【认证篇 / 本地】(7.0) ❀ 01. 本地用户认证 ❀ FortiGate 防火墙

已于 2022-08-02 09:13:38 修改
阅读量2.8k 收藏 5
点赞数 3
分类专栏: # 本地
于 2022-05-17 12:33:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/124814387
版权

  【简介】FortiGate防火墙的作用是用来抵御外网的攻击,但是也可以用来限制内网的访问权限,除了用IP地址进行限制外,也可以用用户认证来进行限制访问。最常用的就是本地用户认证。

 用户组与用户

  在实际应用场景中经常会有这种情况,某些员工(比如经理、IT人员)可以无限制的上网,而某些员工(财务、生产部门)只能在休息时间上网,如何通过防火墙区别这些员工呢?我们可以为员工建立帐号,上网时必须通过帐号进行认证,就可以解决这个问题了。

  ① 选择菜单【用户与认证】-【用户组】,点击【新建】。

  ② 输入新的组名,类型默认选择【防火墙】,点击【确认】。这里给两个不同上网时间的用户分别建立用户组,可以全部上网的用户分配给Full-Time用户组。

  ③ 同样的方法创建部分时间上网的用户组,输入组名,类型默认选择【防火墙】,点击【确认】。

  ④ 这样就成功的创建了两个新用户组,注意他们的关联项,现在都是0,说明这个用户组是空的,里面没有用户。下一步就要创建新的用户了。

  ⑤ 选择菜单【用户与认证】-【设置用户】,点击【新建】。

  ⑥ 用户类型默认选择【本地用户】,点击【下一步】。

  ⑦ 登录凭证输入新建的用户名和密码,用户名虽然可以用中文,但是不建议,一来在输入的时候麻烦,二来数据迁移的时候中文会显示乱码。点击【下一步】。

  ⑧ 双因子认证通常要配合FortiToken使用,也就是象银行的U盾一样,要输入两次密码,一次是静态的,一次是动态的。这里我们保持不启用状态,点击【下一步】。

  ⑨ 用户帐户状态默认为【启用】。由于我们已经建立好用户组,所以这里点击启用【用户组】,将张三加入Full-Time用户组,点击【提交】。

  ⑩ 再用同样的方法创建李四用户,交将李四加入Part-Time用户组。

  ⑾ 再次回到用户组菜单,可以看到用户组的成员里已经有了用户的信息。当然这里只是演示性的加了一个用户,你可以按实际情况加入多个用户。

  时间与策略

  创建好用户组与用户后,就要创建时间限制了。

  ① 选择菜单【策略&对象】-【计划任务】,点击【新建】-【计划任务】。

  ② 类型保持【循环】,输入名称Full-Time,由于是全天上网,所以周一到周日都有选择,周末加班也是有可能的。只是时间我们限制为上午8点到晚上12点。其它时间不允许。点击【确认】。

  ③ 用同样的方法再创建一个Part-Time,只是限定周一到周五,时间为中午12点到2点,通常这是上班族的午休时间。

  ④ 回到计划任务菜单,可以看到已经创建了两个不同的时间表。

  ⑤ 选择菜单【策略&对象】-【防火墙策略】,点击【新建】。

  ⑥ 输入策略名称,选择流入和流出接口,通常流入接口是内网接电脑的接口,流出接口是外网接宽带的接口。源地址选择all,注意这里除了地址外,还需要选择用户,也就是我们前面建立的Full-Time用户组。这样经过这条策略的用户在上网前,需要通过用户验证。

  ⑦ 目标地址和服务都选择【ALL】,计划任务选择【Full-Time】,通过这条策略验证后上网的用户,拥有上班时间上网的权限。

  ⑧ 与我们熟悉的上网策略相比,多了一个用户限制和一个时间限制。

  ⑨ 用相同的方法再创建一条只能午休时间上网的策略。

  ⑩ 当有相同的流入接口和流出接口时,策略会根据从向往下匹配的顺序执行,所以策略的顺序也很重要,可以点击策略最左边并拖动来改变策略的顺序。

  效果与真相

  新的问题来了,如果即有限制策略,又有不限制策略,即使不限制策略放在最底部,限制策略还会起作用吗?下面我们来测试一下。

  ① 象这样如果有三条策略,两条在源地址处加入了用户进行限制,一条是没有加入用户进行限制,而且是放在最下端,我们看看会怎么样。

  ② 很遗憾,第一、二条策略没有起作用,上网正常。

  ③ 我们将第三条允许上网策略的状态设置为【禁用】。

  ④ 再次打开网页,这次切换到了防火墙的认证页面。输入用户名和密码。

  ⑤ 验证没有通过,原来是用户名是区分大小写的,重输入正确大小写的用户名,点击【Continue】。

  ⑥ 这次验证通过。只是当前页面显示报错。没有关系,关闭这个页面,访问其它网页,可以正常上网了。

  ⑦ 选择菜单【仪表板】-【用户与设备】,点击【防火墙用户】,可以看到已经登录的张三的信息。

  ⑧ 如果要取消该用户的认证,只需要在用户上点击鼠标右键,弹出菜单选择【解除验证】即可。

  强制认证

  前面的配置方法,在用户上网时经常会出现没有认证提示而又打不开网页的情况,或是很久才会出现认证提示,还有一个方法可以强制快速打开认证提示。

  ① 选择菜单【网络】-【接口】,编辑内网接口。

  ② 在网络选项下启用【安全模式】,默认为【Cative Portal】,组户访问选择【组限制】,在用户组中加入我们定议的两个用户组。点击【确认】。

  ③ 再次打开网页,很快的出现了认证提示,这次我们输入李四的帐号和密码,注意用户名是区分大小写的。很快验证通过,可以上网了。

  ④ 防火墙上也可以看到李四的登录信息。由于是中午12点多,李四登录后可以正常上网。2点以后登录,就不能上网了。

飞塔老梅子
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
AAA配置采用本地方式进行认证和授权
qq_28776313的博客
05-31 576
1.1配置本地服务器 配置本地用户:创建本地用户,设备根据创建的用户信息对本地用户进行认证。 配置授权规则:在设备上创建相应的授权规则,本地授权时可以根据创建的授权规则对用户授权。 1.2配置并应用AAA方案 配置AAA方案:业务方案中也可以配置用户的授权信息。 配置业务方案(可选):业务方案中也可以配置用户的授权信息。 在域下应用AAA方案:创建好的AAA方案和业务方案需要绑定到用户所属域下才能生效。
CVE-2022-40684 Fortinet(飞塔)身份验证绕过漏洞
江左盟的博客
10-31 5009
FortiSwitchManager产品的管理界面中,可以通过使用备用路径或通道绕过身份验证,并在未经认证的情况下通过特制的HTTP或HTTPS请求对管理界面进行操作。
认证 / 本地】(7.0) 02. 无线 Guest 用户免输密码 FortiGate 防火墙
防火墙技术专栏
05-17 2511
FortiGate防火墙可以管理FortiAP,并且可以创建不同的SSID,为了安全考虑,都需要通过密码验证后才能使用无线,但是有的时候公共场所想让客户不用输入密码就能直接上网,能办到吗?
教程(5.4) 05. 防火墙验证 FortiGate 基础 Fortinet 网络安全专家 NSE 4
防火墙技术专栏
11-17 4065
在这节课中将向你展示如何在FortiGate防火墙策略上使用身份验证。 在完成这一课程之后,你应该了解防火墙认证的机制,并具备配置防火墙身份验证所需的实际技能。 传统的防火墙通过对源IP地址和设备进行身份验证来授予网络访问权。这是不充分的,并且可能会带来安全风险,因为防火墙不能确定谁在使用准予访问的设备。  FortiGate包括用户用户组的认证。因此,你可以在多个设备上跟踪个人。  访问由...
实验2:基于防火墙用户认证.docx
10-24
企业的网络管理员希望利用FW提供的用户管理与认证机制,将内部网络中的IP地址识别为用户,为实现基于用户的网络行为控制和网络权限分配提供基础。具体需求如下: 1. 在FW上存储用户和部门的信息,体现公司的组织结构,供策略引用。 2. 研发部员工和市场部员工访问网络资源之前必须通过FW的认证。 3. 对于来访客户,访问网络资源之前必须通过FW的认证,并且只能使用特定的用户Guest来进行认证。 4. 访问者使用会话认证的方式来触发认证过程,即访问者使用IE浏览器访问某个Web页面,FW会将IE浏览器重定向到认证页面。认证通过后,IE浏览器的界面会自动跳转到先前访问的Web页面。
[笔记] FortiGate防火墙使用自建SSL证书
wendr的博客
10-16 1802
SSL - 运维 第二章 FortiGate防火墙使用自建SSL证书
【安全 / 入侵防御】(6.0) 02. 防范Log4j远程代码执行漏洞攻击 FortiGate 防火墙
防火墙技术专栏
12-15 1862
  【简介】近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。 Log4j远程代码执行漏洞   Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。IT之家获悉,由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。  ..
教程(7.2) 04. 防火墙身份验证 & FortiGate安全 Fortinet网络安全专家 NSE4
防火墙技术专栏
02-14 2038
在本节课中,你将学习如何在FortiGate防火墙策略上使用身份验证
飞塔防火墙策略设置
Fisher_start的博客
09-07 5302
飞塔防火墙策略设置
FortiGate Security7.0配置手册.rar
06-11
FortiGate Security7.0配置手册.rar
飞塔FortiGate Security7.0认证培训中文PPT
12-09
飞塔FortiGate Security7.0认证培训中文PPT
FortiGate飞塔防火墙简明配置指南.pdf
09-29
FortiGate飞塔防火墙简明配置指南.pdf
FortiGate NSE4 Security 安全 7.0全套中文课件教程
06-07
FortiGate_Sec_05_防火墙认证.pdf FortiGate_Sec_06_日志记录和监控.pdf FortiGate_Sec_07_证书操作.pdf FortiGate_Sec_08_网页过滤.pdf FortiGate_Sec_09_应用控制.pdf FortiGate_Sec_10_防病毒.pdf FortiGate_Sec_...
Fortigate防火墙安全加固手册.doc
05-17
FortiGate V5.6飞塔防火墙 纯手打安全加固手册,亲手实施,编写文档。供大家参考,不足之处请指出
web用户登录界面设计_华为防火墙USG6000V新建角色用户进行web登录
weixin_39672194的博客
12-09 717
今天来谈一下华为的防火墙6000v的一个web登录的问题。一般来说图形界面是比较友好的,也好理解。有时候我们可以给网络管理员部分权限,让他用另外一个用户名进行登录。类似于电脑操作系统的用户角色。我们可以新建一个角色,给这个角色分配权限,然后再建一个用户,把这个用户绑定这个角色。这个用户登录以后就是拥有咱们新建的这个角色的权限了。操作举例如下1配置登录接口。[FW1]interface g1/0/6...
将 Fortinet 连接到
sinolover的专栏
12-27 562
本文介绍了如何将 Fortinet 设备连接到 Azure Sentinel。Fortinet 数据连接器可让你轻松地将 Fortinet 日志连接到 Azure Sentinel,查看仪表板、创建自定义警报和改进调查。使用 Azure 上的 Fortinet 可以更深入地了解组织的 Internet 使用情况,并增强其安全性操作功能。 工作原理 需要在专用 Linux 计算机(VM 或本...
FortiGate防火墙修改会话默认的超时时间
叫我小火柴
02-11 2225
通过命令行设置FortiGate防火墙默认超时时间,可以基于全局,基于策略或者基于定义的某个端口
FortiGate调用Azure SAML Group不匹配,报错显示
叫我小火柴
02-17 2734
本文主要介绍FortiGate未从Azure上获取group-id的attributes属性参数,导致组不匹配的问题处理方法。
使用LDAP读取微软活动目录上用户帐号cn值,实现FortiGate防火墙***用户远程认证...
weixin_34388207的博客
02-02 405
在第一次使用AD创建用户时,”姓名”栏 后 即为cn值,一旦创建完就无法修改 如上面创建的是 wu1jun2feng3 创建完成后,如下再修改后显示名称为wu1jun2feng3modify4,实际改的是displayName,而cn值并没有变。 使用ldapbrowser 读取到AD服务器上的LDAP信息如下 理解清楚这一点对于...
Fortigate防火墙配置***使用Radius认证配置说明
最新发布
05-17
要配置Fortigate防火墙的Radius认证,需要进行以下步骤: 1. 配置Radius服务器信息 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user radius edit "radius_server" set server "radius_server_ip" set secret "radius_secret" next end ``` 其中,"radius_server"是Radius服务器的名称,"radius_server_ip"是Radius服务器的IP地址,"radius_secret"是Radius服务器的秘钥。 2. 配置认证方式 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user radius-setting set accounting enable set accounting-log enable set auth-type radius set radius-scheme "default" set radius-server "radius_server" set radius-timeout 5 set radius-encryption disable end ``` 其中,"radius_server"是Radius服务器的名称,"default"是Radius服务器的默认方案名称。 3. 配置用户组 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user group edit "radius_group" set member "radius_user" next end ``` 其中,"radius_group"是Radius用户组的名称,"radius_user"是Radius用户的名称。 4. 配置接口 在Fortigate防火墙的CLI界面中输入以下命令: ``` config system interface edit "interface_name" set allowaccess radius set radius-scheme "default" next end ``` 其中,"interface_name"是要配置Radius认证的接口名称。 完成以上步骤后,就可以使用Radius认证方式登录Fortigate防火墙了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值