We use cookies to ensure that we give you the best experience on our website.

FortiGate 的 SSL-VPN 是否已经停产?影响、原因和未来替代方案的解释

很多人可能想知道,“FortiGate 的 SSL-VPN 真的会停止吗?”和“它不再可用了吗?”

近年来,Fortinet一直致力于解决与FortiGate SSL-VPN功能相关的多个严重漏洞,有些人甚至谈到“废除SSL-VPN”和“建议迁移到IPsec VPN”。

尤其

  • SSL-VPN漏洞问题
  • 由于 FortiOS 更新导致规格发生变化
  • Fortinet 官方建议配置更改

由于这些原因,它主要吸引了企业网络管理员的关注。

在本文中,我们将以通俗易懂的方式解释 FortiGate SSL-VPN 停产的传闻是否属实、背后的原因、影响以及未来的替代方案。

FortiGate 的 SSL-VPN 并不是简单地立即废除,而是逐渐停止支持并删除功能。

特别重要的一点是,“SSL-VPN隧道模式”将从FortiOS 7.6.3及更高版本中删除。

Fortinet 官方发行说明也明确指出不再支持 SSL VPN 隧道模式,并建议迁移到 IPsec VPN。

日程

Fortinet 官网发布了“废除 SSL-VPN”的信息页面,其中显示了以下时间表。

  • EOES(新错误修复结束):2027 年 5 月 11 日
  • EOS(所有支持结束):2028 年 11 月 11 日
  • SSL-VPN 停用的建议截止日期:直到 2027 年 5 月左右

FortiGate 不再作为 SSL-VPN 的原因

Fortinet 停止并减少 FortiGate 的 SSL-VPN 的最大原因是“漏洞风险不断增加”和“VPN 本身的局限性”日益恶化。

尤其是 FortiGate 的 SSL-VPN 已被世界各地的企业广泛使用,但也继续成为网络攻击的目标。

Fortinet 本身也从 FortiOS 7.6.3 开始弃用 SSL-VPN 隧道模式,并建议迁移到 IPsec VPN 或 ZTNA。

1、SSL-VPN漏洞频发。

最大的原因是SSL-VPN中多次发现严重漏洞。

此前,FortiGate SSL-VPN:

  • 身份验证绕过
  • 任意代码执行(RCE)
  • 会话劫持
  • 凭证信息泄露

已报告了许多严重的漏洞。

特别是,VPN 设备通常直接暴露在互联网上,这使得它们很容易成为攻击者的目标。

事实上,FortiGate SSL-VPN 经常被用作勒索软件攻击的入口点,给公司和 Fortinet 都带来了巨大的负担。

2. SSL/TLS机制过于复杂

SSL-VPN 基于 Web 浏览器中使用的 SSL/TLS 技术。

然而,近年来,

  • 加密技术的进步
  • 增加库依赖性
  • 认证功能变得更加复杂

软件结构变得极其复杂。

飞塔官方也有

  • 软件库复杂性
  • 组件交互
  • 维护/审计困难

被认为是停止 SSL-VPN 的原因。

换句话说,主要原因是安全维护的难度太高了。

3. VPN作为“外围防御”已经达到极限

传统的 SSL-VPN 通常设计为在 VPN 连接后允许广泛访问公司网络。

但现在,

  • 零信任
  • 最小权限访问
  • 应用程序级身份验证

已成为主流。

飞塔也一样

  • ZTNA(零信任网络访问)
  • IPsec VPN

该公司正在放弃“开放整个网络的 VPN 模式”。

4.补丁运行负载过大

每次发现漏洞时,SSL-VPN 都需要紧急更新,这给企业 IT 部门带来了沉重的负担。

就连飞塔官方

  • 频繁的紧急固件更新
  • 需要立即修补
  • 暂停运营风险

等被认为是有问题的。

此外,由于VPN设备难以阻止,因此出现了许多延迟更新和攻击的情况。

5. Fortinet 本身建议迁移到 IPsec VPN

Fortinet 明确了从 FortiOS 7.6.3 开始废除 SSL-VPN 隧道模式并迁移到 IPsec VPN 的政策。

另外,在 Fortinet 官方

  • EOES(新错误修复结束):2027 年 5 月 11 日
  • EOS(所有支持结束):2028 年 11 月 11 日

提供了时间表。

因此,目前使用 FortiGate SSL-VPN 的公司

  • IPsec VPN 迁移
  • MFA强化
  • ZTNA导入
  • VPN 公共范围限制

修订工作进展迅速。

FortiGate SSL-VPN 终止的影响

如果 FortiGate 的 SSL-VPN 停止或支持结束,将对当前使用 SSL-VPN 的公司产生各种影响。

尤其是,快速响应非常重要,因为这可能对远程工作环境和外部访问环境产生重大影响。

1. 无法远程访问的可能性

最大的影响是无法从公司外部连接到内部网络的风险。

目前,在使用 FortiGate SSL-VPN 的环境中,

  • 远程工作
  • 商务出差访问
  • 外包连接
  • 外部电脑连接

在很多情况下,这是通过 SSL-VPN 完成的。

因此,即使在停止 SSL-VPN 后,如果不采取迁移支持,远程访问本身也可能变得无法使用。

2.您需要更改您的VPN客户端

停止 SSL-VPN 后,

  • IPsec VPN
  • 中泰通讯社

您将需要转向另一种方法。

结果,

  • VPN 软件重新分发
  • 更改连接设置
  • 更改员工终端设置
  • 更改移动设备设置

有时需要进行大规模的客户端修改工作。

对于拥有大量地点和用户的公司来说,影响尤其大。

3. 操作规则需重新审视

传统的 SSL-VPN 通常具有允许在连接到 VPN 后广泛访问公司网络的配置。

但随着ZTNA和未来将成为主流的零信任,

  • 每用户控制
  • 每个应用程序访问
  • 最小权限访问

因此,有必要重新审视访问权限设计。

换句话说,很多情况下需要“重构内部访问设计本身”,而不是简单地迁移到VPN。

4、会产生系统迁移成本

由于SSL-VPN的废除,

  • 新VPN环境构筑
  • 添加许可证
  • ZTNA导入
  • MFA导入
  • 网络重新设计

可能会产生以下费用:

特别是在引入ZTNA或SASE时,存在必须审查云安全基础设施的情况,甚至中小型企业也会受到影响。

5.安全性可显着提高

另一方面,废除SSL-VPN也有提高安全性的好处。

近年来,SSL-VPN

  • 勒索软件入口点
  • 身份验证绕过攻击
  • 会话劫持
  • 脆弱性悪用

等成为目标。

所以,

  • 中泰通讯社
  • 艺术硕士
  • IP限制
  • 应用程序级身份验证

在某些情况下,通过引入VPN等VPN,与传统VPN相比可以提高安全性。

6. 早期迁移准备很重要

飞塔已经

  • SSL-VPN隧道模式被废除
  • 推荐 IPsec VPN
  • ZTNA推进

我们正在继续。

因此,目前使用 FortiGate SSL-VPN 的公司

  • 检查 FortiOS 版本
  • 利用中SSL-VPN构成确认
  • IPsec VPN 验证
  • ZTNA考虑
  • MFA导入

尽早进行非常重要。

特别是更新FortiOS时,存在SSL-VPN突然不可用的风险,因此提前检查很有必要。

FortiGate SSL-VPN 退役后的替代方案

在停止FortiGate的SSL-VPN之后,迁移到“IPsec VPN”、“ZTNA(零信任网络访问)”、“SASE”等将是有效的替代方案。

特别是近年来,越来越多的公司开始转向“零信任访问管理”,而不是简单的 VPN 连接。

在这里,我们将解释 FortiGate SSL-VPN 停产后正在考虑的典型替代方案。

1. 迁移到 IPsec VPN

IPsec VPN 通常是最实用的替代方案。

Fortinet 本身推荐 IPsec VPN 作为 SSL-VPN 的替代方案。

IPsec VPN 的优点

  • 通讯速度高
  • 高稳定性
  • 跨基地VPN能力强
  • 比SSL-VPN更容易限制攻击目标
  • 与 FortiGate 良好的兼容性

尤其

  • 总公司⇔分公司
  • 分支机构到基地 VPN
  • 始终连接

IPsec VPN 广泛应用于

注意点

另一方面,

  • 初始设置有点复杂
  • 需要更改客户端设置
  • 基于浏览器的连接很困难

还有其他一些事情需要记住。

然而,由于 FortiGate 环境很容易按原样使用,因此它成为许多公司的第一个迁移候选者。

2.迁移到ZTNA(零信任网络访问)

ZTNA(零信任网络访问)近年来受到特别关注。

Fortinet 也在大力推广“FortiZTNA”。

ZTNA的特点

传统VPN

  • 连接到您的整个公司网络

中泰通讯社

  • 仅允许必要的应用程序
  • 基于用户的身份验证
  • 还要检查设备状态

换句话说,它是一个“只允许必要的最小访问量”的系统。

ZTNA 的好处

  • 比 VPN 更安全
  • 强力抵御勒索软件
  • 不要透露整个公司
  • 易于与 MFA 结合
  • 兼容云端使用

特别是在专注于远程工作的公司中,ZTNA 的引入正在迅速增加。

3.引入SASE(安全访问服务边缘)

SASE 越来越多地被大公司使用。

什么是 SASE?

  • VPN
  • 中泰通讯社
  • SWG
  • CASB
  • 防火墙

这是一个集成了云服务的安全模型,例如

Fortinet 也在开发“FortiSASE”。

SASE 的好处

  • 擅长以云为中心的环境
  • 即使在海外基地也能轻松使用
  • 用于远程工作
  • 减少VPN依赖
  • 易于集中管理

尤其

  • 微软365
  • 谷歌工作区
  • SaaS中心环境

现在与SASE的兼容性非常好。

4.加强MFA(多重身份验证)

MFA(多重身份验证)在任何迁移目的地都很重要。

在SSL-VPN时代,很多公司只使用ID+密码进行操作。

但现在,

  • 一次性密码
  • 认证应用程序
  • 生物特征认证

将这些结合起来是常见的做法。

越来越多的公司正在结合 Fortinet 正版 MFA 产品,例如 FortiToken。

5.小型企业越来越多地采用混合配置

在中小企业中,

  • IPsec VPN
  • 一部ZTNA
  • MFA强化

将两者结合起来的“混合行动”也越来越多。

突然过渡到完全零信任的成本会很高,所以

第一的,

  • IPsec 迁移
  • 逐步引入ZTNA

许多公司正在进行这种转变。

概括

FortiGate SSL-VPN 的停产并不意味着一切都会突然变得无法使用,但 Fortinet 已经在减少 SSL-VPN 并迁移到 IPsec VPN 和 ZTNA。

尤其是近年来,出现了一系列针对SSL-VPN的严重漏洞和勒索软件攻击,Fortinet本身也在做出重大政策改变,例如在FortiOS 7.6.3及更高版本中废除SSL-VPN隧道模式。

因此,对于目前使用 FortiGate SSL-VPN 的公司来说,

  • 检查 FortiOS 版本
  • 检查SSL-VPN使用状态
  • IPsec VPN 验证
  • 考虑引入 ZTNA
  • MFA强化

尽快进行非常重要。

另外,从现在开始,不再是简单的 VPN 连接,

  • 零信任
  • 每个应用程序的访问控制
  • 多重身份验证 (MFA)

人们认为,结合以下内容的安全配置将成为主流。

尤其是现在远程工作和云使用量不断增加,可以说我们正在从“连接公司网络的VPN”转向“只允许安全使用必要的服务”的时代。

对于运营 FortiGate SSL-VPN 的公司来说,现在就为逐步过渡做好准备非常重要,而不是在支持结束之前惊慌失措。

Related articles