【认证篇 / 本地】(7.0) ❀ 01. 本地用户认证 ❀ FortiGate 防火墙

已于 2022-08-02 09:13:38 修改
阅读量2.8k 收藏
点赞数 3
分类专栏: # 本地
于 2022-05-17 12:33:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/124814387
版权

  【简介】FortiGate防火墙的作用是用来抵御外网的攻击,但是也可以用来限制内网的访问权限,除了用IP地址进行限制外,也可以用用户认证来进行限制访问。最常用的就是本地用户认证。

 用户组与用户

  在实际应用场景中经常会有这种情况,某些员工(比如经理、IT人员)可以无限制的上网,而某些员工(财务、生产部门)只能在休息时间上网,如何通过防火墙区别这些员工呢?我们可以为员工建立帐号,上网时必须通过帐号进行认证,就可以解决这个问题了。

  ① 选择菜单【用户与认证】-【用户组】,点击【新建】。

  ② 输入新的组名,类型默认选择【防火墙】,点击【确认】。这里给两个不同上网时间的用户分别建立用户组,可以全部上网的用户分配给Full-Time用户组。

  ③ 同样的方法创建部分时间上网的用户组,输入组名,类型默认选择【防火墙】,点击【确认】。

  ④ 这样就成功的创建了两个新用户组,注意他们的关联项,现在都是0,说明这个用户组是空的,里面没有用户。下一步就要创建新的用户了。

  ⑤ 选择菜单【用户与认证】-【设置用户】,点击【新建】。

  ⑥ 用户类型默认选择【本地用户】,点击【下一步】。

  ⑦ 登录凭证输入新建的用户名和密码,用户名虽然可以用中文,但是不建议,一来在输入的时候麻烦,二来数据迁移的时候中文会显示乱码。点击【下一步】。

  ⑧ 双因子认证通常要配合FortiToken使用,也就是象银行的U盾一样,要输入两次密码,一次是静态的,一次是动态的。这里我们保持不启用状态,点击【下一步】。

  ⑨ 用户帐户状态默认为【启用】。由于我们已经建立好用户组,所以这里点击启用【用户组】,将张三加入Full-Time用户组,点击【提交】。

  ⑩ 再用同样的方法创建李四用户,交将李四加入Part-Time用户组。

  ⑾ 再次回到用户组菜单,可以看到用户组的成员里已经有了用户的信息。当然这里只是演示性的加了一个用户,你可以按实际情况加入多个用户。

  时间与策略

  创建好用户组与用户后,就要创建时间限制了。

  ① 选择菜单【策略&对象】-【计划任务】,点击【新建】-【计划任务】。

  ② 类型保持【循环】,输入名称Full-Time,由于是全天上网,所以周一到周日都有选择,周末加班也是有可能的。只是时间我们限制为上午8点到晚上12点。其它时间不允许。点击【确认】。

  ③ 用同样的方法再创建一个Part-Time,只是限定周一到周五,时间为中午12点到2点,通常这是上班族的午休时间。

  ④ 回到计划任务菜单,可以看到已经创建了两个不同的时间表。

  ⑤ 选择菜单【策略&对象】-【防火墙策略】,点击【新建】。

  ⑥ 输入策略名称,选择流入和流出接口,通常流入接口是内网接电脑的接口,流出接口是外网接宽带的接口。源地址选择all,注意这里除了地址外,还需要选择用户,也就是我们前面建立的Full-Time用户组。这样经过这条策略的用户在上网前,需要通过用户验证。

  ⑦ 目标地址和服务都选择【ALL】,计划任务选择【Full-Time】,通过这条策略验证后上网的用户,拥有上班时间上网的权限。

  ⑧ 与我们熟悉的上网策略相比,多了一个用户限制和一个时间限制。

  ⑨ 用相同的方法再创建一条只能午休时间上网的策略。

  ⑩ 当有相同的流入接口和流出接口时,策略会根据从向往下匹配的顺序执行,所以策略的顺序也很重要,可以点击策略最左边并拖动来改变策略的顺序。

  效果与真相

  新的问题来了,如果即有限制策略,又有不限制策略,即使不限制策略放在最底部,限制策略还会起作用吗?下面我们来测试一下。

  ① 象这样如果有三条策略,两条在源地址处加入了用户进行限制,一条是没有加入用户进行限制,而且是放在最下端,我们看看会怎么样。

  ② 很遗憾,第一、二条策略没有起作用,上网正常。

  ③ 我们将第三条允许上网策略的状态设置为【禁用】。

  ④ 再次打开网页,这次切换到了防火墙的认证页面。输入用户名和密码。

  ⑤ 验证没有通过,原来是用户名是区分大小写的,重输入正确大小写的用户名,点击【Continue】。

  ⑥ 这次验证通过。只是当前页面显示报错。没有关系,关闭这个页面,访问其它网页,可以正常上网了。

  ⑦ 选择菜单【仪表板】-【用户与设备】,点击【防火墙用户】,可以看到已经登录的张三的信息。

  ⑧ 如果要取消该用户的认证,只需要在用户上点击鼠标右键,弹出菜单选择【解除验证】即可。

  强制认证

  前面的配置方法,在用户上网时经常会出现没有认证提示而又打不开网页的情况,或是很久才会出现认证提示,还有一个方法可以强制快速打开认证提示。

  ① 选择菜单【网络】-【接口】,编辑内网接口。

  ② 在网络选项下启用【安全模式】,默认为【Cative Portal】,组户访问选择【组限制】,在用户组中加入我们定议的两个用户组。点击【确认】。

  ③ 再次打开网页,很快的出现了认证提示,这次我们输入李四的帐号和密码,注意用户名是区分大小写的。很快验证通过,可以上网了。

  ④ 防火墙上也可以看到李四的登录信息。由于是中午12点多,李四登录后可以正常上网。2点以后登录,就不能上网了。

飞塔老梅子
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证
小梁的博客
02-22 4298
用户 访问网络资源的主体,表示是谁在访问。 fw上的用户根据接入网络时的位置,分为上网用户和接入用户。 上网用户 内部网络中访问网络资源的主体,比如企业总部的内部员工,上网用户可以直接通过fw访问网络资源。接入用户指的是外部网络中访问网络资源的主体,比如企业的分支机构和出差员工 接入用户 需要通过ssl vqn、l2tp vqn、ipsec vqn或者pppoe方式接入到fw,然后才能访问企业总部的网络资源。 认证 fw通过认证验证访问者的身份,fw对访问者进行认证的方式包括本地认证、服务
linux下本地用户认证机制的实现(php版)
时光清浅处,一步一安然
02-17 1152
绝大多数情况下,一款Web应用系统的用户认证机制,最常见的实现方式,就是自定义用户管理功能,该模块是内嵌在web应用中,随web应用一起发布出去的。然而,对于一些特殊的应用,尤其是基于linux服务器的应用软件,它们会经常使用linux本地的用户认证机制,来实现用户认证功能。下面就来看一下在平时的开发过程中如何使用linux的本地用户认证机制。 首先,明白一点,linux系统中,真正的用户账号
认证 / 双因子】(5.6) 01. FortiToken Mobile 实用配置 FortiGate 防火墙
热门推荐
防火墙技术专栏
10-11 1万+
很多人都不知道,飞塔防火墙注册后自带两个可用的FortiToken Mobile,可以用它生成验证码,加强管理员或SSL VPN远程登录的安全。
飞塔FortiToken激活和使用
最新发布
Helpdesk相关资料整理
05-24 387
飞塔防火墙可通过Fortitoken实现SSL-VPN双重验证,以下为配置方法1、进入防火墙管理界面,激活Token选择软件Token,输入激活码若激活时提示DNS错误,可以修改DNS选项,DNS协议关闭TLS,打开DNS2、配置Email账户,用来发送Token激活码邮件3、配置VPN用户,启用双因子认证,选择认证类型为FortiToken,选择一个token许可,填写收取激活码邮件的邮箱,点击发送激活码邮件,即可通过手机APP扫码绑定TOKEN手机端绑定方法将在下一文章内说明。
本地用户管理(PAM认证
beeworkshop的博客
11-07 293
批量添加用户 系统命令法 vim newusers.s 格式同/etc/passwd,:为分割符号 test1:x:1003:1003::/home/test1:/bin/bash username password UID GID(private group) Fullname home dir shell test1 x 1003 1003 /home/test1 ...
HCIE-Security Day19:防火墙用户认证(一)
小梁的博客
02-23 2032
指的是fw或者第三方服务器提供认证页面对用户进行认证。 Portal,入口。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。它提供了一种较为简单的用户认证方法,对用户而言,相对其它认证方式更易于使用。它有两大特色: • 免客户端 只需要网页浏览器(如IE)支持,即可为用户提供认证服务,不需要安装专门的客户端或者拨号程序。免客户端软件对于像宾馆、酒店等公共网络节点,免客户端软件是一个基本要求。 • 新业务载体 利用Portal认证的门户功能,运营商可以将小区广...
NGFW的用户认证
坏坏-5的博客
07-17 1274
关于NGFW的几种用户认证技术!
FortiGate Security7.0配置手册.rar
06-11
FortiGate Security7.0配置手册.rar
飞塔FortiGate Security7.0认证培训中文PPT
12-09
飞塔FortiGate Security7.0认证培训中文PPT
FortiGate飞塔防火墙简明配置指南.pdf
09-29
FortiGate飞塔防火墙简明配置指南.pdf
FortiGate NSE4 Security 安全 7.0全套中文课件教程
06-07
FortiGate_Sec_05_防火墙认证.pdf FortiGate_Sec_06_日志记录和监控.pdf FortiGate_Sec_07_证书操作.pdf FortiGate_Sec_08_网页过滤.pdf FortiGate_Sec_09_应用控制.pdf FortiGate_Sec_10_防病毒.pdf FortiGate_Sec_...
实验2:基于防火墙用户认证.docx
10-24
企业的网络管理员希望利用FW提供的用户管理与认证机制,将内部网络中的IP地址识别为用户,为实现基于用户的网络行为控制和网络权限分配提供基础。具体需求如下: 1. 在FW上存储用户和部门的信息,体现公司的组织结构,供策略引用。 2. 研发部员工和市场部员工访问网络资源之前必须通过FW的认证。 3. 对于来访客户,访问网络资源之前必须通过FW的认证,并且只能使用特定的用户Guest来进行认证。 4. 访问者使用会话认证的方式来触发认证过程,即访问者使用IE浏览器访问某个Web页面,FW会将IE浏览器重定向到认证页面。认证通过后,IE浏览器的界面会自动跳转到先前访问的Web页面。
Fortigate防火墙安全加固手册.doc
05-17
FortiGate V5.6飞塔防火墙 纯手打安全加固手册,亲手实施,编写文档。供大家参考,不足之处请指出
fortigate ssl***+AD认证
weixin_34344677的博客
04-06 249
本文档针对所有FortiGate设备LDAP认证配置进行说明。LDAP是防火墙远程认证的一种方式。当启用认证用户上网前需要出示帐号和密码,防火墙将此信息传递给认证服务器(通常为windows server),通过认证防火墙允许该用户访问互联网。环境介绍:本文使用FortiGate200B做演示。本文支持的系统版本为FortiOS v5.0或更高。步骤一:配置LDAP本例中...
教程(7.0) 05. FortiGate安全 & 防火墙认证 Fortinet 网络安全专家 NSE 4
防火墙技术专栏
02-06 2972
在本课中,你将学习如何在FortiGate防火墙策略中使用身份验证
web用户登录界面设计_华为防火墙USG6000V新建角色用户进行web登录
weixin_39672194的博客
12-09 715
今天来谈一下华为的防火墙6000v的一个web登录的问题。一般来说图形界面是比较友好的,也好理解。有时候我们可以给网络管理员部分权限,让他用另外一个用户名进行登录。类似于电脑操作系统的用户角色。我们可以新建一个角色,给这个角色分配权限,然后再建一个用户,把这个用户绑定这个角色。这个用户登录以后就是拥有咱们新建的这个角色的权限了。操作举例如下1配置登录接口。[FW1]interface g1/0/6...
【安全 / 入侵防御】(6.0) 02. 防范Log4j远程代码执行漏洞攻击 FortiGate 防火墙
防火墙技术专栏
12-15 1825
  【简介】近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。 Log4j远程代码执行漏洞   Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。IT之家获悉,由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。  ..
教程(7.2) 04. 防火墙身份验证 & FortiGate安全 Fortinet网络安全专家 NSE4
防火墙技术专栏
02-14 2010
在本节课中,你将学习如何在FortiGate防火墙策略上使用身份验证
飞塔防火墙策略设置
Fisher_start的博客
09-07 5248
飞塔防火墙策略设置
Fortigate防火墙配置***使用Radius认证配置说明
05-17
要配置Fortigate防火墙的Radius认证,需要进行以下步骤: 1. 配置Radius服务器信息 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user radius edit "radius_server" set server "radius_server_ip" set secret "radius_secret" next end ``` 其中,"radius_server"是Radius服务器的名称,"radius_server_ip"是Radius服务器的IP地址,"radius_secret"是Radius服务器的秘钥。 2. 配置认证方式 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user radius-setting set accounting enable set accounting-log enable set auth-type radius set radius-scheme "default" set radius-server "radius_server" set radius-timeout 5 set radius-encryption disable end ``` 其中,"radius_server"是Radius服务器的名称,"default"是Radius服务器的默认方案名称。 3. 配置用户组 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user group edit "radius_group" set member "radius_user" next end ``` 其中,"radius_group"是Radius用户组的名称,"radius_user"是Radius用户的名称。 4. 配置接口 在Fortigate防火墙的CLI界面中输入以下命令: ``` config system interface edit "interface_name" set allowaccess radius set radius-scheme "default" next end ``` 其中,"interface_name"是要配置Radius认证的接口名称。 完成以上步骤后,就可以使用Radius认证方式登录Fortigate防火墙了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值