深信服上網(wǎng)行為管理-基礎(chǔ)訪問(wèn)認(rèn)證介紹

1、深信服上網(wǎng)行為管理基礎(chǔ)訪問(wèn)認(rèn)證介紹培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)認(rèn)證方式介紹1. 了解AC設(shè)備支持的認(rèn)證方式及適用場(chǎng)景認(rèn)證功能配置1.掌握不需要認(rèn)證的配置2.掌握AC設(shè)備用戶名密碼認(rèn)證的配置3.了解AC設(shè)備DKEY認(rèn)證的適用場(chǎng)景和配置4.掌握地址綁定的適用場(chǎng)景和配置密碼認(rèn)證安全性1.掌握如何設(shè)置用戶密碼強(qiáng)度2.掌握如何強(qiáng)制客戶端初次認(rèn)證修改密碼用戶注銷功能介紹1.掌握如何注銷已經(jīng)通過(guò)認(rèn)證的用戶認(rèn)證方式介紹認(rèn)證功能配置深信服公司簡(jiǎn)介SANGFOR AC&SG用戶注銷密碼認(rèn)證安全性認(rèn)證方式介紹認(rèn)證方式介紹概述：認(rèn)證功能主要用于對(duì)經(jīng)過(guò)AC設(shè)備上網(wǎng)的用戶進(jìn)行身份的驗(yàn)證。通過(guò)認(rèn)證功能可識(shí)別內(nèi)網(wǎng)上網(wǎng)用戶的身份，為后續(xù)的

2、流量管理、用戶上網(wǎng)權(quán)限策略及應(yīng)用審計(jì)提供基礎(chǔ)。認(rèn)證方式介紹SANGFORAC/SG認(rèn)證方式LDAP單點(diǎn)登錄（LOGON，ADSSO，IWA，監(jiān)聽(tīng)）不需要認(rèn)證密碼認(rèn)證短信認(rèn)證（短信貓，短信網(wǎng)關(guān)，webservices） DKEY認(rèn)證（認(rèn)證KEY，免審計(jì)KEY）第三方服務(wù)器密碼認(rèn)證本地密碼認(rèn)證微信認(rèn)證（點(diǎn)一點(diǎn)，掃一掃，。）單點(diǎn)登錄數(shù)據(jù)庫(kù)單點(diǎn)登錄WEB單點(diǎn)登錄PPPOE單點(diǎn)登錄第三方設(shè)備單點(diǎn)登錄（銳捷，H3C，城市熱點(diǎn)）POP3單點(diǎn)登錄PROXY單點(diǎn)登錄深信服設(shè)備之間單點(diǎn)登錄 二維碼認(rèn)證本章節(jié)PPT主要介紹不需要認(rèn)證，密碼認(rèn)證和DKEY認(rèn)證認(rèn)證方式介紹 1、不需要認(rèn)證 設(shè)備根據(jù)數(shù)據(jù)包的源IP地址、源

3、MAC地址、上網(wǎng)PC的計(jì)算機(jī)名來(lái)標(biāo)識(shí)用戶。 優(yōu)點(diǎn)：終端用戶上網(wǎng)認(rèn)證的過(guò)程是透明的，不會(huì)感知AC的存在。一般適用于對(duì)認(rèn)證要求不嚴(yán)格的場(chǎng)景 認(rèn)證方式介紹當(dāng)用戶首次通過(guò)AC上網(wǎng)時(shí)，AC會(huì)要求用戶提交用戶名密碼信息，如果用戶提交的用戶名密碼信息和AC本地（或第三方服務(wù)器）一致，則給予認(rèn)證通過(guò)。 一般適用于對(duì)認(rèn)證要求嚴(yán)格，希望上網(wǎng)日志記錄在具體的帳號(hào)上，或希望和客戶現(xiàn)有的第三方服務(wù)器結(jié)合認(rèn)證的場(chǎng)景。 2、密碼認(rèn)證認(rèn)證方式介紹 3、DKEY認(rèn)證 SANGFOR AC&SG提供上網(wǎng)認(rèn)證的DKEY有兩種，綠色的認(rèn)證KEY和紫色的免審計(jì)KEY。如下圖所示。 綠色的是認(rèn)證KEY，提供給來(lái)賓使用，方便來(lái)賓用戶上網(wǎng)。

4、紫色的是免審計(jì)KEY，提供給BOSS使用，不會(huì)審計(jì)上網(wǎng)行為。認(rèn)證功能配置典型應(yīng)用場(chǎng)景與配置不需要認(rèn)證場(chǎng)景DKEY認(rèn)證場(chǎng)景用戶名密碼認(rèn)證場(chǎng)景地址綁定場(chǎng)景 以下通過(guò)案例介紹不需要認(rèn)證，用戶名和密碼認(rèn)證，地址綁定和dkey認(rèn)證四種場(chǎng)景的配置 案例背景某集團(tuán)公司內(nèi)部有辦公區(qū)和公共上網(wǎng)區(qū)， 要求實(shí)現(xiàn)（1）辦公區(qū)用戶上網(wǎng)不能修改IP/MAC地址。（2）公共上網(wǎng)區(qū)則需要輸入賬號(hào)和密碼才能上網(wǎng)，確保網(wǎng)絡(luò)行為能跟蹤到，且認(rèn)證通過(guò)后，自動(dòng)跳轉(zhuǎn)至內(nèi)網(wǎng)服務(wù)器上的公告頁(yè)面（）。（3）總經(jīng)理的上網(wǎng)數(shù)據(jù)要保證安全，不能被審計(jì)。（4）IT部電腦IP不固定，認(rèn)證不受限制。核心交換防火墻總經(jīng)理辦公區(qū)公共上網(wǎng)區(qū)IT部192.168

5、.2.0/24/24/24/24/24解決方案根據(jù)客戶需求，我們可以將AC部署在防火墻與核心交換機(jī)之間，并通過(guò)如下認(rèn)證設(shè)置來(lái)滿足需求：（1）辦公區(qū)用戶采用不需要認(rèn)證，并雙向綁定IP和MAC（2）公共上網(wǎng)區(qū)采用密碼認(rèn)證，設(shè)置用戶名和密碼，并設(shè)置認(rèn)證通后跳轉(zhuǎn)至內(nèi)網(wǎng)服務(wù)器地址（3）總經(jīng)理使用免審計(jì)KEY上網(wǎng)，確保數(shù)據(jù)不被記錄（4）IT部采用不需要認(rèn)證，不綁定任何地址核心交換防火墻總經(jīng)理辦公區(qū)公共上網(wǎng)區(qū)IT部/24/24/24/24/24/24配置思路1、配置認(rèn)證策略 認(rèn)證策略決定了使用某個(gè)IP/網(wǎng)段/MAC地址的計(jì)算機(jī)的認(rèn)證方式。通過(guò)

6、認(rèn)證策略可設(shè)置內(nèi)網(wǎng)用戶的認(rèn)證方式。 2、手動(dòng)新建用戶或者自動(dòng)添加新用戶 新建用戶，可編輯用戶屬性，定義用戶具體的認(rèn)證信息。包括用戶名密碼信息， 啟用DKEY以及IP/MAC綁定等。也可以通過(guò)認(rèn)證策略自動(dòng)添加新用戶 3、配置跨三層MAC識(shí)別 因?yàn)槿龑迎h(huán)境，要綁定終端電腦的IP和MAC，需要配置跨三層MAC識(shí)別才能綁定，如是二層環(huán)境，則無(wú)需此步。AC幾種認(rèn)證方式中，DKEY認(rèn)證在對(duì)應(yīng)的用戶屬性中設(shè)置即可，不需要設(shè)置認(rèn)證策略，且DKEY認(rèn)證的優(yōu)先級(jí)最高。其它認(rèn)證（如不需要認(rèn)證、密碼認(rèn)證、單點(diǎn)登錄，短信認(rèn)證和微信認(rèn)證）這幾種認(rèn)證方式需要到認(rèn)證策略中設(shè)置。場(chǎng)景一配置（辦公區(qū)用戶上網(wǎng)禁止改IP/MAC）1

7、、首先為辦公區(qū)的用戶建一個(gè)用戶組，在【用戶與策略管理】【用戶管理】【組/用戶】中，點(diǎn)新增，選擇【組】，定義組名：辦公區(qū)，設(shè)置完后點(diǎn)提交。 2、配置認(rèn)證策略 新增認(rèn)證策略，選擇認(rèn)證方式，本案例的要求不需要認(rèn)證，并且同時(shí)綁定綁定的IP和MAC地址。在新用戶選項(xiàng)中，自動(dòng)添加新用戶到辦公區(qū)用戶組。定義認(rèn)證策略適用范圍，可以是具體IP，具體MAC，IP范圍或IP段選擇認(rèn)證方式及用戶標(biāo)識(shí)方式，用戶標(biāo)識(shí)可以IP地址，地址或計(jì)算機(jī)名認(rèn)證成功后將用戶添加到指定的組場(chǎng)景一配置（辦公區(qū)用戶上網(wǎng)禁止改IP/MAC）注意 認(rèn)證策略中，針地新用戶（本地組織結(jié)構(gòu)不存在的用戶）有三種處理方法。1、添加到本地。如果是不需要認(rèn)證

8、，或用戶需要和地址綁定，建議選擇此項(xiàng)2、作為臨時(shí)帳號(hào)，不加到本地。如果用戶量很大，如6w以上，則建議選擇此項(xiàng)3、不允許新用戶認(rèn)證。選擇此項(xiàng)，則此認(rèn)證策略所屬的地址范圍內(nèi)的新用戶無(wú)法上網(wǎng) 3、核心交換機(jī)開(kāi)啟SNMP 本場(chǎng)景中，因?yàn)锳C需要綁定終端電腦的IP和MAC，所以需要能獲取到電腦真實(shí)的IP和MAC地址，但電腦的上網(wǎng)的數(shù)據(jù)流是經(jīng)過(guò)核心交換機(jī)轉(zhuǎn)到AC，所以數(shù)據(jù)包的源MAC是核心交換機(jī)的MAC，AC無(wú)法從經(jīng)核心交換機(jī)的流量中獲取終端真實(shí)MAC。 電腦的網(wǎng)關(guān)有電腦真實(shí)的MAC地址，本案例中，電腦的網(wǎng)關(guān)是核心交換 機(jī)，所以AC需要通過(guò)SNMP協(xié)議從核心交換機(jī)獲取終端真實(shí)的MAC。核心交換機(jī)（電腦網(wǎng)關(guān)

9、設(shè)備）需要支持并開(kāi)啟SNMP協(xié)議，SNMP協(xié)議設(shè)置支持所有版本即可。場(chǎng)景一配置（辦公區(qū)用戶上網(wǎng)禁止改IP/MAC）4、設(shè)備配置跨三層MAC識(shí)別 填寫(xiě)的格式為IP/MAC/OID/community（1）IP需要獲取終端電腦真實(shí)mac的設(shè)備，一般是電腦網(wǎng)關(guān)（2）MAC指經(jīng)過(guò)三層交換機(jī)轉(zhuǎn)發(fā)到AC數(shù)據(jù)流的源MAC地址。一般是AClan口下聯(lián)設(shè)備的mac地址（3）OID只有兩個(gè)，.1.2和.2.1.2。默認(rèn)填寫(xiě).1.2，如果此OID不行，再換另一個(gè)（4）community應(yīng)該交換機(jī)配置一致。場(chǎng)景一配置（辦公區(qū)用戶上網(wǎng)禁止改IP/MAC）注意 此案例中，因?yàn)榫W(wǎng)絡(luò)環(huán)境是三層環(huán)境，所以需要配置第3步和第4步

10、。如果是二層環(huán)境，AC收到上網(wǎng)數(shù)據(jù)流的源MAC就是終端電腦真實(shí)的MAC，所以不需要配置第3步和第4步，即可實(shí)現(xiàn)綁定終端電腦的IP和MAC，達(dá)到不能任意修改IP的需求。5、效果展示 場(chǎng)景一配置（辦公區(qū)用戶上網(wǎng)禁止改IP/MAC）1、首先為辦公區(qū)的用戶建一個(gè)用戶組，在【用戶與策略管理】【用戶管理】【組/用戶】中，點(diǎn)新增，選擇【組】，定義組名：公共區(qū)，設(shè)置完后點(diǎn)提交。場(chǎng)景二配置（公共用戶上網(wǎng)需要密碼認(rèn)證） 2、新增用戶名密碼認(rèn)證的用戶，設(shè)置用戶名密碼場(chǎng)景二配置（公共用戶上網(wǎng)需要密碼認(rèn)證）啟用此選項(xiàng)，表示此帳號(hào)為公共帳號(hào)，允許在多個(gè)終端上同時(shí)登錄。如果不啟用，則是私有帳號(hào)，同一時(shí)刻只允許在一個(gè)終端上登

11、錄。注意 此案例中，為了演示，本地密碼認(rèn)證的帳號(hào)采用手動(dòng)創(chuàng)建方式，而在實(shí)際客戶中，密碼認(rèn)證的帳號(hào)很多，手動(dòng)每個(gè)創(chuàng)建麻煩費(fèi)時(shí)，所以采用把密碼認(rèn)證的帳號(hào)按要求格式做成csv表格，一次性導(dǎo)入設(shè)備，如下圖。3、配置認(rèn)證策略：在【用戶與策略管理】【用戶認(rèn)證】【認(rèn)證策略】中，點(diǎn)擊【新增】，如圖，配置完成后點(diǎn)提交。場(chǎng)景二配置（公共用戶上網(wǎng)需要密碼認(rèn)證）4、配置密碼認(rèn)證通過(guò)后，跳轉(zhuǎn)至內(nèi)網(wǎng)服務(wù)器公告頁(yè)面場(chǎng)景二配置（公共用戶上網(wǎng)需要密碼認(rèn)證）注意，認(rèn)證后跳轉(zhuǎn)功能，只對(duì)密碼認(rèn)證有效，其它認(rèn)證方式無(wú)效5、檢查認(rèn)證選項(xiàng)配置，以下選項(xiàng)需要啟用場(chǎng)景二配置（公共用戶上網(wǎng)需要密碼認(rèn)證）6、效果展示 公共區(qū)用戶首次上網(wǎng)時(shí)，會(huì)彈出

12、如下圖所示的portal頁(yè)面，要求提交帳號(hào)驗(yàn)證，認(rèn)證成功后，先跳轉(zhuǎn)至內(nèi)網(wǎng)公告頁(yè)面，如下圖“記住登錄狀態(tài)”功能，當(dāng)認(rèn)證用戶從設(shè)備上自動(dòng)下線注銷后，下次再上網(wǎng)時(shí)，無(wú)需再次輸入用戶名和密碼，直接上線場(chǎng)景二配置（公共用戶上網(wǎng)需要密碼認(rèn)證） 密碼認(rèn)證成功后，先跳轉(zhuǎn)到了內(nèi)網(wǎng)公告頁(yè)面1、使用DKEY認(rèn)證的用戶，需下載并安裝DKEY客戶端場(chǎng)景三配置（總經(jīng)理上多使用DKEY認(rèn)證）場(chǎng)景三配置（總經(jīng)理上多使用DKEY認(rèn)證） 2、新增DKEY認(rèn)證的用戶，手動(dòng)生成DKEY只勾選此項(xiàng)，則是認(rèn)證key同時(shí)勾選此項(xiàng)，則是免審計(jì)key，案例中使用免審計(jì)key設(shè)置DEY的初始密碼點(diǎn)寫(xiě)入DKEY前請(qǐng)先在本機(jī)安裝KEY驅(qū)動(dòng)，如果第一

13、步已安裝dkey客戶端，則不需要再安裝此驅(qū)動(dòng)，因?yàn)閐key客戶端中已打包安裝了dkey驅(qū)動(dòng)3、使用DKEY客戶端進(jìn)行認(rèn)證（1）用戶安裝完DKEY客戶端后，會(huì)在桌面生成圖標(biāo)。 場(chǎng)景三配置（總經(jīng)理上多使用DKEY認(rèn)證）（2）電腦USB接口插入免審計(jì)key，并輸入密碼，如下圖所示 啟用保存密碼，只需要dkey第一次認(rèn)證時(shí)輸入密碼，后續(xù)再認(rèn)證，直接插key即自動(dòng)認(rèn)證，無(wú)需再輸入密碼3、使用DKEY客戶端進(jìn)行認(rèn)證場(chǎng)景三配置（總經(jīng)理上多使用DKEY認(rèn)證）（3）DKEY認(rèn)證成功后，客戶端會(huì)有如下提示場(chǎng)景四配置（IT部使用不需要認(rèn)證上網(wǎng)）1、首先為辦公區(qū)的用戶建一個(gè)用戶組，在【用戶與策略管理】【用戶管理】【組

14、/用戶】中，點(diǎn)新增，選擇【組】，定義組名：IT部，設(shè)置完后點(diǎn)提交。 2、配置認(rèn)證策略 新增認(rèn)證策略，選擇認(rèn)證方式，本案例的要求不需要認(rèn)證，不綁定任何地址。在新用戶選項(xiàng)中，自動(dòng)添加新用戶到IT部用戶組。場(chǎng)景四配置（IT部使用不需要認(rèn)證上網(wǎng)）場(chǎng)景四配置（IT部使用不需要認(rèn)證上網(wǎng)） 3、效果展示 IT部員工通過(guò)AC上網(wǎng)時(shí)，在AC在線用戶管理可以看到用戶已在AC上線。如下圖。密碼認(rèn)證安全性設(shè)置用戶密碼強(qiáng)度設(shè)置密碼強(qiáng)度主要為了滿足對(duì)WEB認(rèn)證用戶的密碼安全的需求。密碼強(qiáng)度限制僅對(duì)私有用戶在客戶端修改密碼有效，管理員在控制臺(tái)建立或修改密碼不受此限制。設(shè)置用戶密碼強(qiáng)度 配置步驟：【用戶與策略管理】【用戶認(rèn)證

15、】【認(rèn)證選項(xiàng)】【其它認(rèn)證選項(xiàng)】按照用戶需求勾選相應(yīng)條目，可復(fù)選。設(shè)置用戶密碼強(qiáng)度客戶端登陸修改密碼：強(qiáng)制客戶端初次認(rèn)證修改密碼應(yīng)用背景：用戶批量導(dǎo)入或者大量加入的時(shí)候，初始密碼是一致的，這樣很不安全，希望終端用戶首次認(rèn)證時(shí)，自行修改密碼解決思路：強(qiáng)制要求用戶初次認(rèn)證時(shí)自行修改密碼。注意事項(xiàng)：1. 僅對(duì)設(shè)備本地密碼認(rèn)證的用戶有效2. 用戶認(rèn)證后會(huì)自動(dòng)跳轉(zhuǎn)到修改密碼窗口，若不修改則無(wú)法上網(wǎng)。配置方法：1. 添加用戶時(shí)：在【用戶與策略管理】【用戶管理】【組/用戶】中，點(diǎn)擊 新增，在【本地密碼】設(shè)置的下方勾選“初次認(rèn)證修改密碼”。強(qiáng)制客戶端初次認(rèn)證修改密碼強(qiáng)制客戶端初次認(rèn)證修改密碼2. 導(dǎo)入用戶時(shí)：【

16、用戶與策略管理】【用戶管理】【用戶導(dǎo)入】，點(diǎn)擊 CSV格式文件導(dǎo)入時(shí)，勾選初次認(rèn)證修改密碼。強(qiáng)制客戶端初次認(rèn)證修改密碼啟用了初次認(rèn)證修改密碼，用戶第一次認(rèn)證通過(guò)后會(huì)跳轉(zhuǎn)到修改密碼頁(yè)面，修改完成后出現(xiàn)如下頁(yè)面：提示：1.此頁(yè)面為靜態(tài)頁(yè)面，不會(huì)自動(dòng)跳轉(zhuǎn)到之前訪問(wèn)的internet頁(yè)面。2.修改密碼后生效可能有30秒的延遲，建議在30秒內(nèi)不要注銷或重新登錄。用戶注銷如何注銷已經(jīng)通過(guò)認(rèn)證的用戶 當(dāng)需要已經(jīng)認(rèn)證成功的用戶從AC下線時(shí)，可以通過(guò)AC網(wǎng)關(guān)控制臺(tái)注銷用戶或在客戶端手動(dòng)注銷來(lái)實(shí)現(xiàn)?？刂婆_(tái)注銷用戶：1. 在線用戶列表強(qiáng)制注銷（不需要認(rèn)證用戶，DKEY用戶，臨時(shí)用戶不能被注銷），（管理員可以通過(guò)此處

17、強(qiáng)制注銷在線用戶，使用比較?。┤绾巫N已經(jīng)通過(guò)認(rèn)證的用戶 2. 無(wú)流量自動(dòng)注銷用戶（適用于所有認(rèn)證類型的用戶，且對(duì)下線實(shí)時(shí)要求不高的用戶， 默認(rèn)是采用這種注銷方式）如何注銷已經(jīng)通過(guò)認(rèn)證的用戶 3. 密碼認(rèn)證用戶，關(guān)閉注銷窗口即下線（只適用于密碼認(rèn)證用戶，且用戶要求實(shí)時(shí)注銷，即電腦關(guān)機(jī)就注銷）如何注銷已經(jīng)通過(guò)認(rèn)證的用戶戶認(rèn)證成功后，自動(dòng)跳轉(zhuǎn)到如下注銷頁(yè)面，用戶可以手動(dòng)點(diǎn)擊頁(yè)面上的“注銷”按鈕完成注銷。終端關(guān)閉此頁(yè)面或手動(dòng)點(diǎn)擊注銷按鈕即可完成自動(dòng)注銷，使用戶下線。如何注銷已經(jīng)通過(guò)認(rèn)證的用戶4. 客戶端手動(dòng)注銷認(rèn)證，通過(guò)輸入http:/ACIP打開(kāi)認(rèn)證和注銷的頁(yè)面，手動(dòng)點(diǎn)擊注銷（只適用于密碼認(rèn)證的用戶和單點(diǎn)登錄的用戶，使用的較少）。如何注銷已經(jīng)通過(guò)認(rèn)證的用戶 5. 定時(shí)強(qiáng)制注銷所有在線用戶功能（適用于所有認(rèn)證類型的