教程篇(6.0) 04. 防火墙认证 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4

在本课中，你将学习如何在FortiGate的防火墙策略上使用身份验证。

在本次课程中，你将探讨以下主题：

• 防火墙认证的方法
• 远端认证服务器
• 用户组
• 使用防火墙策略认证
• 通过强制门户认证
• 监控和故障排查

完成本章节后，你应该能够：

• 描述防火墙认证
• 验证在FortiGate上可用的不同的防火墙认证方法
• 验证支持远端服务器认证
• 描述主动和被动的认证和操作顺序

　　通过演示防火墙身份验证方法的能力，你将能够描述和标识FortiGate上可用的支持的防火墙身份验证方法。

 传统的防火墙通过验证源IP地址和设备来授权网络访问。这是不够的，并且可能造成安全风险，因为防火墙无法确定谁正在使用其授予访问权限的设备。

　　FortiGate包括用户和用户组的身份验证。因此，你可以跟踪多个设备的个人。

　　在用户或用户组控制访问的情况下，用户必须通过输入有效凭据（例如用户名和密码）进行身份验证。在 FortiGate验证用户之后，FortiGate应用防火墙策略和配置文件以允许或拒绝访问特定的网络资源。

FortiGate支持多种防火墙认证方法：

• 本地密码认证
• 基于服务器的密码认证（也叫做远端密码认证）
• 双因子认证

　　双因子认证是一个在现有方法之上启用的身份验证系统——如果不首先配置其他方法之一，就无法启用它。它需要一些你知道的东西，比如密码，以及你所拥有的东西，比如令牌或证书。

　　在本课中，你将详细了解防火墙认证的每种方法。

 最简单的认证方法是本地口令认证。用户帐户信息（用户名和密码）本地存储在FortiGate设备上。这种方法适用于一个单台FortiGate安装。

　　在User Definition页上创建本地帐户，其中向导将带你完成该过程。对于本地口令身份验证，选择Local User作为用户类型，并创建用户名和密码。如果需要，还可以向帐户添加电子邮件和SMS信息，启用双因子身份验证，并将用户添加到预先配置的用户组。

　　创建用户之后，可以将用户（或者用户是其成员的任何预先配置的用户组）添加到防火墙策略中，以便进行身份验证。在本课中，你将了解用户组和防火墙策略。

当使用基于服务器的口令认证时，远程认证服务器对用户进行认证。当多个FortiGate设备需要对相同的用户或用户组进行身份验证时，或者当向已经包含身份验证服务器的网络添加FortiGate时，此方法是需要的。

　　当使用远程身份验证服务器对用户进行身份验证时，FortiGate将用户输入的凭证发送到远程身份验证服务器。 远程认证服务器通过指示证书是否有效来进行响应。如果有效，FortiGate咨询其配置来处理流量。请注意，远程认证服务器不是评估用户凭据的FortiGate。

　　当使用基于服务器的密码身份验证方法时，FortiGate并不在本地存储所有用户信息（或者在某些配置的情况下存储任何用户信息）。

FortiGate为许多远程认证服务器提供支持，包括POP3, RADIUS, LDAP, 和TACACS+。

　　POP3是唯一一个需要电子邮件地址作为登录凭据的服务器。所有其他远程身份验证服务器都使用用户名。一些POP3服务器需要带有域的完整电子邮件（[email protected]），其他服务器仅需要后缀，而其他服务器则接受两种格式。这个要求是由服务器的配置决定的，而不是对FortiGate的设置。只能通过CLI配置POP3身份验证。注意LDAP可以配置为用电子邮件验证，而不是用户名验证。

 你可以配置FortiGate用以下两种方式使用外部身份验证服务器：

• 在FortiGate上创建用户帐户。使用此方法，必须选择远程身份验证服务器类型（RADIUS、TACACS+、LDAP），将FortiGate指向预先配置的远程身份验证服务器，并将用户添加到适当的组。当你想向远程用户添加两因子身份验证时，通常会这样做。记住，POP3只能通过CLI配置。
• 将远程身份验证服务器添加到用户组。使用此方法，你必须创建一个用户组，并将预配置的远程服务器添加到组中。因此，在远程认证服务器上具有帐户的任何用户都可以进行身份验证。如果使用其他类型的远程服务器（如LDAP服务器）作为远程身份验证服务器，则可以控制对LDAP服务器上定义的特定LDAP组的访问。

　　与本地口令身份验证类似，你必须随后将预配置的用户组（其中用户是成员）添加到防火墙策略中，以便进行身份验证。我们将在本课后面讨论用户组和防火墙策略。

传统的用户身份验证需要用户名加上你所知道的密码。这种传统身份验证方法的缺点是，如果有人获得你的用户名，他们只需要你的密码就可以破坏你的帐户。此外，由于人们倾向于跨多个帐户使用相同的密码（一些站点比其他站点具有更多的安全漏洞），所以帐户容易受到攻击，而不管密码强度如何。

　　另一方面，双因子身份验证需要你知道的东西，比如密码，以及你拥有的东西，比如令牌或证书。因为这种方法对密码不那么重要，而且常常是易受攻击的，所以对于攻击者来说，它使得组成帐户更加复杂。你可以在FortiGate上使用用户和管理员帐户的双因子身份验证。为了验证，将用户（或用户所属的用户组）添加到防火墙策略中。注意，不能使用显式代理使用双因子身份验证。

　　你可以使用一次性密码（OTPS）作为你的第二个因素。OTP比静态密码更安全，因为密码以规则的间隔变化，并且仅在短时间内有效。一旦使用OTP，它就不能再使用了。所以，即使被拦截也没有用。FortiGate可以通过令牌，例如FortiToken　200（硬件令牌）和FortiToken Mobile（软件令牌），以及通过电子邮件或SMS传递OTP。要通过电子邮件或短信传递OTP，用户帐户必须包含用户联系信息。

　　通过电子邮件和SMS传递的FortiToken和OTPS是基于时间的。例如，FortiToken每隔60秒生成一个新的六位密码（默认情况下）。高度推荐NTP服务器以确保OTP保持同步。FortiToken Mobile Push允许用户简单地接受来自其FortiToken移动应用程序的授权请求，而不需要输入额外的代码。

令牌使用特定的算法来生成OTP。该算法包括：

• 种子：一种不随时间变化的唯一随机生成的种子
• 时间：从准确的内部时钟获得

　　种子和时间都通过在令牌上生成OTP（或密码）的算法。密码的寿命很短，通常以秒为单位（FortiToken 200的60秒，其他RSA密钥生成器的60秒或更短）。一旦生命周期结束，生成新的密码。

　　在使用令牌的双因素身份验证时，用户必须首先使用静态密码登录，然后使用令牌生成的密码。验证服务器 （FortiGate）接收用户的凭据并首先验证静态密码。然后验证服务器继续验证密码。它通过使用种子和系统时间（与令牌上的那个同步）重新生成相同的密码并将其与从用户接收的那个进行比较。如果静态密码有效，并且OTP匹配，则用户可以成功地进行身份验证。同样，令牌和验证服务器都必须使用相同的种子并具有同步的系统时钟。因此，至关重要的是，将日期和时间正确地配置在你的FortiGate上，或将其链接到NTP服务器（推荐）。

你可以在FortiToken页面上添加一个FortiToken 200或FortiToken Mobile到FortiGate。

　　对于硬件令牌，使用序列号来提供关于初始种子值的细节。如果你有几个硬令牌要添加，你可以导入文本文件，其中每行列出一个序列号。

　　对于软令牌，需要激活代码。注意，每个FortiGate（和FortiGate VM）提供了两个免费的FortiToken Mobile激活。任何额外的令牌必须从Fortinet购买。

　　你不能在一个以上的FortiGate上注册相同的FortiToken。如果要在多个FortiGate设备上使用相同的FortiToken进行身份验证，则必须使用中心验证服务器，例如FortiAuthenticator。在这种情况下，FortiToken在FortiAuthenticator上注册并分配给用户，而FortiGate使用FortiAuthenticator作为其验证服务器。

　　一旦你已经向FortiGate注册了FortiToken，就可以将它们分配给用户作为他们的第二因素身份验证方法。若要分配令牌，请编辑（或创建）用户帐户并选择启用双因子身份验证。从令牌下拉列表中，选择要分配的已注册令牌。

 你已经了解的所有身份验证方法，包括本地口令身份验证、基于服务器的身份验证和双因子身份验证，都是使用主动认证。主动认证意味着用户在被允许访问之前被提示手动输入他们的登录凭据。

　　但并非所有用户都以相同的方式进行身份验证。可以透明地授予一些用户访问权限，因为用户信息是在不请求用户输入其登录凭证的情况下确定的。这被称为被动认证。被动认证采用基于单点登录的基于服务器的口令认证方法：FSSO、RSSO和NTLM。

 小测验。

现在你了解防火墙认证的基本知识。接下来，你将了解远程身份验证服务器。

完成本章节之后，你应该能够：

• 配置远程认证服务器
• 配置用户身份验证
• 了解LDAP和RADIUS的角色

　　通过演示远程身份验证服务器的能力，你将能够使用在远程身份验证服务器上定义的远程用户帐户配置防火墙身份验证。

Lightweight Directory Access Protocol (LDAP)是用于访问和维护分布式目录信息服务的应用协议。

　　LDAP协议用于维护可能包括部门、人员、人群、密码、电子邮件地址和打印机的身份验证数据。LDAP由一个数据表示方案、一组定义的操作和一个请求和响应网络组成。

　　LDAP协议包括客户端可以请求的多个操作，例如搜索、比较、添加或删除条目。绑定是LDAP服务器对用户进行身份验证的操作。如果用户已成功认证，绑定允许用户基于该用户权限访问LDAP服务器。

LDAP目录树的根代表组织本身，并且被定义为域组件（DC）。DC通常是DNS域，例如example.com。（因为名称包含一个点，所以它被写成由逗号分隔的两个部分：dc=example，dc=com）其他条目（称为对象）可以根据需要添加到层次结构中。一般来说，两种类型的对象构成了大多数条目：容器和叶子。

　　容器是可以包含其他对象的对象，类似于文件系统中的文件夹。例如容器包括：

• Country (表示 c)
• Organizational unit (表示 ou)
• Organization (表示 o)

　　叶子节点是分支末端的对象，没有从属对象。例如叶子节点包括：

• User ID (表示为 uid)
• Common name (表示为 cn)

这里显示了一个简单的LDAP层次结构的例子。

　　请求身份验证的FortiGate设备（充当LDAP客户端）必须配置为将其请求处理到存在用户记录的层次结构的部分：域组件或存在记录的特定容器。与用户类似，容器有DNS，并且在这个例子中，DN是 ou=people,dc=example,dc=com。

　　身份验证请求还必须指定用户帐户条目。这可以是许多选项之一，包括common name （cn）或计算机网络上的user ID （uid），用户ID是用于登录的信息。注意，如果对象名包括空格，比如John Smith，则在CLI中进行测试时，必须用双引号括起来。例如：cn=“John Smith”。

通过LDAP服务器页面，你可以配置FortiGate指向基于服务器的口令认证的RADIUS服务器。配置地深度取决于在服务器架构和安全设置。Windows Active Directory是非常普通的。

　　Common Name（CN）设置属性的名称是用来找到的用户的名称。一些模式允许你使用属性的UID。Active　Directory（AD）最常见的用sAMAccountName或cn，但也可以使用其他的。

　　Distinguished Name（DN）设置确定用户所在树的顶部，这是通常的域控值；然而，它可以是特殊的容器或ou。你必须使用正确的X.500或LDAP的格式。

　　Bind Type设置取决于LDAP服务器的安全设置。Regular（指定的位置设置一个正则绑定）是必需的如果你需要寻找在多域和用户的凭据，是一个LDAP授权执行查询（例如，LDAP管理员）。

　　如果你想在FortiGate和远程LDAP服务器之间有一个安全的连接，启用Secure Connection和包括一个LDAP server protocol （LDAPS or STARTTLS）的工作人员在同一服务器的证书。

　　注意，Test Connectivity按钮只测试连接到LDAP服务器是否成功，要测试用户的凭证是否能够成功地进行身份验证，你必须使用CLI。

在CLI中diagnose test authservercommand命令来测试用户的凭据是否可以成功地进行身份验证。你希望在对任何防火墙策略执行验证之前确保验证成功。

　　服务器的响应报告成功、失败和组成员详细信息。

RADIUS与LDAP有很大区别，因为没有目录树结构要考虑。RADIUS是提供认证、授权和计费（AAA）服务的标准协议。

　　当用户正在认证时，客户端（FortiGate）向RADIUS服务器发送访问请求包。来自服务器的答复将是下列之一：

• ACCESS-ACCEPT：这意味着用户凭据是可以的。
• ACCESS-REJECT：这意味着凭证是错误的。
• ACCESS-CHALLENGE：这意味着服务器正在请求辅助密码ID、令牌或证书。这通常是服务器在使用双因子身份验证时的答复。

　　并非所有RADIUS客户端都支持RADIUS challenge方法。

通过RADIUS Servers页面，可以配置FortiGate指向基于服务器的口令认证的RADIUS服务器。

　　Primary Server IP/Name设置是RADIUS服务器的IP地址或FQDN。

　　Primary Server Secret设置是在RADIUS服务器上设置的密码，以便允许来自该客户端的远程查询。在主服务器发生故障的情况下，可以定义备份服务器（具有单独的密码）。请注意，必须在RADIUS服务器上列出FortiGate作为该RADIUS服务器的客户端，否则服务器将不答复FortiGate所做的查询。

　　Authentication Method设置是指RADIUS服务器支持的认证协议。选项包括CHAP、PAP、MSCAP和 MSCHAP2。如果选择Default，FortiGate将使用PAP、MSCHAP2和CHAP（按此顺序）。

　　与LDAP配置不同，这里使用的Test Connectivity按钮可以测试实际的用户凭证，但是，与LDAP一样，你也可以使用CLI测试它。

　　“Include in every User Group “选项将RADIUS服务器和所有可以对其进行身份验证的用户添加到在 FortiGate上创建的每个用户组。因此，该选项只能在非常特殊的场景中启用（例如，只有管理员可以在 RADIUS服务器上进行认证，并且策略从最少限制到最限制）。

测试RADIUS与测试LDAP基本相同。在CLI中使用diagnose test authserver命令来测试用户的凭据是否可以成功地进行身份验证。同样，你应该这样做，以确保验证成功之前在任何防火墙策略上实现它。

　　像LDAP一样，它根据服务器的响应报告成功、失败和组成员详细信息。更深层次的故障排除通常需要RADIUS服务器访问。

　　请注意，Fortinet有一个特定于供应商的属性（VSA）字典来识别Fortinet专有的RADIUS属性。此功能允许你扩展RADIUS的基本功能。你可以从Fortinet Knowledge Base（kb.fortinet.com）获得Fortinet VSA字典。

 小测验。

现在你了解远程身份验证服务器的基础知识。接下来，你将了解用户组。

在完成这一节之后，你应该能够配置用户组。

　　通过与用户组演示权限，你将能够配置用户组以有效地管理防火墙策略。

FortiGate允许管理员将用户分配给组。通常，组被用来更有效地管理具有某种共享关系的个体。你可能想通过业务领域，如财务或人力资源，或员工类型，如承包商或客人分组员工。

　　创建用户组后，可以将它们添加到防火墙策略中。这允许你控制对网络资源的访问，因为策略决定是在整个组上做出的。你可以在FortiGate设备上定义本地用户组和远程用户组。有四种用户组类型：

• 防火墙
• 访客
• Fortinet single sign-on (FSSO)
• RADIUS single sign-on (RSSO)

　　FortiGate上的防火墙用户组不需要匹配外部服务器（如LDAP服务器）上可能已经存在的任何类型的组。防火墙用户组仅用于使防火墙策略的配置更容易。

　　大多数认证类型都有基于单个用户而不是用户组的决策。

访客用户组与防火墙用户组不同，因为它们只包含临时来宾用户帐户（整个帐户，而不仅仅是密码）。在无线网络中最常用的是用户用户组。客人帐户在预定的时间之后到期。

　　管理员可以使用随机生成的用户ID和密码手动创建客户帐户或同时创建多个客户帐户。这将减少管理员对大型事件的工作量。一旦创建，你可以向客户用户组添加帐户，并将该组关联到防火墙策略。

　　你可以创建仅具有创建和管理访客帐户的访问权限的客户管理管理员。

 可以在用户组页上配置用户组。必须指定用户组类型并向组添加用户。根据所创建的组，需要不同的配置。例如，对于防火墙用户组，成员可以包括本地用户、PKI对等用户和一个或多个远程身份验证服务器的用户。如果远程身份验证服务器是LDAP服务器，则可以选择要添加到用户组的特定LDAP组，如LDAP服务器上定义的。注意，你还可以选择RADIUS组，但是这需要在RADIUS服务器和FortiGate上进行额外的配置（参见知识库 kb.fortinet.com）。

　　如果希望以相同的方式对待特定用户，则用户组可以简化配置，例如，如果希望向整个Training部门提供对相同网络资源的访问。如果你想以不同的方式对待所有用户，则需要将所有用户分别添加到防火墙策略中。

 小测验。

现在你了解用户组的基本知识。接下来，你将倾向于使用防火墙策略进行身份验证。

在完成本节之后，你应该能够配置防火墙策略。

　　通过演示防火墙策略的能力，你将能够配置防火墙策略以对特定用户和用户组执行身份验证。

防火墙策略由访问和检查规则（指令的分区集）组成，这些规则告诉FortiGate如何处理在其过滤了流量的接口上的流量。在用户进行初始连接尝试之后，FortiGate检查防火墙策略以确定是接受还是拒绝流量会话。然而，防火墙策略还包括许多其他指令，例如处理身份验证的那些指令。为此目的，你可以使用防火墙策略的来源。防火墙策略的源必须包括源地址（IP地址），但是也可以包括用户、用户组和设备类型。这样，包含在防火墙策略的源定义中的任何用户、用户组或设备都可以成功地进行身份验证。

　　用户和用户组对象可以由本地防火墙帐户、外部服务器帐户、PKI用户和FSSO用户组成。

防火墙策略还检查服务以传输命名协议或协议组。在成功的用户认证之前，不允许任何服务（除了DNS）通过防火墙策略。DNS通常被HTTP使用，这样人们就可以使用网站的域名，而不是IP地址。DNS之所以被允许，是因为它是一个基本协议，并且很可能需要最初看到正确的身份验证协议流量。主机名解析几乎总是对任何协议的要求。然而，DNS服务仍然必须在允许的策略中定义，以便使其通过。

　　在本示例中，策略序列1（Full_Access）允许用户在成功身份验证之前使用外部DNS服务器解析主机名。如果验证不成功，DNS也被允许，因为用户需要能够再次尝试进行身份验证。任何包含DNS的服务都会以相同的方式运行，就像默认的所有服务一样。

　　HTTP服务是TCP端口80，不包括DNS（UDP端口53）。

除了DNS服务之外，防火墙策略还必须指定允许的协议，例如HTTP、HTTPS、FTP和Telnet。如果已启用身份验证的防火墙策略不允许用于获得用户凭据的支持协议中的至少一个协议，则用户将不能进行身份验证。

　　使用活动身份验证（本地口令身份验证、基于服务器的口令身份验证和双因子身份验证）的所有身份验证方法都需要协议。主动认证基于以下内容提示用户获得用户凭证：

• 流量的协议
• 防火墙策略

　　另一方面，被动认证在幕后确定用户身份，并且不需要在策略中允许任何特定的服务。

在本示例中，假设使用主动认证，则来自LOCAL_SUBNET的任何初始流量都不会与策略序列1（Full_Access）匹配。策略序列1查找IP和用户以及用户组信息（分别是LOCAL_SUBNET和HR-group），并且由于用户尚未进行身份验证，所以流量的用户组方面不匹配。由于策略匹配没有完成，所以FortiGate继续搜索序列列表，看看是否存在完全匹配。

　　接下来，FortiGate评估策略序列2以查看流量是否匹配。它符合所有标准，因此不允许进行身份验证。

　　当只使用活动身份验证时，如果能够匹配源IP的所有可能策略都启用了身份验证，那么用户将收到登录提示（假设他们使用可接受的登录协议）。换句话说，如果策略序列2还启用了认证，则用户将接收登录提示。

　　如果使用被动身份验证，并且它能够成功地获得用户详细信息，那么来自LOCAL_SUBNET与属于HR-group的用户的流量将应用于策略序列1，即使策略序列2没有启用身份验证。

　　如果你同时使用主动认证和被动认证，并且用户的凭证可以通过被动认证来确定，那么无论防火墙策略的顺序如何，用户都不会收到登录提示。这是因为当FortiGate能够被动地确定用户是谁时，不需要提示用户输入登录凭据。当组合主动和被动身份验证方法时，主动认证旨在用作备份，仅在被动认证失败时才使用。

 小测验。

现在你了解如何使用防火墙策略进行身份验证。接下来，你将了解如何通过强制门户进行身份验证。

  在完成这一部分之后，你应该能够配置强制门户和免责声明。

　　通过在强制户中演示权限，你将能够通过强制门户配置身份验证。

 

​​  如果希望提示所有连接到网络的用户输入其登录凭据（活动身份验证），则可以启用强制门户。强制门户是通过请求用户名和密码的HTML表单在有线或WiFi网络上对Web用户进行身份验证的简便方法。

　　你可以在FortiGate设备或外部身份验证服务器（例如FortiAuthenticator）上配置强制门户。

​​  强制门户，对于有线网络和WiFi网络，不管允许它的防火墙策略或它最终离开的端口（策略上启用或禁用身份验证不是一个因素），都可在接口级别启用强制门户。这对于任何网络接口都是正确的，包括WiFi和VLAN接 口。在本地网络上，必须在传入端口上启用强制门户设置。

　　可以从Interfaces页配置强制门户。选择所需的接口。在Admission Control页上，从Security Mode下拉菜单中选择强制门户。请注意，如果您你在为WiFi网络配置强制门户，则必须首先存在WiFi SSID。

　　强制门户与DHCP模式中的接口不兼容。

​​  在“Admission Control“页上，还限制强制门户用户访问。

　　选择“Restrict to Groups”进行限制，以控制来自强制门户配置的访问。

　　选择“Allow all ”来控制防火墙策略配置中的访问。

​​  你还可以配置防火墙策略，以抑制特定设备、地址或服务的强制门户。这对于无法进行主动身份验证的设备（如打印机和传真机）非常有用，但是仍然需要防火墙策略允许。当被抑制时，与源或目的地匹配的流量不会与强制门户登录页一起呈现。

　　有两种方法可以绕过强制门户：

• 通过GUI（在Network > Interface）或在配置用户（security-exempt-list）安全豁免列表下的CLI中的安全豁免列表
• 通过防火墙策略。在CLI中，编辑策略并设置（captive-portal-exempt）强制门户豁免启用。与此策略匹配的所有流量现在免于通过强制门户进行认证。

​​  通过CLI命令config firewall policy，如果需要，你可以启用服务条款免责声明与专用门户身份验证结合使用。免责声明是用户和主机组织的法律责任的声明，用户在继续之前必须同意。通过此配置（免责声明+身份验证），门户在成功身份验证后立即呈现免责声明页面。用户必须接受免责声明中列出的术语，以便继续到所请求的URL。

　　无论是安全豁免清单，还是防火墙上的专利门户豁免，都不能绕过免责声明。

​​  FortiGate允许你自定义门户消息，其中包括登录页和免责声明页。可以在Replacement Messages页上自定义消息。

　　免责声明页面是HTML格式的，因此你必须有HTML知识才能定制消息。默认布局是Simple View，它隐藏大部分替换消息。使用Extended View显示所有可编辑的替换消息。

​​  认证超时对于安全目的是有用的。它最小化了非法用户使用合法认证用户的IP的风险。它还确保用户不进行认证，然后无限期地留在内存中。如果用户永远呆在内存中，最终会导致内存耗尽。

　　超时行为有三种选择：

• Idle：查看来自主机IP的数据包。如果在配置的时间帧中没有主机设备生成的数据包，则用户被注销。
• Hard：时间是绝对值。不管用户的行为如何，一旦用户验证并在配置的值之后到期，计时器就启动。
• New session：即使现有通信信道上正在生成流量，如果在配置的超时值内没有通过防火墙从主机设备创建新会话，则身份验证将过期。

　　选择最适合你的环境验证需求的超时类型。

​​  小测验。

​​  现在，你了解了认证门户网站的身份验证。接下来，你将了解监控和故障排查。.

​​  完成本章节之后，你应该能够：

• 监控防火墙用户
• 使用故障排查工具
• 使用最佳实践

　　通过演示监视和故障排除的能力，你将能够监视经过身份验证的用户并排除可能发生的任何问题。

​​  你可以使用Firewall User Monitor页面监视通过防火墙政策进行身份验证的用户。它显示用户、用户组、持续时间、IP地址、流量和身份验证方法。

　　它不包括管理员，因为它们不是通过允许流量的防火墙政策进行身份验证，而是直接登录FortiGate。

　　这个页面还允许你同时断开用户或多个用户的连接。

​​ 在基于网络的管理器中，用于故障诊断的一个好工具是安全策略页面上的Bytes列，该列通过单击 Policy&Objects>IPv4 Policy打开。此列显示已通过该策略的字节数。这是你在故障排除时有价值的信息。在测试配置（端到端连接、用户身份验证、策略使用）时，观察字节计数的增长可以帮助进行故障排除。增加值指示所讨论的策略是否看到任何流量，如果希望用户需要身份验证，那么这是有用的信息，但是从不提示它们。

　　使用以下CLI命令收集关于用户和用户身份验证尝试的更多信息，以帮助排除失败的身份验证尝试：

• diagnose firewall auth list：显示经过验证的用户及其IP地址
• diagnose firewall auth clear：清除当前列表中的所有授权用户。当你需要强制用户在系统或组更改之后重新认证时，这是有用的。但是，这个命令很容易导致许多用户不得不重新认证，所以小心使用它。
• diagnose debug app fnbamd -1：用于排除主动验证（必须与诊断调试启用一起使用）。
• diagnose test authserver radius-direct ：测试在FortiGate与RADIUS服务器之间预留密钥。

​​  使用上图列出的最佳实践，以避免配置防火墙验证时不必要的问题。

　　如果在VPN接口下配置源IP，以及在VPN阶段2下适当的快速模式选择器，则只能允许特定的IP通过VPN进行通信，从而提高安全性。

　　快速模式选择器确定哪些IP地址可以执行IKE协商来建立隧道。通过只允许授权的IP地址访问VPN隧道，网络更加安全。

​​  小测验。

​​  你已经完成了本次课程。现在，你将复习本课所涵盖的目标。

​​  本次课程主要涵盖以下对象：

• 描述防火墙认证
• 确定FortiGate设备上可用的不同防火墙认证方法
• 识别支持的远程认证服务器
• 描述主动和被动身份验证以及操作顺序
• 配置用户进行本地密码验证，基于服务器的密码验证和双因素验证
• 配置远程认证服务器
• 配置用户身份验证，防火墙策略，强制网络门户和免责声明
• 理解LDAP和RADIUS角色
• 配置用户组
• 配置防火墙策略
• 配置强制网络门户和免责声明
• 监控防火墙用户
• 使用故障排查工具和最佳实践和最佳实践

 

---