下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","认证策略配置案例2")}}

认证策略配置案例2

更新时间:2022-06-17

内网IP范围为192.168.2.1-192.168.2.255的计算机,自动以新用户添加,认证方式是不需要认证,以计算机名作为用户名并双向绑定MAC地址,新用户自动添加到“/市场部门”组。

  1. 在[用户认证/认证选项/跨三层MAC识别]中设置SNMP跨三层获取MAC的选项。

  1. 在[认证策略]窗口中,点击<新增>按钮。进入[认证策略]的新增窗口。填写上名称描述。

  1. [认证方式]选择[不需要认证/单点登录],勾选[把计算机名字作为用户名]。

  1. [新用户选项]中,勾选[添加到指定的本地组中]并选择用户组“/市场部门/”。

勾选[绑定IP/MAC地址]和[绑定第一次登录的MAC地址,IP不绑定],此例中因为内网是跨三层的,所以需要通过SNMP协议从交换机上获取到MAC地址,在[用户认证/认证选项/跨三层MAC识别]中设置。

  1. 点击<确定>按钮,完成策略编辑。

设备是通过 NETBIOS协议来获取上网计算机的计算机名,可能会出现获取不到计算机名的情况,遇到这种情况请查看一下几点:计算机上是否开启了NETBIOS协议;计算机上是否配置了多IP;计算机上是否有防火墙过滤了NETBIOS协议;网络路径中是否有设备做了NETBIOS协议的过滤。如果获取不到计算机名,则系统会把该计算机当成临时用户,用户名为:Unknown。Computer,且只会在在线用户列表中查看到,不会加到指定的本地组中。

如果上网用户的计算机到设备间,穿越了一台/多台三层交换设备,则因为上网用户的计算机源MAC地址已经被改变,因此无法获取到真正的源MAC地址,此种情况下,可以有以下方式识别出真正的源MAC地址。方法:通过SNMP协议,获取离上网计算机最近的三层交换机(也就是上网计算机指向的网关设备)的ARP表,以获得某个IP地址上真正的源MAC地址。