Fortinet安全解決方案

1、FortinetVPN 解決方案1. 概述Internet 應(yīng)用中，不可避免的要通過公用網(wǎng)絡(luò)來傳輸信息，其中就有可能包括機密信息。 由于In ter net是一個開放的、公用的網(wǎng)絡(luò)，黑客很容易通過在網(wǎng)絡(luò)設(shè)備上安裝網(wǎng)絡(luò)嗅包器（如 Sniffer、NIDS 等）中途竊取信息，造成泄密；黑客也可以偽裝成內(nèi)部用戶登錄到內(nèi)網(wǎng)中進行 破壞活動，因此我們需要在網(wǎng)絡(luò)上配置一整套VPN體系，對通過In ter net進行的遠程訪問 進行嚴格的認證和加密，使In ter net上的VPN成為經(jīng)過加密和認證的安全鏈路，保證各節(jié) 點之間遠程訪問的安全。采用 VPN 技術(shù)的目的是為了在不安全的信道上實現(xiàn)安全信息傳輸，保

2、證內(nèi)部信息在 In ter net上傳輸時的機密性和完整性，同時對In ter net上傳輸?shù)臄?shù)據(jù)進行認證。單獨的 VPN 網(wǎng)關(guān)的主要功能是數(shù)據(jù)包的加密/解密處理和身份認證，沒有很強的訪問控 制功能（狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防DoS攻擊等）。在獨立的防火墻和VPN部署方式 下，防火墻無法對VPN的數(shù)據(jù)流量進行任何訪問控制，由此帶來安全性、性能、管理上的 一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN能提供一個靈活、高效、完整的安全方 案,是當前安全產(chǎn)品的發(fā)展趨勢。它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴格的訪 問控制策略的檢查，保護VPN網(wǎng)關(guān)免受DoS攻擊和入侵威脅；提供更好的處理性能，

3、簡化 網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此， VPN 技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn) 品的組成部分。FortiGate便是一個集防火墻、VPN和應(yīng)用層過濾網(wǎng)關(guān)功能于一身的綜合安 全網(wǎng)關(guān)，可以提供各安全功能之間的完美聯(lián)動、良好的兼容性和性能。FortiGate的VPN功能支持PPTP、L2TP、IPSec和SSL四種VPN協(xié)議，提供了前 所未有的方便和靈活的選擇。對遠程移動用戶或企業(yè)的出差用戶來說，既可以使用Windows 等系統(tǒng)自帶的PPTP/L2TP撥號軟件，也可以使用IPSec客戶端軟件FortiClient和企業(yè)建立 VPN的連接，還可以直接使用IE瀏覽器，通過Web方式創(chuàng)建基于S

4、SL的VPN隧道。應(yīng) 用 PPTP、 L2TP、 SSL 的好處是方便使用，不需要附加的軟件。而用 IPSec 客戶端軟件的 好處是高度的安全性保證，可以采用動態(tài)的密鑰保證數(shù)據(jù)的安全。在企業(yè)本地網(wǎng)絡(luò)和遠程網(wǎng) 絡(luò)之間可以采用IPSec協(xié)議來實現(xiàn)VPN的連接和數(shù)據(jù)的高度安全控制。配置簡單靈活。由于充分利用了專用的ASIC芯片技術(shù)，處理復雜的VPN加密和認證過程，極大加快 了 VPN通道的建立速度和數(shù)據(jù)加/解密的處理時間，達到了極高的VPN處理速度。內(nèi)容處 理器以獨特的設(shè)計方式，解決了防火墻設(shè)備處理高速加密數(shù)據(jù)流的瓶頸問題，并通過簡單易 用的WEB管理提供給用戶人性化的管理界面。高性能的VPN加密處

5、理（DES,3DES,AES,MD5， SHA1） 使企業(yè)可以充分利用 VPN 技術(shù)構(gòu)建自己的 Intranet 網(wǎng)絡(luò)，無須考慮設(shè)備處理 速度的影響，256位的AES算法更提供了業(yè)界最高級別的安全防御體系，使企業(yè)的內(nèi)部數(shù) 據(jù)可以無憂地在公網(wǎng)上傳輸,以達到企業(yè)內(nèi)部網(wǎng)絡(luò)安全擴展的目的。而今,迅速發(fā)展的廣域 網(wǎng)技術(shù)使公網(wǎng)的帶寬成倍的增長，同時又為企業(yè)VPN網(wǎng)絡(luò)提供了廣闊的發(fā)展空間。2. IPSec VPN解決方案企業(yè)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPSec安全協(xié)議的VPN和加密能力， 實現(xiàn)兩個或多個企業(yè)之間跨越In ter net的企業(yè)內(nèi)部網(wǎng)絡(luò)連接，實現(xiàn)了安全的企業(yè)內(nèi)部的數(shù)據(jù) 通信。

6、通過網(wǎng)關(guān)內(nèi)部策略控制體系對VPN的數(shù)據(jù)可以進行有效的控制和管理，使企業(yè)的內(nèi) 部網(wǎng)絡(luò)通信具有良好的擴展性和管理性。如下圖所示，IPSec VPN的部署都是成對進行的，既可以在設(shè)備與設(shè)備之間（例如總部 的FortiGate與分支機構(gòu)、合作伙伴、SOHO辦公等節(jié)點的FortiGate）建立IPSec VPN隧 道，又可以在設(shè)備與客戶端軟件（例如總部的FortiGate與移動辦公用戶PC上安裝的 FortiClient VPN 客戶端軟件）間建立。FortiGateIRSerVPNA * * L i 1分宴機構(gòu)AFortiGateFortiGate分支機構(gòu)BFortiClient 二FortiGate

7、IRSerVPNA * * L i 1分宴機構(gòu)AFortiGateFortiGate分支機構(gòu)BFortiClient 二FortiGate合作伙伴FortiGate總部InternetIPSetiVPN 1移動辦公SOHO通過在廣域網(wǎng)的各個節(jié)點上安裝部署IPSec VPN設(shè)備或軟件，并進行適當設(shè)置，便可 建立全網(wǎng)的IPSec VPN隧道，使得總部、各分支機構(gòu)、合作伙伴、SOHO及移動辦公用戶 之間所有跨越In ter net的數(shù)據(jù)傳輸均經(jīng)過IPSec VPN的加密及認證保護，黑客無法在途中 竊取、篡改或破壞數(shù)據(jù)。上圖中總部與分支機構(gòu)A、移動辦公用戶之間的IPSec VPN隧道 用紅色虛線表示，

8、實際上上圖中任意兩個節(jié)點之間均可使用 VPN 設(shè)備或軟件實現(xiàn) IPSec VPN 通信。FortiGate IPSec VPN有如下常見場景： LAN-LAN VPNLAN-LAN VPN是兩個局域網(wǎng)之間的VPN,在兩個局域網(wǎng)的In ter net出口處部署VPN 網(wǎng)關(guān)實現(xiàn)，通常有以下幾種環(huán)境：兩個局域網(wǎng)均使用靜態(tài)公網(wǎng)IP地址接入In ter net：最簡單、經(jīng)典的VPN應(yīng)用；其中一個或兩個局域網(wǎng)使用動態(tài)公網(wǎng)IP地址接入In ter net，例如ADSL方式：可 以使用DDNS（動態(tài)域名解析）方式將動態(tài)公網(wǎng)IP地址與FQDN域名綁定，建立VPN隧道的雙方均使用FQDN域名與對方通信； 其中一個

9、局域網(wǎng)使用私網(wǎng)IP地址接入In ter net,例如總部使用公網(wǎng)IP地址（靜態(tài)或 動態(tài)IP地址均可），分支機構(gòu)使用私網(wǎng)IP地址:可以使用撥號VPN方式建立隧道， 由分支機構(gòu)向總部的公網(wǎng)IP地址或FQDN域名發(fā)起連接，總部無須事先知道分支 機構(gòu)使用的IP地址。利用NAT穿越技術(shù)，F(xiàn)ortiGate可以在NAT環(huán)境下，保證 VPN的正常通信。當前在國內(nèi)IP地址緊張的情況下，很多的分支機構(gòu)都是通過服務(wù) 商提供的私有網(wǎng)絡(luò)地址連接公網(wǎng)的，在服務(wù)商的網(wǎng)絡(luò)出口處統(tǒng)一進行地址轉(zhuǎn)換。在 這種情況下，只有支持NAT穿越技術(shù)的VPN產(chǎn)品能夠適應(yīng)服務(wù)商的NAT環(huán)境。撥號VPN撥號VPN與點對點VPN不同，VPN隧道的

10、雙方不是對等的角色，而是一方扮演服務(wù) 器，一方扮演客戶端，通常用于大量分支節(jié)點接入一個中心節(jié)點的環(huán)境，例如集團公司的大 量分支機構(gòu)及移動辦公用戶都通過IPSec VPN與總部連接，并進行數(shù)據(jù)交換。撥號VPN客戶端既可以使用FortiGate設(shè)備（如分支機構(gòu)節(jié)點），也可以使用FortiClient客戶端軟件（如移動辦公用戶）。iZB F&ntiClienL文件客戶端軟件（如移動辦公用戶）。iZB F&ntiClienL文件翹題京:i三勺三?f二B遠程詁問%FEjRTmET：FortiClient此計頁機FortiCILent保護彳 FortiClient具有PC和手機版本，支持Windows 2

11、000以上PC操作系統(tǒng)及Android、iOS 等系統(tǒng)的智能終端，移動辦公用戶可以使用多種接入終端設(shè)備（PC、智能手機、Pad等）接 入VPN網(wǎng)絡(luò)，擴展了 VPN網(wǎng)絡(luò)的覆蓋度。使用客戶端方式實現(xiàn)撥號VPN方式時，在核心VPN網(wǎng)關(guān)上可以通過配置向?qū)Чδ?簡單的選擇選項、填寫參數(shù)，并點擊下一步，即可完成復雜的IPSec VPN配置。卜網(wǎng)卜網(wǎng)曙戶端迭項：FortiGate 支持多種身份認證方法，包括預共享密鑰和數(shù)字證書認證， X.509 數(shù)字證書 認證可以與企業(yè)或機構(gòu)現(xiàn)有的PKI體系相結(jié)合，提供更高級別的安全保護。FortiGate支持 離線或SCEP在線申請數(shù)字證書方式，F(xiàn)ortiClient軟件

12、支持PC本地存儲或USB Key存儲 數(shù)字證書，使用更加靈活方便。除預共享密鑰及數(shù)字證書外,FortiGate還支持本地用戶、Windows域、Radius、LDAP、TACACS+等方式的用戶名和密碼認證，在預共享密鑰及數(shù)字證書的基礎(chǔ)上進一步提高安全 性。星形 VPN(Hub-Spoke)在實際應(yīng)用中，很多時候也需要進行多個節(jié)點之間的VPN互訪，如下圖所示，除了總 部與分支機構(gòu)A、B之間的通信外，分支機構(gòu)A和B之間也需要進行數(shù)據(jù)交換。FortiGate 可以通過星形VPN或全網(wǎng)狀VPN來實現(xiàn)這一需求。FortiGateFortiClientFortiGateFortiClientFortiG

13、ate使用Hub-Spoke方式實現(xiàn)星形VPN。在此結(jié)構(gòu)下，各分支機構(gòu)、合作伙伴、 SOHO及移動用戶都與總部建立VPN隧道，而分支節(jié)點 之間的互訪都是通過總部節(jié)點 進行的，例如上圖中分支機構(gòu)A和B之間的數(shù)據(jù)通信都繞經(jīng)總部的FortiGate設(shè)備進行。對 于快速擴張的企業(yè)或機構(gòu)，星形 VPN 具有好的擴展性，新的 VPN 分支節(jié)點只需跟中心節(jié) 點之間建立一條VPN通道，便可很容易的加入到Hub-Spoke星形結(jié)構(gòu)中，實現(xiàn)與現(xiàn)有VPN 網(wǎng)絡(luò)中所有節(jié)點的通信；且只需要中心節(jié)點(總部)具有一個公網(wǎng) IP 地址，其余節(jié)點均可以 使用私網(wǎng)IP地址。星形VPN的缺點是中心節(jié)點的故障將導致所有分支節(jié)點也無法

14、互訪。全網(wǎng)狀 VPN(Full Mesh)通過全網(wǎng)狀VPN部署方式，可以克服星形VPN中心節(jié)點故障而導致所有分支節(jié)點無 法互訪的缺點。如下圖所示：FortiGateFortiGatcFortiGate總部/ IPSecVPN FortiGateFortiClientFortiGate合柞秋伴criiun在全網(wǎng)狀VPN結(jié)構(gòu)下，每兩個節(jié)點之間都建立直連的IPSec VPN隧道，無需第三方介 入即可直接通信。全網(wǎng)狀VPN的優(yōu)點是任意一點的故障都不會影響其它節(jié)點的互訪，但它 也有明顯的缺點，一是配置工作量大，且擴展比較復雜，每一個新加入VPN網(wǎng)絡(luò)的節(jié)點都 需要與其它節(jié)點 建立VPN隧道；二是對網(wǎng)絡(luò)環(huán)境

15、要求更高，例如如果分支機構(gòu)A和B 都使用私網(wǎng)IP地址，便無法直接建立 VPN。星形VPN和全網(wǎng)狀VPN都可以使用 FortiManager的VPN管理功能快速配置，從而減少VPN管理員的配置難度和工作量。criiun基于策略與路由模式 VPN除了傳統(tǒng)的基于策略的IPSec VPN夕卜，F(xiàn)ortiGate還支持基于路由的VPN，在IPSecIP很虛擬接總鄒Fort(Gate物理接口數(shù)培通佶FortiGate隧道協(xié)商IP很虛擬接總鄒Fort(Gate物理接口數(shù)培通佶FortiGate隧道協(xié)商如上圖所示，物理接口之間進行 VPN 隧道協(xié)商，虛擬接口之間進行數(shù)據(jù)通信。在FortiGate 上, IPS

16、ec VPN虛擬接口與物理接口一樣可以進行路由、安全策略等設(shè)置。使用基于路由的VPN,可以很容易的實現(xiàn)更多高級功能:在VPN隧道中實現(xiàn)OSPF、BGP等動態(tài)路由或組播路由；通過靜態(tài)路由、動態(tài)路由、策略路由、等值路由等實現(xiàn)VPN鏈路的冗余或負載分 擔；遠程撥號VPN用戶可以使用VPN鏈路訪問In ter net, 來可以提高訪問的安全性, 二來便于企業(yè)或機構(gòu)對移動辦公用戶的上網(wǎng)行為進行過濾和監(jiān)控； 透明模式下的 VPN通常IPSec VPN都是在路由/NAT模式下實施的，但有時根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，VPN網(wǎng)關(guān)需要配置為透明模式，如下圖所示，內(nèi)網(wǎng)PC的網(wǎng)關(guān)指向路由器, FortiGate工作于透明模式。F

17、ortiGate卿摸式1921681119Z168A.0/24在這種情況下，F(xiàn)ortiGate仍然能夠根據(jù)管理員設(shè)置的VPN策略，截獲來自于內(nèi)網(wǎng)PC 向遠端局域網(wǎng)的訪問請求，然后使用IPSec VPN進行加密封裝后發(fā)往對端的FortiGate設(shè) 備；當對端FortiGate設(shè)備返回數(shù)據(jù)時，F(xiàn)ortiGate也能進行解密操作并轉(zhuǎn)發(fā)回內(nèi)網(wǎng)的PC。相同IP地址段間的VPN通常情況下，VPN網(wǎng)絡(luò)兩端的局域網(wǎng)應(yīng)當使用不同的IP地址段，以免發(fā)生IP地址沖 突，但由于機構(gòu)的合并，或某些比較老的網(wǎng)絡(luò)在規(guī)劃時并未考慮到將來可能的VPN互聯(lián)， 而在不同分支節(jié)點使用了同一段 IP 地址，如下圖所示，分支機構(gòu) A 和

18、 B 都使用了 /24 這一段 IP 地址。192.16S.1.0/241Q71 0/M.InternetFortiGate192.16S.1.0/241Q71 0/M.InternetFortiGateFortiGate利用FortiGate的IPSec VPN雙向NAT功能，可以支持這種相同IP地址段間的IPSec VPN通信需求。通過將兩端的IP地址段進行NAT轉(zhuǎn)換后再進入IPSec隧道，例如轉(zhuǎn)換為 192.168 20和,便可順利將這兩個/24網(wǎng)絡(luò)通過IPSec VPN連通。VPN 隧道中的安全過濾單獨的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認證，沒有很強的 訪問

19、控制功能（防火墻過濾、防病毒、入侵防御等）。而由于 VPN 的加密特性，使得非法訪 問、蠕蟲、病毒、入侵等在 VPN 隧道中也是加密傳輸?shù)模讵毩⒌陌踩W(wǎng)關(guān)和 VPN 部署 方式下，安全網(wǎng)關(guān)無法對VPN隧道中的加密信息進行任何安全過濾，病毒、攻擊等可以很 容易的通過VPN在廣域網(wǎng)各節(jié)點之間傳播擴散，由此帶來安全性、性能、管理上的一系列 問題。因此，將 VPN 和其它安全功能集成，提供一個靈活、高效、完整的安全方案，是當前 安全技術(shù)的發(fā)展趨勢。它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴格的訪問控制策略 的檢查，保護VPN網(wǎng)絡(luò)免受病毒、入侵等的威脅；提供更好的處理性能，簡化網(wǎng)絡(luò)管理的 任務(wù)，快速

20、適應(yīng)動態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此， VPN 技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部 分。FortiGate便是一個集VPN、防火墻和多項應(yīng)用層安全功能于一身的綜合安全網(wǎng)關(guān)，可 以提供各安全功能之間的完美聯(lián)動、良好的兼容性和性能。Jni&rnetFortiGate UW過濾Jni&rnetFortiGate UW過濾FortiGateUTM過濾如上圖所示，在FortiGate的VPN策略中應(yīng)用防火墻、防病毒、IPS、內(nèi)容過濾、反垃圾郵件、IM/P2P過濾等安全功能，可以在各種安全威脅進入VPN加密隧道前或離開加密 隧道后進行過濾，從而阻止病毒、蠕蟲、木馬、入侵、不良內(nèi)容等在VPN網(wǎng)絡(luò)各節(jié)點之間的傳播。3

21、. SSL VPN解決方案IPSec VPN的優(yōu)勢在于LAN-LAN連接，在Client-LAN環(huán)境下，使用IPSec VPN需要 在客戶端安裝復雜的軟件，而SSL VPN被稱之“無客戶端”，可以通過Web瀏覽器實現(xiàn)無客 戶端的遠程訪問。通過SSL VPN，可以在任何地點，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資 源上。雖然早期的SSL VPN只支持B/S模式(Web)應(yīng)用，具有一定的局限性，但是最新的SSLVPN產(chǎn)品(如FortiGate)支持通道模式。SSL通道模式與IPSec類似，支持各種B/S及C/S 應(yīng)用，且SSL VPN使用知名端口 TCP 443通信，因此連通性和兼容性都很好。如下圖所示

22、，在中心節(jié)點(如總部)部署FortiGate設(shè)備，并設(shè)置SSL VPN功能，各地的移動辦公用戶便可與中心節(jié)點建立SSL VPN連接。IE總鄒(internetSSL VPNFirefoxFortiClientSSL VPNNetPCs pEFortiGate移動辦公用戶便可與中心節(jié)點建立SSL VPN連接。IE總鄒(internetSSL VPNFirefoxFortiClientSSL VPNNetPCs pEFortiGateQ Flrtfbat 3SSL VPN SSL VPN接入模式FortiGate SSL VPN 用戶端接入支持兩種模式，分別為代理模式和隧道模式代理模式代理模式可以

23、為用戶提供快速高效的安全加密接入，用戶端只需要通過瀏覽器即可實現(xiàn) 是真正的無客戶端接入方式。通過一個網(wǎng)頁入口，用戶認證成功后，可以訪問 HTTP/HTTPS、 Telnet、FTP、SMB/CIFS、VNC、RDP、SSL、Ping、Citrix 協(xié)議。隧道模式通過隧道模式，用戶可以自由的訪問內(nèi)網(wǎng)的任意資料，包括各種 C/S 服務(wù)應(yīng)用、除代理支持的協(xié)議外的其它協(xié)議等。用戶在第一次開啟隧道時，需要安裝一個客戶端軟件（ActiveX控件），此軟件不需要配置，只需安裝一次即可。用戶撥入后，會分配一個虛擬IP 地址，通過這個地址對內(nèi)網(wǎng)資料進行訪問。隧道模式支持隧道分割方式，只允許訪問內(nèi)網(wǎng)的 數(shù)據(jù)進入隧

24、道，去往In ter net的數(shù)據(jù)同時可以實現(xiàn)正常訪問。FortiGate SSL插件支持客戶端撥號軟件,通過撥號軟件，用戶可以方便的通過用戶名、密碼或證書訪問內(nèi)部資源，不需要再通過網(wǎng)頁入口開啟隧道模式。C Drmec t i onStatu弓：Discoiuiectd. Bytes Sent:0Duration： 00：00：00 Bytes Received：0Smttings. .CoriTLect DiEcoiLnect | Exit SSL VPN防火墻安全FortiGate SSL VPN 的訪問控制是基于防火墻功能實現(xiàn)。通過防火墻功能， FortiGate 設(shè)備可以控制允許哪些S

25、SL VPN用戶IP撥入;撥入用戶可以訪問哪些服務(wù)器的哪些端口， 非常方便的實現(xiàn)SSL VPN訪問控制功能。刪子類型 流X整口 耐址 侖出腳 目的刪3-1VEEl.Bot刪子類型 流X整口 耐址 侖出腳 目的刪3-1VEEl.Bot(5Elvpn tunnal intarfaca)0 allinternal(3 IdcbI1 awaysZ /UZCEPT用戶身份認證FortiGate SSL VPN 支持以下認證方式：用戶名/密碼認證進入網(wǎng)頁入口需要進行用戶名/密碼認證。認證的方式支持支持傳統(tǒng)的 Radius、LDAP 、 Active Directory、SecurlD等認證方式，同時提供L

26、ocal（本地數(shù)據(jù)庫）認證方式。證書認證為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強的加密算法等措施之外， 必須建立一種信任及信任驗證機制，即參加應(yīng)用的各方必須有一個可以被驗證的標識，這就 是數(shù)字證書。 FortiGate 證書管理支持以下項目：/ 支持X.509標準協(xié)議。/ 支持客戶端證書認證。/ 支持 Certificate Revocation List （證書撤銷列表）丁 支持 in termediate CA Certificate雙因素認證對安全級別需求高的網(wǎng)絡(luò)需要“雙因素”認證，即使用用戶 lD 與密碼之外的信息進行認 證。Fortinet公司的FortiToken是F

27、ortiGate專用的雙因子認證令牌，符合誓約聯(lián)盟基于時 間的硬件一次性密碼令牌，通過FortiGuard實現(xiàn)在線交付使用，提供每分鐘更新的動態(tài)密 鑰。虛擬桌面FortiGate的SSL VPN客戶端還支持“虛擬桌面”模式。在虛擬桌面模式下，利用流行 的“沙盒(Sandbox)”技術(shù)，為SSL VPN用戶在PC上開辟一塊虛擬空間，所有的SSL VPN 訪問都在這個“沙盒”中進行。當用戶退出SSL VPN虛擬桌面時，所有SSL VPN訪問產(chǎn)生的 “痕跡”都會被刪除，包括下載的文件、瀏覽器緩存、歷史記錄等。如果SSL VPN會話非正 常結(jié)束，文件可能被保留，但這些文件都是加密的，不能閱讀或修改。當用戶開啟虛擬桌面 功能后，虛擬桌面會替換用戶普通桌面。同時，用戶可以控制哪些應(yīng)用可以在虛擬桌面上運 行。虛擬桌面模式能夠更好的滿足用戶的安全要求，防止信息泄漏，即使SSL VPN用戶使 用公用計算機(例如使用他人或網(wǎng)吧的PC)來訪問單位內(nèi)部網(wǎng)絡(luò)，都沒有泄密的風險。 客戶端主機檢查當客戶端通過SSL VPN撥入到FortiGate設(shè)備,并通過FortiG