08-Fortinet安全解决方案-用户认证管理.docxVIP

Fortinet用户管理解决方案1. 概述用户认证用处广泛，单就FortiGate而言，就多处功能得使用用户认证，比如防火墙策略认证、IPSec VPN、SSL VPN、设备管理等。FortiGate用户认证分为三种基本类型：认证用户的密码型、认证主机和终端的证书型，在密码外附属其他安全策略的双因子型的。用户是通过密码来确定身份的，但是网络资源通常是以用户组的方式授权的。也就是说任何用户要访问该资源时，需要通过密码来证明自己属于授权的用户组。如上图所示，FortiGate-FortiAuthenticator解决方案涵盖了多种应用，无线接入、有线接入、VPN接入等用户管理系统。在下面方案中，我们将阐述不同认证体系，以及其与FortiGate和FortiAuthenticator关系。2. 本地用户本地用户是配置于FortiGate上的用户名，密码可以存储与FortiGate本身，也可以取自认证服务器。取自认证服务器时，认证服务器上的用户名必须和FortiGate上配置的用户名相匹配，密码是来自认证服务器的。本地用户也可以采用双因子认证。双因子认证可以动态令牌卡、邮件发送密码、短信方式等。双因子可以强化本地用户的安全特点。如果采用动态令牌卡，需要将FortiToken注册于设备上。FortiAuthenticator也可以设置本地用户，其特点在于完善的用户管理体系。管理员可以建立和删