×

身份认证 防火墙 Fortinet 因素 方案

飞塔Fortinet防火墙SSL VPN双因素身份认证(2FA)方案

jnlyseo998998 jnlyseo998998 发表于2023-03-11 05:51:03 浏览29 评论0

抢沙发发表评论

作为行业领先的防火墙厂商,飞塔Fortinet结合了高性能 VPN 功能,代表了网络安全的新概念。其中飞塔Fortinet防火墙 SSL VPN 因其突出的安全性能而被广泛应用在远程办公场景中。但在 SSL VPN 登录时用户仅需输入用户名和固定的静态密码,若遭遇账号泄露或密码破解,将给企业信息安全带来极大隐患。因此,为飞塔Fortinet防火墙SSL VPN 登录入口开启双因子/双因素身份认证(2FA)二次认证,可以起到增强账号安全性,保护企业信息资源的重要作用。

宁盾双因素认证工作原理

宁盾(2FA)双因素身份认证服务器作为 RADIUS 认证服务端,飞塔Fortinet防火墙 SSL VPN 作为 RADIUS 客户端,用户在登录 VPN 时,输入用户名、静态密码、动态密码,RADIUS 认证指向宁盾双因素身份认证服务器,由宁盾完成身份校验及鉴权。

除传统本地部署方式之外,宁盾还为企业提供 SaaS MFA 云托管的双因素认证服务 ,将 VPN 客户端的 RADIUS 认证指向宁盾双因素身份认证云服务器即可快速为飞塔Fortinet防火墙 SSL VPN 开启双因子/双因素身份认证(2FA)。优势是开箱即用,按需订阅,客户侧无需安装部署,轻运维。

配置步骤如下

以宁盾2FA双因素身份认证本地部署方式为例:

RADIUS Server:192.168.200.111

RADIUS Client:192.168.200.1

1. RADIUS Server 配置

展开全文

1.1 进入商户管理页面,添加设备(此地址为飞塔Fortinet防火墙SSL VPN内网地址)。注意:只使用 AD 账号密码认证需要将多步验证关闭。

1.2 添加策略;

如果不启用双因素认证则忽略下面绑定令牌的操作,禁用动态密码策略,并选择需要认证的用户源。

1.3 添加用户;

1.4 派发手机令牌;

2. 飞塔Fortinet防火墙SSL VPN Client配置:

2.1 创建 RADIUS 用户(不要创建本地用户)

2.2 将 RADIUS 用户加入 SSL VPN 组

2.3 添加 RADIUS

3. VPN Client 登录

输入用户名和静态密码

再输入用户手机绑定的令牌上的6位或4位动态密码,认证登录成功。

IT管理员可以在宁盾双因子/双因素身份认证(2FA)系统查看登录日志,详细记录登录账号、登录时间、登录结果等信息。至此飞塔Fortinet防火墙SSL VPN成功启用了宁盾双因素身份认证。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)