【隧道篇 / SSL】(5.6) ❀ 01. FortiClient 配置文件与注册 ❀ FortiGate 防火墙

        【简介】FortiClient是飞塔的客户端软件，我们经常用它来与飞塔防火墙设备建立VPN连接，除了VPN功能之外，它还可以对客户端加强安全管理，例如可以对客户端进行杀毒、网页过滤等等。

  FortiClient 安装

        通常我们安装FortiClient软件，都是为了与防火墙连接远程VPN，但是它的功能可不止这些。

        ① 下载FortiClient客户端软件后双击运行安装，同意安装协议，点击【下一步】。FortiClient客户端软件版本尽量与防火墙固件版本保持一致。

        ② 显示安装类型时，第一项和第二项默认是选择的，为了保护客户端的安全，这里把第三和第四项都选上。点击【下一步】。

        ③ 显示默认的安装目录，可以修改安装到哪个盘符下哪个目录，这里点击【下一步】。

        ④ 设置完成后，点击【安装】。

        ⑤ 显示复制文件到硬盘中。

        ⑥ 除了客户端的安装文件外，还会同步下载最新的病毒库等文件。

        ⑦ 安装完成。

  FortiClient 配置文件

        我们一般会注意到FortiClient客户端可以从外网登录VPN，但是不知道的是它还可以安装在内网的电脑上，用来保护内网安全。

        ① 我们知道，防火墙可以保护内部的网络不受外网的攻击，但是如果内网已经感染病毒或木马而要在内网中传播，防火墙是无能为力的，通常能想到的办法是在内网的每一台电脑上都安装杀毒软件，但这需要一笔额外的开支。FortiClient就可以解决这个问题，它除了可以连VPN外，也可以做为单机的本地防域，并且免费。而且FortiClient客户端可以注册到防火墙上，通过防火墙设置FortiClient配置文件，批量管理FortiClient客户端。每台防火墙可以免费注册十个FortiClient客户端。

        ② 要想注册FortiClient，需要先启用终端控制功能。选择菜单【系统管理】－【Feature Visibility】，启用【终端控制】。

        ③ 选择菜单【网络】－【接口】，双击连接电脑的内网接口，或点击接口后选择【编辑】。

       ④ 启用接口的【FortiTelemetry】，只有启用了FortiTelemetry，强制FortiClient注册的选项才可以使用。连接到该接口的设备在访问网络服务之前必须注册到FortiGate并安装FortiClient。启用【设备探测】，可以用来判断客户端是手机还是电脑，以分配不同的配置文件。启用【强制FortiClient合规检查】，所有客户端都必须符合一定的条件才能访问网络，这样可以避免有漏洞。

       ⑤ 下面就可以建立FortiClient配置文件了，选项菜单【安全配置文件】-【安全配置文件】，可能看到已经有一个默认的default配置文件，当然我们除了可以编辑这个文件外，还可以新建配置文件。

       ⑥ 新建的FortiClient配置文件多出一个“分配配置到”选项，其中设备必选，用户和地址可选。由于FortiClient客户端可用于Windows和Mac系统，还可用于苹果手机和安卓越手机，这里样我们可以对不同的平台建立不同的FortiClient配置文件。本例为常用的Windows系统。

       ⑦ 新建的FortiClient配置文件显示在列表中。

  FortiClient 注册

        飞塔防火墙会有十个免费的FortiClient注册，如果需要更多的注册的FortiClient，就需要购买许可，100的倍数。

        ① 在仪表板上，可以看到FortiClient注册的数量。

        ② 虽然电脑上安装了FortiClient，但是因为没有注册，访问外网的时候仍然会被报错阻断。

        ③ 启动FortiClient，会自动在网络里发现FortiGate防火墙，并弹出窗口，允许FortiClient连接到FortiGate，建议保存此FortiGate。

       ④ 如果自动发现的没有保存并连接，也可以在FortiClient启动主介面上，选择手动输入FortiGate接口地址，再点击【连接】。

       ⑤ 如果你的电脑都满足FortiClient配置文件的条件，就会显示连接成功信息，并可以显示主机名称及符合哪些规则。再次打开浏览器访问外网，你会发现外网能正常访问了。

       ⑥ 选择菜单【监视器】-【FortiClient监视器】，可以看到FortiClient客户端登录的具体信息。

       ⑦ 有的时候某些测试电脑注册FortiClient后又不用了，就可以释放FortiClient注册，免得占用注册数量，释放注册的方法是鼠标右击FortiClient监视器里的FortiClient，弹出菜单里选择【未注册】。然后再来看FortiClient注册信息，就会发现注册数字少一个。

飞塔技术-老梅子   QQ：57389522