• 沒有找到結果。

FG400 SSL VPN Web‐only Mode 設定說明 

N/A
N/A
Info
下載
Protected

Academic year: 2022

Share "FG400 SSL VPN Web‐only Mode 設定說明 "

Copied!
15
0
0

加載中.... (立即查看全文)

立即下載 ( 15 頁 )

全文

(1)

FG400 SSL VPN Web‐only Mode 設定說明 

臺中市學術網路管理委員會榮譽委員  沈俊達  壹、功能與優缺點 

將學務系統利用防火牆阻擋校外連線要求(port80),只允許校內存取,以增加資安。教師在校外 時,需使用 SSLVPN 連入,利用 proxy 功能存取學務系統或校內網路磁碟機等內部資源。 

優點:僅需瀏覽器及 Java runtime 環境,一般老師容易上手操作。 

缺點:無法透過 proxy 支援連線 Internet(未來電子公文線上簽核鎖校內連線)。 

貳、本次示範網路架構,感謝光隆國小謝國霖老師提供機器(port3 不一定要有) 

參、建立防火牆位址物件   

操作步驟:防火牆位址新增位址 

一、FG‐400 public ip 位址:以本市目前網路架構就是 port1 的位址   例如:FG400(163.17.221.254) 。 

 

(2)

二、學校整個 ipv4 網段位址: 

例如:klps_ipv4(163.17.221.0/255.255.255.0) 

三、sslvpn_tunnel_address:Web‐only Mode 用不到,但是將來 Tunnel Mode 要用,所以先設定以  無妨,請找一段不常使用的 Private IP 位址。 

肆、 建立防火牆服務物件 

操作步驟:防火牆服務用戶自訂新增 

名稱:自由設定    目的埠:10443 

伍、設定 SSL VPN   

操作步驟:VPNSSLSSL 設定 

登入埠號:預設為 10443,建議依照預設值(方便未來 tunnel mode 配合 FortiClient SSLVPN)  DNS 主機和 WINS 主機請設定學校的 DNS Server 和 WINS Server(無 WINS Server 則免) 

(3)

陸、設計書籤及組合書籤群組   

書籤群組是指當隸屬於某個群組的使用者通過帳號密碼驗證後,接下來所看到的頁面中呈現出來 的預設連線捷徑 

一、新增書籤操作步驟:VPNSSL書籤新增 

  1. 示範:建立連線到學務系統的書籤 

2. 示範:建立連線到共用資料夾(網芳、Samba)   

//server/sharefolder/ (server 為提供服務主機的電腦名稱,用 ip 也可以) 

(4)

二、組合書籤群組操作步驟:VPNSSL書籤群組新增 

   

名稱:自行設定 

將前一步驟所新增的書籤右移到使用中的書籤  最後按下允許。 

柒、新增使用者帳號(先示範最簡單的本機帳號,以後再介紹 RADIUS 認證)    操作步驟:使用者認證本機認證新增 

 

(5)

密碼建議至少 6 個字元 

     

捌、新增使用者群組 

操作步驟:使用者認證使用者群組新增 

1.名稱:自訂一個適當的群組名稱   

2.群組類型:SSL VPN 

3.將上一步驟新建的使用者帳號(sslvpn_user1)加入這個群組的成員。 

4.展開 SSL‐VPN User‐SSL 

 

(6)

起始網頁應用程式:請勾選您書籤中有用到的服務。 

SSL 標籤:請選擇您要讓這個群組使用的書籤群組。 

最後按下允許。 

玖、建立防火牆規則(總共 3 條規則)   

這部分是 Fortigate SSL VPN 設定的最重要觀念,無論是官方文件或是網路上的範例,port2 接 Internet 的位址一定都是 Public IP,port1 接 Internal 的位址一定是 Private IP。但是偏偏學術網路 剛好相反,port2 接 Internet 的位址居然是 Private IP,port1 接 Internal 的位址反而是 Public IP。

所以很多人看了許多文件還是觀念模糊,似懂非懂。因此接下來除了實作外,請務必徹底瞭解每 一個規則的原理。 

操作步驟:防火牆防火牆策略新增 

一、允許 port2(校外)的 all 對 port1(校內真實 IP 網段)的學校整個 ipv4 網段位址,放行 ssl‐vpn 行  為。請注意:圖中 1 號目的位址名稱若設為 all 或 FG400 雖然也都可以達到目的,但是若是 設為 all,將來在 Tunnel Mode 時若採用允許通道分割模式,會出現錯誤(因為無法判斷目的 網段,就無法調整 client 端路由設定)。若設為 FG400,則稍後書籤會無法連線(因為只能對 163.17.xxx.254 做 ssl vpn 動作) 

(7)

最後按下「允許」鈕,就完成 SSL‐VPN 行為的放行   

 

二、無論是官方文件或是網路上的範例,都指出只要完成這條規則,就可以用 

https://wan2_IP:10443 連線準備登入,可惜的是前面已經說明學校的 port2 是 Private  IP(10.200.xxx.xxx),也就是說只能在市網管轄範圍內 A 校對 B 校進行

https://10.200.16.126:10443(如下面圖片) 

因為您在家中(市網以外),絕對無法連線 10.200.xxx.xxx 這種 Private IP 的。 

 

(8)

三、為了要能 https://163.17.xxx.254:10443 來出現 SSL‐VPN 登入畫面,必須再增加 2 條規則,這 是因應學術網路目前架構必須的作法。 

四、允許 port2(校外)的 all 對 port1(校內真實 IP 網段)的 FG400(163.17.xxx.254)  放行:port443 和 port10443 

原理:因為我要對 port1 的位址 163.17.xxx.254 進行 https://163.17.xxx.254:10443 連線  當然要放行 port443 和 port10443 

 

(9)

圖中的多個服務只就是:port443 和 port10443 

五、允許 port1(校內)的 FG400 對 ssl‐root 介面的 sslvpn_tunnel_address,放行 ssl‐vpn 行為。  

請注意:圖中 1 號目的位址名稱若設為 all 雖然也可以達到目的,但是若是設為 all,將來在 Tunnel Mode 時若採用允許通道分割模式,會出現錯誤(因為無法判斷目的網段,就無法調整 client 端路由設定)。 

其實圖中的「目的介面/域名」設為 port1~port4 任何一個介面,都可以。 

原理:這條規則才是真正的 SSL‐VPN,因為前面步驟四對 port1 的 163.17.xxx.254 放行 port443 及 port10443,我們僅能從 port2 以 https://163.17.xxx.254:10443 連線到 port1,因此才需要 從 port1 的 163.17.xxx.254 對任何一介面再做一次 SSL‐VPN 行為。 

 

(10)

壹拾、 連線示範 

一、https://163.17.xxx.254:10443,IE6 請點選「是」 

IE8 請點選「繼續瀏覽此網站」   

二、輸入帳號密碼   

 

(11)

三、登入成功 

四、連線學務系統:   

請點選「學務系統」書籤,會開出新的視窗以 

https://163.17.221.254:10443/proxy/http/sfs.klps.tc.edu.tw/sfs3/  方式連線學務系統 

如此一來,貴校便可將學務系統拒絕從校外直接存取,規定老師一定要從 ssl‐vpn 連入後,

透過 proxy 來連線。 

如果您無法連線,請檢查步驟「玖之一」:一定要設為貴校整個 ipv4 網段。 

五、存取網芳資源(共用資料夾或 Samba)   

請點選「個人家目錄」書籤,會開出新的視窗,請輸入登入這台主機的帳密 

(12)

由於我沒有光隆國小校內帳號,所以無法展示登入後之畫面。 

壹拾壹、 探討 

一、請問當使用者通過帳號密碼驗證,進入 SSLVPN 入口頁面時,他的電腦 IP 位址變更了嗎? 

答:沒變,還是原來所在位置 ISP 提供的位址,可從 SSL‐VPN 監視頁面證明。 

二、這時防火牆認定他的位址是在 port1,port2 或是 ssl.root 介面?   

答:當然是 port2。 

三、那這時我連線學校內部網頁,會判斷我是校內還是校外連線? 

答:這個分兩個層次來解釋,第一由於是透過 https://163.17.xxx.254:10443/proxy/http/學務 系統網址/,所以 web server 會認為是 163.17.xxx.254 這個 proxy 要求連線,所以 web server 會判定是校內。例如下圖可以發現來源位址是 163.17.221.254。 

第二部分則是網頁程式的判讀,學務系統的開發人員太厲害了,即使你透過 proxy 連線,他  還是可以正確取得您背後原始的 IP 位址,所以還是認定您是在校外,因此校內文件還是無 法觀看(除非登入)。下圖可證明: 

(13)

四、如果學務系統在 port3 的 Private IP,這時要如何連線?   

答:新增一條防火牆規則 

允許 port2(校外)的 all 對 port3 的整個 Private IP 網段位址,放行 ssl‐vpn 行為。 

(圖中的 192.168.8 是防火牆位址物件,指的是 192.168.8.0/255.255.255.0) 

如此就可以用書牽連到 Private IP 的伺服器。   

五、可以新增一個書籤連到 Internet 嗎? 

答:理論上可行,但因學術網路目前 port2 是 Private IP,所以無解。 

新增一條防火牆規則 

允許 port2(校外)的 all 對 port2 的 all,放行 ssl‐vpn 行為。(很神奇的規則吧!你可能想都沒想 過還可以 port2 對 port2 放行),為何是 port2,不要忘記第二題的答案。 

(14)

示範:可以到市網管轄內的各校喔! 

但是到不了市網以外   

請看下圖,您知道原因了吧!(不要被誤導,和 ipv6 沒關係) 

所以不要想用 Web‐only Mode 來解決電子公文線上簽核將來要求僅限校內 IP 連線的規範,

那個一定要用 Tunnel Mode 來解決! 

(15)

   

結語:Web‐only Mode 雖然使用方便但功能有限,且透過 Proxy 方式,常常有些網頁圖片無法正常 顯示,因此建議還是採用 Tunnel Mode 方式較佳。 

2013‐1‐12 

參考文獻

立即下載 ( PDF - 15 頁 - 2.64 MB )

相關文件

德國胡海燕博士法顯研究中譯之三:

17 這 個 說 明 見 Hu-von Hinüber, H., ―Chinesische buddhistische Indienpilger als Grenzgänger: Ansätze zu einer neu-en Deutung von Faxians Reisebericht‖,

™ 根據文獻記載 WWW 最早是由歐洲量子物理實 驗室CERN(the European Laboratory for Particle Physics)所研發。

ƒ Persistent Connections (HTTP 1.1):HTTP 1.1改進 了HTTP 1.0 的缺點,藉由PersistentConnections減 少TCP connections,以增加WEB Server

20 (3) 解此一元一次方程式可得

明龍計算一題兩個數相加的數學題目,不小心算成了相減,所得到的答

Greedy Algori thms

結 果發現這個新解跟 greedy choice 一樣好 ( 也是一個 最佳解 ) 或者發現這個新解更好 ( 矛盾 , 所以最佳 解裡面不可能沒有 greedy choice)... 證明

Greedy Algorithms

結 果發現這個新解跟greedy choice一樣好 (也是一個 最佳解) 或者發現這個新解更好 (矛盾, 所以最佳解 裡面不可能沒有greedy

domain name/IP 是一

每個 zone 交由一部 name server負責的作 法會有一個問題,萬一這個 name server 當 掉,可能造成 Internet上其它機器無法取得屬 於這個 zone 的資料(就是 domain name

中 華 大 學 碩 士 論 文

Registry Server 是建構於第三方具有公信力的一個組織,而 Registry Server 在 Web Service 的架構中,主要的功能類似於提供服務查詢(Yellow

中 華 大 學

「Web Service 是一種介面,能夠使應用軟體相互溝通的一個平台,它以和程式語言無 關的方式描述一組可經由標準 XML 訊息存取的網路操作;Web Service