在本課中，你將學習如何在FortiGate的防火牆策略上使用身份驗證。

在本次課程中，你將探討以下主題：

• 防火牆認證的方法
• 遠端認證伺服器
• 使用者組
• 使用防火牆策略認證
• 通過強制門戶認證
• 監控和故障排查

完成本章節後，你應該能夠：

• 描述防火牆認證
• 驗證在FortiGate上可用的不同的防火牆認證方法
• 驗證支援遠端伺服器認證
• 描述主動和被動的認證和操作順序

　　通過演示防火牆身份驗證方法的能力，你將能夠描述和標識FortiGate上可用的支援的防火牆身份驗證方法。

 傳統的防火牆通過驗證源IP地址和裝置來授權網路訪問。這是不夠的，並且可能造成安全風險，因為防火牆無法確定誰正在使用其授予訪問許可權的裝置。

　　FortiGate包括使用者和使用者組的身份驗證。因此，你可以跟蹤多個裝置的個人。

　　在使用者或使用者組控制訪問的情況下，使用者必須通過輸入有效憑據（例如使用者名稱和密碼）進行身份驗證。在 FortiGate驗證使用者之後，FortiGate應用防火牆策略和配置檔案以允許或拒絕訪問特定的網路資源。

FortiGate支援多種防火牆認證方法：

• 本地密碼認證
• 基於伺服器的密碼認證（也叫做遠端密碼認證）
• 雙因子認證

　　雙因子認證是一個在現有方法之上啟用的身份驗證系統——如果不首先配置其他方法之一，就無法啟用它。它需要一些你知道的東西，比如密碼，以及你所擁有的東西，比如令牌或證書。

　　在本課中，你將詳細瞭解防火牆認證的每種方法。

 最簡單的認證方法是本地口令認證。使用者帳戶資訊（使用者名稱和密碼）本地儲存在FortiGate裝置上。這種方法適用於一個單臺FortiGate安裝。

　　在User Definition頁上建立本地帳戶，其中嚮導將帶你完成該過程。對於本地口令身份驗證，選擇Local User作為使用者型別，並建立使用者名稱和密碼。如果需要，還可以向帳戶新增電子郵件和SMS資訊，啟用雙因子身份驗證，並將使用者新增到預先配置的使用者組。

　　建立使用者之後，可以將使用者（或者使用者是其成員的任何預先配置的使用者組）新增到防火牆策略中，以便進行身份驗證。在本課中，你將瞭解使用者組和防火牆策略。

當使用基於伺服器的口令認證時，遠端認證伺服器對使用者進行認證。當多個FortiGate裝置需要對相同的使用者或使用者組進行身份驗證時，或者當向已經包含身份驗證伺服器的網路新增FortiGate時，此方法是需要的。

　　當使用遠端身份驗證伺服器對使用者進行身份驗證時，FortiGate將使用者輸入的憑證傳送到遠端身份驗證伺服器。 遠端認證伺服器通過指示證書是否有效來進行響應。如果有效，FortiGate諮詢其配置來處理流量。請注意，遠端認證伺服器不是評估使用者憑據的FortiGate。

　　當使用基於伺服器的密碼身份驗證方法時，FortiGate並不在本地儲存所有使用者資訊（或者在某些配置的情況下儲存任何使用者資訊）。

FortiGate為許多遠端認證伺服器提供支援，包括POP3, RADIUS, LDAP, 和TACACS+。

　　POP3是唯一一個需要電子郵件地址作為登入憑據的伺服器。所有其他遠端身份驗證伺服器都使用使用者名稱。一些POP3伺服器需要帶有域的完整電子郵件（[email protected]），其他伺服器僅需要字尾，而其他伺服器則接受兩種格式。這個要求是由伺服器的配置決定的，而不是對FortiGate的設定。只能通過CLI配置POP3身份驗證。注意LDAP可以配置為用電子郵件驗證，而不是使用者名稱驗證。

 你可以配置FortiGate用以下兩種方式使用外部身份驗證伺服器：

• 在FortiGate上建立使用者帳戶。使用此方法，必須選擇遠端身份驗證伺服器型別（RADIUS、TACACS+、LDAP），將FortiGate指向預先配置的遠端身份驗證伺服器，並將使用者新增到適當的組。當你想向遠端使用者新增兩因子身份驗證時，通常會這樣做。記住，POP3只能通過CLI配置。
• 將遠端身份驗證伺服器新增到使用者組。使用此方法，你必須建立一個使用者組，並將預配置的遠端伺服器新增到組中。因此，在遠端認證伺服器上具有帳戶的任何使用者都可以進行身份驗證。如果使用其他型別的遠端伺服器（如LDAP伺服器）作為遠端身份驗證伺服器，則可以控制對LDAP伺服器上定義的特定LDAP組的訪問。

　　與本地口令身份驗證類似，你必須隨後將預配置的使用者組（其中使用者是成員）新增到防火牆策略中，以便進行身份驗證。我們將在本課後面討論使用者組和防火牆策略。

傳統的使用者身份驗證需要使用者名稱加上你所知道的密碼。這種傳統身份驗證方法的缺點是，如果有人獲得你的使用者名稱，他們只需要你的密碼就可以破壞你的帳戶。此外，由於人們傾向於跨多個帳戶使用相同的密碼（一些站點比其他站點具有更多的安全漏洞），所以帳戶容易受到攻擊，而不管密碼強度如何。

　　另一方面，雙因子身份驗證需要你知道的東西，比如密碼，以及你擁有的東西，比如令牌或證書。因為這種方法對密碼不那麼重要，而且常常是易受攻擊的，所以對於攻擊者來說，它使得組成帳戶更加複雜。你可以在FortiGate上使用使用者和管理員帳戶的雙因子身份驗證。為了驗證，將使用者（或使用者所屬的使用者組）新增到防火牆策略中。注意，不能使用顯式代理使用雙因子身份驗證。

　　你可以使用一次性密碼（OTPS）作為你的第二個因素。OTP比靜態密碼更安全，因為密碼以規則的間隔變化，並且僅在短時間內有效。一旦使用OTP，它就不能再使用了。所以，即使被攔截也沒有用。FortiGate可以通過令牌，例如FortiToken　200（硬體令牌）和FortiToken Mobile（軟體令牌），以及通過電子郵件或SMS傳遞OTP。要通過電子郵件或簡訊傳遞OTP，使用者帳戶必須包含使用者聯絡資訊。

　　通過電子郵件和SMS傳遞的FortiToken和OTPS是基於時間的。例如，FortiToken每隔60秒生成一個新的六位密碼（預設情況下）。高度推薦NTP伺服器以確保OTP保持同步。FortiToken Mobile Push允許使用者簡單地接受來自其FortiToken移動應用程式的授權請求，而不需要輸入額外的程式碼。

令牌使用特定的演算法來生成OTP。該演算法包括：

• 種子：一種不隨時間變化的唯一隨機生成的種子
• 時間：從準確的內部時鐘獲得

　　種子和時間都通過在令牌上生成OTP（或密碼）的演算法。密碼的壽命很短，通常以秒為單位（FortiToken 200的60秒，其他RSA金鑰生成器的60秒或更短）。一旦生命週期結束，生成新的密碼。

　　在使用令牌的雙因素身份驗證時，使用者必須首先使用靜態密碼登入，然後使用令牌生成的密碼。驗證伺服器 （FortiGate）接收使用者的憑據並首先驗證靜態密碼。然後驗證伺服器繼續驗證密碼。它通過使用種子和系統時間（與令牌上的那個同步）重新生成相同的密碼並將其與從使用者接收的那個進行比較。如果靜態密碼有效，並且OTP匹配，則使用者可以成功地進行身份驗證。同樣，令牌和驗證伺服器都必須使用相同的種子並具有同步的系統時鐘。因此，至關重要的是，將日期和時間正確地配置在你的FortiGate上，或將其連結到NTP伺服器（推薦）。

你可以在FortiToken頁面上新增一個FortiToken 200或FortiToken Mobile到FortiGate。

　　對於硬體令牌，使用序列號來提供關於初始種子值的細節。如果你有幾個硬令牌要新增，你可以匯入文字檔案，其中每行列出一個序列號。

　　對於軟令牌，需要啟用程式碼。注意，每個FortiGate（和FortiGate VM）提供了兩個免費的FortiToken Mobile啟用。任何額外的令牌必須從Fortinet購買。

　　你不能在一個以上的FortiGate上註冊相同的FortiToken。如果要在多個FortiGate裝置上使用相同的FortiToken進行身份驗證，則必須使用中心驗證伺服器，例如FortiAuthenticator。在這種情況下，FortiToken在FortiAuthenticator上註冊並分配給使用者，而FortiGate使用FortiAuthenticator作為其驗證伺服器。

　　一旦你已經向FortiGate註冊了FortiToken，就可以將它們分配給使用者作為他們的第二因素身份驗證方法。若要分配令牌，請編輯（或建立）使用者帳戶並選擇啟用雙因子身份驗證。從令牌下拉列表中，選擇要分配的已註冊令牌。

 你已經瞭解的所有身份驗證方法，包括本地口令身份驗證、基於伺服器的身份驗證和雙因子身份驗證，都是使用主動認證。主動認證意味著使用者在被允許訪問之前被提示手動輸入他們的登入憑據。

　　但並非所有使用者都以相同的方式進行身份驗證。可以透明地授予一些使用者訪問許可權，因為使用者資訊是在不請求使用者輸入其登入憑證的情況下確定的。這被稱為被動認證。被動認證採用基於單點登入的基於伺服器的口令認證方法：FSSO、RSSO和NTLM。

 小測驗。

現在你瞭解防火牆認證的基本知識。接下來，你將瞭解遠端身份驗證伺服器。

完成本章節之後，你應該能夠：

• 配置遠端認證伺服器
• 配置使用者身份驗證
• 瞭解LDAP和RADIUS的角色

　　通過演示遠端身份驗證伺服器的能力，你將能夠使用在遠端身份驗證伺服器上定義的遠端使用者帳戶配置防火牆身份驗證。

Lightweight Directory Access Protocol (LDAP)是用於訪問和維護分散式目錄資訊服務的應用協議。

　　LDAP協議用於維護可能包括部門、人員、人群、密碼、電子郵件地址和印表機的身份驗證資料。LDAP由一個數據表示方案、一組定義的操作和一個請求和響應網路組成。

　　LDAP協議包括客戶端可以請求的多個操作，例如搜尋、比較、新增或刪除條目。繫結是LDAP伺服器對使用者進行身份驗證的操作。如果使用者已成功認證，繫結允許使用者基於該使用者許可權訪問LDAP伺服器。

LDAP目錄樹的根代表組織本身，並且被定義為域元件（DC）。DC通常是DNS域，例如example.com。（因為名稱包含一個點，所以它被寫成由逗號分隔的兩個部分：dc=example，dc=com）其他條目（稱為物件）可以根據需要新增到層次結構中。一般來說，兩種型別的物件構成了大多數條目：容器和葉子。

　　容器是可以包含其他物件的物件，類似於檔案系統中的資料夾。例如容器包括：

• Country (表示 c)
• Organizational unit (表示 ou)
• Organization (表示 o)

　　葉子節點是分支末端的物件，沒有從屬物件。例如葉子節點包括：

• User ID (表示為 uid)
• Common name (表示為 cn)

這裡顯示了一個簡單的LDAP層次結構的例子。

　　請求身份驗證的FortiGate裝置（充當LDAP客戶端）必須配置為將其請求處理到存在使用者記錄的層次結構的部分：域元件或存在記錄的特定容器。與使用者類似，容器有DNS，並且在這個例子中，DN是 ou=people,dc=example,dc=com。

　　身份驗證請求還必須指定使用者帳戶條目。這可以是許多選項之一，包括common name （cn）或計算機網路上的user ID （uid），使用者ID是用於登入的資訊。注意，如果物件名包括空格，比如John Smith，則在CLI中進行測試時，必須用雙引號括起來。例如：cn=“John Smith”。

通過LDAP伺服器頁面，你可以配置FortiGate指向基於伺服器的口令認證的RADIUS伺服器。配置地深度取決於在伺服器架構和安全設定。Windows Active Directory是非常普通的。

　　Common Name（CN）設定屬性的名稱是用來找到的使用者的名稱。一些模式允許你使用屬性的UID。Active　Directory（AD）最常見的用sAMAccountName或cn，但也可以使用其他的。

　　Distinguished Name（DN）設定確定使用者所在樹的頂部，這是通常的域控值；然而，它可以是特殊的容器或ou。你必須使用正確的X.500或LDAP的格式。

　　Bind Type設定取決於LDAP伺服器的安全設定。Regular（指定的位置設定一個正則繫結）是必需的如果你需要尋找在多域和使用者的憑據，是一個LDAP授權執行查詢（例如，LDAP管理員）。

　　如果你想在FortiGate和遠端LDAP伺服器之間有一個安全的連線，啟用Secure Connection和包括一個LDAP server protocol （LDAPS or STARTTLS）的工作人員在同一伺服器的證書。

　　注意，Test Connectivity按鈕只測試連線到LDAP伺服器是否成功，要測試使用者的憑證是否能夠成功地進行身份驗證，你必須使用CLI。

在CLI中diagnose test authservercommand命令來測試使用者的憑據是否可以成功地進行身份驗證。你希望在對任何防火牆策略執行驗證之前確保驗證成功。

　　伺服器的響應報告成功、失敗和組成員詳細資訊。

RADIUS與LDAP有很大區別，因為沒有目錄樹結構要考慮。RADIUS是提供認證、授權和計費（AAA）服務的標準協議。

　　當用戶正在認證時，客戶端（FortiGate）向RADIUS伺服器傳送訪問請求包。來自伺服器的答覆將是下列之一：

• ACCESS-ACCEPT：這意味著使用者憑據是可以的。
• ACCESS-REJECT：這意味著憑證是錯誤的。
• ACCESS-CHALLENGE：這意味著伺服器正在請求輔助密碼ID、令牌或證書。這通常是伺服器在使用雙因子身份驗證時的答覆。

　　並非所有RADIUS客戶端都支援RADIUS challenge方法。

通過RADIUS Servers頁面，可以配置FortiGate指向基於伺服器的口令認證的RADIUS伺服器。

　　Primary Server IP/Name設定是RADIUS伺服器的IP地址或FQDN。

　　Primary Server Secret設定是在RADIUS伺服器上設定的密碼，以便允許來自該客戶端的遠端查詢。在主伺服器發生故障的情況下，可以定義備份伺服器（具有單獨的密碼）。請注意，必須在RADIUS伺服器上列出FortiGate作為該RADIUS伺服器的客戶端，否則伺服器將不答覆FortiGate所做的查詢。

　　Authentication Method設定是指RADIUS伺服器支援的認證協議。選項包括CHAP、PAP、MSCAP和 MSCHAP2。如果選擇Default，FortiGate將使用PAP、MSCHAP2和CHAP（按此順序）。

　　與LDAP配置不同，這裡使用的Test Connectivity按鈕可以測試實際的使用者憑證，但是，與LDAP一樣，你也可以使用CLI測試它。

　　“Include in every User Group “選項將RADIUS伺服器和所有可以對其進行身份驗證的使用者新增到在 FortiGate上建立的每個使用者組。因此，該選項只能在非常特殊的場景中啟用（例如，只有管理員可以在 RADIUS伺服器上進行認證，並且策略從最少限制到最限制）。

測試RADIUS與測試LDAP基本相同。在CLI中使用diagnose test authserver命令來測試使用者的憑據是否可以成功地進行身份驗證。同樣，你應該這樣做，以確保驗證成功之前在任何防火牆策略上實現它。

　　像LDAP一樣，它根據伺服器的響應報告成功、失敗和組成員詳細資訊。更深層次的故障排除通常需要RADIUS伺服器訪問。

　　請注意，Fortinet有一個特定於供應商的屬性（VSA）字典來識別Fortinet專有的RADIUS屬性。此功能允許你擴充套件RADIUS的基本功能。你可以從Fortinet Knowledge Base（kb.fortinet.com）獲得Fortinet VSA字典。

 小測驗。

現在你瞭解遠端身份驗證伺服器的基礎知識。接下來，你將瞭解使用者組。

在完成這一節之後，你應該能夠配置使用者組。

　　通過與使用者組演示許可權，你將能夠配置使用者組以有效地管理防火牆策略。

FortiGate允許管理員將使用者分配給組。通常，組被用來更有效地管理具有某種共享關係的個體。你可能想通過業務領域，如財務或人力資源，或員工型別，如承包商或客人分組員工。

　　建立使用者組後，可以將它們新增到防火牆策略中。這允許你控制對網路資源的訪問，因為策略決定是在整個組上做出的。你可以在FortiGate裝置上定義本地使用者組和遠端使用者組。有四種使用者組型別：

• 防火牆
• 訪客
• Fortinet single sign-on (FSSO)
• RADIUS single sign-on (RSSO)

　　FortiGate上的防火牆使用者組不需要匹配外部伺服器（如LDAP伺服器）上可能已經存在的任何型別的組。防火牆使用者組僅用於使防火牆策略的配置更容易。

　　大多數認證型別都有基於單個使用者而不是使用者組的決策。

訪客使用者組與防火牆使用者組不同，因為它們只包含臨時來賓使用者帳戶（整個帳戶，而不僅僅是密碼）。在無線網路中最常用的是使用者使用者組。客人帳戶在預定的時間之後到期。

　　管理員可以使用隨機生成的使用者ID和密碼手動建立客戶帳戶或同時建立多個客戶帳戶。這將減少管理員對大型事件的工作量。一旦建立，你可以向客戶使用者組新增帳戶，並將該組關聯到防火牆策略。

　　你可以建立僅具有建立和管理訪客帳戶的訪問許可權的客戶管理管理員。

 可以在使用者組頁上配置使用者組。必須指定使用者組型別並向組新增使用者。根據所建立的組，需要不同的配置。例如，對於防火牆使用者組，成員可以包括本地使用者、PKI對等使用者和一個或多個遠端身份驗證伺服器的使用者。如果遠端身份驗證伺服器是LDAP伺服器，則可以選擇要新增到使用者組的特定LDAP組，如LDAP伺服器上定義的。注意，你還可以選擇RADIUS組，但是這需要在RADIUS伺服器和FortiGate上進行額外的配置（參見知識庫 kb.fortinet.com）。

　　如果希望以相同的方式對待特定使用者，則使用者組可以簡化配置，例如，如果希望向整個Training部門提供對相同網路資源的訪問。如果你想以不同的方式對待所有使用者，則需要將所有使用者分別新增到防火牆策略中。

 小測驗。

現在你瞭解使用者組的基本知識。接下來，你將傾向於使用防火牆策略進行身份驗證。

在完成本節之後，你應該能夠配置防火牆策略。

　　通過演示防火牆策略的能力，你將能夠配置防火牆策略以對特定使用者和使用者組執行身份驗證。

防火牆策略由訪問和檢查規則（指令的分割槽集）組成，這些規則告訴FortiGate如何處理在其過濾了流量的介面上的流量。在使用者進行初始連線嘗試之後，FortiGate檢查防火牆策略以確定是接受還是拒絕流量會話。然而，防火牆策略還包括許多其他指令，例如處理身份驗證的那些指令。為此目的，你可以使用防火牆策略的來源。防火牆策略的源必須包括源地址（IP地址），但是也可以包括使用者、使用者組和裝置型別。這樣，包含在防火牆策略的源定義中的任何使用者、使用者組或裝置都可以成功地進行身份驗證。

　　使用者和使用者組物件可以由本地防火牆帳戶、外部伺服器帳戶、PKI使用者和FSSO使用者組成。

防火牆策略還檢查服務以傳輸命名協議或協議組。在成功的使用者認證之前，不允許任何服務（除了DNS）通過防火牆策略。DNS通常被HTTP使用，這樣人們就可以使用網站的域名，而不是IP地址。DNS之所以被允許，是因為它是一個基本協議，並且很可能需要最初看到正確的身份驗證協議流量。主機名解析幾乎總是對任何協議的要求。然而，DNS服務仍然必須在允許的策略中定義，以便使其通過。

　　在本示例中，策略序列1（Full_Access）允許使用者在成功身份驗證之前使用外部DNS伺服器解析主機名。如果驗證不成功，DNS也被允許，因為使用者需要能夠再次嘗試進行身份驗證。任何包含DNS的服務都會以相同的方式執行，就像預設的所有服務一樣。

　　HTTP服務是TCP埠80，不包括DNS（UDP埠53）。

除了DNS服務之外，防火牆策略還必須指定允許的協議，例如HTTP、HTTPS、FTP和Telnet。如果已啟用身份驗證的防火牆策略不允許用於獲得使用者憑據的支援協議中的至少一個協議，則使用者將不能進行身份驗證。

　　使用活動身份驗證（本地口令身份驗證、基於伺服器的口令身份驗證和雙因子身份驗證）的所有身份驗證方法都需要協議。主動認證基於以下內容提示使用者獲得使用者憑證：

• 流量的協議
• 防火牆策略

　　另一方面，被動認證在幕後確定使用者身份，並且不需要在策略中允許任何特定的服務。

在本示例中，假設使用主動認證，則來自LOCAL_SUBNET的任何初始流量都不會與策略序列1（Full_Access）匹配。策略序列1查詢IP和使用者以及使用者組資訊（分別是LOCAL_SUBNET和HR-group），並且由於使用者尚未進行身份驗證，所以流量的使用者組方面不匹配。由於策略匹配沒有完成，所以FortiGate繼續搜尋序列列表，看看是否存在完全匹配。

　　接下來，FortiGate評估策略序列2以檢視流量是否匹配。它符合所有標準，因此不允許進行身份驗證。

　　當只使用活動身份驗證時，如果能夠匹配源IP的所有可能策略都啟用了身份驗證，那麼使用者將收到登入提示（假設他們使用可接受的登入協議）。換句話說，如果策略序列2還啟用了認證，則使用者將接收登入提示。

　　如果使用被動身份驗證，並且它能夠成功地獲得使用者詳細資訊，那麼來自LOCAL_SUBNET與屬於HR-group的使用者的流量將應用於策略序列1，即使策略序列2沒有啟用身份驗證。

　　如果你同時使用主動認證和被動認證，並且使用者的憑證可以通過被動認證來確定，那麼無論防火牆策略的順序如何，使用者都不會收到登入提示。這是因為當FortiGate能夠被動地確定使用者是誰時，不需要提示使用者輸入登入憑據。當組合主動和被動身份驗證方法時，主動認證旨在用作備份，僅在被動認證失敗時才使用。

 小測驗。

現在你瞭解如何使用防火牆策略進行身份驗證。接下來，你將瞭解如何通過強制門戶進行身份驗證。

  在完成這一部分之後，你應該能夠配置強制門戶和免責宣告。

　　通過在強制戶中演示許可權，你將能夠通過強制門戶配置身份驗證。

 

​​  如果希望提示所有連線到網路的使用者輸入其登入憑據（活動身份驗證），則可以啟用強制門戶。強制門戶是通過請求使用者名稱和密碼的HTML表單在有線或WiFi網路上對Web使用者進行身份驗證的簡便方法。

　　你可以在FortiGate裝置或外部身份驗證伺服器（例如FortiAuthenticator）上配置強制門戶。

​​  強制門戶，對於有線網路和WiFi網路，不管允許它的防火牆策略或它最終離開的埠（策略上啟用或禁用身份驗證不是一個因素），都可在介面級別啟用強制門戶。這對於任何網路介面都是正確的，包括WiFi和VLAN接 口。在本地網路上，必須在傳入埠上啟用強制門戶設定。

　　可以從Interfaces頁配置強制門戶。選擇所需的介面。在Admission Control頁上，從Security Mode下拉選單中選擇強制門戶。請注意，如果您你在為WiFi網路配置強制門戶，則必須首先存在WiFi SSID。

　　強制門戶與DHCP模式中的介面不相容。

​​  在“Admission Control“頁上，還限制強制門戶使用者訪問。

　　選擇“Restrict to Groups”進行限制，以控制來自強制門戶配置的訪問。

　　選擇“Allow all ”來控制防火牆策略配置中的訪問。

​​  你還可以配置防火牆策略，以抑制特定裝置、地址或服務的強制門戶。這對於無法進行主動身份驗證的裝置（如印表機和傳真機）非常有用，但是仍然需要防火牆策略允許。當被抑制時，與源或目的地匹配的流量不會與強制門戶登入頁一起呈現。

　　有兩種方法可以繞過強制門戶：

• 通過GUI（在Network > Interface）或在配置使用者（security-exempt-list）安全豁免列表下的CLI中的安全豁免列表
• 通過防火牆策略。在CLI中，編輯策略並設定（captive-portal-exempt）強制門戶豁免啟用。與此策略匹配的所有流量現在免於通過強制門戶進行認證。

​​  通過CLI命令config firewall policy，如果需要，你可以啟用服務條款免責宣告與專用門戶身份驗證結合使用。免責宣告是使用者和主機組織的法律責任的宣告，使用者在繼續之前必須同意。通過此配置（免責宣告+身份驗證），門戶在成功身份驗證後立即呈現免責宣告頁面。使用者必須接受免責宣告中列出的術語，以便繼續到所請求的URL。

　　無論是安全豁免清單，還是防火牆上的專利門戶豁免，都不能繞過免責宣告。

​​  FortiGate允許你自定義門戶訊息，其中包括登入頁和免責宣告頁。可以在Replacement Messages頁上自定義訊息。

　　免責宣告頁面是HTML格式的，因此你必須有HTML知識才能定製訊息。預設佈局是Simple View，它隱藏大部分替換訊息。使用Extended View顯示所有可編輯的替換訊息。

​​  認證超時對於安全目的是有用的。它最小化了非法使用者使用合法認證使用者的IP的風險。它還確保使用者不進行認證，然後無限期地留在記憶體中。如果使用者永遠呆在記憶體中，最終會導致記憶體耗盡。

　　超時行為有三種選擇：

• Idle：檢視來自主機IP的資料包。如果在配置的時間幀中沒有主機裝置生成的資料包，則使用者被登出。
• Hard：時間是絕對值。不管使用者的行為如何，一旦使用者驗證並在配置的值之後到期，計時器就啟動。
• New session：即使現有通訊通道上正在生成流量，如果在配置的超時值內沒有通過防火牆從主機裝置建立新會話，則身份驗證將過期。

　　選擇最適合你的環境驗證需求的超時型別。

​​  小測驗。

​​  現在，你瞭解了認證入口網站的身份驗證。接下來，你將瞭解監控和故障排查。.

​​  完成本章節之後，你應該能夠：

• 監控防火牆使用者
• 使用故障排查工具
• 使用最佳實踐

　　通過演示監視和故障排除的能力，你將能夠監視經過身份驗證的使用者並排除可能發生的任何問題。

​​  你可以使用Firewall User Monitor頁面監視通過防火牆政策進行身份驗證的使用者。它顯示使用者、使用者組、持續時間、IP地址、流量和身份驗證方法。

　　它不包括管理員，因為它們不是通過允許流量的防火牆政策進行身份驗證，而是直接登入FortiGate。

　　這個頁面還允許你同時斷開使用者或多個使用者的連線。

​​ 在基於網路的管理器中，用於故障診斷的一個好工具是安全策略頁面上的Bytes列，該列通過單擊 Policy&Objects>IPv4 Policy開啟。此列顯示已通過該策略的位元組數。這是你在故障排除時有價值的資訊。在測試配置（端到端連線、使用者身份驗證、策略使用）時，觀察位元組計數的增長可以幫助進行故障排除。增加值指示所討論的策略是否看到任何流量，如果希望使用者需要身份驗證，那麼這是有用的資訊，但是從不提示它們。

　　使用以下CLI命令收集關於使用者和使用者身份驗證嘗試的更多資訊，以幫助排除失敗的身份驗證嘗試：

• diagnose firewall auth list：顯示經過驗證的使用者及其IP地址
• diagnose firewall auth clear：清除當前列表中的所有授權使用者。當你需要強制使用者在系統或組更改之後重新認證時，這是有用的。但是，這個命令很容易導致許多使用者不得不重新認證，所以小心使用它。
• diagnose debug app fnbamd -1：用於排除主動驗證（必須與診斷除錯啟用一起使用）。
• diagnose test authserver radius-direct <ip> <port> <secret>：測試在FortiGate與RADIUS伺服器之間預留金鑰。

​​  使用上圖列出的最佳實踐，以避免配置防火牆驗證時不必要的問題。

　　如果在VPN介面下配置源IP，以及在VPN階段2下適當的快速模式選擇器，則只能允許特定的IP通過VPN進行通訊，從而提高安全性。

　　快速模式選擇器確定哪些IP地址可以執行IKE協商來建立隧道。通過只允許授權的IP地址訪問VPN隧道，網路更加安全。

​​  小測驗。

​​  你已經完成了本次課程。現在，你將複習本課所涵蓋的目標。

​​  本次課程主要涵蓋以下物件：

• 描述防火牆認證
• 確定FortiGate裝置上可用的不同防火牆認證方法
• 識別支援的遠端認證伺服器
• 描述主動和被動身份驗證以及操作順序
• 配置使用者進行本地密碼驗證，基於伺服器的密碼驗證和雙因素驗證
• 配置遠端認證伺服器
• 配置使用者身份驗證，防火牆策略，強制網路門戶和免責宣告
• 理解LDAP和RADIUS角色
• 配置使用者組
• 配置防火牆策略
• 配置強制網路門戶和免責宣告
• 監控防火牆使用者
• 使用故障排查工具和最佳實踐和最佳實踐

 

---