下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","常用案例2")}}

常用案例2

更新时间:2022-06-17

企业内网192.168.1.0/255.255.255.0网段的计算机全部采用用户名密码的认证方式,并在工程师组中新增一个用户:工程李,此用户的认证方式是用户名密码认证,并且双向绑定IP/MAC为192.168.1.117/00-0C-29-7F-0B-47(即此用户认证时必须使用此IP/MAC,并且其他用户不能使用此IP/MAC)。

企业需求是:192.168.1.0/255.255.255.0网段的计算机全部采用用户名密码的认证方式。所以首先需要设置这个网段用户的认证方式。

  1. 在[用户认证/认证策略]中设置认证策略,设置此用户的IP或者MAC范围,勾选认证方式为[本地密码认证/外部密码认证/单点登录],设置认证策略前首先需要设置认证区域。如图,本例用以选择内网区做认证为例。

  1. 在[组织结构]中选择需要添加用户的用户组,右边进入管理页面,在[组织成员]窗口中,点击<新增>按钮,然后选择新增类型用户。

  2. 进入[新增用户]窗口。勾选[启用该用户],填写登录名、描述、显示名和当前所属组。

  1. 设置[用户属性],勾选本地密码,在密码:输入用户登录认证的密码。

绑定IP/MAC地址:用于将该用户和IP/MAC地址绑定。此例中需要:双向绑定IP/MAC为192.168.1.117/ 00-0C-29-7F-0B-47(即此用户认证时必须使用此IP/MAC,并且其他用户不能使用此IP/MAC)。

  1. 点击[绑定方式],在弹出的页面中选择[用户和地址双向绑定],勾选[绑定IP和MAC],在输入框中填入192.168.1.117(00-0C-29-7F-0B-47)

由于此用户只绑定了一个IP/MAC地址,所以此用户默认是私有账号。

勾选[密码认证成功后弹出注销窗口],此选项是针对用户名密码认证的用户,在成功登陆后弹出注销页面。

勾选[自动注销指定时间内无流量的已认证用户]:用来设置一个超时时间,用户超过此超时时间没有流量则自动注销该用户。

过期时间:用于设置该用户的过期时间。

  1. 完成用户属性的编辑后,点击<确定>,完成用户的添加。

  2. 对应网段的用户上网时,打开网页,页面重定向到设备的认证页面。输入用户名和密码,点击<登录>。如果用户名密码验证正确且符合绑定的IP条件,则认证通过。

如果用户名密码正确,但登录使用的IP/MAC地址和绑定的IP/MAC不符,则认证不通过,提示如下图所示。

其他用户在此IP/MAC认证,也会提示认证不通过。

:

当[用户认证/认证策略]中设置了某些地址的用户采用不需要认证的认证方式时,用户可以不用输入用户名密码直接上网,此时设备是以IP地址、MAC地址或者计算机名识别用户的。常见的设置是:

1.创建用户时将用户和IP/MAC地址进行双向绑定,因为双向绑定时IP/MAC和用户是一对一的关系,此时可以根据IP/MAC识别到对应的用户。

2.[用户认证/认证策略]中设置不需要认证,并以IP地址或者MAC地址或者计算机名作为用户名。内网用户认证时则根据IP地址或者MAC地址或者计算机名,匹配到对应的用户名。