Fortinet安全解决办法用户认证管理.doc

1、精心整理Fortinet 用户管理解决方案1. 概述用户认证用处广泛，单就 FortiGate 而言，就多处功能得使用用户认证，比如防火墙策略认证、 IPSec VPN 、SSL VPN 、设备管理等。 FortiGate 用户认证分为三种基本类型：认证用户的密码型、认证主机和终端的证书型，在密码外附属其他安全策略的双因子型的。用户是通过密码来确定身份的，但是网络资源通常是以用户组的方式授权的。也就是说任何用户要访问该资源时，需要通过密码来证明自己属于授权的用户组。如上图所示，FortiGate-FortiAuthenticator 解决方案涵盖了多种应用， 无线接入、有线接入、 VPN 接入

2、等用户管理系统。在下面方案中，我们将阐述不同认证体系，以及其与 FortiGate 和 FortiAuthenticator关系。2. 本地用户本地用户是配置于FortiGate 上的用户名，密码可以存储与FortiGate 本身，也可以取自认证服务器。取自认证服务器时，认证服务器上的用户名必须和 FortiGate 上配置的用户名相匹配，密码是来自认证服务器的。本地用户也可以采用双因子认证。双因子认证可以动态令牌卡、邮件发送密码、短信方式等。双因子可以强化本地用户的安全特点。如果采用动态令牌卡，需要将FortiToken 注册于设备上。FortiAuthenticator也可以设置本地用户，

3、其特点在于完善的用户管理体系。管理员可以建立和删除用户，用户可以采用自注册方式生成用户，用户名和密码可以精心整理精心整理通过邮件、短信等方式发送。FortiAuthenticator可以强制用户在注册时，填写必要的选项。用户自注册界面如下：FortiAuthenticator也可以对用户信息进行管理，强制用户密码有效期，用户可以自行修改密码等。当用户遗忘密码时，可以自行恢复密码。3. 访客管理企业经常有访客来访， 往往希望有线或者无线的接入internet 和企业网络。如何为访客授权和管理是网络灵活性和安全性的一个重要方面。Fortinet 解决方案可以提供多个层次的访客管理体系。1、专人来生

4、成和管理访客账号。在FortiGate 可以设置一个管理员负责访客的账号生成和吊销。访客管理可以采用单独生成和批量生成，具有以下特点：自动生成用户名和密码可以采用邮件作为用户名，也可以自动生成账号有效期可以生成账号或者使用开始计时账号通过邮件和打印等方式进行发送2、由访客自行注册账号。FortiGate-FortiAuthenticator组合起来可以为访客提供一个自注册的管理平台，用户可以根据自己需求来生成账号，具有以下特点：用户自行填写用户信息管理员可以强制要求必填的信息管理员可以设置账号有效期账号可以通过邮件、短信和打印等方式进行发送。4. RADIUS 认证精心整理精心整理FortiG

5、ate 可以充分发挥 RADIUS 服务器。用户认证时， FortiGate 转发用户名和密码到 RADIUS 服务器，如果 RADIUS 服务器能够认证该用户，则该用户可以成功认证，如果不能通过RADIUS 认证，则 FortiGate 拒绝该用户。管理员可以指定RADIUS 认证的加密协议。通过与 Radius 的配合， FortiGate 可以实现多种功能，比如用户认证， VPN 接入，并且可以充分发挥 Radius 的作用进行根据时间的记账，也可以利用 Radius 向用户分配 IP 和访问权限等更为详尽的用户属性。FortiAuthenticator 可以从两个方面上支持 Radiu

6、s ，一是它可以作为 Radius 服务器，二是它可以查询 Radius 上的用户信息。如下图所示， FortiAuthenticator 作为一个综合认证平台，可以从 Radius 服务器、 LDAP 服务器和设备本身上提取用户信息，转换为 Radius 服务。5. LDAP 认证LDAP 是用途非常广泛的用户认证管理体系，它能够有效地体现用户的体系结构，比如部门、组等。 LDAP 是数据表现的架构，是一整套操作的组合，构造请求和回应的网络。 FortiGate 可以支持采用 LDAP 服务器来认证用户。FortiGate 可以通过 LDAP 来遍历所有用户名和密码，如下图所示。FortiG

7、ate LDAP 支持重设密码，也就是说通知用户更新密码和密码的结束时间，但是需要在命令行下配置。6. TACACS+TACACS+(Terminal Access Controller Access-Control System) 通常用于认证路由器、 VPN 和其他基于网络的设备。 FortiGate 将用户名和密码转发给 TACACS+服务器，服务器决定是否接受还是拒绝该请求该用户访问网络。缺省的 TACACS+ 精心整理精心整理端口号是 TCP 的 49 端口。管理员可以选择认证的类型，比如ASCII, PAP, CHAP和 MSCHAP ，也可以设置成自动。7. 双因子认证与Fort

8、iTokenFortiGate 和 FortiAuthenticator 支持多种双因子认证， Fortinet 的 FortiToken 动态口令卡，邮件、短信等。 FortiToken 有多种表现形态， FortiToken 200 系列为硬件化的动态口令卡， FortiToken 300 系列为基于 CA 证书方式的硬件 Key ，FortiToken移动软件版的动态口令软件。FortiToken 是一系列双因子认证系统，具有以下特点：通常用于部署 FortiGate VPN功能时使用认证服务器是内置于FortiGate 系统和 FortiAuthenticator中，无需另外购买不需要

9、购买和维护其他的硬件和软件FortiToken 的管理是由 FortiGate 或者 FortiAuthenticator完成的可以与现有域控制器、本地用户、LDAP 、Radius 用户配合使用部署简便，零维护FortiToken 可以用于 FortiGate 的各个需要认证的功能，比如设备管理、SSLVPN 、 IPSec VPN 、门户认证等。由于FortiToken 采用动态口令或者CA 证书的方式，为用户提供了双因子认证的选择。采用FortiToken ，可以极大地降低因密码泄露导致安全隐患。另外FortiToken 部署极为简便，无需额外的服务器和硬件设施，能够迅速地部署。8. 单

10、点登录与 FSSO精心整理精心整理Windows AD 和 Novell eDirectory通过多个域服务器来管理用户的认证信息。每个用户在域中都有独立的用户名和密码，并且根据帐号来获得访问相应的资源。这种集中的账户管理被称为目录，存储与域控制器上。域控制器是管理所有与用户相关的安全信息的服务器。Fortinet 通过用户组与策略配合的方式控制用户访问网络。每个Fortinet 用户组可以与域控制器上的一个组或者多个组对应。当用户登陆到现有的域网络中时，FSSO 可以及时发现登录状态，并且通过 FortiGate 给予相应的访问网络的权限。 FortiAuthenticator 同样也集成了

11、单点登录功能， 可以支持与 Windows 和 Novell实现同步，将认证通过的用户同步到FortiAuthenticator ，FortiAuthenticator再将信息提供给 FortiGate 等设备，实现多个FortiGate 用户认证信息的统一化管理。FortiAuthenticator集成了 FSSO 的 Polling 模式，可以在线地查询域控制器上的用户登录信息，而不需要在域控制器上安装软件。该模式适合于中小规模用户，部署简单方便。FortiAuthenticator不仅仅可以查询Windows 和 Novell 的用户登录信息，也可以查询 Radius 的 Account

12、ing 信息，了解 Radius 用户登录和退出信息，并且也可以将该登录信息提供给FortiGate 等设备，实现Radius 用户的单点登录。FortiAuthenticator也可以提供用户登录的界面，当用户在FortiAuthenticator上登录成功后，该设备将该登录成功信息自动地同步给多个FortiGate 。该登录界面是采用 Portal 方式提供，用户可以将它嵌入到其他页面，实现企业级的统一认证平台。FortiAuthenticator 支持 API 来集成第三方认证数据到 FSSO 。凡是在第三方认证平台上采用 Fortinet 的 API ，FortiAuthenticat

13、or 也可以识别该登录和退出信息。 该 API 经过 REST 认证，是开放标准化的体系。精心整理精心整理9、PKI 和 CAPKI 使用证书认证系统与用户、用户组等信息关联， 对用户进行认证。 用户仅需要证书即可完成认证，可以不用输入用户名和密码。防火墙策略控制和SSL VPN 可以使用 CA 认证的方式对用户进行管理。 FortiGate 本身具有一定的 CA 申请、吊销、认证等多种功能。FortiGate 可以支持在线的SCEP ，也就是在线式申请证书，如下图所示。FortiGate 也可以支持在线的证书吊销管理，如下图：如下图所示， FortiAuthenticator 可以作为 PKI 证书签发的服务器。 FortiAuthenticator 可以作为 root