下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","认证策略")}}

认证策略

更新时间:2023-10-12

开启了用户认证,则认证区域的所有计算机上网前,都必须经过用户认证,以识别上网计算机的身份。[认证策略]决定了某个IP/网段/MAC地址上计算机的认证方式。通过[认证策略]设置内网用户的认证方式,以及新用户添加的策略。

管理员可以对所有的认证策略进行删除操作、批量编辑、启用和禁用、导入、上移/下移等操作,也能进行过滤选择。

 认证策略界面说明

字段名称

说明

新增策略

认证策略列表页面,可点击新增一条新的认证策略。

删除策略

认证策略列表页面,可点击删除相应的策略。

编辑/批量编辑

在认证策略列表页面,勾选需要编辑的认证策略,点击认证策略名称,设备会弹出认证策略的编辑页面,修改选中策略的相关信息。

批量编辑:勾选多个自定义的认证策略,可编辑策略的适用对象,其他信息不可以修改。

导入

支持认证策略的导入,点击导入,选中需要导入的认证策略文件,即可进行导入。

启用/禁用

选中已禁用的策略,点击启用,该策略即可生效,选中已启用的策略,点击禁用,该策略会失效。

上移/下移

由于策略是自上而下进行匹配,所以可以选中相应的策略,点击上移或者下移,或自定义移动,来进行优先匹配策略。

 

认证策略是从上往下逐条匹配的,可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。

认证方式

设备的认证方式有以下几种:

  1. 不需要认证;
  1. 密码认证(包括本地密码认证和外部服务器认证);
  2. 单点登录;以上几种认证方式是由[认证策略]设置决定的,其中单点登录还需要在认证选项中进行设置。

[认证策略]的认证方式有三种选择:不需要认证/单点登录、本地密码认证/外部密码认证/单点登录、必须使用单点登录。

这三种认证方式中都包含有单点登录的认证方式,如果在[认证选项]中配置了单点登录,则通过单点登录功能识别出某计算机上用户的用户名后,会优先使用该用户名上网。

不需要认证/单点登录

选择此种认证方式:如果[认证选项]中配置了单点登录,则通过单点登录功能识别出某计算机上用户的用户名后,会优先使用该用户名上网。

没有单点登录认证的情况下,设备根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户。不需要认证的识别方式,优点是用户上网前浏览器中不会弹出认证框,要求输入用户名,密码才能上网。因此上网用户不会感知到设备的存在。

创建不需要认证的用户是方式:

[认证策略]中设置不需要认证,创建用户时将用户和IP/MAC地址进行双向绑定,因为双向绑定时IP/MAC和用户是一对一的关系,此时可以根据IP/MAC识别到对应的用户。(注意[认证策略]中设置的IP/MAC范围需要包含绑定的IP/MAC)。

[认证策略]中设置不需要认证,并以IP地址或者MAC地址或者计算机名作为用户名。内网用户认证时则根据IP地址或者MAC地址或者计算机名,匹配到对应的用户名。

本地密码认证/外部密码认证/单点登录

开启了用户认证,并选择此种认证方式:

没有单点登录认证或者单点登录不成功的情况下,用户上网时的认证流程如下。

步骤1.浏览器会被重定向到用户名,密码输入页面,要求用户输入正确的用户名密码后才能上网。假设输入的用户名为:test,密码为:password

步骤2.系统尝试从本地用户中查找是否有test这个用户,如果存在该用户,并且该用户具有本地密码(也就是用户属性中,勾选了本地密码),则检查该用户的本地密码是否为password,如果密码正确,则认证成功,否则,认证失败。

步骤3.如果本地用户不存在test用户,或者虽然存在该用户,但该用户并没有设定本地密码。则系统会尝试到外部认证服务器上去检查用户名,密码是否正确。如果用户名密码正确,则认证成功,否则,认证失败。

认证的顺序是先本地认证,再外部认证。

必须使用单点登录

勾选此项时,强制要求策略中指定的地址范围必须使用单点登录才能通过上网认证。

步骤1.对指定的网段设置认证策略为:必须使用单点登录

步骤2.[认证选项]中,开启单点登录,如果是域单点登录的话还需要在域服务器上进行设置。

步骤3.通过设置[例外的用户],排除一部分用户无需使用单点登录认证,通过手动输入用户名,密码的方式完成上网认证。

新用户处理方式:

新用户是指设备中不存在的用户。对于这些新用户,设备会以IPMAC地址匹配到[认证策略],根据[认证策略/新用户选项]判断是否自动添加新用户。

通过设备认证的用户可以自动添加。包括:[认证策略]选择不需要认证,新用户选择以IP地址作为用户名或者以MAC地址作为用户名或者以计算机名作为用户名;单点登录用户;外部密码认证用户。

根据需要管理员可以设置三种新用户处理方式:添加到指定的本地组中、仅作为临时账号,不添加到本地用户列表中、不允许新用户认证。

选择认证区域

在设置认证策略前,首选需要设置针对哪些区域开启认证。

步骤1.勾选[开启用户认证]按钮;

步骤2.选择需要认证的区域。

点击<确定>,即完成认证区域的选择。

一般情况下,选择内网口所在的区域作为认证区域即可。定义区域的时候也按内网口,外网口区域定义。例如ETH2口为WAN口,ETH1口为非WAN口。那么就可以定义ETH2口为外网区,ETH1口为内网区。