07 防火墻用戶管理技術(shù)

AAA原理

AAA簡(jiǎn)介

AAA是Authentication（認(rèn)證）、Authorization（授權(quán)）和Accounting（計(jì)費(fèi)）的簡(jiǎn)稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，提供了認(rèn)證、授權(quán)、計(jì)費(fèi)三種安全功能。

• 認(rèn)證：驗(yàn)證用戶是否可以獲得訪問(wèn)權(quán)，確定哪些用戶可以訪問(wèn)網(wǎng)絡(luò)；

• 授權(quán)：授權(quán)用戶可以使用哪些服務(wù)；

• 計(jì)費(fèi)：記錄用戶使用網(wǎng)絡(luò)資源的情況。

AAA常見(jiàn)應(yīng)用場(chǎng)景

通過(guò)RADIUS服務(wù)器實(shí)現(xiàn)用戶上網(wǎng)管理

• 通過(guò)在NAS上配置AAA方案，實(shí)現(xiàn)NAS與RADIUS服務(wù)器的對(duì)接。

• 用戶在客戶端上輸入用戶名和密碼后，NAS可以將這些信息發(fā)送至RADIUS服務(wù)器進(jìn)行認(rèn)證。

• 如果認(rèn)證通過(guò)，則授予用戶訪問(wèn)Internet的權(quán)限。

• 在用戶訪問(wèn)過(guò)程中，RADIUS服務(wù)器還可以記錄用戶使用網(wǎng)絡(luò)資源的情況。

通過(guò)本地認(rèn)證實(shí)現(xiàn)網(wǎng)絡(luò)管理員權(quán)限控制

• 在防火墻上配置本地AAA方案后，當(dāng)網(wǎng)絡(luò)管理員登錄防火墻時(shí)，防火墻將網(wǎng)絡(luò)管理員的的用戶名密碼等信息，與本地配置的用戶名信息進(jìn)行比對(duì)認(rèn)證。

• 認(rèn)證通過(guò)后，防火墻將授予網(wǎng)絡(luò)管理員一定的管理員權(quán)限。

AAA的基本架構(gòu)

AAA的基本架構(gòu)中包括用戶、NAS、AAA服務(wù)器。

• NAS負(fù)責(zé)集中收集和管理用戶的訪問(wèn)請(qǐng)求，現(xiàn)網(wǎng)常見(jiàn)的NAS設(shè)備有交換機(jī)、防火墻等；

• AAA服務(wù)器負(fù)責(zé)集中管理用戶信息。

NAS基于域來(lái)對(duì)用戶進(jìn)行管理，每個(gè)域都可以配置不同的認(rèn)證、授權(quán)和計(jì)費(fèi)方案，用于對(duì)該域下的用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。

• 每個(gè)用戶都屬于某一個(gè)域。用戶屬于哪個(gè)域是由用戶名中的域名分隔符@后的字符串決定。例如，如果用戶名是User1@Domain1，則用戶屬于Domain1域；如果用戶名后不帶有@，則用戶屬于系統(tǒng)缺省域。

• 在NAS上會(huì)創(chuàng)建多個(gè)域來(lái)管理用戶，不同的域可以關(guān)聯(lián)不同的AAA方案；當(dāng)收到用戶接入網(wǎng)絡(luò)的請(qǐng)求時(shí)，NAS會(huì)根據(jù)用戶名來(lái)判斷用戶所在的域，根據(jù)該域?qū)?yīng)的AAA方案對(duì)用戶進(jìn)行管控。

認(rèn)證

防火墻支持的三種認(rèn)證方式：

• 不認(rèn)證：完全信任用戶，不對(duì)用戶身份進(jìn)行合法性檢查。鑒于安全考慮，這種認(rèn)證方式很少被采用。

• 本地認(rèn)證：將本地用戶信息（包括用戶名、密碼和各種屬性）配置在NAS上，此時(shí)NAS就是AAA Server。本地認(rèn)證的優(yōu)點(diǎn)是處理速度快、運(yùn)營(yíng)成本低；缺點(diǎn)是存儲(chǔ)信息量受設(shè)備硬件條件限制。這種認(rèn)證方式常用于對(duì)用戶登錄設(shè)備進(jìn)行管理，如Telnet，F(xiàn)TP等。

• 遠(yuǎn)端認(rèn)證：將用戶信息（包括用戶名、密碼和各種屬性）配置在認(rèn)證服務(wù)器上。支持通過(guò)RADIUS協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證。NAS作為客戶端，與RADIUS服務(wù)器服務(wù)器進(jìn)行通信。

授權(quán)

授權(quán)表示用戶可以使用哪些業(yè)務(wù)，如公共業(yè)務(wù)以及敏感業(yè)務(wù)等。

防火墻支持的授權(quán)方式有：不授權(quán)、本地授權(quán)、遠(yuǎn)端授權(quán)。授權(quán)內(nèi)容包括：用戶組、VLAN、ACL編號(hào)等。

計(jì)費(fèi)

防火墻支持的AAA計(jì)費(fèi)方式有：不計(jì)費(fèi)，遠(yuǎn)端計(jì)費(fèi)。

計(jì)費(fèi)功能用于監(jiān)控授權(quán)用戶的網(wǎng)絡(luò)行為和網(wǎng)絡(luò)資源的使用情況。

計(jì)費(fèi)主要的含義有三個(gè)：

• 用戶用多長(zhǎng)時(shí)間；

• 用戶花了多少錢；

• 用戶做了哪些操作。

AAA常用技術(shù)方案

目前華為設(shè)備支持基于RADIUS、HWTACACS、LDAP或AD來(lái)實(shí)現(xiàn)AAA，在實(shí)際應(yīng)用中，RADIUS最為常用。

RADIUS協(xié)議概述

AAA可以通過(guò)多種協(xié)議來(lái)實(shí)現(xiàn)，在實(shí)際應(yīng)用中，最常使用RADIUS協(xié)議。

RADIUS是一種分布式的、客戶端/服務(wù)器結(jié)構(gòu)的信息交互協(xié)議，能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問(wèn)的干擾，常應(yīng)用在既要求有較高安全性、又允許遠(yuǎn)程用戶訪問(wèn)的各種網(wǎng)絡(luò)環(huán)境中。

該協(xié)議定義了基于UDP（User Datagram Protocol）的RADIUS報(bào)文格式及其傳輸機(jī)制，并規(guī)定UDP端口1812、1813分別作為默認(rèn)的認(rèn)證、計(jì)費(fèi)端口。

RADIUS協(xié)議的主要特征如下：

• 客戶端/服務(wù)器模式

• 安全的消息交互機(jī)制

• 良好的擴(kuò)展性

RADIUS有時(shí)也會(huì)使用1645、1646分別作為默認(rèn)的認(rèn)證、計(jì)費(fèi)端口。

AAA實(shí)現(xiàn)協(xié)議 - RADIUS認(rèn)證流程

LDAP簡(jiǎn)介

LDAP是輕量級(jí)目錄訪問(wèn)協(xié)議的簡(jiǎn)稱，LDAP基于C/S架構(gòu)。

LDAP服務(wù)器負(fù)責(zé)對(duì)來(lái)自應(yīng)用服務(wù)器的請(qǐng)求進(jìn)行認(rèn)證，同時(shí)還指定用戶訪問(wèn)的資源范圍等。

LDAP定義了多種操作來(lái)實(shí)現(xiàn)LDAP的各種功能，其中可以利用LDAP的綁定和查詢操作來(lái)實(shí)現(xiàn)用戶的認(rèn)證和授權(quán)功能。

應(yīng)用場(chǎng)景：網(wǎng)絡(luò)接入設(shè)備和LDAP服務(wù)器對(duì)接，利用LDAP的綁定和查詢操作來(lái)實(shí)現(xiàn)用戶的認(rèn)證和授權(quán)功能。

LDAP目錄

目錄是一組具有類似屬性、以一定邏輯和層次組合的信息。LDAP協(xié)議中目錄是按照樹型結(jié)構(gòu)組織，目錄由條目（Entry）組成，條目是具有區(qū)別名DN的屬性集合。屬性由類型和多個(gè)值組成。

• CN（Common Name，通用名稱）：表示對(duì)象名稱。

• DC（Domain Controller，域控制器）：表示對(duì)象所屬的區(qū)域，一般一臺(tái)LDAP服務(wù)器即為一個(gè)域控制器。

• DN（Distinguished Name，區(qū)別名）：對(duì)象的位置，從對(duì)象開始逐層描述到根區(qū)別名，例如User2的DN為“CN=User2，OU=HR，OU=People，DC=HUAWEI，DC=COM”。

• Base DN：根區(qū)別名。

• OU （Organization Unit，組織單元）：表示對(duì)象所屬的組織。

LDAP認(rèn)證流程

認(rèn)證流程描述如下：

• 用戶輸入用戶名/密碼發(fā)起登錄請(qǐng)求，防火墻和LDAP服務(wù)器建立TCP連接；

• 防火墻以管理員DN和密碼向LDAP服務(wù)器發(fā)送綁定請(qǐng)求報(bào)文用以獲得查詢權(quán)限；

• 綁定成功后，LDAP服務(wù)器向防火墻發(fā)送綁定回應(yīng)報(bào)文；

• 防火墻使用用戶輸入的用戶名向LDAP服務(wù)器發(fā)送用戶DN查詢請(qǐng)求報(bào)文；

• LDAP服務(wù)器根據(jù)用戶DN進(jìn)行查找，如果查詢成功測(cè)發(fā)送查詢回應(yīng)報(bào)文；

• 防火墻使用查詢到的用戶DN和用戶輸入的密碼向LDAP服務(wù)器發(fā)送用戶DN綁定請(qǐng)求報(bào)文，LDAP服務(wù)器查詢用戶密碼是否正確；

• 綁定成功后，LDAP服務(wù)器發(fā)送綁定回應(yīng)報(bào)文；

• 授權(quán)成功后，防火墻通知用戶登錄成功。

防火墻用戶認(rèn)證及應(yīng)用

用戶組織架構(gòu)及分類

用戶組織架構(gòu)及管理

用戶是網(wǎng)絡(luò)訪問(wèn)的主體，是防火墻進(jìn)行網(wǎng)絡(luò)行為控制和網(wǎng)絡(luò)權(quán)限分配的基本單元。用戶組織架構(gòu)中涉及三個(gè)概念：

• 認(rèn)證域：用戶組織結(jié)構(gòu)的容器，防火墻缺省存在default認(rèn)證域，用戶可以根據(jù)需求新建認(rèn)證域；

• 用戶組/用戶：用戶按樹形結(jié)構(gòu)組織，用戶隸屬于組（部門）。管理員可以根據(jù)企業(yè)的組織結(jié)構(gòu)來(lái)創(chuàng)建部門和用戶；

• 安全組：橫向組織結(jié)構(gòu)的跨部門群組。當(dāng)需要基于部門以外的維度對(duì)用戶進(jìn)行管理可以創(chuàng)建跨部門的安全組。例如企業(yè)中跨部門成立的群組。

系統(tǒng)默認(rèn)有一個(gè)缺省認(rèn)證域，每個(gè)用戶組可以包括多個(gè)用戶和用戶組。每個(gè)用戶組只能屬于一個(gè)父用戶組，每個(gè)用戶至少屬于一個(gè)用戶組，也可以屬于多個(gè)用戶組。

認(rèn)證域：

• 認(rèn)證域是認(rèn)證流程中的重要環(huán)節(jié)，認(rèn)證域上的配置決定了對(duì)用戶的認(rèn)證方式以及用戶的組織結(jié)構(gòu)；

• 對(duì)于不同認(rèn)證方式的用戶，認(rèn)證域的作用不盡相同。

用戶分類

管理員

• 管理員用戶指通過(guò)Telnet、SSH、Web、FTP等協(xié)議或通過(guò)Console接口訪問(wèn)設(shè)備并對(duì)設(shè)備進(jìn)行配置或操作的用戶。

上網(wǎng)用戶

• 上網(wǎng)用戶是網(wǎng)絡(luò)訪問(wèn)的標(biāo)識(shí)主體，是設(shè)備進(jìn)行網(wǎng)絡(luò)權(quán)限管理的基本單元；

• 設(shè)備通過(guò)對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證，從而獲取用戶身份，并針對(duì)用戶的身份進(jìn)行相應(yīng)的策略控制。

接入用戶

• 外部網(wǎng)絡(luò)中訪問(wèn)網(wǎng)絡(luò)資源的主體，如企業(yè)的分支機(jī)構(gòu)員工和出差員工；

• 接入用戶需要先通過(guò)SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到防火墻，然后才能訪問(wèn)企業(yè)總部的網(wǎng)絡(luò)資源。

用戶認(rèn)證流程

管理員認(rèn)證登錄方式

管理員主要為了實(shí)現(xiàn)對(duì)設(shè)備的管理、配置和維護(hù)，登錄方式可以分為：

• Console：Console接口提供命令行方式對(duì)設(shè)備進(jìn)行管理，通常用于設(shè)備的第一次配置，或者設(shè)備配置文件丟失，沒(méi)有任何配置。當(dāng)設(shè)備系統(tǒng)無(wú)法啟動(dòng)時(shí)，可通過(guò)Console口進(jìn)行診斷或進(jìn)入BootRom進(jìn)行升級(jí)；

• Web：終端通過(guò)HTTP/HTTPS方式登錄到設(shè)備進(jìn)行遠(yuǎn)程配置和管理；

• Telnet：Telnet是一種傳統(tǒng)的登錄方式，通常用于通過(guò)命令行方式對(duì)設(shè)備進(jìn)行配置和管理；

• FTP：FTP管理員主要對(duì)設(shè)備存儲(chǔ)空間里的文件進(jìn)行上傳和下載；

• SSH：SSH提供安全的信息保障和強(qiáng)大的認(rèn)證功能，在不安全的網(wǎng)絡(luò)上提供一個(gè)安全的“通道”，此時(shí)，設(shè)備作為SSH服務(wù)器。

管理員認(rèn)證方式 - SSH

SSH（Secure Shell）安全外殼協(xié)議是建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議，避免數(shù)據(jù)的明文傳輸。SSH可靠性高，是專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用 SSH 協(xié)議可以有效防止遠(yuǎn)程管理過(guò)程中的信息泄露問(wèn)題。

SSH安全驗(yàn)證方式：

• 基于口令的安全驗(yàn)證

• 基于密鑰的安全驗(yàn)證

簡(jiǎn)單說(shuō)，SSH是一種網(wǎng)絡(luò)協(xié)議，用于計(jì)算機(jī)之間的加密登錄。如果一個(gè)用戶從本地計(jì)算機(jī)，使用SSH協(xié)議登錄另一臺(tái)遠(yuǎn)程計(jì)算機(jī)，我們就可以認(rèn)為，這種登錄是安全的，即使被中途截獲，密碼也不會(huì)泄露。

SSH基于口令的安全驗(yàn)證登錄步驟：

• 用戶發(fā)起登陸請(qǐng)求；

• 遠(yuǎn)程主機(jī)將自己的公鑰返回給請(qǐng)求主機(jī)；

• 請(qǐng)求主機(jī)使用公鑰對(duì)用戶輸入的密碼進(jìn)行加密；

• 請(qǐng)求主機(jī)將加密后的密碼發(fā)送給遠(yuǎn)程主機(jī)；

• 遠(yuǎn)程主機(jī)使用私鑰對(duì)密碼進(jìn)行解密；

• 最后，遠(yuǎn)程主機(jī)判斷解密后的密碼是否與用戶密碼一致，一致則登錄成功。

SSH基于密鑰的安全驗(yàn)證登錄步驟：

• 用戶主機(jī)生成密鑰對(duì)，并將公鑰導(dǎo)入遠(yuǎn)程主機(jī)；

• 用戶發(fā)起登陸請(qǐng)求；

• 遠(yuǎn)程主機(jī)向用戶返回一個(gè)隨機(jī)串；

• 用戶所在主機(jī)使用私鑰對(duì)這個(gè)隨機(jī)串進(jìn)行加密，并將加密的隨機(jī)串返回至遠(yuǎn)程主機(jī)；

• 遠(yuǎn)程主機(jī)使用導(dǎo)入進(jìn)來(lái)的公鑰對(duì)加密隨機(jī)串進(jìn)行解密；如果解密成功，就證明用戶的登陸信息是正確的，則允許登陸。

上網(wǎng)用戶認(rèn)證方式

• 單點(diǎn)登錄：此種方式適用于部署防火墻用戶認(rèn)證功能之前已經(jīng)部署認(rèn)證系統(tǒng)的場(chǎng)景。

• 內(nèi)置Portal認(rèn)證：此種方式適用于通過(guò)防火墻對(duì)用戶進(jìn)行認(rèn)證的場(chǎng)景。

• 用戶自定義Portal認(rèn)證：目前存在兩種類型的自定義Portal認(rèn)證，即：防火墻參與認(rèn)證以及防火墻不參與認(rèn)證。

• 用戶免認(rèn)證：免認(rèn)證是指用戶無(wú)需輸入用戶名、密碼，但是防火墻可以獲取用戶和IP的對(duì)應(yīng)關(guān)系，從而實(shí)現(xiàn)用戶管理。

內(nèi)置Portal認(rèn)證 - 會(huì)話認(rèn)證

會(huì)話認(rèn)證是用戶不主動(dòng)進(jìn)行身份認(rèn)證，先進(jìn)行HTTP業(yè)務(wù)訪問(wèn)，在訪問(wèn)過(guò)程中進(jìn)行認(rèn)證。認(rèn)證通過(guò)后，再進(jìn)行業(yè)務(wù)訪問(wèn)。

當(dāng)防火墻收到用戶的第一條HTTP業(yè)務(wù)訪問(wèn)數(shù)據(jù)流時(shí)，將HTTP請(qǐng)求重定向到認(rèn)證頁(yè)面，觸發(fā)訪問(wèn)者身份認(rèn)證。認(rèn)證通過(guò)后，就可以訪問(wèn)HTTP業(yè)務(wù)以及其他業(yè)務(wù)。

內(nèi)置Portal認(rèn)證 - 事前認(rèn)證

事前認(rèn)證是指訪問(wèn)者在訪問(wèn)網(wǎng)絡(luò)資源之前，先主動(dòng)進(jìn)行身份認(rèn)證，認(rèn)證通過(guò)后，再訪問(wèn)網(wǎng)絡(luò)資源。

用戶主動(dòng)向防火墻提供的認(rèn)證頁(yè)面發(fā)起認(rèn)證請(qǐng)求。防火墻收到認(rèn)證請(qǐng)求后，對(duì)其進(jìn)行身份認(rèn)證。認(rèn)證通過(guò)后，就可以訪問(wèn)Internet。

接入用戶認(rèn)證方式

接入用戶認(rèn)證指的是對(duì)各類VPN接入用戶進(jìn)行認(rèn)證。

包含SSL VPN、L2TP VPN、IPSec VPN、PPPoE

SSL VPN

用戶在外網(wǎng)通過(guò)SSL VPN撥入防火墻，實(shí)現(xiàn)訪問(wèn)內(nèi)網(wǎng)資源的需求。

SSL VPN是以HTTPS為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間，在Internet基礎(chǔ)上提供機(jī)密性的安全協(xié)議。主要提供業(yè)務(wù)有Web代理、網(wǎng)絡(luò)擴(kuò)展、文件共享和端口轉(zhuǎn)發(fā)。

SSL協(xié)議通信的握手步驟如下：

• SSL客戶端向SSL服務(wù)器發(fā)起連接，并要求服務(wù)器驗(yàn)證自身的身份；

• 服務(wù)器通過(guò)發(fā)送自身的數(shù)字證書證明身份；

• 服務(wù)器發(fā)出一個(gè)請(qǐng)求，對(duì)客戶端的證書進(jìn)行驗(yàn)證；

• 驗(yàn)證通過(guò)后，協(xié)商用于加密的消息加密算法和用于完整性檢查的哈希函數(shù)。通常由客戶端提供它支持的所有算法列表，然后由服務(wù)器選擇最強(qiáng)大的加密算法；

• 客戶端和服務(wù)器通過(guò)以下步驟生成會(huì)話密鑰：

• 客戶端生成一個(gè)隨機(jī)數(shù)，并使用服務(wù)器的公鑰（從服務(wù)器證書中獲?。?duì)它加密，以送到服務(wù)器上；

• 服務(wù)器用隨機(jī)數(shù)據(jù)（客戶端的密鑰可用時(shí)則使用客戶端密鑰，否則以明文方式發(fā)送數(shù)據(jù)）響應(yīng)；

• 使用哈希函數(shù)從隨機(jī)數(shù)據(jù)中生成密鑰。

如上圖所示，某企業(yè)在網(wǎng)絡(luò)邊界處部署了防火墻作為VPN接入網(wǎng)關(guān)，連接內(nèi)部網(wǎng)絡(luò)與Internet。出差員工通過(guò)SSL VPN接入到防火墻后，使用網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)訪問(wèn)網(wǎng)絡(luò)資源。

認(rèn)證流程總結(jié)

用戶認(rèn)證策略

認(rèn)證策略

認(rèn)證策略用于決定防火墻需要對(duì)哪些數(shù)據(jù)流進(jìn)行認(rèn)證，匹配認(rèn)證策略的數(shù)據(jù)流必須經(jīng)過(guò)防火墻的身份認(rèn)證才能通過(guò)。缺省情況下，防火墻不對(duì)經(jīng)過(guò)自身的數(shù)據(jù)流進(jìn)行認(rèn)證，僅認(rèn)證匹配認(rèn)證策略的數(shù)據(jù)流。如果經(jīng)過(guò)防火墻的流量匹配了認(rèn)證策略將觸發(fā)如下動(dòng)作：

• 會(huì)話認(rèn)證：用戶訪問(wèn)HTTP業(yè)務(wù)時(shí)，如果數(shù)據(jù)流匹配了認(rèn)證策略，防火墻會(huì)推送認(rèn)證頁(yè)面要求訪問(wèn)者進(jìn)行認(rèn)證；

• 事前認(rèn)證：用戶訪問(wèn)非HTTP業(yè)務(wù)時(shí)必須主動(dòng)訪問(wèn)認(rèn)證頁(yè)面進(jìn)行認(rèn)證，否則匹配認(rèn)證策略的業(yè)務(wù)數(shù)據(jù)流將被防火墻禁止；

• 免認(rèn)證：用戶訪問(wèn)業(yè)務(wù)時(shí)，如果匹配了免認(rèn)證的認(rèn)證策略，則無(wú)需輸入用戶名、密碼直接訪問(wèn)網(wǎng)絡(luò)資源。防火墻根據(jù)用戶與IP/MAC的綁定關(guān)系來(lái)識(shí)別用戶；

• 單點(diǎn)登錄：?jiǎn)吸c(diǎn)登錄用戶上線不受認(rèn)證策略控制，只有當(dāng)用戶業(yè)務(wù)流量匹配認(rèn)證策略才進(jìn)行策略管控。

以下流量即使匹配了認(rèn)證策略也不會(huì)觸發(fā)認(rèn)證：

• 訪問(wèn)設(shè)備或設(shè)備發(fā)起的流量；

• DHCP、BGP、OSPF、LDP報(bào)文；

• 觸發(fā)認(rèn)證的第一條HTTP業(yè)務(wù)數(shù)據(jù)流對(duì)應(yīng)的DNS報(bào)文不受認(rèn)證策略控制，用戶認(rèn)證通過(guò)上線后的DNS報(bào)文受認(rèn)證策略控制。

認(rèn)證策略組成信息

認(rèn)證策略是多個(gè)規(guī)則的集合。認(rèn)證策略規(guī)則由條件和動(dòng)作組成，條件指的是防火墻匹配報(bào)文的依據(jù)，包括：

• 源/目的安全區(qū)域

• 源地址/地區(qū)

• 目的地址/地區(qū)

動(dòng)作指的是防火墻對(duì)匹配到的數(shù)據(jù)流采取的處理方式，包括：

• Portal認(rèn)證：對(duì)符合條件的數(shù)據(jù)流進(jìn)行Portal認(rèn)證。

• 短信認(rèn)證：對(duì)符合條件的數(shù)據(jù)流進(jìn)行短信認(rèn)證，要求用戶輸入短信驗(yàn)證碼。

• 免認(rèn)證：對(duì)符合條件的數(shù)據(jù)流進(jìn)行免認(rèn)證，防火墻通過(guò)其他手段識(shí)別用戶身份。主要應(yīng)用于以下情況：

• 對(duì)于企業(yè)的高級(jí)管理者，防火墻通過(guò)用戶與IP/MAC地址的綁定關(guān)系來(lái)識(shí)別該數(shù)據(jù)流所屬的用戶；

• 在AD/RADIUS單點(diǎn)登錄的場(chǎng)景中，防火墻已經(jīng)從其他認(rèn)證系統(tǒng)中獲取到用戶信息，對(duì)單點(diǎn)登錄用戶的業(yè)務(wù)流量進(jìn)行免認(rèn)證。

• 不認(rèn)證：對(duì)符合條件的數(shù)據(jù)流不進(jìn)行認(rèn)證，主要應(yīng)用于以下情況：

• 不需要經(jīng)過(guò)防火墻認(rèn)證的數(shù)據(jù)流

• 在AD/RADIUS單點(diǎn)登錄的場(chǎng)景中，如果待認(rèn)證的訪問(wèn)者與認(rèn)證服務(wù)器之間交互的數(shù)據(jù)流經(jīng)過(guò)防火墻，則要求不對(duì)這類數(shù)據(jù)流進(jìn)行認(rèn)證。

• 防火墻上存在一條缺省的認(rèn)證策略，所有匹配條件均為任意（any），動(dòng)作為不認(rèn)證。

用戶認(rèn)證配置

上網(wǎng)用戶認(rèn)證 - 配置流程

配置用戶/用戶組：設(shè)備實(shí)施基于用戶/用戶組的管理之前，必須先創(chuàng)建用戶/用戶組。設(shè)備支持管理員手動(dòng)配置、本地導(dǎo)入和服務(wù)器導(dǎo)入多種創(chuàng)建方式。

手動(dòng)配置組/用戶：

• 防火墻上默認(rèn)存在default認(rèn)證域，可以在其下級(jí)創(chuàng)建用戶/組，如果需要規(guī)劃其他認(rèn)證域的組織結(jié)構(gòu)請(qǐng)先配置認(rèn)證域；

• 當(dāng)需要根據(jù)企業(yè)組織結(jié)構(gòu)創(chuàng)建用戶組時(shí)，并基于用戶組進(jìn)行網(wǎng)絡(luò)權(quán)限分配等管理時(shí)，該步驟必選；

• 當(dāng)對(duì)用戶進(jìn)行本地密碼認(rèn)證時(shí)，必須要在本地創(chuàng)建用戶，并配置本地密碼信息。

本地導(dǎo)入：

• 支持將CSV格式的文件導(dǎo)入設(shè)備。

服務(wù)器導(dǎo)入：

• 網(wǎng)絡(luò)中，使用第三方認(rèn)證服務(wù)器的情況非常多，很多公司的網(wǎng)絡(luò)都存在認(rèn)證服務(wù)器，認(rèn)證服務(wù)器上存放著所有用戶和用戶組信息。從認(rèn)證服務(wù)器上批量導(dǎo)入用戶是指通過(guò)服務(wù)器導(dǎo)入策略，將認(rèn)證服務(wù)器上用戶信息導(dǎo)入到設(shè)備上。

配置認(rèn)證選項(xiàng)包含全局參數(shù)、單點(diǎn)登錄及定制認(rèn)證頁(yè)面三部分內(nèi)容的配置。

上網(wǎng)用戶認(rèn)證配置舉例

需求描述：

• 某企業(yè)在網(wǎng)絡(luò)邊界處部署了防火墻作為出口網(wǎng)關(guān)，連接內(nèi)部網(wǎng)絡(luò)與Internet。企業(yè)內(nèi)部網(wǎng)絡(luò)中的員工均動(dòng)態(tài)獲取IP地址。內(nèi)部員工訪問(wèn)網(wǎng)絡(luò)資源之前必須通過(guò)防火墻的認(rèn)證；

• 內(nèi)部員工使用瀏覽器訪問(wèn)某個(gè)Web頁(yè)面，防火墻會(huì)將瀏覽器重定向到認(rèn)證頁(yè)面。認(rèn)證通過(guò)后，瀏覽器的界面會(huì)自動(dòng)跳轉(zhuǎn)到先前訪問(wèn)的Web頁(yè)面。

配置思路：

• 完成基本網(wǎng)絡(luò)配置：包括配置防火墻各接口的IP地址，將防火墻各接口加入相應(yīng)的安全區(qū)域及缺省路由配置；

• 創(chuàng)建認(rèn)證策略：設(shè)置匹配條件以及認(rèn)證動(dòng)作；

• 配置認(rèn)證域：場(chǎng)景選擇“上網(wǎng)行為管理”，用戶所在位置選擇“本地”；

• 在本地域中新建用戶組及用戶名密碼，提供給內(nèi)部員工認(rèn)證時(shí)使用；

• 配置安全策略：讓內(nèi)部員工認(rèn)證時(shí)可以訪問(wèn)認(rèn)證頁(yè)面，完成認(rèn)證并上網(wǎng)。

此處配置流程中的安全策略作用是允許訪問(wèn)者訪問(wèn)認(rèn)證頁(yè)面，其他業(yè)務(wù)相關(guān)安全策略請(qǐng)根據(jù)實(shí)際情況設(shè)置。

創(chuàng)建認(rèn)證策略，選擇“對(duì)象 > 用戶 > 認(rèn)證策略 > 新建”。

配置本地認(rèn)證，選擇“對(duì)象 > 用戶 > default”。

創(chuàng)建用戶組，選擇“對(duì)象 > 用戶 > default > 新建”。

創(chuàng)建用戶，選擇“對(duì)象 > 用戶 > default > 新建”。