飛塔 (Fortinet) 防火牆配置－SSL VPN (OS 5.2.7)

　SSL VPN 與 IPSec VPN的區別

　　SSL VPN，與傳統的IPSec VPN技術各具特色，各有千秋。SSL VPN比較適合用於移動用戶的遠程接入（Client-Site），而IPSec VPN則在網對網（Site-Site）的VPN連接中具備先天優勢。這兩種產品將在VPN市場上長期共存，優勢互補。在產品的表現形式上，兩者有以下幾大差異：

　　1、IPsec VPN多用於“網—網”連接，SSL VPN用於“移動客戶—網”連接。SSL VPN的移動用戶使用標准的浏覽器，無需安裝客戶端程序，即可通過SSL VPN隧道接入內部網絡；而IPSec VPN的移動用戶需要安裝專門的IPSec客戶端軟件。
　　2、SSL VPN是基於應用層的VPN，而IPsec VPN是基於網絡層的VPN。IPsec VPN對所有的IP應用均透明；而SSL VPN保護基於Web的應用更有優勢，當然好的產品也支持TCP/UDP的C/S應用，例如文件共享、網絡鄰居、Ftp、Telnet、Oracle等。
　　3、SSL VPN用戶不受上網方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打開UDP500端口。
　　4、SSL VPN只需要維護中心節點的網關設備，客戶端免維護，降低了部署和支持費用。而IPSec VPN需要管理通訊的每個節點，網管專業性較強。
　　5、SSL VPN 更容易提供細粒度訪問控制，可以對用戶的權限、資源、服務、文件進行更加細致的控制，與第三方認證系統（如：radius、AD等）結合更加便捷。而IPSec VPN主要基於IP組對用戶進行訪問控制。　　

　SSL VPN 設置前的准備工作

　　Fortigate在5.2版中有了很大的變化，和以前的設置方法有很大的不同，所以特意在這篇文章的標題注明了OS的版本。

　　① 首先需要定義一組SSL VPN撥號成功後產生的IP地址范圍，飛塔默認地址對象名為SSLVPN_TUNNER_ADDR1，地址范圍是：10.212.134.200-10.212.134.210，如果對SSL VPN自動生成的IP地址不太在意的話，可以使用默認的設置。這裡我們手動建立一條地址對象，對象裡的IP地址范圍就是SSL VPN連接成功後分配的IP地址。接口必須選擇ssl.root。

　　② 因為要確認SSL VPN連接成功後允許訪問內網的哪些IP地址，這裡需要建立一條地址對象，指定內網的IP地址范圍。

　　③ 正常情況下，內網會有多個網段同時存在，為了SSL VPN可以訪問內網的多個網段，這裡再設置一條地址對象，指定內網的另一段IP地址。

　　④ 允許哪個用戶可以訪問SSL VPN，需要進行用戶驗證，這裡我們在防火牆裡新建一個用戶。

　　⑤ 為了方便的管理多個用戶，還需要建立一個組，把用戶加入到組裡面。