用户和认证的概念

        用户指的是访问网络资源的主体

• 管理员
• 上网用户---可以直接通过FW访问网络资源的用户·
• 接入用户--通过VPN连接防火墙，访问网络资源的用户

        认证(管理员|接入用户)

• 本地认证---Portal认证--->将认证页面发送给用户，然后由用户在页面上填写相关认证信息
• 服务器认证--防火墙本地不会存储密码信息，而是由防火墙将用户名发送给第三方认证设备。
• 单点登录---访问者直接将账号密码信息发送给第三方服务器；然后服务器把认证结果反馈给防火墙。防火墙不需要参与认证过程。

防火墙的目的---->对网络资源进行保护。----->必须事先对用户的精细化管理。

台账---->使用者姓名、办公室、工位、电脑、计算机型号、设备连接节点、IP地址、MAC地址、电话号...

 

• 认证域
  • 可以理解为“用户组织结构的”容器，一系列用户或用户组的集合。
  • 在一个认证域下，实现相同的认证标准。
  • 防火墙认证域的规划方案：
    • 每个认证域拥有独立的用户账号--->建议第一种。
    • 所有认证域共享default认证域的用户账号--->只有default认证域一个树形组织结构
    • default认证域是设备默认自带的认证域，不能被删除，且名字不能被修改。
• 用户组/用户
  • 按照树形结构在认证域下建立的组织关系。
  • 最多支持20层用户结构。并且，每个用户组可以包含多个用户和用户组。一个用户组只能属于一个父用户组，一个用户也只能属于一个父用户组。

• 安全组
  • 横向的一种安全策略机制。
  • 安全组的定位--->针对不同用户组的用户，可以实现跨维度的用户管控机制。

认证策略

• 条件 --- 防火墙匹配报文的依据 --- 源目安全区域、源目地址信息
• 动作 --- 指的是防火墙对匹配上的流量采用的处理方式
  • 会话认证 --- 特指HTTP业务，FW会推送认证页面
  • 事前认证 --- 非HTTP业务，访问者必须主动访问认证页面
  • 免认证 --- 如果匹配免认证策略，则无需输入用户名/密码，直接可以访问网络资源。但是他不属于“不认证”范畴，因为免认证是存在前提的。也会匹配免认证策略的。
    • 对于企业高级管理者而言，使用免认证。
    • 免认证是指防火墙通过识别IP/MAC和用户的双向绑定关系，确定访问者的身份。即访问者只能使用某个IP或某个MAC来访问网络资源。
  •    单点登录---用户上线不受认证策略控制
  • 不认证 --- 对符合条件的数据流不进行认证 --- 1.不经过防火墙的流量；2.在单点登录场景中。
  • 匿名认证 --- 用户无需输入用户名和密码信息即可完成认证，此时防火墙将用户的IP地址识别为用户身份。

Portal认证

Portal认证是指防火墙或第三方服务器提供的认证页面，来对用户进行认证。

• 内置认证---使用该方式
• 自定义认证 --- 使用自定义时，前提--->企业单独购买并部署portal服务器

FW配置顺序：

1、配置IP及接口划分安全区域

2、默认策略--->修改为允许

[FW]security-policy

[FW-policy-security]default action permit

3、NAT

nat-policy

rule name policy_nat_1

source-zone trust

destination-zone untrust

source-address 192.168.160.0 mask 255.255.255.0

action source-nat easy-ip

4、配置用户认证与管理

 

 

 

 

5、安全策略

a.用户访问流量 trust--->Untrust

b.认证页面流量 Trust---Local