深信服自助服务平台

物联网接入安全网关SIG

深信服物联网接入安全网关SIG，是专门针对物联网场景研发的IoT终端安全一体化产品，以“精准识别、有效保护”为价值主张，集“IoT资产管理”、“IoT风险发现”、“IoT准入控制”和“IoT安全防护”四大核心能力于一体，为用户提供一站式、自闭环的IoT终端安全管控方案。

搜本产品

点击可切换产品版本

知道了

不再提醒

SIG 6.0.7

{{item.code}}

安装前准备

部署模式

产品手册

产品简介

概览

首页

资产管理

准入控制

入网用户管理

802.1x认证

认证策略

常用认证案例

认证服务器

用户管理

联动对接设置

认证高级选项

准入客户端配置

风险发现

安全防护

网络安全

终端安全

行为监控

流量状态

系统管理

对象定义

网络配置

防火墙

系统配置

告警选项

系统诊断

缩略语

产品升级

web系统升级指导

BBC下发升级任务指导

产品升级后检查

运维管理

日常巡检

设备配置和密码恢复

补丁更新指导

辅助工具使用

常见问题排查

突发事件应急处理

最佳实践

SIG哑终端802.1X准入场景

效果展示

SIG哑终端TCP reset（基于MAC）准入场景

SIG哑终端TCP reset（基于IP）准入场景

方案MAB认证部署案例

方案TCP reset认证部署案例

终端准入管控场景

物联网接入安全网关SIG

常用认证案例

{{sendMatomoQuery("物联网接入安全网关SIG","常用认证案例")}}

常用认证案例

更新时间：2023-05-22

不需要认证

配置案例1：某企业要求内网172.16.221.0/24网段的用户上网认证的过程是透明的，不会感知SIG的存在，用IP标识终端身份，使用不需要认证的方式上线，上线后用户不添加到组织结构，使用“/内部组/”的权限上网。

操作步骤

步骤1.在[准入控制/准入控制/portal认证/认证策略]，点击新增认证策略进行配置，设置认证范围：172.16.221.0/24。

步骤2.设置认证方式：选择不需要认证，用户名：选择以IP地址作为用户名。

步骤3.设置认证后处理：该案例要求认证成功的用户不用添加的组织结构，则不勾选[自动录入用户到本地组织结构]，认证成功后使用“/内部组/”的权限上网，则在[非本地/域用户使用该组上线]中选择“/内部组/”。

步骤4.用户以IP为用户名上线，在线用户列表可以查看用户信息。

不需要认证2

客户要求内网10.10.10.0/24网段的用户使用不需要认证的方式上网，用户认证后以IP为用户名自动添加到组织结构，添加到“/内部组/”，由于内网IP是固定分配的，客户想要通过在SIG上自动绑定IP、MAC的关系，确保内网用户上网不会随便修改IP地址，一旦用户随便修改了IP，则在SIG上认证不通过，无法上网。内网到SIG设备有跨三层交换机。

操作步骤

步骤1.参考配置案例1的步骤1和步骤2。

步骤2.认证后处理：该案例要求认证成功的用户添加到“/内部组/”。

步骤3.[非本地/域用户使用该组上线]：选择“/内部组/”，勾选[自动录入用户到本地组织结构]，勾选[自动录入IP和MAC的绑定关系]。设置完点击<提交>。

步骤4.因为内网到SIG是跨三层的环境，SIG要启用SNMP功能，通过SNMP协议获取交换机上的用户真实MAC，这种场景需要内网交换机支持SNMP功能。在[接入认证/联动对接设置/跨三层取MAC]页面，配置三层交换机的IP、MAC及SNMP信息，详细配置参考跨三层取MAC章节。

步骤5.用户上线时，是以IP用户名认证上线，如下所示。

步骤6.用户认证时的IP/MAC绑定关系自动录入，可以在[IP/MAC绑定]页面进行查询。

本地密码认证

某企业要求对内网172.16.1.0/24网段的用户使用本地密码认证方式，认证成功后自动录入本地用户，并且将用户名和IP自动绑定。

操作步骤

步骤1.首先在[接入管理/本地组/用户]添加用户，自定义登录名、密码。更多添加用户配置可参考新增用户章节。

步骤2.在[准入控制/准入控制/portal认证/认证策略]页面，点击<新增>，添加一条认证策略，勾选启用，用于启用这条认证策略。

步骤3.点击<新增>，添加一条认证策略，勾选启用，用于启用这条认证策略。名称：设置认证策略的名称，描述：设置认证策略的描述信息。

步骤4.设置认证范围：172.16.1.0/24。

步骤5.设置认证方式，选择密码认证，认证服务器选择默认的本地用户。

步骤6.点击<下一步>，配置认证后处理选中允许多人同时使用，自动录入绑定关系选中限制登录和绑定IP，有效期选中永不过期。

步骤7.认证策略设置完毕后点击<提交>，完成并保存设置。

步骤8.效果展示：用172.16.1.35这台终端去访问互联网。

步骤9.填写用户名密码后认证成功，在设备上查看用户上线，设备上查看用户名和IP的绑定信息。

短信快捷登录

短信快捷登录是密码认证的一种，结合短信将手机号和使用密码认证的用户账号绑定，通过获取验证码来完成认证，不需要记住密码。手机快捷登录只支持本地用户，不支持域用户。

操作步骤

步骤1.短信通知服务器（以下以HTTP为例）和短信认证服务器参考短信认证章节。

步骤2.认证策略基本配置：管理员选择密码认证方式，设置IP段范围，认证服务器选择本地用户且勾选短信快捷登录。

手机快捷登录&未绑定手机号&自管理录入手机号

步骤1.访问网页，重定向到认证页面。

步骤2.首次登录，发现手机号没有绑定过账号，点击“立即处理”，进行绑定。

步骤3.输入用户的账号密码。

步骤4.登录后跳转到“个人管理中心”，手机字段显示“未配置”，点击进行配置。

步骤5.输入手机号和验证码进行绑定，点击确认绑定成功在个人中心会有手机信息。

步骤6.绑定完成后，重新认证，输入手机号和获取的验证码，立即上网。

步骤7.在[全网监控/入网用户管理]可以查看用户上线成功的情况。

不允许认证

当需要让某个部门或者某个IP段的人禁止上网的场景时，需要使用不允许认证。

步骤1.设置用户的认证策略，进入[准入控制/portal认证/认证策略]，点击新增认证策略进行配置，设置认证范围，根据需求填写不允许上网的IP或者MAC。

步骤2.设置认证方式，选择不允许认证（禁止上网），勾选禁止上网终端提示页面，禁止上网的同时，期望对用户进行告知，让用户知道当前是不允许上网的。默认情况下不勾选此功能项，请根据实际需求做选择。

步骤3.认证后处理，请根据实际需求勾选相应的功能项，点击<提交>完成配置。

步骤4.效果呈现提示用户禁止上网。