fortigate考試nse4中文版防火墻認證

1、FortiGate I防火墻認證FortiGate 5.2.1認證確定一個用戶或一個設備的身份一旦一個用戶或者設備的身份得到確認，F(xiàn)ortiGate就會應用相應的防火墻策略和安全配置來允許或者拒絕對不同網(wǎng)絡資源的訪問認證的方式可以使用如下的幾種防火墻認證方式：本地認證遠端服務器認證雙因子認證本地認證本地認證是一種基于存儲在FortiGate上的用戶信息的認證方式對應每一個賬號，用戶名和密碼被存儲在FortiGate上User name and password12Fortigate遠端服務器認證賬戶信息存儲在第三方的認證服務器上管理員可以：創(chuàng)建一個本地賬戶，并且密碼由遠程服務器來驗證管理員可以

2、添加認證服務器到一個用戶組中認證服務器上所有用戶都將變成組的成員Username and passwordUsername and passwordOK1234FortiGateRemote Server遠端服務器認證 - 使用的協(xié)議LDAPDirectoryServicesFSSO, NTLMTACACS+RADIUSRADIUSRSSOSingle Sign OnPOP3遠端服務器認證 - 單點登錄(SSO)它指的是已經(jīng)通過某個域認證的用戶如何利用已有的認證事件來通過防火墻的認證用戶只需輸入一次憑證，在訪問其他網(wǎng)絡資源的時候不會再彈出重新認證的提示。FortiGate設備的SSO功能包含以

3、下兩種方法：FSSO: 這種通信框架下，一臺Fortinet設備收集用戶登錄事件，并轉發(fā)到其他FortiGate設備上RSSO: Radius計費被發(fā)送到FortiGate設備，計費報文中含有登錄和登出時間遠端服務器認證 POP3大部分的認證方式為用戶名和密碼的組合比如RADIUS或者FSSO中：User: jsmithPassword: POP3的服務器認證時是基于email地址：User: jsmith (or just jsmith)Password: 雙因子認證 (2FA)2FA 是一種增強型認證，它可以防御針對靜態(tài)密碼的攻擊，提高認證本身的安全性2FA 要求兩種獨立識別用戶的方法：例

4、如：密碼或者 PIN例如：令牌或者PKI證書一次性口令 (OTP)算法可以基于時間或者事件：Fortinet 是基于時間，因此FortiGate系統(tǒng)時鐘是必須要準確的一次性口令是比較好的方法，僅供一次使用，所以即使被截獲了，口令也已經(jīng)失效不可用了雙因子認證 ： 一次性口令FortiToken/移動端的FortiToken: 每60秒，令牌將會產(chǎn)生一個6位數(shù)字，由一個唯一的種子和標準時間計算得出硬件FortiToken移動端的FortiToken：iOS版和Android版其他方式Email:通過用戶配置的電子郵箱來發(fā)送一次性口令SMS: 一次性口令可通過電子郵件發(fā)送給SMS運營商雙因子認證 令

5、牌AlgorithmTime*Seed+AlgorithmTimeSeed+Same OTP valueSame timeSame seedValidation Server OTP generator Time sync with accurate NTP sourceStatic password + OTPValidate static password1234添加一個FortiToken認證的分類Active 用戶收到一個登陸提示，必須手動輸入用戶名密碼信息使用LDAP, RADIUS, TACACS+等協(xié)議認證，或者本地認證Passive用戶不會收到登陸提示，用戶名密碼信息自動添加通

6、常的方式有FSSO，RSSO和NTLM觸發(fā)用戶認證觸發(fā)用戶認證的協(xié)議包括以下協(xié)議：HTTPHTTPSFTPTelnet認證協(xié)議必須在策略中設置為允許除非用戶已經(jīng)通過以上四種協(xié)議一種成功進行認證，否則其他服務將被禁止認證的種類:執(zhí)行的順序當主動認證方式和被動認證方式同時被使能時，首先識別出用戶名的認證方式生效如果用戶信息不能被被動認證方式所識別，則主動認證方式生效?防火墻策略：源防火墻策略可以使用user或者組來作為源任何一個用戶只要命中了策略中的源，這個策略的認證即為成功Policy Source防火墻策略: DNS即使用戶沒有認證成功，DNS流量也可以通過主機名解析時，HTTP/HTTPS/

7、FTP/Telnet流量會觸發(fā)用戶認證可以在策略中指明DNS服務的流量為允許通過的流量混合策略在一個策略中使能認證不一定會觸發(fā)認證發(fā)生兩種方法:在每一個流量可能會匹配的策略中都使能認證在流量的入接口上使能captive portal強制Portal 在接口上使能了captive portal后，如果收到了沒有認證過的流量，則強制觸發(fā)認證頁面彈出Port 2Port 1Enable captive portal hereLocal Network舉例: 強制Portal只有主動認證方式才能使用強制portal 強制Portal如果在接口上使能了強制portal，但并不想對某些設備進行認證打印機，

8、傳真機，游戲機等設備不能進行主動認證，但仍需要被防火墻策略運行通過#config firewall policy#edit #set captive-portal-exempt enable#end#config user security-exempt-list#edit #config rule#edit #set srcaddr #next#end免責聲明Policy在用戶認證之前顯示免責聲明頁面用戶必須接受免責條款才能進一步進行認證一旦認證成功用戶將打開原始的認證頁面#config firewall policy#edit #set disclaimer enable#end修改免責聲

9、明免責聲明可以有所不同文本可以修改可以添加圖片認證超時超時時間指用戶認證完成之后，一直到下一次必須認證之前所處于的空閑狀態(tài)的時間默認5分鐘3個選項：Idle (默認值) 這段時間里沒有任何流量Hard 絕對時間，這段時間之后認證就超時了新會話 這段時間里沒有新的會話被創(chuàng)建#config user setting#set auth-timeout-type idle-timeout|hard-timeout|new-session#end用戶和用戶組在外部server上添加用戶LDAPRADIUS在FortiGate上為防火墻認證創(chuàng)建用戶和用戶組LDAP 回顧輕量級目錄訪問協(xié)議(LDAP) 是一

10、種應用層協(xié)議，用于訪問和維護分布式目錄信息服務。LDAP結構類似于一棵樹，在每個分支包含條目（對象）:每個條目都有一個唯一的ID， Distinguished Name （DN）每個條目也有自己的屬性每個屬性有一個名字和一個值或者多個值屬性是在目錄框架中定義LDAP 層次結構LDAP樹通常配合客戶的組織層次根節(jié)點代表組織結構本身，被定義為Domain Components （DC）例如：dc=example, 其他等級包括：c (country)ou (organizational unit)o (organization)用戶賬戶或者組通常具有名字例如“uid”（user ID）或者“cn”

11、（common name）LDAP目錄樹舉例uid: jsmithemail: objectClass: inetOrgPerson c=francec=usac=canadaou= itou= hrDN: uid= jsmith, ou=it, c=france, dc=example, uid= apiquetuid= abushLDAP查詢配置Name of attribute that identifies each userParent branch where all users are locatedCredentials for an LDAP administrator測試L

12、DAP查詢通過CLI:輸出舉例#diagnose test authserver ldap # diagnose test authserver ldap Lab jsmith fortinetauthenticate jsmith against Lab succeeded!Group membership(s) - RADIUS回顧它是一種提供認證，授權，計費(AAA)服務的標準協(xié)議UserFortiGateRADIUS serverAccess-RequestAccess-AcceptAccess-RejectAccess-ChallengeororRADIUS配置Fortinet 廠商

13、屬性 字典（Vendor-Specific Attributes VSA dictionary） 用來識別Fortinet專有的Radius屬性IP address or FQDN of the RADIUS serverThe “Secret” must match the servers key測試RADIUS通過CLI:支持的加密算法:chappapmschapmschap2#diagnose test authserver radius 用戶用戶組的分類FirewallUserFSSOGuest UserParisVisitors用戶組可分為以下四種類型：防火墻，F(xiàn)ortinet Si

14、ngle Sign On (FSSO)，訪客，和RADIUS Single Sign On (RSSO)防火墻用戶組可以在需要認證的防火墻策略中使用Firewall user groups provide access to firewall policies that require authenticationFSSO和RSSO用來認證的單點登錄SSORSSOActiveDirectoryRADIUSServer訪客用戶組大部分用于wifi訪客網(wǎng)絡訪客組包含臨時賬戶配置用戶組Select the local users that belong to the groupSelect the remote authentication servers that contain users that bel