VPN SSL là gì? Cách cấu hình VPN SSL

1. VPN SSL là gì?

VPN SSL là công nghệ truy cập từ xa VPN dựa trên SSL. SSL VPN cho phép người dùng từ bất kỳ vị trí nào có kết nối Internet khởi chạy trình duyệt web để thiết lập kết nối VPN truy cập từ xa, điều này dự kiến ​​sẽ tăng năng suất và tăng tính khả dụng, đồng thời giảm hơn nữa chi phí CNTT của phần mềm và hỗ trợ máy khách VPN.

Như  hình bên dưới: FW đóng vai trò là cổng ra của doanh nghiệp và được kết nối với Internet. Nó cung cấp dịch vụ truy cập SSL VPN cho người dùng từ xa. Người dùng từ xa có thể sử dụng các thiết bị di động, chẳng hạn như máy tính xách tay, Pad và điện thoại thông minh để truy cập tài nguyên mạng nội bộ thông qua FW mọi lúc, mọi nơi.

Thủ tục tương tác dịch vụ

Hình 1-2 cho thấy quy trình để người dùng từ xa truy cập máy chủ web trên mạng doanh nghiệp bằng chức năng proxy web.

  1. Người dùng từ xa truy cập FW bằng tên miền của nó ( https://svn ).
  2. Sau khi đăng nhập, người dùng từ xa xem danh sách các tài nguyên web có thể truy cập và nhấp vào liên kết của tài nguyên web mong muốn.

    FW viết lại các URL của tài nguyên web, bao gồm URL ( http://website/resource.html ) do người dùng từ xa yêu cầu, khi liệt kê tài nguyên web có thể truy cập cho người dùng từ xa. Sau khi người dùng từ xa nhấp vào URL của tài nguyên web mong muốn, một yêu cầu HTTPS sẽ được gửi tới URL được viết lại, là sự kết hợp giữa URL của FW ( https://svn )  của tài nguyên web được yêu cầu ( http: //trang web/resource.html ).

  3. Sau khi nhận được yêu cầu HTTPS tới URL được viết lại, FW sẽ khởi tạo một yêu cầu HTTP mới tới URL thực của tài nguyên web mong muốn ( http://website/resource.html ).
  4. Máy chủ web trả lại trang tài nguyên được yêu cầu cho FW bằng HTTP.
  5. FW trả lại trang tài nguyên từ máy chủ web cho người dùng từ xa bằng HTTPS.

2. Sự khác biệt giữa SSL VPN và các VPN khác là gì?

Trước khi SSL VPN xuất hiện, các công nghệ VPN ban đầu như IPSec và L2TP có thể được sử dụng để truy cập từ xa. Tuy nhiên, các công nghệ VPN này có những nhược điểm sau:

  • Phần mềm máy khách cụ thể cần được cài đặt trên các thiết bị người dùng từ xa, làm phức tạp việc triển khai và bảo trì mạng.
  • Cấu hình IPSec/L2TP VPN rất phức tạp.
  • Quản trị viên mạng không thể thực hiện kiểm soát chi tiết đối với quyền của người dùng từ xa trên tài nguyên mạng nội bộ.

SSL VPN có lợi thế hơn các công nghệ VPN ban đầu này trong các tình huống truy cập từ xa và có các tính năng sau:

  • Thông qua thiết kế kiến ​​trúc B/S để các thiết bị người dùng từ xa có thể sử dụng trình duyệt web để truy cập tài nguyên mạng nội bộ một cách an toàn và hiệu quả mà không cần bất kỳ phần mềm máy khách bổ sung nào.
  • Cho phép quản trị viên đặt quyền kiểm soát chi tiết đối với quyền của người dùng từ xa dựa trên các loại tài nguyên được truy cập.
  • Cung cấp nhiều chế độ xác thực danh tính, chẳng hạn như xác thực cục bộ, xác thực máy chủ, xác thực ẩn danh chứng chỉ và xác thực thách thức chứng chỉ.
  • Hỗ trợ các chính sách kiểm tra máy chủ để kiểm tra xem hệ điều hành, cổng, quy trình và phần mềm chống vi-rút của thiết bị người dùng từ xa có đáp ứng các yêu cầu bảo mật hay không và cung cấp các kết nối máy tính từ xa chống lồng nhau và chức năng chống ảnh chụp nhanh để loại bỏ rủi ro bảo mật từ thiết bị người dùng từ xa.
  • Hỗ trợ các chính sách xóa bộ nhớ cache để xóa lịch sử truy cập mà người dùng từ xa đã để lại trong quá trình truy cập vào tài nguyên mạng nội bộ, tăng cường bảo mật thông tin người dùng.

3. Cách cấu hình VPN SSL

 

 – Cấu hình SSL VPN Tunnel 

Bước 1: Để định cấu hình Tunnel SSL VPN, hãy đi tới VPN> Cài đặt SSL-VPN.

Bước 2: Đặt Listen on Interface(s) là wan1. Để tránh xung đột cổng, hãy đặt Listen on Port thành 10443.

Bước 3: Đặt Restrict Access (Quyền truy cập hạn chế) thành Allow access from any host

Theo tùy chọn, đặt Restrict Access thành Limit access to specific hosts và chỉ định địa chỉ của các máy chủ được phép kết nối với VPN này.

Bước 4: Trong ví dụ, chứng chỉ Fortinet Factory được sử dụng làm Server Certificate. Để đảm bảo rằng lưu lượng truy cập được an toàn, bạn nên sử dụng chứng chỉ do CA ký của riêng bạn. Để biết thêm thông tin về cách sử dụng chứng chỉ, hãy xem Ngăn cảnh báo chứng chỉ (chứng chỉ do CA ký).

Bước 5: Trong Tunnel Mode Client Settings, đặt Dải IP để sử dụng dải IP mặc định SSLVPN_TUNNEL-ADDR1

Bước 6: Trong Authentication/Portal Mapping, bấm Create New để thêm nhóm người dùng Employee và ánh xạ nhóm đó vào cổng toàn full-access.

Bước 7: Nếu cần, hãy lập bản đồ một cổng thông tin cho All Other Users/Groups.

Xác minh hệ điều hành và phần mềm của người dùng từ xa:

Định cấu hình cả hai lần kiểm tra bằng CLI:

config vpn ssl web portal

edit full-access

set os-check enable

config os-check-list {macos-high-sierra-10.13 | macos-sierra-10.12 | os-x-el-capitan-10.11 | os-x-mavericks-10.9 | os-x-yosemite-10.10 |windows-7 | windows-8 | windows-8.1 | windows-10 | windows-2000 | windows-vista | windows-xp}

set action {deny | allow | check-up-to-date}

end

set host-check {av | fw | av-fw| custom}

end

4. Kiểm tra kết quả:

Trình duyệt web

Bước 1: Sử dụng trình duyệt Internet được hỗ trợ, kết nối với cổng web SSL VPN bằng cổng từ xa được định cấu hình trong cài đặt SSL VPN (trong ví dụ: https://172.25.176.62:10443).

Bước 2: Đăng nhập vào SSL VPN.

Bước 3: Sau khi xác thực, bạn có thể truy cập Cổng SSL-VPN . Từ cổng này, bạn có thể khởi chạy hoặc tải xuống FortiClient, truy cập Bookmarks hoặc kết nối với các tài nguyên khác bằng công cụ Quick Connection.

Trong ví dụ này, việc chọn dấu trang sẽ cho phép bạn kết nối với AdminPC.

Bước 4: Để kết nối với Internet, hãy chọn Quick Connection. Chọn HTTP / HTTPS, sau đó nhập URL và chọn Khởi chạy.

Bước 5: Để xem danh sách người dùng hiện được kết nối với SSL VPN, hãy đi tới Monitor > SSL-VPN Monitor. Người dùng được kết nối với VPN.

Bước 6: Nếu một thiết bị từ xa không kiểm tra được hệ điều hành hoặc máy chủ, một thông báo cảnh báo sẽ xuất hiện sau khi xác thực thay vì cổng thông tin.

FortiClient

Bước 1: Nếu bạn chưa làm như vậy, hãy tải xuống FortiClient từ www.forticlient.com.

Bước 2: Mở FortiClient Console và đi tới Remote Access . Thêm một kết nối mới.

Bước 3: Đặt VPN Type thành SSL VPN, đặt Remote Gateway thành IP của giao diện FortiGate đang nghe (trong ví dụ là 172.25.176.62). Chọn Customize Port và đặt nó thành 10443.

Bước 4: Chọn Add.

Bước 5: Đăng nhập vào SSL VPN.

Bước 6: Bạn có thể kết nối với Tunnel VPN.

Bước 7: Để xem danh sách người dùng hiện được kết nối với SSL VPN, hãy đi tới Monitor > SSL-VPN Monitor. Người dùng được kết nối với VPN.

>> Cách sửa lỗi credential or ssl vpn configuration is wrong

0/5 (0 Reviews)

Leave a Comment