Fortinet安全解决方案

1、FortinetVPN 解决方案1. 概述Internet 应用中，不可避免的要通过公用网络来传输信息，其中就有可能包括机密信息。 由于In ter net是一个开放的、公用的网络，黑客很容易通过在网络设备上安装网络嗅包器（如 Sniffer、NIDS 等）中途窃取信息，造成泄密；黑客也可以伪装成内部用户登录到内网中进行 破坏活动，因此我们需要在网络上配置一整套VPN体系，对通过In ter net进行的远程访问 进行严格的认证和加密，使In ter net上的VPN成为经过加密和认证的安全链路，保证各节 点之间远程访问的安全。采用 VPN 技术的目的是为了在不安全的信道上实现安全信息传输，保

2、证内部信息在 In ter net上传输时的机密性和完整性，同时对In ter net上传输的数据进行认证。单独的 VPN 网关的主要功能是数据包的加密/解密处理和身份认证，没有很强的访问控 制功能（状态包过滤、网络内容过滤、防DoS攻击等）。在独立的防火墙和VPN部署方式 下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的 一系列问题。因此，在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方 案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访 问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁；提供更好的处理性能，

3、简化 网络管理的任务，快速适应动态、变化的网络环境。因此， VPN 技术已经成为安全网关产 品的组成部分。FortiGate便是一个集防火墙、VPN和应用层过滤网关功能于一身的综合安 全网关，可以提供各安全功能之间的完美联动、良好的兼容性和性能。FortiGate的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议，提供了前 所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows 等系统自带的PPTP/L2TP拨号软件，也可以使用IPSec客户端软件FortiClient和企业建立 VPN的连接，还可以直接使用IE浏览器，通过Web方式创建基于S

4、SL的VPN隧道。应 用 PPTP、 L2TP、 SSL 的好处是方便使用，不需要附加的软件。而用 IPSec 客户端软件的 好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网 络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。由于充分利用了专用的ASIC芯片技术，处理复杂的VPN加密和认证过程，极大加快 了 VPN通道的建立速度和数据加/解密的处理时间，达到了极高的VPN处理速度。内容处 理器以独特的设计方式，解决了防火墙设备处理高速加密数据流的瓶颈问题，并通过简单易 用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处

5、理（DES,3DES,AES,MD5， SHA1） 使企业可以充分利用 VPN 技术构建自己的 Intranet 网络，无须考虑设备处理 速度的影响，256位的AES算法更提供了业界最高级别的安全防御体系，使企业的内部数 据可以无忧地在公网上传输,以达到企业内部网络安全扩展的目的。而今,迅速发展的广域 网技术使公网的带宽成倍的增长，同时又为企业VPN网络提供了广阔的发展空间。2. IPSec VPN解决方案企业Intranet网络建设的VPN连接方案，利用IPSec安全协议的VPN和加密能力， 实现两个或多个企业之间跨越In ter net的企业内部网络连接，实现了安全的企业内部的数据 通信。

6、通过网关内部策略控制体系对VPN的数据可以进行有效的控制和管理，使企业的内 部网络通信具有良好的扩展性和管理性。如下图所示，IPSec VPN的部署都是成对进行的，既可以在设备与设备之间（例如总部 的FortiGate与分支机构、合作伙伴、SOHO办公等节点的FortiGate）建立IPSec VPN隧 道，又可以在设备与客户端软件（例如总部的FortiGate与移动办公用户PC上安装的 FortiClient VPN 客户端软件）间建立。FortiGateIRSerVPNA * * L i 1分宴机构AFortiGateFortiGate分支机构BFortiClient 二FortiGate

7、IRSerVPNA * * L i 1分宴机构AFortiGateFortiGate分支机构BFortiClient 二FortiGate合作伙伴FortiGate总部InternetIPSetiVPN 1移动办公SOHO通过在广域网的各个节点上安装部署IPSec VPN设备或软件，并进行适当设置，便可 建立全网的IPSec VPN隧道，使得总部、各分支机构、合作伙伴、SOHO及移动办公用户 之间所有跨越In ter net的数据传输均经过IPSec VPN的加密及认证保护，黑客无法在途中 窃取、篡改或破坏数据。上图中总部与分支机构A、移动办公用户之间的IPSec VPN隧道 用红色虚线表示，

8、实际上上图中任意两个节点之间均可使用 VPN 设备或软件实现 IPSec VPN 通信。FortiGate IPSec VPN有如下常见场景： LAN-LAN VPNLAN-LAN VPN是两个局域网之间的VPN,在两个局域网的In ter net出口处部署VPN 网关实现，通常有以下几种环境：两个局域网均使用静态公网IP地址接入In ter net：最简单、经典的VPN应用；其中一个或两个局域网使用动态公网IP地址接入In ter net，例如ADSL方式：可 以使用DDNS（动态域名解析）方式将动态公网IP地址与FQDN域名绑定，建立VPN隧道的双方均使用FQDN域名与对方通信； 其中一个

9、局域网使用私网IP地址接入In ter net,例如总部使用公网IP地址（静态或 动态IP地址均可），分支机构使用私网IP地址:可以使用拨号VPN方式建立隧道， 由分支机构向总部的公网IP地址或FQDN域名发起连接，总部无须事先知道分支 机构使用的IP地址。利用NAT穿越技术，FortiGate可以在NAT环境下，保证 VPN的正常通信。当前在国内IP地址紧张的情况下，很多的分支机构都是通过服务 商提供的私有网络地址连接公网的，在服务商的网络出口处统一进行地址转换。在 这种情况下，只有支持NAT穿越技术的VPN产品能够适应服务商的NAT环境。拨号VPN拨号VPN与点对点VPN不同，VPN隧道的

10、双方不是对等的角色，而是一方扮演服务 器，一方扮演客户端，通常用于大量分支节点接入一个中心节点的环境，例如集团公司的大 量分支机构及移动办公用户都通过IPSec VPN与总部连接，并进行数据交换。拨号VPN客户端既可以使用FortiGate设备（如分支机构节点），也可以使用FortiClient客户端软件（如移动办公用户）。iZB F&ntiClienL文件客户端软件（如移动办公用户）。iZB F&ntiClienL文件翹题京:i三勺三?f二B远程诂问%FEjRTmET：FortiClient此计頁机FortiCILent保护彳 FortiClient具有PC和手机版本，支持Windows 2

11、000以上PC操作系统及Android、iOS 等系统的智能终端，移动办公用户可以使用多种接入终端设备（PC、智能手机、Pad等）接 入VPN网络，扩展了 VPN网络的覆盖度。使用客户端方式实现拨号VPN方式时，在核心VPN网关上可以通过配置向导功能,简单的选择选项、填写参数，并点击下一步，即可完成复杂的IPSec VPN配置。卜网卜网曙户端迭项：FortiGate 支持多种身份认证方法，包括预共享密钥和数字证书认证， X.509 数字证书 认证可以与企业或机构现有的PKI体系相结合，提供更高级别的安全保护。FortiGate支持 离线或SCEP在线申请数字证书方式，FortiClient软件

12、支持PC本地存储或USB Key存储 数字证书，使用更加灵活方便。除预共享密钥及数字证书外,FortiGate还支持本地用户、Windows域、Radius、LDAP、TACACS+等方式的用户名和密码认证，在预共享密钥及数字证书的基础上进一步提高安全 性。星形 VPN(Hub-Spoke)在实际应用中，很多时候也需要进行多个节点之间的VPN互访，如下图所示，除了总 部与分支机构A、B之间的通信外，分支机构A和B之间也需要进行数据交换。FortiGate 可以通过星形VPN或全网状VPN来实现这一需求。FortiGateFortiClientFortiGateFortiClientFortiG

13、ate使用Hub-Spoke方式实现星形VPN。在此结构下，各分支机构、合作伙伴、 SOHO及移动用户都与总部建立VPN隧道，而分支节点 之间的互访都是通过总部节点 进行的，例如上图中分支机构A和B之间的数据通信都绕经总部的FortiGate设备进行。对 于快速扩张的企业或机构，星形 VPN 具有好的扩展性，新的 VPN 分支节点只需跟中心节 点之间建立一条VPN通道，便可很容易的加入到Hub-Spoke星形结构中，实现与现有VPN 网络中所有节点的通信；且只需要中心节点(总部)具有一个公网 IP 地址，其余节点均可以 使用私网IP地址。星形VPN的缺点是中心节点的故障将导致所有分支节点也无法

14、互访。全网状 VPN(Full Mesh)通过全网状VPN部署方式，可以克服星形VPN中心节点故障而导致所有分支节点无 法互访的缺点。如下图所示：FortiGateFortiGatcFortiGate总部/ IPSecVPN FortiGateFortiClientFortiGate合柞秋伴criiun在全网状VPN结构下，每两个节点之间都建立直连的IPSec VPN隧道，无需第三方介 入即可直接通信。全网状VPN的优点是任意一点的故障都不会影响其它节点的互访，但它 也有明显的缺点，一是配置工作量大，且扩展比较复杂，每一个新加入VPN网络的节点都 需要与其它节点 建立VPN隧道；二是对网络环境

15、要求更高，例如如果分支机构A和B 都使用私网IP地址，便无法直接建立 VPN。星形VPN和全网状VPN都可以使用 FortiManager的VPN管理功能快速配置，从而减少VPN管理员的配置难度和工作量。criiun基于策略与路由模式 VPN除了传统的基于策略的IPSec VPN夕卜，FortiGate还支持基于路由的VPN，在IPSecIP很虚拟接总邹Fort(Gate物理接口数培通佶FortiGate隧道协商IP很虚拟接总邹Fort(Gate物理接口数培通佶FortiGate隧道协商如上图所示，物理接口之间进行 VPN 隧道协商，虚拟接口之间进行数据通信。在FortiGate 上, IPS

16、ec VPN虚拟接口与物理接口一样可以进行路由、安全策略等设置。使用基于路由的VPN,可以很容易的实现更多高级功能:在VPN隧道中实现OSPF、BGP等动态路由或组播路由；通过静态路由、动态路由、策略路由、等值路由等实现VPN链路的冗余或负载分 担；远程拨号VPN用户可以使用VPN链路访问In ter net, 来可以提高访问的安全性, 二来便于企业或机构对移动办公用户的上网行为进行过滤和监控； 透明模式下的 VPN通常IPSec VPN都是在路由/NAT模式下实施的，但有时根据网络结构，VPN网关需要配置为透明模式，如下图所示，内网PC的网关指向路由器, FortiGate工作于透明模式。F

17、ortiGate卿摸式1921681119Z168A.0/24在这种情况下，FortiGate仍然能够根据管理员设置的VPN策略，截获来自于内网PC 向远端局域网的访问请求，然后使用IPSec VPN进行加密封装后发往对端的FortiGate设 备；当对端FortiGate设备返回数据时，FortiGate也能进行解密操作并转发回内网的PC。相同IP地址段间的VPN通常情况下，VPN网络两端的局域网应当使用不同的IP地址段，以免发生IP地址冲 突，但由于机构的合并，或某些比较老的网络在规划时并未考虑到将来可能的VPN互联， 而在不同分支节点使用了同一段 IP 地址，如下图所示，分支机构 A 和

18、 B 都使用了 /24 这一段 IP 地址。192.16S.1.0/241Q71 0/M.InternetFortiGate192.16S.1.0/241Q71 0/M.InternetFortiGateFortiGate利用FortiGate的IPSec VPN双向NAT功能，可以支持这种相同IP地址段间的IPSec VPN通信需求。通过将两端的IP地址段进行NAT转换后再进入IPSec隧道，例如转换为 192.168 20和,便可顺利将这两个/24网络通过IPSec VPN连通。VPN 隧道中的安全过滤单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，没有很强的 访问

19、控制功能（防火墙过滤、防病毒、入侵防御等）。而由于 VPN 的加密特性，使得非法访 问、蠕虫、病毒、入侵等在 VPN 隧道中也是加密传输的，在独立的安全网关和 VPN 部署 方式下，安全网关无法对VPN隧道中的加密信息进行任何安全过滤，病毒、攻击等可以很 容易的通过VPN在广域网各节点之间传播扩散，由此带来安全性、性能、管理上的一系列 问题。因此，将 VPN 和其它安全功能集成，提供一个灵活、高效、完整的安全方案，是当前 安全技术的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略 的检查，保护VPN网络免受病毒、入侵等的威胁；提供更好的处理性能，简化网络管理的 任务，快速

20、适应动态、变化的网络环境。因此， VPN 技术已经成为安全网关产品的组成部 分。FortiGate便是一个集VPN、防火墙和多项应用层安全功能于一身的综合安全网关，可 以提供各安全功能之间的完美联动、良好的兼容性和性能。Jni&rnetFortiGate UW过滤Jni&rnetFortiGate UW过滤FortiGateUTM过滤如上图所示，在FortiGate的VPN策略中应用防火墙、防病毒、IPS、内容过滤、反垃圾邮件、IM/P2P过滤等安全功能，可以在各种安全威胁进入VPN加密隧道前或离开加密 隧道后进行过滤，从而阻止病毒、蠕虫、木马、入侵、不良内容等在VPN网络各节点之间的传播。3

21、. SSL VPN解决方案IPSec VPN的优势在于LAN-LAN连接，在Client-LAN环境下，使用IPSec VPN需要 在客户端安装复杂的软件，而SSL VPN被称之“无客户端”，可以通过Web浏览器实现无客 户端的远程访问。通过SSL VPN，可以在任何地点，利用任何设备，连接到相应的网络资 源上。虽然早期的SSL VPN只支持B/S模式(Web)应用，具有一定的局限性，但是最新的SSLVPN产品(如FortiGate)支持通道模式。SSL通道模式与IPSec类似，支持各种B/S及C/S 应用，且SSL VPN使用知名端口 TCP 443通信，因此连通性和兼容性都很好。如下图所示

22、，在中心节点(如总部)部署FortiGate设备，并设置SSL VPN功能，各地的移动办公用户便可与中心节点建立SSL VPN连接。IE总邹(internetSSL VPNFirefoxFortiClientSSL VPNNetPCs pEFortiGate移动办公用户便可与中心节点建立SSL VPN连接。IE总邹(internetSSL VPNFirefoxFortiClientSSL VPNNetPCs pEFortiGateQ Flrtfbat 3SSL VPN SSL VPN接入模式FortiGate SSL VPN 用户端接入支持两种模式，分别为代理模式和隧道模式代理模式代理模式可以

23、为用户提供快速高效的安全加密接入，用户端只需要通过浏览器即可实现 是真正的无客户端接入方式。通过一个网页入口，用户认证成功后，可以访问 HTTP/HTTPS、 Telnet、FTP、SMB/CIFS、VNC、RDP、SSL、Ping、Citrix 协议。隧道模式通过隧道模式，用户可以自由的访问内网的任意资料，包括各种 C/S 服务应用、除代理支持的协议外的其它协议等。用户在第一次开启隧道时，需要安装一个客户端软件（ActiveX控件），此软件不需要配置，只需安装一次即可。用户拨入后，会分配一个虚拟IP 地址，通过这个地址对内网资料进行访问。隧道模式支持隧道分割方式，只允许访问内网的 数据进入隧

24、道，去往In ter net的数据同时可以实现正常访问。FortiGate SSL插件支持客户端拨号软件,通过拨号软件，用户可以方便的通过用户名、密码或证书访问内部资源，不需要再通过网页入口开启隧道模式。C Drmec t i onStatu弓：Discoiuiectd. Bytes Sent:0Duration： 00：00：00 Bytes Received：0Smttings. .CoriTLect DiEcoiLnect | Exit SSL VPN防火墙安全FortiGate SSL VPN 的访问控制是基于防火墙功能实现。通过防火墙功能， FortiGate 设备可以控制允许哪些S

25、SL VPN用户IP拨入;拨入用户可以访问哪些服务器的哪些端口， 非常方便的实现SSL VPN访问控制功能。删子类型 流X整口 耐址 侖出腳 目的删3-1VEEl.Bot删子类型 流X整口 耐址 侖出腳 目的删3-1VEEl.Bot(5Elvpn tunnal intarfaca)0 allinternal(3 IdcbI1 awaysZ /UZCEPT用户身份认证FortiGate SSL VPN 支持以下认证方式：用户名/密码认证进入网页入口需要进行用户名/密码认证。认证的方式支持支持传统的 Radius、LDAP 、 Active Directory、SecurlD等认证方式，同时提供L

26、ocal（本地数据库）认证方式。证书认证为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外， 必须建立一种信任及信任验证机制，即参加应用的各方必须有一个可以被验证的标识，这就 是数字证书。 FortiGate 证书管理支持以下项目：/ 支持X.509标准协议。/ 支持客户端证书认证。/ 支持 Certificate Revocation List （证书撤销列表）丁 支持 in termediate CA Certificate双因素认证对安全级别需求高的网络需要“双因素”认证，即使用用户 lD 与密码之外的信息进行认 证。Fortinet公司的FortiToken是F

27、ortiGate专用的双因子认证令牌，符合誓约联盟基于时 间的硬件一次性密码令牌，通过FortiGuard实现在线交付使用，提供每分钟更新的动态密 钥。虚拟桌面FortiGate的SSL VPN客户端还支持“虚拟桌面”模式。在虚拟桌面模式下，利用流行 的“沙盒(Sandbox)”技术，为SSL VPN用户在PC上开辟一块虚拟空间，所有的SSL VPN 访问都在这个“沙盒”中进行。当用户退出SSL VPN虚拟桌面时，所有SSL VPN访问产生的 “痕迹”都会被删除，包括下载的文件、浏览器缓存、历史记录等。如果SSL VPN会话非正 常结束，文件可能被保留，但这些文件都是加密的，不能阅读或修改。当用户开启虚拟桌面 功能后，虚拟桌面会替换用户普通桌面。同时，用户可以控制哪些应用可以在虚拟桌面上运 行。虚拟桌面模式能够更好的满足用户的安全要求，防止信息泄漏，即使SSL VPN用户使 用公用计算机(例如使用他人或网吧的PC)来访问单位内部网络，都没有泄密的风险。 客户端主机检查当客户端通过SSL VPN拨入到FortiGate设备,并通过FortiG