04neteyefirewall5200_用户认证.pptVIP

用户认证 演讲人： 唐作夫 tangzf@ 网络安全产品营销中心 东软集团股份有限公司 课程目标 了解管理级别 了解用户认证 了解本地数据库 了解Radius认证服务器 了解管理用户认证配置 了解VPN远程用户认证配置 用户认证 认证是 NetEye FW5200验证用户身份合法性的重要手段。 NetEye FW5200可对以下类型用户的身份进行认证： 管理用户； VPN远程用户。 NetEye FW5200可通过内置于防火墙的本地数据库和远程Radius服务器对以上类型用户进行身份认证，认证方式可分为： 本地认证； 远程认证。 本地数据库 NetEye FW5200 可以通过内置的本地数据库对管理用户和VPN远程用户进行身份认证。当创建管理用户和VPN远程用户时，用户名和口令将被存储到本地数据库中。 Radius认证服务器 远程认证拨号用户服务（Remote Authentication Dial In User Service，简称Radius）是一种在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息的协议。 NetEye FW5200可作为Radius客户端，使用Radius服务器提供的认证服务。 Radius认证服务器（续） NetEye FW5200 词典文件 当通过Radius服务器进行认证时，用户需要在Radius服务器上加载词典文件。词典文件用于定义可加载到Radius服务器上的供应商专用属性（Vendor-Specific Attribute，简称VSA）。 NetEye FW5200 目前支持以下2种需要加载词典文件的Radius服务器，并为其定义了不同的词典文件。 FreeRadius 1.1.7 Cisco Secure ACS for Windows 4.1 NetEye FW5200 词典文件（续） NetEye FW5200 目前支持以下两种不需要加载词典文件的Radius服务器。 Windows 2000 Server ServicePack 4 IAS (Chinese Version; English Version) Windows 2003 Server ServicePack 2 IAS (Chinese Version; English Version) NetEye FW5200 词典文件（续） NetEye FW5200 词典文件包含的信息如下表所示： Radius服务器配置 以管理员的身份登录防火墙，选择“系统” “配置” “服务配置” “远程服务器”，进入“远程服务器”配置页面。如下图所示： Radius服务器配置（续） 添加Radius服务器：在“远程服务器”页面的“添加服务器”区域中添加Radius服务器。如下图所示： Radius服务器配置（续） 查看Radius服务器：在“远程服务器”页面中查看创建的结果。如下图所示： Radius服务器配置（续） 编辑Radius服务器配置信息：在“远程服务器”页面中点击Radius服务器名称，进入Radius服务器编辑页面。如下图所示： 管理用户认证配置 管理用户的认证方式与用户所使用的连接方式相关。 NetEye FW5200 默认是通过本地数据库对管理用户进行认证的。同时， NetEye FW5200 还允许根系统管理员或者Vsys管理员为使用HTTPS、SSH和Telnet连接方式的管理用户分别设置本地认证或远程认证方式。 VPN远程用户认证配置 NetEye FW5200可以对单独的或者基于用户组的VPN远程用户进行管理， NetEye FW5200 的用户或用户组可分为： 本地认证用户或用户组； Radius认证用户或用户组。 本地认证用户或用户组中的用户认证是在防火墙本地数据库完成的。Radius认证用户或用户组中的用户认证则是由Radius服务器完成的。 回顾 NetEye FW5200可以对管理用户和VPN远程用户的身份进行认证。 NetEye FW5200可以使用本地数据库或Radius认证服务器对用户进行身份认证。 我们通过NetEye Network Voyager可以很容易的配置用户认证功能。 注意： 管理用户是具有管理防火墙权限的用户。根据管理权限的不同，管理用户可分为五种角色，包括根管理员、根系统管理员、根系统审计员、Vsys管理员和Vsys审计员。 注意： 如上图所示：当使用防火墙内置的本地数据库对管理用户进行认证时，被验证用户在登录时需要提供用户名和口令。防火墙将根据本地数据库中保存的用户信息，验证其合法性。如果通过验证，该用户就可以登录防火墙，同时获得与其管理角色相符的权限。 缺省情况下，管理用户和VPN远程用户是被设置为在本地数据库进行认证的。 注意： 如上