Fortinet安全解决方案用户认证管理

1、Fortinet用户管理解决方案1 .概述用户认证用处广泛，单就 FortiGate而言，就多处功能得使用用户认证，比如防火墙策略认证、IPSec VPN、SSL VPN、设备管理等。FortiGate用户认证分为三种基本类型：认证用户的密码型、认证主机和终端的证书型，在密码外附属其他安全策略的双因子型的。用户是通过密码来确定身份的，但是网络资源通常是以用户组的方式授权的。也就是说任何用户要访问该资源时，需要通过密码来证明自己属于授权的用户组。如上图所示，FortiGate -FortiAuthenticator 解决方案涵盖了多种应用，无线接入、有线接入、VPN接入等用户管理系统。在下面方案

2、中，我们将阐述不同认证体系，以及其与FortiGate 和 FortiAuthenticator 关系。2 .本地用户本地用户是配置于 FortiGate上的用户名，密码可以存储与 FortiGate本身，也可以取 自认证服务器。取自认证服务器时，认证服务器上的用户名必须和FortiGate上配置的用户名相匹配，密码是来自认证服务器的。本地用户也可以采用双因子认证。双因子认证可以动态令牌卡、邮件发送密码、短信方式等。双因子可以强化本地用户的安全特点。如果采用动态令牌卡，需要将FortiToken注册于设备上。LfeerrtameTblcenPawiA/ord LOGINFortiAuthent

3、icator也可以设置本地用户，其特点在于完善的用户管理体系。管理员可以建立和删除用户，用户可以采用自注册方式生成用户，用户名和密码可以通过邮件、短信User Registration Receipt等方式发送。FortiAuthenticator可以强制用户在注册时，填写必要的选项。用户自注册界 面如下:FortiAuthenticator也可以对用户信息进行管理，强制用户密码有效期，用户可以自行修改密码等。当用户遗忘密码时，可以自行恢复密码。3. 访客管理企业经常有访客来访，往往希望有线或者无线的接入internet 和企业网络。如何为访客授权和管理是网络灵活性和安全性的一个重要方面。Fo

4、rtinet 解决方案可以提供多个层次的访客管理体系。1 、专人来生成和管理访客账号。在FortiGate 可以设置一个管理员负责访客的账号生成和吊销。访客管理可以采用单独生成和批量生成，具有以下特点：自动生成用户名和密码可以采用邮件作为用户名，也可以自动生成账号有效期可以生成账号或者使用开始计时账号通过邮件和打印等方式进行发送2、由访客自行注册账号。FortiGate -FortiAuthenticator 组合起来可以为访客提供一个自注册的管理平台，用户可以根据自己需求来生成账号，具有以下特点：用户自行填写用户信息管理员可以强制要求必填的信息管理员可以设置账号有效期账号可以通过邮件、短信和

5、打印等方式进行发送。4. RADIUS 认证FortiGate 可以充分发挥RADIUS 服务器。用户认证时，FortiGate 转发用户名和密码到 RADIUS 服务器，如果RADIUS 服务器能够认证该用户，则该用户可以成功认证，如果不能通过RADIUS 认证，则FortiGate 拒绝该用户。管理员可以指定RADIUS 认证的加密协议。通过与 Radius 的配合，FortiGate 可以实现多种功能，比如用户认证，VPN 接入，并且可以充分发挥Radius 的作用进行根据时间的记账，也可以利用Radius 向用户分配IP 和访问权限等更为详尽的用户属性。FortiAuthenticat

6、or 可以从两个方面上支持Radius , 一是它可以作为Radius服务器，二是它可以查询 Radius上的用户信息。如下图所示，FortiAuthenticator 作为一个综合认证平台，可以从 Radius服务器、LDAP服务器和设备本身上提取用户信息，转换为 Radius服务。第二方产品I'.'l il( 1L:：U5. LDAP认证LDAP是用途非常广泛的用户认证管理体系，它能够有效地体现用户的体系结构，比如部门、组等。LDAP是数据表现的架构，是一整套操作的组合，构造请求和回应的网络。FortiGate可以支持采用 LDAP服务器来认证用户。案装I DAP IKS-

7、X都恭器名睛MP17工丁口 Q.q.鹤器端口3S9匕Tert哥声£NmatT0LintnafHp林旧名砧DC =bj,DC=yceJC=com&押定姆帮现一用户 DHCN =ti jtest F0U=t et, DC =biDC=ycef HDC =o空/玄堂连集猫认FortiGate可以通过LDAP来遍历所有用户名和密码，如下图所示。LD1口山八舄林史片LDM浒奇1172.20.0.-9； 309Rter<J*or1粉tXJ=*ccoumirig7 MS21 ftp* OU-Chine st-reoni0«g心 CN=Computer!：时果口卜 OUPOn

8、iairt Uontr仪附勺3看目卜闻时各电达£LuM.P-igM当7千国* OUYrMpi?鼻巨. CXJ=HQ5T5工目CNrrifrastfijcture。条目GN-L.oicAndirciund W VdKESene。AcEcurt?。索目卜 OUBiNicf*3fift Ewchangg Mourfty Groups22即* 匚同-Hihsoft EKchjngrt Srittm Qbjtftf笳催OuEgdimn口柔目CN*WD5 Quotas口天口* ou-offee44斯/ UsCtffici CornputtrFortiGate LDAP支持重设密码，也就是说通知用

9、户更新密码和密码的结束时间，但是 需要在命令行下配置。6. TACACS+TACACS+(Terminal Access Controller Access -Control System) 通常用于认证路由器、VPN和其他基于网络的设备。FortiGate将用户名和密码转发给 TACACS+服务器，服务器决定是否接受还是拒绝该请求该用户访问网络。缺省的 TACACS+端口号是TCP的49端 口。管理员可以选择认证的类型，比如 ASCII, PAP , CHAP和MSCHAP ,也可以设置成自动。我建TACAC5+JH务等名林Tg«3C5阳若器占稳HP期湍密钥TOff猛证斐里PAP畸

10、4电消7. 双因子认证与FortiTokenFortiGate 和 FortiAuthenticator 支持多种双因子认证，Fortinet 的 FortiToken 动态口令卡，邮件、短信等。FortiToken有多种表现形态，FortiToken 200系列为硬件化的动态口令 卡，FortiToken 300系列为基于CA证书方式的硬件 Key, FortiToken移动软件版的动态口 令软件。FortiT oken是一系列双因子认证系统，具有以下特点：通常用于部署FortiGate VPN功能时使用认证服务器是内置于FortiGate系统和FortiAuthenticator中，无需另

11、外购买不需要购买和维护其他的硬件和软件FortiT oken 的管理是由 FortiGate 或者 FortiAuthenticator 完成的可以与现有域控制器、本地用户、LDAP、Radius用户配合使用部署简便，零维护FortiToken可以用于FortiGate的各个需要认证的功能， 比如设备管理、SSL VPN、IPSecVPN、门户认证等。由于 FortiT oken采用动态口令或者 CA证书的方式，为用户提供了双因子认证的选择。采用 FortiToken ,可以极大地降低因密码泄露导致安全隐患。另外FortiToken部署极为简便，无需额外的服务器和硬件设施，能够迅速地部署。8.

12、 单点登录与FSSOWindows AD和Novell eDirectory 通过多个域服务器来管理用户的认证信息。每个用户在域中都有独立的用户名和密码，并且根据帐号来获得访问相应的资源。这种集中的账户管理被称为目录，存储与域控制器上。域控制器是管理所有与用户相关的安全信息的服务器。Fortinet通过用户组与策略配合的方式控制用户访问网络。每个 Fortinet用户组可以与 域控制器上的一个组或者多个组对应。当用户登陆到现有的域网络中时，FSSO可以及时发现登录状态，并且通过 FortiGate给予相应的访问网络的权限。班建匕林FSSD Aasnt192.168. bi就口 BOO匚FSSQ

13、瑞口 gDOCfsso Agent咕口 soonFSSO Auent Pame端口 eOTDf船0端口 boo (jUW般若法二*FortiAuthenticator 同样也集成了单点登录功能，可以支持与Windows和Novell实现同步，将认证通过的用户同步到FortiAuthenticator , FortiAuthenticator再将信息提供给FortiGate等设备，实现多个 FortiGate用户认证信息的统一化管理。FortiAuthenticator 集成了 FSSO的Polling模式，可以在线地查询域控制器上的用户登录信息，而不需要在域控制器上安装软件。该模式适合于中小规

14、模用户，部署简单方便。FortiGate服务器FS3OFortiAuthenticator 不仅仅可以查询 Windows 和Novell的用户登录信息，也可以查询 Radius的Accounting信息，了解 Radius用户登录和退出信息，并且也可以将该登录信息 提供给FortiGate等设备，实现 Radius用户的单点登录。FortiAuthenticator 也可以提供用户登录的界面，当用户在 FortiAuthenticator 上登录成 功后，该设备将该登录成功信息自动地同步给多个FortiGate 。该登录界面是采用 Portal方式提供，用户可以将它嵌入到其他页面，实现企业级

15、的统一认证平台。FortiAuthenticator 支持API来集成第三方认证数据到FSSO。凡是在第三方认证平台上采用Fortinet的API , FortiAuthenticator也可以识别该登录和退出信息。该API经过REST认证，是开放标准化的体系。9、PKI 和 CAPKI使用证书认证系统与用户、用户组等信息关联，对用户进行认证。用户仅需要证书 即可完成认证，可以不用输入用户名和密码。防火墙策略控制和SSL VPN可以使用CA认证的方式对用户进行管理。FortiGate本身具有一定的 CA申请、吊销、认证等多种功能。FortiGate可以支持在线的 SCEP ,也就是在线式申请证书，如下图所示。FortiGate也可以支持在线的证书吊销管理，如下图:如下图所示，FortiAuthenticator 可以作为PKI证书签发的服务器。FortiAuthent