FortiOS SSL VPN 用户访问权限配置

简介

使用不同用户组或用户登录 SSL VPN 隧道模式后,可配置不同的访问权限。

本文介绍为不同用户组分配不同访问权限的配置方法。

相关组件

FortiGate:FortiOS v6.4.14 build2093 (GA)

客户端:Windows11,安装 FortiClient VPN 7.2.3.0929

用户及用户组配置

bash 复制代码
config user local
 edit "test1" //用于访问 Server1
	 set type password
	 set passwd-time 2014
	 set passwd xx
 next
 edit "test2" //用于访问 Server2
	set type password
 	set passwd-time 2014
 	set passwd xx
 next
end
config user group
 edit "ssl1" //用于访问 Server1
 set member "test1"
 next
 edit "ssl2" //用于访问 Server2
 set member "test2"
 next
end

地址对象配置

bash 复制代码
config firewall address 
 edit "server1" //定义 Server1 IP 地址
 set subnet 192.168.1.99 255.255.255.255
 next
 edit "server2" //定义 Server2 IP 地址
 set subnet 192.168.1.100 255.255.255.255
 next
 edit "ssl1addr" //ssl1 用户组内用户 ssl 隧道模式分配的 IP 地址范围
 set type iprange
 set start-ip 192.168.1.1
 set end-ip 192.168.1.100
 next
 edit "ssl2addr" //ssl2 用户组内用户 ssl 隧道模式分配的 IP 地址范围
 set type iprange
 set start-ip 192.168.100.101
 set end-ip 192.168.100.200
 next
edit "local" //用于配置隧道分割时,可访问内网网段(非必须,也
可以直接使用 ssl1addr 和 ssl2addr)
 set subnet 192.168.1.0 255.255.255.0
 next
end

SSL VPN 配置

  • 新建 Portal
    新建两个 Portal,在配置防火墙策略时,分别应用于 ssl1 和 ssl2 用户组。
    如果启用隧道分割,需要选择 routing address,即 SSL VPN 用户需要访问的
    内网网段 IP。配置 source IP pools,在关联用户组后,不同的用户组拨入 SSL VPN
    后,会分配不同的 source IP pools 里的 IP 地址。
  • SSL VPN setting
    在 setting页面中,除了要配置 SSL VPN 登录的端口号等信息外,还可配置允许连接 SSL VPN
    的主机 IP、登录用户超时时间、用户组与 Portal 关联等信息,如下图所示:

介绍如下:

Listen on Interface:在哪个接口上开启 SSL VPN,一般为外部公网接口。

Listen on Port:登录 SSL VPN 使用的端口号。默认为 443,会有警告与 HTTPS

管理登录端口冲突。

Restrict Access:可登录SSL VPN的源IP。通常选择为Allow access from any host。

Tunnel Mode Client Settings------Address Range:如果选择 Automatically assign

addresses,会有提示为"隧道用户将得到 10.212.134.200 - 10.212.134.210 范围内

的 IP",但实测证明,即使选择这项,隧道用户得到的 IP 仍是在 Portal 里配置的

Source IP Pools 内的 IP。

Authentication/Portal Mapping:此处配置用户组与 Portal 的对应关系。

防火墙策略配置

bash 复制代码
config firewall policy
 edit 2
 set srcintf "ssl.root"
 set dstintf "switch"
 set srcaddr "ssl1addr"
 set dstaddr "server1"
 set action accept
 set schedule "always"
 set service "ALL"
 set logtraffic disable
 set groups "ssl1"
 next
 edit 3
 set srcintf "ssl.root"
 set dstintf "switch"
 set srcaddr "ssl2addr"
 set dstaddr "server2"
 set action accept
 set schedule "always"
 set service "ALL"
 set groups "ssl2"
 next
end

结果验证

相关推荐
大白要努力!1 小时前
Android opencv使用Core.hconcat 进行图像拼接
android·opencv
ZZZCY20032 小时前
华为ENSP--IP编址及静态路由配置
网络·华为
EasyCVR2 小时前
私有化部署视频平台EasyCVR宇视设备视频平台如何构建视频联网平台及升级视频转码业务?
大数据·网络·音视频·h.265
天空中的野鸟2 小时前
Android音频采集
android·音视频
hgdlip2 小时前
主IP地址与从IP地址:深入解析与应用探讨
网络·网络协议·tcp/ip
珹洺3 小时前
C语言数据结构——详细讲解 双链表
c语言·开发语言·网络·数据结构·c++·算法·leetcode
科技象限3 小时前
电脑禁用U盘的四种简单方法(电脑怎么阻止u盘使用)
大数据·网络·电脑
东方隐侠安全团队-千里3 小时前
网安瞭望台第3期:俄黑客 TAG - 110组织与密码攻击手段分享
网络·chrome·web安全·网络安全
小白也想学C3 小时前
Android 功耗分析(底层篇)
android·功耗
云计算DevOps-韩老师3 小时前
【网络云计算】2024第47周-每日【2024/11/21】周考-实操题-RAID6实操解析2
网络·云计算