认证篇(5.6) 01. FortiToken Mobile 实用配置 ❀ 飞塔 (Fortinet) 防火墙

        【简介】很多人都不知道，飞塔防火墙注册后自带两个可用的FortiToken Mobile，可以用它生成验证码，加强管理员或SSL VPN远程登录的安全。

---

  FortiToken 介绍

        FortiToken 是一种基于时间同步技术的动态令牌身份认证设备，用于为应用系统提供高安全性的身份认证功能，保护用户的身份认证安全，防止攻击者通过身份盗用、身份冒用以及身份欺诈等方式实施非法操作，损害合法用户的利益。

        FortiToken 采用时间同步的OTP技术，OTP全称叫One-time Password，也称动态口令，是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合，每个口令只能使用一次，每天可以产生43200个密码。其原理是基于动态令牌和动态口令验证服务器的时间比对，基于时间同步的令牌，一般每60秒产生一个新口令，要求服务器能够十分精确的保持正确的时间，同时对其令牌的晶振频率有严格的要求，这种技术对应的终端是硬件令牌。

        动态口令是一种安全便捷的帐号防盗技术，可以有效保护交易和登录的认证安全，采用动态口令就无需定期更换密码，安全省心，这是这项技术的一个额外价值，对企事业内部应用尤其有用。

      FortiToken Mobile 是安装在移动设备上的、一次性口令的应用程序。作为Fortinet高安全客户端组件，可简易的、节省成本的实现用户的强认证需求。FortiToken Mobile 与硬件一次性口令功能完全相同，在实现高安全认证的同时，不需要携带硬件设备。

      FortiToken Mobile 为终端用户提供快速、简便的安装方式，实现与硬件Token相同的安全级别。与设备绑定，确保Token不会被拷贝到其它设备。种子文件不会在互联网上传输，确保种子文件的高安全性。集中管理实现简便，通过FortiAuthenticator实现低开销的双因素认证解决方案。在超过错误次数后，PIN码自动删除，即使移动设备丢失也可以保证Token安全。支持移动端平台包括：iPhone、iPad、iPod Touch及Android。

  FortiToken Mobile 下载

       在官网上我们可以找到FortiToken Mobile的安卓版本。

        ① 打开飞塔支持网站 https://support.fortinet.com ，输入帐号和密码。设备注册的时候也需要这个帐号。没有帐号可以点击【SIGN UP】。

        ② 登录主界面后，选择【Manage Products】。

        ③ 选择已经注册的产品序列号。

        ④ 选择菜单【License & Key】可以看到已经有注册FortiToken Mobile的License，注册的时间是机器注册时间，也就是说设备一注册，就具有FortiToken Mobile功能。

       ⑤ 选择最上面主菜单【Download】-【Firmware Images】。

       ⑥ 产品选择【FortiToken】，点击【Download】，点击【FortiTokenMobileAndroid】，苹果版本直接在应用商店可以下载到。

       ⑦ 官网只有一个版本，点击【HTTPS】进行下载。

       ⑧ 下载的文件大小不超过5M。

  FortiToken Mobile 安装

        APK 文件下载后，就可以传送到手机进行安装了，我们可以利用电脑版QQ和手机版QQ进行文件传输。

        ① 打开电脑版QQ，选择【联系人】- 【我的设备】-【我的Android手机】。

        ② 点击右下角的文件夹图标，找到刚才下载的APK文件。

        ③ 选择文件确认后，文件就从电脑上发送到手机上了。

        ④ 手机上打开QQ，找到我的电脑，可以看到由电脑传到手机上的文件，点击就可以打开安装。

        ⑤ 点击【安装】。

        ⑥ 安装完成，点击【打开】。

        ⑦ FortiToken Mobile 界面很简单，两个选项，扫描选项一般用不上，通常用右边的输入选项。

        ⑧ 可以手动输入帐号，有飞塔帐号，也有第三方的帐号，一般选择飞塔帐号。

        ⑨ 在帐号里输入设备注册的飞塔帐号名称，但是第二行输入的不是登录密码，而是一个生成码。下面我们看看怎么找到生成码。

  FortiGate 设置

        客户端我们已经准备好了，下面就要看看防火墙上怎么配置了。

        ① 登录防火墙后，点击菜单【用户&设备】-【FortiToken】，可以看到设备默认自带两个可用的软件Token。

        ② 两个软件Token不够怎么办，花钱买呀，买来后会得到一组激活码，例如上面10个Token会有一个激活码。

        ③ 新建Token，选择软件Token，输入激活码就可以了。可用的软件Token就增加了10个。

        ④ 通常双因子认证用在两个地方，一个是管理员帐号，用来登录防火墙，一个是本地用户，用来允许SSL VPN远程登录。点击菜单【系统管理】-【管理员】，我们可以看到管理员都支持双向认证，选择管理员meigang，点击【编辑】。

        【提示】为了防火墙的安全，建议默认管理员帐户admin设置比较复杂密码，记录并保存，作为备用帐户，而新建一个管理员帐户作用常用帐户，除了常规密码外再设置双因子认证，这样有两层密码保护，安全性比较高。

        ⑤ 在管理员编辑界面启用【双因子认证】，选择一个FortiToken，必须在邮件地件或SMS激活选择一样，经过测试，SMS不适合中国大陆的手机号，所以这里选择启用【激活邮件地址】，输入一个邮箱，但是又经过测试，邮件激活设置复杂，成功率很低，我们将绕开这两种激活方式，用一种简单的方式激活。

        ⑥ 除了管理员帐号，防火墙上用于SSL VPN远程登录等的用户也可以使用双因子认证。点击菜单【用户&设备】-【设置用户】，选择一个用户，点击【编辑】。

        ⑦ 在用户编辑界面，启用【双向认证】，选择一个Token，输入邮件地址，可以随便输入，因为我们不用它。

        ⑧ 再回到【用户&设备】-【FortiToken】，随机附带的两个软件Token已经指定用户了。

  FortiToken Mobile 激活

        用邮件和SMS激活，操作难度都太大了，这里介绍一个简单的激活方法。

        ① 在防火墙的CLI命令模式下，输入命令 config user fortitoken , 再用show 命令查看，可以看到几个我们熟悉的字符串。

        ② 第一个字符串 FTKMOB6C9DEEF8700， 是软件Token的序列号。

        ③ 第二个字符串 FTMTRIAL01718047， 设备注册时生成的ForiToken Mobile License号。

        【提示】第三个字符串EEILQHEZDTFSWOR5 就是激活码了。

        ④ 回到手机上的ForiToken Mobile，帐号输入注册飞塔时的邮箱，第二行输入查询得到的激活码。

        ⑤ 手机上的ForiToken Mobile激活成功，每过一分钟会随机生成一个只能用一次的6位编码。一台手机只能激活一个ForiToken Mobile。这里有两个可用的号，我们分别用两台手机激活。

  FortiToken Mobile 验证

        防火墙和手机都配置完成了，我们来测试一下效果。

        ① 重新登录防火墙，这次用加了双因子认证的meigang管理员帐号登录，和平时一样输入帐户名和密码，点击【登录】。

        ② 通过第一道密码验证后，出现提示，要求输入令牌口令。打开手机上的FortiToken Mobile，查看即时生成的6位代码，输入到电脑中。由于1分钟产生一个新密码，所以输入密码时不要在时间快到一分钟的时候输入。

        ③ 在SSL VPN远程登录的时候，登录界面里也只是输入用户帐户及密码。

        ④ 第一道用户及密码验证通过后，会出现提示输入FortiToken码，打开手机对应的FortiToken Mobile，输入即时生成的6位代理，点击确定后就可以验证通过了。

  FortiToken Mobile 删除

        当防火墙修改了FortiToken Mobile的使用用户后，FortiToken Mobile生成的验证代码都没有用了，需要再次重次激活。

        ① 长按显示代码的界面，最上面会弹出Token信息，按最右边三点图标，弹出菜单里选择【Remove token】，就可以删除了。

飞塔技术 - 老梅子   QQ：57389522

---