下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","监听模式配置")}}

监听模式配置

更新时间:2022-06-17

监听模式是通过监听PC登录域服务器的数据,从监听到的数据中获取用户登录的信息,从而实现的单点登录。监听模式的单点登陆无需在域服务器上安装任何组件,但要求内网计算机登陆域的数据经过设备或者是通过监听口镜像到设备。设备通过监听UDP 88端口的登陆信息,如果用户成功登陆域,则上网时无法再次通过我们设备的认证,可以直接上网。适用于域服务器在外网和内网情况。下面分两种情况介绍单点登录的设置。

第一种情况:域服务器在内网环境

数据流过程如下:

  1. PC登陆域的整个过程都会被设备监听到。

  1. 如果用户登陆域成功,则自动通过设备认证。

配置步骤

  1. 设置认证AD域服务,点击进入[用户认证/认证选项/外部认证服务器]进行设置。

  1. 在设备上启用单点登录,选择监听模式并设置域服务器的IP地址。点击进入[用户认证/认证选项/单点登录选项/域单点登录]页面进行配置。勾选启用单点登录,启用域单点登录功能。

  2. 勾选[监听计算机登录域的数据,获取登录信息],表示使用监听模式实现单点登录。在[监听的域控制器地址列表]:中输入域服务器的IP和监听端口,如果有多个域服务器,则一行一个IP和端口,如下图所示。

  1. 如果登录数据不经过设备,需要通过设置镜像口,并将镜像口连接到转发登录数据的交换机镜像口上,点击<其他选项>,设置设备的镜像口。镜像口需要设置空闲网口,已经在使用的网口请不要设置成镜像网口。

  1. 设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[用户认证/认证策略/新增认证策略]进行配置。

  2. PC登录域,登录成功后即可上网。

第二种情况:域服务器在WAN口方向

数据流过程如下。

  1. PC登陆域可穿透设备。

  1. 设备的内网接口同时作为监听口,无需再设置监听口。

配置步骤

  1. 设置认证AD域服务,点击进入[用户认证/认证选项/外部认证服务器]进行设置。

  1. 在设备上启用单点登录,选择监听模式并设置域服务器的IP地址。点击进入[用户认证/认证选项/单点登录选项/域单点登录]页面进行配置。

勾选[启用单点登录]:启用域单点登录功能。

勾选[监听计算机登录域的数据,获取登录信息],表示使用监听模式实现单点登录。在[监听的域控制器地址列表]:中输入域服务器的IP和监听端口,如果有多个域服务器,则一行一个IP和端口,如下图所示。

  1. 设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[用户认证/认证策略/新增认证策略]进行配置。

  2. PC登录域,登录成功后即可上网。

:

监听模式只能监听到用户登录的信息,用户注销时没有数据,故无法监听到注销的状态,所以可能会出现PC已经注销了,但设备的在线用户列表中还没有注销此用户。