【认证篇 / 远程】(7.0) ❀ 02. FortiGate 防火墙集成 Windows Server 2022 域认证实战 ❀ 安全访问控制

1. 为什么需要域认证与防火墙集成企业内网安全一直是IT管理员最头疼的问题之一。想象一下如果公司大门没有门禁系统任何人都能随意进出办公区域那会是什么场景同样的道理也适用于企业网络。传统的IP地址或MAC地址过滤方式就像是用纸质名单核对访客效率低下且容易被冒用。而将Windows域认证与防火墙结合相当于给企业网络装上了智能门禁系统——只有刷员工卡域账号的人才能进入。我在实际部署中发现很多企业虽然部署了域控制器但防火墙仍然采用传统的IP策略管理。这就好比大楼装了高级门禁系统但后门却常年敞开。FortiGate作为企业级防火墙支持与Active Directory深度集成能实现基于用户身份而非IP地址的访问控制。这意味着即使员工更换电脑或办公位置权限策略依然有效。2. 前期准备工作2.1 环境检查清单在开始配置前建议准备好以下内容已安装Windows Server 2022并配置好域服务参考前篇教程FortiGate防火墙管理员账号建议使用独立管理账号而非admin域管理员账号需具有读取OU结构的权限网络连通性确认防火墙与域控制器之间需开放相关端口注意建议在非生产环境先进行测试配置特别是LDAP查询可能会影响域控制器性能。2.2 网络拓扑建议根据我的踩坑经验推荐采用这种部署模式[互联网] → [FortiGate] → [核心交换机] → [域控制器/应用服务器] ↘ [办公网络]关键是要确保防火墙与域控制器之间路由可达DNS解析正常建议在FortiGate上配置域控制器为DNS服务器时间同步NTP服务配置一致否则证书验证会失败3. FortiGate连接域控制器配置3.1 创建LDAP服务器配置登录FortiGate管理界面按以下步骤操作进入【用户与认证】→【LDAP服务器】点击【新建】填写以下关键参数服务器类型Active Directory名称建议用域名缩写如AD_Company服务器IP域控制器地址端口389若用SSL则636绑定类型常规需配置绑定账号# 测试LDAP连接的命令在FortiGate CLI执行 execute user ldap test AD_Company username password绑定账号建议使用专门的服务账号而非域管理员账号。这个账号需要具备读取所有用户属性的权限对目标OU有遍历权限密码永不过期属性3.2 用户组同步配置这一步决定了哪些域用户能被防火墙识别在LDAP配置中找到【用户组搜索】选项设置搜索基准如dccompany,dccom配置筛选条件建议先用(objectClassuser)测试设置用户名属性为sAMAccountName我遇到过的一个典型问题是OU结构太深导致同步失败。解决方法是在【搜索范围】中选择子树搜索或者单独为深层OU创建多个LDAP配置。4. 配置认证策略与防火墙规则4.1 创建用户组映射将LDAP用户组映射到防火墙本地组进入【用户与认证】→【用户组】点击【新建】选择远程组选择之前创建的LDAP服务器输入域中的组名注意区分大小写设置本地组名建议加前缀如AD_提示可以创建多个组对应不同部门如AD_Finance、AD_HR等4.2 配置认证策略这是控制认证方式的关键步骤进入【安全策略】→【认证策略】新建策略设置流入接口通常选择内网接口源地址建议用all或特定IP段用户选择之前映射的AD组服务选择要认证的服务如HTTP/HTTPS启用认证超时建议2-4小时配置认证门户类型基本认证或SSL VPN门户实测发现对于移动办公场景可以启用持续认证选项这样用户只需在首次访问时认证。4.3 创建防火墙策略最后将用户组应用到访问控制config firewall policy edit 0 set name AD_User_Internet set srcintf internal set dstintf wan1 set srcaddr all set dstaddr all set action accept set schedule always set service ALL set groups AD_Employees set fsso disable set nat enable next end这个策略表示只有AD_Employees组的成员才能通过防火墙访问互联网。可以根据需要细化策略比如限制财务组只能访问特定金融系统市场组可以访问社交媒体但其他部门不行开发组可以访问Git服务器但需要二次认证5. 常见问题排查5.1 认证失败分析当用户反映无法认证时按这个顺序检查网络连通性防火墙能否ping通域控制器相关端口是否开放389/636/88/445LDAP绑定问题在CLI执行diagnose test authserver ldap AD_Company testuser password检查返回的错误代码证书问题SSL连接时确保域控制器证书有效FortiGate信任CA证书链5.2 性能优化技巧当用户数量较多时超过500人建议在LDAP配置中启用缓存设置缓存超时建议15-30分钟限制查询属性避免返回过多用户属性使用多个只读域控制器在FortiGate上配置多个LDAP服务器设置轮询或故障转移合理规划OU结构避免深层嵌套不超过3层按部门或地理位置划分6. 高级配置技巧6.1 双因素认证增强结合域认证可以添加FortiToken移动令牌短信认证证书认证配置方法进入【用户与认证】→【双因素认证】创建新规则并关联AD用户组在防火墙策略中启用双因素要求6.2 基于时间的访问控制比如限制市场部只能在上班时间访问社交媒体config firewall policy edit 0 set name Social_Media_Access set srcintf internal set dstintf wan1 set srcaddr all set dstaddr Facebook Instagram set action accept set schedule work_hours set service HTTP HTTPS set groups AD_Marketing set logtraffic all next end6.3 访客账户处理对于临时访客可以在AD中创建特殊OU配置有限权限设置账号过期时间在FortiGate上单独配置策略这种方案比单独维护访客账号系统更安全便捷。