FortiOS SSL VPN 用户访问权限配置

ops/2024/10/20 18:55:21/

简介

使用不同用户组或用户登录 SSL VPN 隧道模式后,可配置不同的访问权限。
本文介绍为不同用户组分配不同访问权限的配置方法。
相关组件
FortiGate:FortiOS v6.4.14 build2093 (GA)
客户端:Windows11,安装 FortiClient VPN 7.2.3.0929
在这里插入图片描述
用户及用户组配置

config user localedit "test1" //用于访问 Server1set type passwordset passwd-time 2014set passwd xxnextedit "test2" //用于访问 Server2set type passwordset passwd-time 2014set passwd xxnext
end
config user groupedit "ssl1" //用于访问 Server1set member "test1"nextedit "ssl2" //用于访问 Server2set member "test2"next
end

地址对象配置

config firewall address edit "server1" //定义 Server1 IP 地址set subnet 192.168.1.99 255.255.255.255nextedit "server2" //定义 Server2 IP 地址set subnet 192.168.1.100 255.255.255.255nextedit "ssl1addr" //ssl1 用户组内用户 ssl 隧道模式分配的 IP 地址范围set type iprangeset start-ip 192.168.1.1set end-ip 192.168.1.100nextedit "ssl2addr" //ssl2 用户组内用户 ssl 隧道模式分配的 IP 地址范围set type iprangeset start-ip 192.168.100.101set end-ip 192.168.100.200next
edit "local" //用于配置隧道分割时,可访问内网网段(非必须,也
可以直接使用 ssl1addr 和 ssl2addr)set subnet 192.168.1.0 255.255.255.0next
end

SSL VPN 配置

  • 新建 Portal
    新建两个 Portal,在配置防火墙策略时,分别应用于 ssl1 和 ssl2 用户组。在这里插入图片描述
    如果启用隧道分割,需要选择 routing address,即 SSL VPN 用户需要访问的
    内网网段 IP。配置 source IP pools,在关联用户组后,不同的用户组拨入 SSL VPN
    后,会分配不同的 source IP pools 里的 IP 地址。
  • SSL VPN setting
    在 setting页面中,除了要配置 SSL VPN 登录的端口号等信息外,还可配置允许连接 SSL VPN
    的主机 IP、登录用户超时时间、用户组与 Portal 关联等信息,如下图所示:
    在这里插入图片描述

介绍如下:
Listen on Interface:在哪个接口上开启 SSL VPN,一般为外部公网接口。
Listen on Port:登录 SSL VPN 使用的端口号。默认为 443,会有警告与 HTTPS
管理登录端口冲突。
Restrict Access:可登录SSL VPN的源IP。通常选择为Allow access from any host。
Tunnel Mode Client Settings——Address Range:如果选择 Automatically assign
addresses,会有提示为“隧道用户将得到 10.212.134.200 - 10.212.134.210 范围内
的 IP”,但实测证明,即使选择这项,隧道用户得到的 IP 仍是在 Portal 里配置的
Source IP Pools 内的 IP。
Authentication/Portal Mapping:此处配置用户组与 Portal 的对应关系。

防火墙策略配置

config firewall policyedit 2set srcintf "ssl.root"set dstintf "switch"set srcaddr "ssl1addr"set dstaddr "server1"set action acceptset schedule "always"set service "ALL"set logtraffic disableset groups "ssl1"nextedit 3set srcintf "ssl.root"set dstintf "switch"set srcaddr "ssl2addr"set dstaddr "server2"set action acceptset schedule "always"set service "ALL"set groups "ssl2"next
end

结果验证
在这里插入图片描述
在这里插入图片描述


http://www.ppmy.cn/ops/118385.html

相关文章

安全运维类面试题

安全运维类面试题

1、你熟悉哪些品牌的安全设备 答:天融信的ngfw防火墙,老牌防火墙厂商,功能比较齐全,像流量检测,web应用防护和僵木蠕等模块都有,界面是红白配色,设计稍微有点老 2、IPS用的是哪个牌子的 答&…
阅读更多...
YOLOv8最新改进2023 CVPR 结合BiFormer

YOLOv8最新改进2023 CVPR 结合BiFormer

1,原理部分 作为视觉转换器的核心构建块,衰减是捕获长距离依赖性的强大工具。然而,这种能力是有代价的:它会产生巨大的计算负担和沉重的内存占用,因为所有空间位置的成对标记交互都是计算的。一系列作品试图通过将手工制作和与内容无关的稀疏性引入 attention 来缓解这个问…
阅读更多...
uniapp监听滚动实现顶部透明度变化

uniapp监听滚动实现顶部透明度变化

效果如图: 实现思路: 1、使用onPageScroll监听页面滚动,改变导航条的透明度; 2、关于顶部图片的高度: 如果是小程序:使用getMenuButtonBoundingClientRect获取胶囊顶部距离和胶囊高度; 如果…
阅读更多...
C++版本更新历史

C++版本更新历史

前言 C语言发展至今已经迭代了很多版本,而在不同环境中编写代码时经常看到C标准的设定,比如 Leetcode 中可以看到版本信息: 这说明Leetcode已经支持最新C23标准了,但某些环境并不一定支持这些语法,如果不清楚使用的语法…
阅读更多...
Python pyusb 使用指南【windows+linux】

Python pyusb 使用指南【windows+linux】

前言:USB(通用串行总线)作为一种高度通用性的硬件接口,在诸多领域均有应用。在C中可以直接使用libusb库即可完成USB设备信息查询、USB设备监听、与USB设备控制端点、数据(同步、批量、中断)端点进行指令、数据交互等功能。python中…
阅读更多...
【智能大数据分析 | 实验二】Spark实验:部署Spark集群

【智能大数据分析 | 实验二】Spark实验:部署Spark集群

【作者主页】Francek Chen 【专栏介绍】 ⌈ ⌈ ⌈智能大数据分析 ⌋ ⌋ ⌋ 智能大数据分析是指利用先进的技术和算法对大规模数据进行深入分析和挖掘,以提取有价值的信息和洞察。它结合了大数据技术、人工智能(AI)、机器学习(ML&a…
阅读更多...
极狐GitLab 17.4 重点功能解读【一】

极狐GitLab 17.4 重点功能解读【一】

GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。 学习极狐GitLab 的相关资料: 极狐GitLab 官网极狐…
阅读更多...
自动化运维工具 Ansible

自动化运维工具 Ansible

Ansible 基础 Ansible 介绍 Ansible 是一个自动化运维工具,基于Python开发,集合了众多运维工具(puppet、cfengine、chef、 func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。 Ansible 的…
阅读更多...
最新文章

Copyright @ 2022~2023