Fortinet安全解决方案

FortinetVPN解决方案1.概述Internet应用中，不可避免的要通过公用网络来传输信息，其中就有可能包括机密信息。由于Internet是一个开放的、公用的网络，黑客很容易通过在网络设备上安装网络嗅包器（如Sniffer、NIDS等）中途窃取信息，造成泄密；黑客也可以伪装成内部用户登录到内网中进行破坏活动，因此我们需要在网络上配置一整套VPN体系，对通过Internet进行的远程访问进行严格的认证和加密，使Internet上的VPN成为经过加密和认证的安全链路，保证各节点之间远程访问的安全。采用VPN技术的目的是为了在不安全的信道上实现安全信息传输，保证内部信息在Internet上传输时的机密性和完整性，同时对Internet上传输的数据进行认证。单独的VPN网关的主要功能是数据包的加密/解密处理和身份认证，没有很强的访问控制功能（状态包过滤、网络内容过滤、防DoS攻击等）。在独立的防火墙和VPN部署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，VPN技术已经成为安全网关产品的组成部分。FortiGate便是一个集防火墙、VPN和应用层过滤网关功能于一身的综合安全网关，可以提供各安全功能之间的完美联动、良好的兼容性和性能。FortiGate的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议，提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows等系统自带的PPTP/L2TP拨号软件，也可以使用IPSec客户端软件FortiClient和企业建立VPN的连接，还可以直接使用IE浏览器，通过Web方式创建基于SSL的VPN隧道。应用PPTP、L2TP、SSL的好处是方便使用，不需要附加的软件。而用IPSec客户端软件的好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。由于充分利用了专用的ASIC芯片技术，处理复杂的VPN加密和认证过程，极大加快了VPN通道的建立速度和数据加/解密的处理时间，达到了极高的VPN处理速度。内容处理器以独特的设计方式，解决了防火墙设备处理高速加密数据流的瓶颈问题，并通过简单易用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处理（DES，3DES，AES，MD5,SHA1）使企业可以充分利用VPN技术构建自己的Intranet网络，无须考虑设备处理速度的影响，256位的AES算法更提供了业界最高级别的安全防御体系，使企业的内部数据可以无忧地在公网上传输，以达到企业内部网络安全扩展的目的。而今，迅速发展的广域网技术使公网的带宽成倍的增长，同时又为企业VPN网络提供了广阔的发展空间。2.IPSecVPN解决方案企业Intranet网络建设的VPN连接方案，利用IPSec安全协议的VPN和加密能力，实现两个或多个企业之间跨越Internet的企业内部网络连接，实现了安全的企业内部的数据通信。通过网关内部策略控制体系对VPN的数据可以进行有效的控制和管理，使企业的内部网络通信具有良好的扩展性和管理性。如下图所示，IPSecVPN的部署都是成对进行的，既可以在设备与设备之间（例如总部的FortiGate与分支机构、合作伙伴、SOHO办公等节点的FortiGate）建立IPSecVPN隧道，又可以在设备与客户端软件（例如总部的FortiGate与移动办公用户PC上安装的FortiClientVPN客户端软件）间建立。通过在广域网的各个节点上安装部署IPSecVPN设备或软件，并进行适当设置，便可建立全网的IPSecVPN隧道，使得总部、各分支机构、合作伙伴、SOHO及移动办公用户之间所有跨越Internet的数据传输均经过IPSecVPN的加密及认证保护，黑客无法在途中窃取、篡改或破坏数据。上图中总部与分支机构A、移动办公用户之间的IPSecVPN隧道用红色虚线表示，实际上上图中任意两个节点之间均可使用VPN设备或软件实现IPSecVPN通信。FortiGateIPSecVPN有如下常见场景：•LAN-LANVPNLAN-LANVPN是两个局域网之间的VPN，在两个局域网的Internet出口处部署VPN网关实现，通常有以下几种环境：两个局域网均使用静态公网IP地址接入Internet:最简单、经典的VPN应用；其中一个或两个局域网使用动态公网IP地址接入Internet，例如ADSL方式：可以使用DDNS（动态域名解析）方式将动态公网IP地址与FQDN域名绑定，建立VPN隧道的双方均使用FQDN域名与对方通信；>其中一个局域网使用私网IP地址接入Internet,例如总部使用公网IP地址（静态或动态IP地址均可），分支机构使用私网IP地址:可以使用拨号VPN方式建立隧道，由分支机构向总部的公网IP地址或FQDN域名发起连接，总部无须事先知道分支机构使用的IP地址。利用NAT穿越技术，FortiGate可以在NAT环境下，保证VPN的正常通信。当前在国内IP地址紧张的情况下，很多的分支机构都是通过服务商提供的私有网络地址连接公网的，在服务商的网络出口处统一进行地址转换。在这种情况下，只有支持NAT穿越技术的VPN产品能够适应服务商的NAT环境。•拨号VPN拨号VPN与点对点VPN不同，VPN隧道的双方不是对等的角色，而是一方扮演服务器，一方扮演客户端，通常用于大量分支节点接入一个中心节点的环境，例如集团公司的大量分支机构及移动办公用户都通过IPSecVPN与总部连接，并进行数据交换。拨号VPN客户端既可以使用FortiGate设备（如分支机构节点），也可以使用FortiClient客户端软件（如移动办公用户）。史IFcrftiClienL必牛的SetupEndpointControl由th史IFcrftiClienL必牛的SetupEndpointControl由thyojrFoirtiGat&11^1|1?一・-LVFTJtest站女归暗三开宣远程访问:浸亶5=^理第.FortiClient（此计管机受Fmoenf保护FortiClient具有PC和手机版本，支持Windows2000以上PC操作系统及Android、iOS等系统的智能终端，移动办公用户可以使用多种接入终端设备（PC、智能手机、Pad等）接入VPN网络，扩展了VPN网络的覆盖度。使用客户端方式实现拨号VPN方式时，在核心VPN网关上可以通过配置向导功能，简单的选择选项、填写参数，并点击下一步，即可完成复杂的IPSecVPN配置。FortiGate支持多种身份认证方法，包括预共享密钥和数字证书认证，X.509数字证书认证可以与企业或机构现有的PKI体系相结合，提供更高级别的安全保护。FortiGate支持离线或SCEP在线申请数字证书方式，FortiClient软件支持PC本地存储或USBKey存储数字证书，使用更加灵活方便。除预共享密钥及数字证书外，FortiGate还支持本地用户＞Windows域、Radius、LDAP、TACACS+等方式的用户名和密码认证，在预共享密钥及数字证书的基础上进一步提高安全性。星形VPN(Hub-Spoke)在实际应用中，很多时候也需要进行多个节点之间的VPN互访，如下图所示，除了总部与分支机构A、B之间的通信外，分支机构A和B之间也需要进行数据交换。FortiGate可以通过星形VPN或全网状VPN来实现这一需求。

FortiGate使用Hub-Spoke方式实现星形VPN。在此结构下，各分支机构、合作伙伴、SOHO及移动用户都与总部建立VPN隧道，而分支节点之间的互访都是通过总部节点进行的，例如上图中分支机构A和B之间的数据通信都绕经总部的FortiGate设备进行。对于快速扩张的企业或机构，星形VPN具有好的扩展性，新的VPN分支节点只需跟中心节点之间建立一条VPN通道，便可很容易的加入到Hub-Spoke星形结构中，实现与现有VPN网络中所有节点的通信；且只需要中心节点（总部）具有一个公网IP地址，其余节点均可以使用私网IP地址。星形VPN的缺点是中心节点的故障将导致所有分支节点也无法互访。全网状VPN(FullMesh)通过全网状VPN部署方式，可以克服星形VPN中心节点故障而导致所有分支节点无法互访的缺点。如下图所示：

在全网状VPN结构下，每两个节点之间都建立直连的IPSecVPN隧道，无需第三方介入即可直接通信。全网状VPN的优点是任意一点的故障都不会影响其它节点的互访，但它也有明显的缺点，一是配置工作量大，且扩展比较复杂，每一个新加入VPN网络的节点都需要与其它节点一一建立VPN隧道；二是对网络环境要求更高，例如如果分支机构A和B都使用私网IP地址，便无法直接建立VPN。星形VPN和全网状VPN都可以使用FortiManager的VPN管理功能快速配置，从而减少VPN管理员的配置难度和工作量。基于策略与路由模式VPN除了传统的基于策略的IPSecVPN夕卜，FortiGate还支持基于路由的VPN，在IPSecVPN隧道上建立虚拟接口，IPSecVPN数据传输都在虚拟接口之间进行。如上图所示，物理接口之间进行VPN隧道协商，虚拟接口之间进行数据通信。在FortiGate上,IPSecVPN虚拟接口与物理接口一样可以进行路由、安全策略等设置。使用

基于路由的VPN,可以很容易的实现更多高级功能：在VPN隧道中实现OSPF、BGP等动态路由或组播路由；通过静态路由、动态路由、策略路由、等值路由等实现VPN链路的冗余或负载分担；远程拨号VPN用户可以使用VPN链路访问Internet，一来可以提高访问的安全性，二来便于企业或机构对移动办公用户的上网行为进行过滤和监控；•透明模式下的VPN通常IPSecVPN都是在路由/NAT模式下实施的，但有时根据网络结构，VPN网关需要配置为透明模式，如下图所示，内网PC的网关指向路由器,FortiGate工作于透明模式。在这种情况下，FortiGate仍然能够根据管理员设置的VPN策略，截获来自于内网PC向远端局域网的访问请求，然后使用IPSecVPN进行加密封装后发往对端的FortiGate设备；当对端FortiGate设备返回数据时，FortiGate也能进行解密操作并转发回内网的PC。•相同IP地址段间的VPN通常情况下，VPN网络两端的局域网应当使用不同的IP地址段，以免发生IP地址冲突，但由于机构的合并，或某些比较老的网络在规划时并未考虑到将来可能的VPN互联，而在不同分支节点使用了同一段IP地址，如下图所示，分支机构A和B都使用了/24这一段IP地址。Internet192.163.1,0/24152.16S1.0/24FortiGateFortiGateInternet192.163.1,0/24152.16S1.0/24FortiGateFortiGate利用FortiGate的IPSecVPN双向NAT功能，可以支持这种相同IP地址段间的IPSecVPN通信需求。通过将两端的IP地址段进行NAT转换后再进入IPSec隧道，例如转换为和，便可顺利将这两个/24网络通过IPSecVPN连通。VPN隧道中的安全过滤单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，没有很强的访问控制功能（防火墙过滤、防病毒、入侵防御等）。而由于VPN的加密特性，使得非法访问、蠕虫、病毒、入侵等在VPN隧道中也是加密传输的，在独立的安全网关和VPN部署方式下，安全网关无法对VPN隧道中的加密信息进行任何安全过滤，病毒、攻击等可以很容易的通过VPN在广域网各节点之间传播扩散，由此带来安全性、性能、管理上的一系列问题。因此，将VPN和其它安全功能集成，提供一个灵活、高效、完整的安全方案，是当前安全技术的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网络免受病毒、入侵等的威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，VPN技术已经成为安全网关产品的组成部分。FortiGate便是一个集VPN、防火墙和多项应用层安全功能于一身的综合安全网关，可以提供各安全功能之间的完美联动、良好的兼容性和性能。InleifnetFortiGateUTM过滤InleifnetFortiGateUTM过滤FortiGateUTM过滤如上图所示，在FortiGate的VPN策略中应用防火墙、防病毒、IPS、内容过滤、反垃圾邮件、IM/P2P过滤等安全功能，可以在各种安全威胁进入VPN加密隧道前或离开加密隧道后进行过滤，从而阻止病毒、蠕虫、木马、入侵、不良内容等在VPN网络各节点之间的传播。3.SSLVPN解决方案IPSecVPN的优势在于LAN-LAN连接，在Client-LAN环境下，使用IPSecVPN需要在客户端安装复杂的软件，而SSLVPN被称之“无客户端”，可以通过Web浏览器实现无客户端的远程访问。通过SSLVPN，可以在任何地点，利用任何设备，连接到相应的网络资源上。虽然早期的SSLVPN只支持B/S模式(Web)应用，具有一定的局限性，但是最新的SSLVPN产品(如FortiGate)支持通道模式。SSL通道模式与IPSec类似，支持各种B/S及C/S应用，且SSLVPN使用知名端口TCP443通信，因此连通性和兼容性都很好。如下图所示，在中心节点(如总部)部署FortiGate设备，并设置SSLVPN功能，各地的移动办公用户便可与中心节点建立SSLVPN连接。Fii^eftuc3InternetFortiGateFirefoxFortiClientSSLVPNNetscapeSafaii移动办公用户便可与中心节点建立SSLVPN连接。Fii^eftuc3InternetFortiGateFirefoxFortiClientSSLVPNNetscapeSafaiiSSLVPN■k|rmrMf-l|I—I_•SSLVPN接入模式FortiGateSSLVPN用户端接入支持两种模式，分别为代理模式和隧道模式。＞代理模式代理模式可以为用户提供快速高效的安全加密接入，用户端只需要通过浏览器即可实现，是真正的无客户端接入方式。通过一个网页入口，用户认证成功后，可以访问HTTP/HTTPS、Telnet、、VNC、RDP、SSL、Ping、Citrix协议。>隧道模式通过隧道模式，用户可以自由的访问内网的任意资料，包括各种C/S服务应用、除代理支持的协议外的其它协议等。用户在第一次开启隧道时，需要安装一个客户端软件（ActiveX控件），此软件不需要配置，只需安装一次即可。用户拨入后，会分配一个虚拟IP地址，通过这个地址对内网资料进行访问。隧道模式支持隧道分割方式，只允许访问内网的数据进入隧道，去往Internet的数据同时可以实现正常访问。FortiGateSSL插件支持客户端拨号软件，通过拨号软件，用户可以方便的通过用户名、密码或证书访问内部资源，不需要再通过网页入口开启隧道模式。CuriTLHCtLijnStatus:DiscomectedBytesSent:0Ihiraiion：00:00:00BytesKecaivad：0Settings...CoiuiectIBiscciriiLHC".Exit•SSLVPN防火墙安全FortiGateSSLVPN的访问控制是基于防火墙功能实现。通过防火墙功能，FortiGate设备可以控制允许哪些SSLVPN用户IP拨入；拨入用户可以访问哪些服务器的哪些端口，非常方便的实现SSLVPN访问控制功能。

*笊穴性VPN口比1：设希饪夸I观」部接口目的湖时间表［泛3-11=TOC\o"1-5"\h\z夸I观」部接口目的湖时间表［泛3-11=□mil]UinternalV曰local|V邠always*IJjEmailAccessU1/ACCEPT・•用户身份认证FortiGateSSLVPN支持以下认证方式：用户名/密码认证进入网页入口需要进行用户名/密码认证。认证的方式支持支持传统的Radius、LDAP、ActiveDirectory、SecurlD等认证方式，同时提供Local（本地数据库）认证方式。证书认证为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加应用的各方必须有一个可以被验证的标识，这就是数字证书。FortiGate证书管理支持以下项目：支持X.509标准协议。支持客户端证书认证。支持CertificateRevocationList（证书撤销列表）支持intermediateCACertificate双因素认证对安全级别需求高的网络需要“双因素”认证，即使用用户ID与密码之外的信息进行认证。Fortinet公司的FortiToken是FortiGate专用的双因子认证令牌，符合誓约联盟基于时间的硬件一次性密码令牌，通过FortiGuard实现在线交付使用，提供每分钟更新的动态密钥。

•虚拟桌面FortiGate的SSLVPN客户端还支持“虚拟桌面”模式。在虚拟桌面模式下，利用流行的“沙盒(Sandbox)”技术，为SSLVPN用户在PC上开辟一块虚拟空间，所有的SSLVPN访问都在这个“沙盒”中进行。当用户退出SSLVPN虚拟桌面时，所有SSLVPN访问产生的“痕迹”都会被删除，包括下载的文件、浏览器缓存、历史记录等。如果SSLVPN会话非正常结束，文件可能被保留，但这些文件都是加密的，不能阅读或修改。当用户开启虚拟桌面功能后，虚拟桌面会替换用户普通桌面。同时，用户可以控制哪些应用可以在虚拟桌面上运行。虚拟桌面模式能够更好的满足用户的安全要求，防止信息泄漏，即使SSLVPN用户使用公用计算机(例如使用他人或网吧的PC)来访问单位内部网络，都没有泄密的风险。•客户端主机检查当客户端通过SSLVPN拨入到FortiGate设备，并通过FortiGate设备访问内网资源时，FortiGate设备可以对客户端的PC主机进行安全检测，只有符合安全策略的主机才可以通过FortiGate访问内网。检查的内容包括：杀毒软件检测及防火墙软件检测。FortiGate上已经预定义了经过Windows安