主要包括两个部分一个是网管用户的认证,另一个是穿越用户的认证(比较重要)。
1.为什么会有穿越用户的认证
1)使用DHCP分配地址,区分用户权利(基于ip信任的不合适)
2)对特定用户的数据记录进行审计
3)在不允许访问互联网的环境下输入用户名和密码之后可以访问的环境
4)提供密码的安全性
2.大体的过程步骤
1)创建管理员(为用户分配权限,有效期,所属组,认证方式,证书认证)
2)创建组(创建不同的组对用户进行归类)
3)创建Template(用户都是基于模版来创建的包括General,Personal,Groups,Authentication,Location,Time,Encryption)
General选项卡(模版名称)
Personal(定义用户有效期,注释,颜色)
Group(这个模版属于的Group)
Authentication(用户的认证方式,不定义,SecurID,Checkpoint password,OS Password ,RADIUS,TACACS)
Location(定义穿越用户认证的时候,定义这个用户能够访问的资源)
Time(定义帐号所能登陆的时间)
Encryption(定义用户×××加密时候所使用的策略)
4)创建用户(基于模版创建用户,一般只需配置General Login Name;Authentication Password)
----------------------------------------------------------------------------------------------------------------------------------------------------
三种认证方式:用户认证,会话认证,客户端认证
3.用户认证
A.只能够支持HTTP FTP Telnet RLOGIN
B.User Authentication是基于每一个Connection
C.类似Cisco的Cute-Through
1)配置用户认证
2)配置用户认证的属性
Intersect with user database(使用user配置的Location限制访问)
Ignore user database(忽略user配置的Location)
HTTP:
ALL Server<任意服务器>
Predefined Server<cp预定义的服务器>
3)用户认证的测试
4)用户认证的放置位置
CP的规则是有顺序的,一旦有一条规则允许某个数据通过防火墙的策略被匹配,这个规则就会被应用,但是如果前面有一个需要用户认证的规则后面有一个数据要到达某个目的是被允许的,最后导致的结果是这个认证规则不会拒绝导致认证失败,(用户认证只有放行功能没有拒绝功能,所以如果在用户认证和最后默认规则之间有放行的规则,用户认证就会失效,座椅在他们之间不能有明确的放行)如下图所示:
----------------------------------------------------------------------------------------------------------------------------------------------------
4.会话认证
A.需要安装会话认证代理
B.能够对任何服务的每一个会话进行认证
C.会话认证结合了用户认证和客户端认证的特点
D.建议不要使用会话认证技术对所有协议进行认证,因为这样会影响到DNS,NBT broadcast这些协议。
1)安装用户认证代理
安装完成以后,右下角通知区域会出现CP Session Agent的小图标
2)配置会话认证
放行Snauth流量(TCP/261)
启用Session Auth
3)测试
自动配置SessionAgent的IP
认证对话框
4)和用户认证一样同样可以选择是否查询用户数据库的Location对源和目的进行控制,并且可以定义Agent提供者是源还是目的,或者是任何网络
5)设置加密选项
Police|Global Properties|SmartDashboard Customization|Configure|Firewall-1|Authentication|Session Authentication下
Snauth protocol设置
None(or 空格)不加密
SSL 加密
SSL+NONE 可选加密
----------------------------------------------------------------------------------------------------------------------------------------------------
5.客户端认证
特点
A.User Auth和Session Auth都是Per-Session的,每一次新的连接都需要输入一次用 户名和密码,Client Auth和Cisco的Cut-through类似,一旦认证成功,一段时间 或者一定次数的Session以内不会再要求用户提供用户名和密码。
B.Client Auth认证不是对用户透明的,用户需要先到防火墙上去做一个预认证,认证成功后才能访问资源。
C.Client Auth对于多用户的环境很不安全,因为任何一个用户认证成功,本系统的其他用户也同样可以访问
1)配置客户端认证
2)手动方式
Partially Auto(半自动):http,FTP,Telnet和Rlogin使用User Auth,其他协议使用Client Auth的Manual Auth
Full Auto:http,FTP,Telnet和Rlogin使用User Auth,其他协议使用Session Auth,Manual Auth依然存在。
Agent Auto:所有的协议都是用Session Auth,Manual Auth依然存在。
Single Sign-ON:使用User Authority Server(另一个专利技术)实现一次性登录
转载于:https://blog.51cto.com/yuntaoliu/531908