Настройка VPN на FortiGate: IPsec и SSL VPN — руководство

Настройка VPN на FortiGate охватывает туннели IPsec site-to-site для зашифрованного соединения филиалов и доступ SSL VPN или ZTNA для удалённых пользователей. Все режимы определяются с безопасными предложениями шифрования и правильными политиками межсетевого экрана.

Типы VPN на FortiGate

FortiGate предлагает четыре основных подхода VPN: IPsec site-to-site, IPsec dialup (удалённый пользователь), SSL VPN (web и туннельный режим) и ZTNA. Выбор зависит от типа конечных точек и требований безопасности.

Site-to-site IPsec объединяет две фиксированные площадки (например, головной офис и филиал) постоянным зашифрованным туннелем. Dialup IPsec и SSL VPN позволяют мобильным/удалённым пользователям подключаться к организации.

ZTNA (Zero Trust Network Access) — более новый подход, заменяющий широкий VPN-доступ авторизацией на уровне приложений на основе личности и состояния устройства, интегрированный с Security Fabric.

Политики VPN пишутся по той же логике, что и обычные политики межсетевого экрана; подробности см. в нашем руководстве по управлению политиками.

Настройка туннеля IPsec site-to-site

IPsec site-to-site создаётся путём согласования параметров Phase 1 (IKE) и Phase 2 (IPsec) между двумя FortiGate; затем определяются маршрутизация и политики межсетевого экрана для интерфейса туннеля.

Используйте VPN > IPsec Wizard и выберите шаблон site-to-site. В Phase 1 задайте IP удалённого шлюза, метод аутентификации (обычно pre-shared key) и предложения шифрования/хеширования. Предложения с обеих сторон должны точно совпадать.

В Phase 2 определите локальные и удалённые подсети для защиты. После поднятия туннеля добавьте статические маршруты, направляющие трафик этих подсетей на интерфейс туннеля, и политики межсетевого экрана в обоих направлениях.

Удалённый доступ через SSL VPN

SSL VPN позволяет пользователям безопасно подключаться к организации через браузер (web-режим) или FortiClient (туннельный режим); портал, группы пользователей и доступные ресурсы определяются централизованно.

В портале SSL VPN настройте, какие ресурсы публикуются, диапазон IP туннельного режима и поведение split tunneling. Аутентифицируйте пользователей по локальным или внешним (LDAP/RADIUS) источникам личности.

Важное замечание: в FortiOS 7.6 Fortinet начала отказываться от туннельного/web-режима SSL VPN, в частности на некоторых моделях с малой памятью. В новых развёртываниях следует рассмотреть IPsec dialup или ZTNA.

Чтобы проверять пользовательский трафик с помощью UTM, добавьте профили безопасности к политикам VPN; для контекста настройки вернитесь к нашему руководству по установке.

Переход на ZTNA и современный доступ

ZTNA предоставляет доступ только к авторизованным приложениям с проверкой личности и состояния устройства вместо открытия всей сети; это резко сужает поверхность атаки по сравнению с широким VPN-доступом.

FortiGate ZTNA работает с FortiClient и Security Fabric, непрерывно проверяя каждый запрос на доступ. Принцип «никогда не доверяй, всегда проверяй» применяется независимо от местоположения пользователя.

ZTNA выступает естественным преемником там, где SSL VPN выводится из эксплуатации, снижая риск горизонтального перемещения за счёт доступа на уровне приложений.

Где ZTNA вписывается в общую архитектуру, мы рассматриваем в нашем руководстве о том, что такое FortiGate.

Лучшие практики безопасности VPN

Безопасность VPN требует многофакторной аутентификации, надёжных предложений шифрования, ограничения лишнего доступа, регулярных обновлений прошивки и мониторинга журналов VPN.

• Применяйте многофакторную аутентификацию (MFA) на всех VPN удалённого доступа.
• Отключите слабые предложения шифрования/хеширования (например, DES, MD5).
• Используйте split tunneling только при необходимости и осознанно.
• Поддерживайте прошивку в актуальном состоянии против уязвимостей VPN.
• Централизованно отслеживайте журналы сессий VPN.

Чтобы централизованно собирать журналы VPN и выявлять аномалии, см. нашу статью о журналировании с FortiAnalyzer.

Часто задаваемые вопросы

Что использовать на FortiGate — IPsec или SSL VPN?

Для постоянного соединения между фиксированными площадками идеален IPsec site-to-site. SSL VPN исторически применялся для мобильных пользователей, но для новых развёртываний рекомендуются IPsec dialup или ZTNA.

Что такое Phase 1 и Phase 2?

В IPsec Phase 1 (IKE) устанавливает безопасный управляющий канал и аутентифицирует; Phase 2 определяет ассоциации безопасности IPsec и защищаемые подсети, несущие фактический трафик данных.

SSL VPN действительно убирают?

В FortiOS 7.6 Fortinet начала отказываться от туннельного/web-режима SSL VPN на некоторых моделях с малой памятью. На этих моделях предпочтительны IPsec или ZTNA; на платформах с большой памятью ситуация может различаться согласно release notes.

Нужен ли FortiClient для VPN?

Клиент нужен для IPsec и туннельного режима SSL VPN; FortiClient — распространённый выбор. Web-режим SSL VPN обеспечивает безклиентский доступ через браузер.

Полностью ли ZTNA заменяет VPN?

Во многих сценариях удалённого доступа ZTNA заменяет широкий VPN-доступ более узким доступом на уровне приложений. Для соединений site-to-site IPsec остаётся стандартом.

Как сделать VPN безопаснее?

Применяйте MFA, используйте надёжные предложения шифрования, ограничивайте доступ по наименьшим привилегиям, поддерживайте прошивку в актуальном состоянии и непрерывно мониторьте журналы VPN.

Заключение

FortiGate предлагает широкий спектр безопасного доступа — от site-to-site IPsec до ZTNA. При правильном выборе режима, надёжном шифровании и многофакторной аутентификации удалённый доступ становится и удобным, и безопасным; там, где SSL VPN выводится из эксплуатации, ZTNA предлагает современную замену.

Чтобы спроектировать архитектуру VPN и ZTNA, обратитесь к команде сетевой безопасности Sora Yazılım.