作为行业领先的防火墙厂商,飞塔Fortinet结合了高性能 VPN 功能,代表了网络安全的新概念。其中飞塔Fortinet防火墙 SSL VPN 因其突出的安全性能而被广泛应用在远程办公场景中。但在 SSL VPN 登录时用户仅需输入用户名和固定的静态密码,若遭遇账号泄露或密码破解,将给企业信息安全带来极大隐患。因此,为飞塔Fortinet防火墙SSL VPN 登录入口开启双因子/双因素身份认证(2FA)二次认证,可以起到增强账号安全性,保护企业信息资源的重要作用。
宁盾双因素认证工作原理
宁盾(2FA)双因素身份认证服务器作为 RADIUS 认证服务端,飞塔Fortinet防火墙 SSL VPN 作为 RADIUS 客户端,用户在登录 VPN 时,输入用户名、静态密码、动态密码,RADIUS 认证指向宁盾双因素身份认证服务器,由宁盾完成身份校验及鉴权。
除传统本地部署方式之外,宁盾还为企业提供 SaaS MFA 云托管的双因素认证服务 ,将 VPN 客户端的 RADIUS 认证指向宁盾双因素身份认证云服务器即可快速为飞塔Fortinet防火墙 SSL VPN 开启双因子/双因素身份认证(2FA)。优势是开箱即用,按需订阅,客户侧无需安装部署,轻运维。
配置步骤如下
以宁盾2FA双因素身份认证本地部署方式为例:
RADIUS Server:192.168.200.111
RADIUS Client:192.168.200.1
1. RADIUS Server 配置
1.1 进入商户管理页面,添加设备(此地址为飞塔Fortinet防火墙SSL VPN内网地址)。注意:只使用 AD 账号密码认证需要将多步验证关闭。
1.2 添加策略;
如果不启用双因素认证则忽略下面绑定令牌的操作,禁用动态密码策略,并选择需要认证的用户源。
1.3 添加用户;
1.4 派发手机令牌;
2. 飞塔Fortinet防火墙SSL VPN Client配置:
2.1 创建 RADIUS 用户(不要创建本地用户)
2.2 将 RADIUS 用户加入 SSL VPN 组
2.3 添加 RADIUS
3. VPN Client 登录
输入用户名和静态密码
再输入用户手机绑定的令牌上的6位或4位动态密码,认证登录成功。
IT管理员可以在宁盾双因子/双因素身份认证(2FA)系统查看登录日志,详细记录登录账号、登录时间、登录结果等信息。至此飞塔Fortinet防火墙SSL VPN成功启用了宁盾双因素身份认证。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)
