防火墙用户认证配置方法.ppt

用户认证配置方法,（此PPT仅限公司内部使用）,产品部 李海全 2005.9,目 录,第一部分 概述,第二部分 用户认证在防火墙的应用,第三部分 Radius认证的应用,概述,用户认证：本安全网关提供内网用户帐户认证功能，内网用户必须经过身份认证才能使用外网的网络服务，管理员可以监控用户的网络使用情况，并对于访问流量和时间进行控制，用户需要在个人电脑上使用客户端软件进行认证，该软件兼容WIN98/2000/XP/2003系统，支持用户名/口令认证方式和电子钥匙认证方式。Radius认证：RADIUS服务器认证即安全网关与RADIUS服务器联动认证，使用RADIUS服务器的账号库，并支持RADIUS服务器的审计功能，但是仅支持PAP认证协议。也是为了保证合法用户对内部保护服务器或网络资源的使用，限制非法用户和普通用户对服务器资源过于频繁的访问。,本地用户认证,防火墙使用两个端口fe3:公网静态（也可以动态IP地址）内网通过防火墙本地认证后访问外网内网首先通过本地防火墙认证内网pc1安装用户认证软件，通过防火墙来取得认证，再由NAT安全规则后访问外网。,本地用户认证,配置方法：定义网络接口定义策略路由定义用户认证定义安全规则 PC机安装用户认证PC机通过认证访问外网,本地用户认证,定义网络接口 进入防火墙web界面：网络配置-接口IP，点击添加，如下图（按照此方法添加fe1，fe2的IP地址）,本地用户认证,定义策略路由 进入防火墙web界面：网络配置策略路由，点击添加，,本地用户认证,定义用户认证服务器进入防火墙web界面：用户认证服务器定义认证端口,本地用户认证,添加用户组设置认证协议为PAP，添加本组用户，点击添加安全策略表,本地用户认证,添加用户列表名，口令，选中用户所属的用户组，添加安全策略表，点击确认完成,本地用户认证,名称 输入帐号名称，此名称在安全网关上唯一存在。口令 输入口令，可以输入部分特殊字符。确认口令 确认口令是否输入正确所属组 选择用户所属的组，如果用户属于多个组，则用户的在线时间和流量的权限等同于所属组中权限最大的那个组中的定义。可使用服务的权限为所有组中定义的服务的和。,本地用户认证,安全策略表 设置方法等同于用户组中的安全策略表，但是这里的优先级最高，如果此处没有设置安全策略，则该用户的安全策略等同于所属组的安全策略，如果设置，则此处的安全策略优先级高于用户所属组的安全策略。即用户登录的地址和时间段必须满足此处的定义，否则服务器拒绝该帐号的认证请求。启用本帐号 开启，帐号生效。,本地用户认证,定义安全规则进入防火墙web界面：安全策略安全规则，点击添加（）首先添加一条包过滤的安全规则，源地址内网用户到目的地址服务为firewall_auth的规则。（2）其次添加一条NAT的安全规则，源地址内网用户到目的地址any服务为any的规则访问外网。,本地用户认证,点击连接输入用户名和密码,本地用户认证,在PC机上安装用户认证软件双击认证图标 弹出认证客户端窗口点击 菜单设置服务器地址端口9998 确定后点击连接按钮。,本地用户认证,终端用户PC机上点击连接用户认证客户端输入用户名和密码（防火墙认证用户列表中已定义的）连接成功后用户可以访问Internet。如果使用没有定义的用户则无法访问Internet。,本地用户认证,管理员可以监控所有的在线用户，点击“系统监控在线用户”即可,如下图所示：管理员可以强行中断任何一个在线用户，选择其中的复选框，单击“中断”按钮即可。,本地用户认证,请一定注意把安装目录下的文件“auth_client.exe”和“client.conf”拷贝到您的机器上。,Radius用户认证,防火墙使用两个端口Fe1:静内网通过访问防火墙访问外网内网通过Radius服务器认证内网通过NAT后访问外网,Radius用户认证,配置方法：定义网络接口定义策略路由定义Radius服务器认证定义安全规则,Radius用户认证,定义网络接口 进入防火墙web界面：网络配置-接口IP，点击添加，如下图（按照此方法添加fe1，fe2，fe3的IP地址）,Radius用户认证,定义策略路由 进入防火墙web界面：网络配置策略路由，点击添加，,Radius用户认证,定义Radius服务器进入防火墙web界面：用户认证服务器，设置服务器ip地址，认证端口和监听端口。,Radius用户认证,安全规则进入防火墙web界面：安全策略安全规则，添加pc机到radius服务器的认证规则和内网访问外网规则，如下图所示：（注意安全规则的顺序不能随意颠倒）,Radius用户认证,Radius用户认证,谢谢！,