分別定製每個登入頁面，並單獨限制併發使用者登入。

　　在FortiGate上的一個域例子：

　　https://192.168.1.1

　　https://192.168.1.1/Accounting

　　https://192.168.1.1/TechnicalSupport

　　https://192.168.1.1/Sales

 在建立了域之後，你必須將它們應用到SSL-VPN Settings 視窗中。

　　配置認證規則，以便將使用者對映到適當的域。這些設定允許不同的使用者組通過不同的域訪問已定義的門戶。

　　在這張幻燈片上的例子中，教師只能訪問他們自己的域。如果他們需要訪問根域來檢視全域性門戶，您需要為他 們新增一個額外的認證規則。

當用戶登入到他們的個人門戶時，有一個選項允許他們建立自己的書籤。管理員必須在SSL-VPN Portal 頁面上啟用User Bookmarks ，以允許這樣做。

　　管理員可以在SSL-VPN Personal Bookmarks 頁面上檢視和刪除使用者新增的書籤。這允許管理員監視和刪除與公司策略不匹配的不需要的書籤。

　　在FortiGate CLI上，您可以為每個使用者建立書籤。即使在門戶中禁用了使用者書籤選項，這些書籤也會出現，因為該選項只會影響使用者建立和修改他們自己的書籤的能力——而不是管理員定義的書籤。

　　根據您想要建立的書籤型別，您可能需要配置應用程式需要的附加資訊，比如用於網站的URL和FTP站點的資料夾。

 小測驗。

現在你已經瞭解瞭如何配置SSL-VPN域並檢視使用者新增的書籤。接下來，你將學習如何加強SSL-VPN訪問。

在完成本節之後，您應該能夠：

• 配置客戶端完整性檢查
• 使用安全證書應用雙重身份驗證
• 通過IP和MAC地址限制客戶機

　　通過演示如何加強SSL-VPN訪問的安全性，你將能夠限制使用者，確保你的內部網路是安全的，並限制攻擊和病毒從外部來源進入網路的可能性。

  當用戶通過SSL-VPN連線到你的網路時，你的網路和使用者PC之間建立了一個門戶。VPN會話以兩種方式保護： 連線被加密，使用者必須使用他們的憑證登入，比如使用者名稱和密碼。但是，您可以配置額外的安全檢查以增加連 接的安全性。

　　提高安全性的一種方法是通過客戶端完整性檢查。客戶端完整性通過檢查是否安裝和執行特定的安全軟體，如 防毒軟體或防火牆軟體，確保連線計算機的安全。這個特性只支援Microsoft Windows客戶端，因為它訪問 Windows安全中心來執行它的檢查。或者，您可以定製這個特性，以使用其全域性唯一識別符號（GUID）來檢查 其他應用程式的狀態。GUID是在Windows配置登錄檔中唯一標識每個Windows應用程式的ID。客戶端完整性 還可以檢查反病毒和防火牆應用程式的當前軟體和簽名版本。

　　客戶端完整性檢查適用於web模式和隧道模式。

 

​​  客戶端完整性檢查是在VPN仍在建立的時候執行的，只是在使用者身份驗證完成之後。如果所需的軟體不在客戶 機的PC上執行，那麼VPN連線嘗試就會被拒絕，即使是使用有效的使用者憑證。客戶端完整性是每個web門戶啟 用的，並且可以使用CLI命令進行配置。

　　在CLI上可以找到被識別軟體的列表，以及相關的登錄檔鍵值。軟體分為三類：反病毒（av）、防火牆（fw） 和自定義。自定義用於組織可能需要的定製或專有軟體。管理員只能在CLI上配置這些設定。

　　啟用客戶機完整性檢查的缺點是，由於以下因素，它可能導致大量的管理開銷：

• 為了成功地建立連線，所有使用者必須更新他們的安全軟體。
• 軟體更新會導致對登錄檔鍵值的更改，這也可以防止使用者成功地連線。

　　因此，管理員必須對Windows作業系統和隨後的登錄檔行為有深入的瞭解，以便適當地擴充套件和維護該特性。

​​  你還可以通過安全證書（x.509），應用雙重身份驗證，從而加強您的SSL-VPN連線。

• 要求客戶使用他們的證書進行身份驗證。當遠端客戶端啟動一個連線時，FortiGate將提示客戶端瀏覽器作為身份驗證過程的一部分。
• 在客戶的瀏覽器上安裝FortiGate的CA證書。

​​  你可以通過限制主機連線地址來獲得SSL-VPN訪問。在考慮適當的安全配置時，設定IP限制規則可能非常有用。 並不是所有的IP都需要訪問登入頁面。這種方法允許你設定規則來限制對特定IP的訪問。一個簡單的規則是允 許或不允許基於地理IP地址的流量。

　　預設的配置被設定為Limit access to specific hosts ，但是Hosts是空的。您必須在主機欄位中指定IP地址或 網路。這將只允許那些使用者訪問登入頁面。Allow access from any host 允許所有IP連線。

　　在CLI上，你可以配置VPN SSL設定以禁止特定IP。

​​  當遠端使用者試圖登入到SSL-VPN門戶時，你還可以配置FortiGate來檢查客戶機的MAC地址。這確保只有特定的計算機或裝置連線到SSL-VPN隧道。

　　這個設定提供了更好的安全性，因為密碼可能會被破壞。MAC地址可以繫結到特定的門戶，可以是整個MAC 地址或地址的子集。

​​  小測驗。

​​  你現在瞭解瞭如何加強SSL-VPN接入的安全性。接下來，你將學習如何監控SSL-VPN會話、檢查日誌、配置SSL-VPN計時器以及解決常見問題。

​​  在完成本節之後，您應該能夠：

• 監控SSL-VPN連線的使用者
• 檢查SSL-VPN日誌
• 配置SSL-VPN計時器
• 解決常見的SSL-VPN問題
• 識別SSL-VPN的硬體加速元件

　　通過展示在SSL-VPN監控和故障排查方面的能力，你將能夠避免、識別和解決常見問題和錯誤配置。

​​  你可以監視在SSL-VPN Monitor頁面上連線的SSL-VPN使用者。這顯示了當前連線到FortiGate的所有SSL-VPN 使用者的名字，他們的IP地址（在隧道內和外部），以及連線時間。

　　當用戶通過隧道模型連線時，Active Connections 顯示由FortiGate分配到客戶端計算機上的fortissl虛擬 介面卡的IP地址。否則，使用者只連線到web門戶頁面。

​​  你還可以檢視SSL-VPN日誌：

• 選擇 VPN Events 顯示當有一個新的連線請求時，是否SSL-VPN隧道被建立和關閉。
• 選擇 User Events提供與SSL-VPN使用者相關的身份驗證操作。
•  選擇 Endpoint Events顯示使用者何時使用FortiClient在隧道模式中建立或關閉SSL-VPN。

​​  當一個SSL-VPN斷開連線時，無論是通過使用者還是通過SSL-VPN空閒設定，都將刪除FortiGate會話表中的所 有相關會話。這可以防止在初始使用者終止隧道後重新使用經過身份驗證的SSL-VPN會話（尚未過期）。

　　SSL-VPN使用者空閒設定與防火牆認證超時設定無關。它是專門針對SSL-VPN使用者的一個單獨的空閒選項。當 FortiGate在配置的超時期間沒有看到任何來自使用者的資料包或活動時，遠端使用者就被認為是空閒的。

​​  在長時間的網路延遲期間，在客戶端完成談判過程之前，FortiGate可以超時，比如DNS查詢和輸入令牌的時間。 在配置VPN SSL設定下增加了兩個新的CLI命令來解決這個問題。第一個命令允許您設定登入超時，替換以前 的硬超時值。第二個命令允許您為SSL-VPN連線設定最大DTLS hello超時。

　　此外，計時器還可以幫助您減輕諸如慢速和R-U-Dead-Yet之類的漏洞，這使得遠端攻擊者可以通過部分HTTP 請求導致拒絕服務。

​​  下面是在使用SSL-VPN時要記住的一些最佳實踐。這些最佳實踐在許多SSL-VPN故障排查情況下也會有所幫助：

• 在您的web瀏覽器中啟用cookie。
• 在你的web瀏覽器中設定網路隱私選項。
• 使用與你的FortiOS韌體相容的FortiClient版本。
• 啟用分割隧道或為SSL-VPN連線建立一個出口防火牆策略，以允許對外部資源的訪問。
• 連線到正確的埠號。
• 將SSL-VPN組、SSL-VPN使用者和目的地地址新增到防火牆策略中。
• 通過超時重新整理非活動會話。

​​  在診斷VPN SSL中有幾個有用的故障診斷命令。它們包括：

• List：列出登入使用者的名單
• info:顯示一般的SSL-VPN資訊
• statistics:顯示關於FortiGate的記憶體使用情況的統計資料
• hw-acceleration-status:顯示SSL硬體加速的狀態

　　命令診斷除錯應用程式sslvpn顯示了SSL-VPN連線的整個除錯訊息列表。

　　請記住，要使用上面列出的命令，你必須首先執行診斷除錯enable命令。

​​  具有CP8或CP9內容處理器的FortiGate裝置，可以加速許多常見的資源密集型、安全相關的程序，可以將SSL- VPN傳輸轉移到高效能VPN批量資料引擎上。

　　這種專門的IPsec和SSL/TLS協議處理器處理大多數最新的加密演算法。

　　預設情況下，解除安裝過程是建立的。如果出於測試目的，您想禁用它，您可以只在防火牆策略配置級別使用CLI。

　　你還可以使用CLI檢視SSL-VPN加速的狀態。

​​  小測驗。

​​  你已經完成了這一課。現在，你將回顧你在課程中所涵蓋的目標。

​​ 這一課涵蓋了以下目標：

• 定義一個虛擬專用網路（VPN）
• 描述SSL-VPN和IPsec VPN之間的區別
• 描述SSL-VPN模式之間的區別
• 為SSL-VPN使用者定義身份驗證
• 配置SSL-VPN門戶
• 配置SSL-VPN設定
• 為SSL-VPN定義防火牆政策
• 為SSL-VPN門戶配置域
• 為SSL-VPN門戶配置個人書籤
• 配置客戶端完整性檢查
• 使用安全證書應用雙重身份驗證
• 通過IP和MAC地址限制客戶機
• 監控SSL-VPN連線的使用者
• 檢查SSL-VPN日誌
• 配置SSL-VPN計時器
• 解決常見的SSL-VPN問題

 

---