概述
【简介】很多人都不知道,飞塔防火墙注册后自带两个可用的FortiToken Mobile,可以用它生成验证码,加强管理员或SSL VPN远程登录的安全。
FortiToken 介绍
FortiToken 是一种基于时间同步技术的动态令牌身份认证设备,用于为应用系统提供高安全性的身份认证功能,保护用户的身份认证安全,防止攻击者通过身份盗用、身份冒用以及身份欺诈等方式实施非法操作,损害合法用户的利益。
FortiToken 采用时间同步的OTP技术,OTP全称叫One-time Password,也称动态口令,是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,每个口令只能使用一次,每天可以产生43200个密码。其原理是基于动态令牌和动态口令验证服务器的时间比对,基于时间同步的令牌,一般每60秒产生一个新口令,要求服务器能够十分精确的保持正确的时间,同时对其令牌的晶振频率有严格的要求,这种技术对应的终端是硬件令牌。
动态口令是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态口令就无需定期更换密码,安全省心,这是这项技术的一个额外价值,对企事业内部应用尤其有用。
FortiToken Mobile 是安装在移动设备上的、一次性口令的应用程序。作为Fortinet高安全客户端组件,可简易的、节省成本的实现用户的强认证需求。FortiToken Mobile 与硬件一次性口令功能完全相同,在实现高安全认证的同时,不需要携带硬件设备。
FortiToken Mobile 为终端用户提供快速、简便的安装方式,实现与硬件Token相同的安全级别。与设备绑定,确保Token不会被拷贝到其它设备。种子文件不会在互联网上传输,确保种子文件的高安全性。集中管理实现简便,通过FortiAuthenticator实现低开销的双因素认证解决方案。在超过错误次数后,PIN码自动删除,即使移动设备丢失也可以保证Token安全。支持移动端平台包括:iPhone、iPad、iPod Touch及Android。
FortiToken Mobile 下载
在官网上我们可以找到FortiToken Mobile的安卓版本。
① 打开飞塔支持网站 https://support.fortinet.com ,输入帐号和密码。设备注册的时候也需要这个帐号。没有帐号可以点击【SIGN UP】。
② 登录主界面后,选择【Manage Products】。
③ 选择已经注册的产品序列号。
④ 选择菜单【License & Key】可以看到已经有注册FortiToken Mobile的License,注册的时间是机器注册时间,也就是说设备一注册,就具有FortiToken Mobile功能。
⑤ 选择最上面主菜单【Download】-【Firmware Images】。
⑥ 产品选择【FortiToken】,点击【Download】,点击【FortiTokenMobileAndroid】,苹果版本直接在应用商店可以下载到。
⑦ 官网只有一个版本,点击【HTTPS】进行下载。
⑧ 下载的文件大小不超过5M。
FortiToken Mobile 安装
APK 文件下载后,就可以传送到手机进行安装了,我们可以利用电脑版QQ和手机版QQ进行文件传输。
① 打开电脑版QQ,选择【联系人】- 【我的设备】-【我的Android手机】。
② 点击右下角的文件夹图标,找到刚才下载的APK文件。
③ 选择文件确认后,文件就从电脑上发送到手机上了。
④ 手机上打开QQ,找到我的电脑,可以看到由电脑传到手机上的文件,点击就可以打开安装。
⑤ 点击【安装】。
⑥ 安装完成,点击【打开】。
⑦ FortiToken Mobile 界面很简单,两个选项,扫描选项一般用不上,通常用右边的输入选项。
⑧ 可以手动输入帐号,有飞塔帐号,也有第三方的帐号,一般选择飞塔帐号。
⑨ 在帐号里输入设备注册的飞塔帐号名称,但是第二行输入的不是登录密码,而是一个生成码。下面我们看看怎么找到生成码。
FortiGate 设置
客户端我们已经准备好了,下面就要看看防火墙上怎么配置了。
① 登录防火墙后,点击菜单【用户&设备】-【FortiToken】,可以看到设备默认自带两个可用的软件Token。
② 两个软件Token不够怎么办,花钱买呀,买来后会得到一组激活码,例如上面10个Token会有一个激活码。
③ 新建Token,选择软件Token,输入激活码就可以了。可用的软件Token就增加了10个。
④ 通常双因子认证用在两个地方,一个是管理员帐号,用来登录防火墙,一个是本地用户,用来允许SSL VPN远程登录。点击菜单【系统管理】-【管理员】,我们可以看到管理员都支持双向认证,选择管理员meigang,点击【编辑】。
【提示】为了防火墙的安全,建议默认管理员帐户admin设置比较复杂密码,记录并保存,作为备用帐户,而新建一个管理员帐户作用常用帐户,除了常规密码外再设置双因子认证,这样有两层密码保护,安全性比较高。
⑤ 在管理员编辑界面启用【双因子认证】,选择一个FortiToken,必须在邮件地件或SMS激活选择一样,经过测试,SMS不适合中国大陆的手机号,所以这里选择启用【激活邮件地址】,输入一个邮箱,但是又经过测试,邮件激活设置复杂,成功率很低,我们将绕开这两种激活方式,用一种简单的方式激活。
⑥ 除了管理员帐号,防火墙上用于SSL VPN远程登录等的用户也可以使用双因子认证。点击菜单【用户&设备】-【设置用户】,选择一个用户,点击【编辑】。
⑦ 在用户编辑界面,启用【双向认证】,选择一个Token,输入邮件地址,可以随便输入,因为我们不用它。
⑧ 再回到【用户&设备】-【FortiToken】,随机附带的两个软件Token已经指定用户了。
FortiToken Mobile 激活
用邮件和SMS激活,操作难度都太大了,这里介绍一个简单的激活方法。
① 在防火墙的CLI命令模式下,输入命令 config user fortitoken , 再用show 命令查看,可以看到几个我们熟悉的字符串。
② 第一个字符串 FTKMOB6C9DEEF8700, 是软件Token的序列号。
③ 第二个字符串 FTMTRIAL01718047, 设备注册时生成的ForiToken Mobile License号。
【提示】第三个字符串EEILQHEZDTFSWOR5 就是激活码了。
④ 回到手机上的ForiToken Mobile,帐号输入注册飞塔时的邮箱,第二行输入查询得到的激活码。
⑤ 手机上的ForiToken Mobile激活成功,每过一分钟会随机生成一个只能用一次的6位编码。一台手机只能激活一个ForiToken Mobile。这里有两个可用的号,我们分别用两台手机激活。
FortiToken Mobile 验证
防火墙和手机都配置完成了,我们来测试一下效果。
① 重新登录防火墙,这次用加了双因子认证的meigang管理员帐号登录,和平时一样输入帐户名和密码,点击【登录】。
② 通过第一道密码验证后,出现提示,要求输入令牌口令。打开手机上的FortiToken Mobile,查看即时生成的6位代码,输入到电脑中。由于1分钟产生一个新密码,所以输入密码时不要在时间快到一分钟的时候输入。
③ 在SSL VPN远程登录的时候,登录界面里也只是输入用户帐户及密码。
④ 第一道用户及密码验证通过后,会出现提示输入FortiToken码,打开手机对应的FortiToken Mobile,输入即时生成的6位代理,点击确定后就可以验证通过了。
FortiToken Mobile 删除
当防火墙修改了FortiToken Mobile的使用用户后,FortiToken Mobile生成的验证代码都没有用了,需要再次重次激活。
① 长按显示代码的界面,最上面会弹出Token信息,按最右边三点图标,弹出菜单里选择【Remove token】,就可以删除了。
最后
以上就是务实短靴为你收集整理的【认证篇 / 双因子】(5.6) ❀ 01. FortiToken Mobile 实用配置 ❀ FortiGate 防火墙的全部内容,希望文章能够帮你解决【认证篇 / 双因子】(5.6) ❀ 01. FortiToken Mobile 实用配置 ❀ FortiGate 防火墙所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复