08-Fortinet安全解決辦法-用戶認證管理

精心整理Fortinet用戶管理解決方案概述用戶認證用處廣泛，單就FortiGate而言，就多處功能得使用用戶認證，比如防火墻策略認證、IPSecVPN、SSLVPN、設(shè)備管理等。FortiGate用戶認證分為三種基本類型：認證用戶的密碼型、認證主機和終端的證書型，在密碼外附屬其他安全策略的雙因子型的。用戶是通過密碼來確定身份的，但是網(wǎng)絡資源通常是以用戶組的方式授權(quán)的。也就是說任何用戶要訪問該資源時，需要通過密碼來證明自己屬于授權(quán)的用戶組。如上圖所示，F(xiàn)ortiGate-FortiAuthenticator解決方案涵蓋了多種應用，無線接入、有線接入、VPN接入等用戶管理系統(tǒng)。在下面方案中，我們將闡述不同認證體系，以及其與FortiGate和FortiAuthenticator關(guān)系。本地用戶本地用戶是配置于FortiGate上的用戶名，密碼可以存儲與FortiGate本身，也可以取自認證服務器。取自認證服務器時，認證服務器上的用戶名必須和FortiGate上配置的用戶名相匹配，密碼是來自認證服務器的。本地用戶也可以采用雙因子認證。雙因子認證可以動態(tài)令牌卡、郵件發(fā)送密碼、短信方式等。雙因子可以強化本地用戶的安全特點。如果采用動態(tài)令牌卡，需要將FortiToken注冊于設(shè)備上。FortiAuthenticator也可以設(shè)置本地用戶，其特點在于完善的用戶管理體系。管理員可以建立和刪除用戶，用戶可以采用自注冊方式生成用戶，用戶名和密碼可以精心整理通過郵件、短信等方式發(fā)送。FortiAuthenticator可以強制用戶在注冊時，填寫必要的選項。用戶自注冊界面如下：FortiAuthenticator也可以對用戶信息進行管理，強制用戶密碼有效期，用戶可以自行修改密碼等。當用戶遺忘密碼時，可以自行恢復密碼。訪客管理企業(yè)經(jīng)常有訪客來訪，往往希望有線或者無線的接入internet和企業(yè)網(wǎng)絡。如何為訪客授權(quán)和管理是網(wǎng)絡靈活性和安全性的一個重要方面。Fortinet解決方案可以提供多個層次的訪客管理體系。1、專人來生成和管理訪客賬號。在FortiGate可以設(shè)置一個管理員負責訪客的賬號生成和吊銷。訪客管理可以采用單獨生成和批量生成，具有以下特點：?自動生成用戶名和密碼?可以采用郵件作為用戶名，也可以自動生成?賬號有效期可以生成賬號或者使用開始計時?賬號通過郵件和打印等方式進行發(fā)送2、由訪客自行注冊賬號。FortiGate-FortiAuthenticator組合起來可以為訪客提供一個自注冊的管理平臺，用戶可以根據(jù)自己需求來生成賬號，具有以下特點：?用戶自行填寫用戶信息管理員可以強制要求必填的信息管理員可以設(shè)置賬號有效期賬號可以通過郵件、短信和打印等方式進行發(fā)送。RADIUS認證精心整理FortiGate可以充分發(fā)揮RADIUS服務器。用戶認證時，F(xiàn)ortiGate轉(zhuǎn)發(fā)用戶名和密碼到RADIUS服務器，如果RADIUS服務器能夠認證該用戶，則該用戶可以成功認證，如果不能通過RADIUS認證，則FortiGate拒絕該用戶。管理員可以指定RADIUS認證的加密協(xié)議。通過與Radius的配合，F(xiàn)ortiGate可以實現(xiàn)多種功能，比如用戶認證，VPN接入，并且可以充分發(fā)揮Radius的作用進行根據(jù)時間的記賬，也可以利用Radius向用戶分配IP和訪問權(quán)限等更為詳盡的用戶屬性。FortiAuthenticator可以從兩個方面上支持Radius，一是它可以作為Radius服務器，二是它可以查詢Radius上的用戶信息。如下圖所示，F(xiàn)ortiAuthenticator作為一個綜合認證平臺，可以從Radius服務器、LDAP服務器和設(shè)備本身上提取用戶信息，轉(zhuǎn)換為Radius服務。LDAP認證LDAP是用途非常廣泛的用戶認證管理體系，它能夠有效地體現(xiàn)用戶的體系結(jié)構(gòu)，比如部門、組等°LDAP是數(shù)據(jù)表現(xiàn)的架構(gòu)，是一整套操作的組合，構(gòu)造請求和回應的網(wǎng)絡。FortiGate可以支持采用LDAP服務器來認證用戶。FortiGate可以通過LDAP來遍歷所有用戶名和密碼，如下圖所示。FortiGateLDAP支持重設(shè)密碼，也就是說通知用戶更新密碼和密碼的結(jié)束時間，但是需要在命令行下配置。TACACS+TACACS+(TerminalAccessControllerAccess-ControlSystem)通常用于認證路由器、VPN和其他基于網(wǎng)絡的設(shè)備。FortiGate將用戶名和密碼轉(zhuǎn)發(fā)給TACACS+服務器，服務器決定是否接受還是拒絕該請求該用戶訪問網(wǎng)絡。缺省的TACACS+精心整理精心整理端口號是TCP的49端口。管理員可以選擇認證的類型，比如ASCII,PAP,CHAP和MSCHAP，也可以設(shè)置成自動。雙因子認證與FortiTokenFortiGate和FortiAuthenticator支持多種雙因子認證，F(xiàn)ortinet的FortiToken動態(tài)口令卡，郵件、短信等。FortiToken有多種表現(xiàn)形態(tài)，F(xiàn)ortiToken200系列為硬件化的動態(tài)口令卡，F(xiàn)ortiToken300系列為基于CA證書方式的硬件Key，F(xiàn)ortiToken移動軟件版的動態(tài)口令軟件。FortiToken是一系列雙因子認證系統(tǒng)，具有以下特點：?通常用于部署FortiGateVPN功能時使用?認證服務器是內(nèi)置于FortiGate系統(tǒng)和FortiAuthenticator中，無需另外購買?不需要購買和維護其他的硬件和軟件?FortiToken的管理是由FortiGate或者FortiAuthenticator完成的?可以與現(xiàn)有域控制器、本地用戶、LDAP、Radius用戶配合使用?部署簡便，零維護FortiToken可以用于FortiGate的各個需要認證的功能，比如設(shè)備管理、SSLVPN、IPSecVPN、門戶認證等。由于FortiToken采用動態(tài)口令或者CA證書的方式，為用戶提供了雙因子認證的選擇。采用FortiToken，可以極大地降低因密碼泄露導致安全隱患。另外FortiToken部署極為簡便，無需額外的服務器和硬件設(shè)施，能夠迅速地部署。單點登錄與FSSO精心整理WindowsAD和NovelleDirectory通過多個域服務器來管理用戶的認證信息。每個用戶在域中都有獨立的用戶名和密碼，并且根據(jù)帳號來獲得訪問相應的資源。這種集中的賬戶管理被稱為目錄，存儲與域控制器上。域控制器是管理所有與用戶相關(guān)的安全信息的服務器。Fortinet通過用戶組與策略配合的方式控制用戶訪問網(wǎng)絡。每個Fortinet用戶組可以與域控制器上的一個組或者多個組對應。當用戶登陸到現(xiàn)有的域網(wǎng)絡中時，F(xiàn)SSO可以及時發(fā)現(xiàn)登錄狀態(tài)，并且通過FortiGate給予相應的訪問網(wǎng)絡的權(quán)限。FortiAuthenticator同樣也集成了單點登錄功能，可以支持與Windows和Novell實現(xiàn)同步，將認證通過的用戶同步到FortiAuthenticator，F(xiàn)ortiAuthenticator再將信息提供給FortiGate等設(shè)備，實現(xiàn)多個FortiGate用戶認證信息的統(tǒng)一化管理。FortiAuthenticator集成了FSSO的Polling模式，可以在線地查詢域控制器上的用戶登錄信息，而不需要在域控制器上安裝軟件。該模式適合于中小規(guī)模用戶，部署簡單方便。FortiAuthenticator不僅僅可以查詢Windows和Novell的用戶登錄信息，也可以查詢Radius的Accounting信息，了解Radius用戶登錄和退出信息，并且也可以將該登錄信息提供給FortiGate等設(shè)備，實現(xiàn)Radius用戶的單點登錄。FortiAuthenticator也可以提供用戶登錄的界面，當用戶在FortiAuthenticator上登錄成功后，該設(shè)備將該登錄成功信息自動地同步給多個FortiGateo該登錄界面是采用Portal方式提供，用戶可以將它嵌入到其他頁面，實現(xiàn)企業(yè)級的統(tǒng)一認證平臺。FortiAuthenticator支持API來集成第三方認證數(shù)據(jù)到FSSO。凡是在第三方認證平臺上采用Fortinet的API，F(xiàn)ortiAuthenticator也可以識別該登錄和退出信息。該API經(jīng)過REST認證，是開放標準化的體系。精心整理9、PKI和CAPKI使用證書認證系統(tǒng)與用戶、用戶組等信息關(guān)聯(lián)，對用戶進行認證。用戶僅需要證書即可完成認證，可以不用輸入用戶名和密碼。防火墻策略控制和SSLVPN可以使用CA認證的方式對用戶進行管理。FortiGate本身具有一定的CA申請、吊銷、認證等多種功能。FortiGate可以支持在線的SCEP，也就是在線式申請證書，如下圖所示。FortiGate也可以支持在線的證書吊銷管理，如下圖：如下圖所示，F(xiàn)ortiAuthenticator可以作為PKI證書簽發(fā)的服務器。FortiAuthenticator可以作為roo