网安运营 - 建设篇

第二章 FortiGate防火墙配置SSL用户分流

网安运营 - 建设篇
系列文章回顾
前言
- 前置条件
- - 软件环境
  - 硬件环境
- 简易拓扑说明
- - 不走路由器转发
  - 走路由器转发
- 实施步骤
FortiGate调整SSL、地址对象、策略路由、防火墙策略等配置
- 配置地址对象
- 调整SSL门户
- 调整SSL设置
- 调整防火墙策略
- 配置策略路由
验证
参考来源

系列文章回顾

第一章 FortiGate防火墙部署SSL接入功能

前言

FortiGate系列防火墙，全球500强企业Fortinet的FortiGate系列产品。

移动办公用户在外地连接到企业内网，所有流量都经过企业内网转发。

FortiGate防火墙的实施教程请参考大佬的博客：飞塔老梅子的CSDN博客。链接在文章底部。

FortiGate软件版本：FortiOS v6.4.10 build2000 (GA)
FortiGate硬件系列：FortiGate F系列

前置条件

1. 已入门学习了FortiGate相关的知识体系，具备Fortinet NSE的入门水平
2. 具备数通体系的华为HCIA水平

软件环境

1. 有域控、DNS服务和CA证书服务
2. 有自建邮箱

硬件环境

1. 首先，Fortinet没有模拟器。你得有一台FortiGate F系列的硬件防火墙。软件的大版本是V6，相差几个小版本问题不大，但小版本尽量一致。
2. 内网有一台路由器
3. FortiGate和路由器可以互相访问

简易拓扑说明

不走路由器转发

走路由器转发

（略）

实施步骤

1. 根据第一章内容完成FortiGate的SSL全部配置
2. FortiGate调整SSL、地址对象、策略路由、防火墙策略等配置
3. 验证

FortiGate调整SSL、地址对象、策略路由、防火墙策略等配置

配置地址对象

新增若干个SSL接口的地址对象，新增地址组对象把SSL用户地址对象都添加到地址组对象当中，以区分不同权限的SSL用户。

新增内网DNS服务器的地址组对象，把内网域控和DNS服务的IP地址都添加进去，以方便分配给SSL用户访问内网DNS。

调整SSL门户

不走路由器转发的门户配置，开启隧道分割，即访问路由地址段的流量才经过FortiGate

走路由器转发的门户配置，不开启隧道分割，即所有流量经过FortiGate

调整SSL设置

给走路由器转发的SSL用户分配不同的SSL门户，参考第一章内容 FortiGate防火墙部署SSL接入功能的配置方法。此处在 [认证/Portal 映射] 中完成。无截图

调整防火墙策略

不走路由器转发的访问路径不经过FortiGate转发，而是客户端流量转发，所以SSL用户只需要能访问到内网DNS即可。需要在防火墙策略配置1条策略：

允许SSL用户访问内网DNS。源IP是SSL用户地址段1，地址对象是SSL用户组，源接口是SSL接口，目标IP是内网DNS，目标接口是LAN接口。无截图。

走路由器转发的访问路径的所有流量都经过FortiGate转发（ps:无法精确统计需要访问哪些网站，所以直接all匹配都丢给FortiGate转发），即SSL用户需要能访问到内网DNS，也要能访问到。需要在防火墙策略配置5条策略，策略匹配原则是先进先出。：

允许路由器NAT后源IP出公网。源IP是路由器NAT后的源IP，源接口是LAN接口，目标IP是all，目标接口是SD-WAN。无截图。
允许SSL用户访问A网站。源IP是SSL用户地址段2，地址对象是SSL用户组，源接口是SSL接口，目标IP是A，目标接口是SD-WAN。无截图。
允许SSL用户访问内网DNS。源IP是SSL用户地址段2，地址对象是SSL用户组，源接口是SSL接口，目标IP是内网DNS，目标接口是LAN接口。无截图
拒绝SSL用户访问内网和分支机构。源IP是SSL用户地址段2，地址对象是SSL用户组，源接口是SSL接口，目标IP是LAN网段和IPsec网段，目标接口是any。无截图。
允许SSL用户访问分流网站时经过内网路由器转发。源IP是SSL用户地址段2，地址对象是SSL用户组，源接口是SSL接口，目标IP是all，目标接口是LAN接口。无截图。

配置策略路由

策略路由的配置只针对SSL用户组做配置并生效，而且策略路由的匹配原则是先进先出。需要配置3条策略路由

流入接口是LAN接口，源IP是路由器NAT后源IP，目标IP是all，动作是停止策略路由。无截图。
流入接口是SSL接口，源IP是SSL用户地址段2，目标IP是A和内网DNS，动作是停止策略路由。无截图。
流入接口是SSL接口，源IP是SSL用户地址段2，目标IP是all，动作是转发流量，流出接口是LAN接口，下一跳是路由器的LAN口IP。无截图。

验证

（略）

参考来源

FortiGate 6.4.10 文档
飞塔老梅子的博客_CSDN博客

FortiGate防火墙配置SSL用户分流相关推荐

FortiGate防火墙部署SSL接入功能
网安运营 - 建设篇第一章 FortiGate防火墙部署SSL接入功能网安运营 - 建设篇下章内容前言前置条件软件环境硬件环境简易拓扑说明 FortiGate部署SSL FortiGa ...
FortiGate防火墙配置日志定时上传
FortiGate防火墙可以通过FortiAnalyzer或FortiManager进行日志收集记录,但是需要注意的是有硬盘的设备才能配置定时上传. 下面举例两个型号,FortiGate 300D有硬 ...
华为防火墙配置SSL+自签CA证书挑战登录
HW USG部署SSL+CA证书登录前言了解证书自签证书服务器配置客户端配置客户端登录前言关于证书,涉及作者的知识盲区,本人仅根据自己的理解编写,仅供参考! 了解证书公钥CA:理解为 ...
华为防火墙配置基于用户的策略路由
1.基本IP地址及连通性配置 (1)内网IP地址配置 (2)配置外网IP地址 [ISP1-GigabitEthernet0/0/0]ip add 20.1.1.2 24 [ISP1-GigabitEt ...
利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙
AWS VPC 流量集中检测系列--(4)利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙 B站视频: https://www.bilibili.com/vid ...
基于ASA防火墙的SSL ×××配置
基于ASA防火墙的SSL ×××配置实验拓扑图实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl** ...
【认证篇 / 本地】(7.0) ❀ 02. 无线 Guest 用户免输密码 ❀ FortiGate 防火墙
[简介]FortiGate防火墙可以管理FortiAP,并且可以创建不同的SSID,为了安全考虑,都需要通过密码验证后才能使用无线,但是有的时候公共场所想让客户不用输入密码就能直接上网,能办到吗? ...
【认证篇 / 远程】(7.0) ❀ 01. Windows Server 2022域服务器安装与配置 ❀ FortiGate 防火墙
[简介]中大型企业通常会建立域服务器用来管理帐号信息及访问权限,只有授权的员工才可以访问内部网络.同样,我们也可以利用域服务器内的用户帐号及密码,对通过FortiGate防火墙的流量进行验证,以判断是 ...
rhel5.5安装vsftpd并配置虚拟用户及开放防火墙和selinux
一,下载并安装 1, 至rpm.pbone.net或rpmfind.net搜索并下载: vsftpd-2.2.2-2.el5.i386.rpm 2, 安装 # rpm -ivh vsftpd-2.2. ...

FortiGate防火墙配置SSL用户分流