下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","接入账号管理")}}

接入账号管理

更新时间:2023-07-12

[接入账号管理]用于管理VPN接入账号信息,设置允许接入VPN的用户账号、密码、设置账号使用的配置模板、是否启用硬件捆绑鉴权、隧道内NAT、多线路选路策略等用户策略。

点击[全部]后的可以新增分组,填写相应的名称,点击<确定>,完成分组的配置,如下图。

接入账号列表中点击<新增>,可以新增VPN接入账号,可依次设置接入账号的名称、描述、所在分组等信息,如下图所示。

各配置项说明:

选择配置模板:可查看模板设置,也可新增配置模板,以便修改其中的内容,模板中可配置模板名称、加密算法、是否启用多用户登录、用户的内网服务设置、组播服务、Sangfor VPN隧道超时时间等配置。

认证方式:选择用户的认证方式,包括密码认证、证书认证、LDAP认证、Radius认证四种方式。

高级设置:包括用户过期时间、硬件证书捆绑鉴定、隧道内NAT、多线路选路策略等配置。

高级设置/多线路选路策略:当智能选路不匹配时走多线路选路策略,根据实际情况选择建立VPN连接的两端线路数,然后选择主线路数和备线路数,如下图。

配置完成之后,点击<确定>,完成用户相关的配置。

接入账号列表中,可以对接入账号进行删除、启用、禁用、移动到其他分组等操作,页面如下图。

点击<虚拟IP池设置>,创建分支虚拟IP池,分支虚拟IP池中的虚拟IP段提供给分支接入到总部时将分支的原网段替换成虚拟IP池中的一个网段,以解决当两个相同网段的分支同时接入到总部时的内网IP冲突问题。设置时设定虚拟IP的起始IP/子网掩码、网段数、描述,页面如下。

点击<确定>,即可完成虚拟IP池的配置。

点击<更多操作>选择<导入>,可以从本地CSVTXT文件中导入用户信息,也可以导入第三方服务器认证用户,导入后有相应的提示。

 

点击<更多操作>选择<导出>,可以从设备上将用户导出到本地进行保存,导出的用户密码为密文导出,页面如下。

点击<更多操作>选择<配置模板管理>,可以管理接入账号配置模板的界面,如下图。

点击<新增>,可以进行配置模板中加密算法,内网服务设置、组播服务等进行配置。

配置完成点击<确定>,即可保存在配置模板列表中。

隧道内NAT

[隧道内NAT]主要用来解决分支之间内网网段冲突问题,通过在总部设备的[接入账号管理/虚拟IP池设置]的配置,如下图。

在新增接入账号中可以看到是否启用隧道内NAT的功能,如下图。

点击<启用>后,选择配置相应的原IP网段,系统支持两种虚拟IP分配方式:自动分配、手动添加,若虚拟IP池分配空了,可以到[接入账号管理/虚拟IP池设置]进行添加。

配置完成后,点击<确定>即可完成配置。