传统网络设备，管理的基本单位是 IP 地址，而 AF 设备管理的基本单位是用户，相比基于 IP 地址的管理来说更直观，也更精确。

要实现基于用户的管理，本系统必须要知道某个 IP 地址上某个时刻是哪个用户在使用的信息，因此需要对上网用户的身份进行认证，从而实现基于用户的上网行为管理。

根据认证方式，可以分为以下几种类型：

用户名/密码

指访问网络前，终端上网用户的浏览器会被重定向到认证页面，要求输入正确的用户名，密码后才能访问网络。密码认证包括本地密码认证以及外部服务器密码认证两种形式。

上网用户输入用户名，密码后，系统会首先在本地用户中检查输入的用户名， 密码是否正确。 如果本地查找不到该用户名，并且配置了外部的认证服务器， 则会尝试到外部的认证服务器上检查用户名，密码是否正确。

注意：只有用户账号上勾选了“本地密码”的账号才属于本地密码认证账号， 没有勾选“本地密码”的情况下，用户名和密码会发送到外部认证服务器进行认证。

单点登录

单点登录：如果组织的网络中已经部署有身份认证系统，则本系统可以跟这些身份认证系统进行结合，以识别出某个 IP 地址上目前正在使用的用户，用户上网时不会再要求先输入用户名/密码，降低对上网用户的影响。

单点登录功能目前支持的类型有：

结合微软 Active Directory 域的单点登录（参见章节 3.7.2.2.1.1）

结合代理服务器的单点登录（参见章节 3.7.2.2.1.2）

结合 POP3 邮件服务器的单点登录（参见章节 3.7.2.2.1.3）

结合 WEB 表单认证的单点登录（参见章节 3.7.2.2.1.4）

基于 IP 地址、MAC 地址、计算机名的识别

根据数据包的源 IP 地址/源 MAC 地址，上网计算机的计算机名来识别用户。此种识别方式，优点是上网用户访问网络前不会在浏览器中弹出认证框要求输入用户名，密码。因此上网用户不会感知到设备的存在；缺点是无法识别出上网用

户具体的用户名，特别是在地址动态分配的环境中，无法把上网行为对应到具体的用户，因此策略就无法针对具体的用户进行精确控制。