04neteyefirewall5200_用户认证

3Sept.2008©NEUSOFTSECRET用户认证演讲人：唐作夫tangzf@neusoft.com网络安全产品营销中心东软集团股份有限公司Copyright2008ByNeusoftGroup.Allrightsreserved3Sept.2008NEUSOFTSECRET课程目标•了解管理级别•了解用户认证•了解本地数据库•了解Radius认证服务器•了解管理用户认证配置•了解VPN远程用户认证配置3Sept.2008NEUSOFTSECRET•NetEyeFW5200支持对管理用户的分级管理。管理级别RootAdministratorAdministratorAuditorVsysAdministratorVsysAuditor3Sept.2008NEUSOFTSECRET根管理员（RootAdministrator）•根管理员从属于根系统。在创建其他用户之前，根管理员是防火墙系统的唯一用户，并且不能被删除。其用户名和初始口令分别为root和neteye。•以RootAdministrator身份登录，可执行以下操作：–设置管理用户；–设置防火墙；–查看配置信息。3Sept.2008NEUSOFTSECRET根系统管理员（Administrator）•由Rootadministrator用户创建和管理的。该类用户具有读、写权限，可以查看和设置用户所在vsys的整个防火墙的配置信息。•以Administrator身份登录，可执行以下操作：–设置管理用户；–设置防火墙；–查看配置信息。3Sept.2008NEUSOFTSECRET根系统审计员（Auditor）•由Administrator用户创建和管理的。Auditor用户具有只读权限，只可以修改其自身的用户信息和查看防火墙的配置信息，不可以设置防火墙。•以Auditor身份登录时，可执行以下操作：–设置管理用户；–查看配置信息。3Sept.2008NEUSOFTSECRETVsys管理员（VsysAdministrator）•由Administrator设置、管理和分配Vsys信息。该类用户具有读/写权限，可以查看和同时设置管理一个或者多个虚拟防火墙信息。•以VsysAdministrator身份登录，可执行以下操作：–设置管理用户；–设置防火墙；–查看配置信息。3Sept.2008NEUSOFTSECRETVsys审计员（VsysAuditor）•VsysAuditor用户只能由其所在的VsysAdministrator用户设置、管理和分配Vsys信息。•VsysAuditor具有只读权限，只可以查看防火墙的配置，不可以设置防火墙。•以VsysAuditor身份登录，可执行以下操作：–设置管理用户；–查看配置信息。3Sept.2008NEUSOFTSECRET用户配置•以管理员身份登录防火墙，选择“系统““配置”“服务配置”“管理用户”进入用户页面。如下图所示:3Sept.2008NEUSOFTSECRET•创建用户：在“管理用户”页面的“添加用户”区域创建用户。如下图所示：•查看用户信息：在“管理用户”页面查看创建的结果。如下图所示：用户配置（续）3Sept.2008NEUSOFTSECRET用户配置（续）•编辑用户：在“管理用户”页面中点击用户名称，进入编辑页面。如下图所示：3Sept.2008NEUSOFTSECRET用户认证•认证是NetEyeFW5200验证用户身份合法性的重要手段。NetEyeFW5200可对以下类型用户的身份进行认证：–管理用户；–VPN远程用户。•NetEyeFW5200可通过内置于防火墙的本地数据库和远程Radius服务器对以上类型用户进行身份认证，认证方式可分为：–本地认证；–远程认证。3Sept.2008NEUSOFTSECRET本地数据库•NetEyeFW5200可以通过内置的本地数据库对管理用户和VPN远程用户进行身份认证。当创建管理用户和VPN远程用户时，用户名和口令将被存储到本地数据库中。用户提供用户名和口令，请求验证。NetEyeFW5200在本地数据库中，根据用户名查找相应口令，检验其与用户输入的口令是否匹配，并返回验证结果。图示管理用户请求登陆防火墙VPN用户请求接入VPNNetEyeFW5200本地数据库3Sept.2008NEUSOFTSECRETRadius认证服务器•远程认证拨号用户服务（RemoteAuthenticationDialInUserService，简称Radius）是一种在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息的协议。NetEyeFW5200可作为Radius客户端，使用Radius服务器提供的认证服务。3Sept.2008NEUSOFTSECRETRadius认证服务器（续）用户提供用户名和口令请求验证。NetEyeFW5200向Radius服务器验证用户身份。图示管理用户请求登陆防火墙VPN用户请求接入VPNNetEyeFW5200Radius服务器在NetEyeFW5200允许用户的请求之前，将向Radius服务器验证用户身份。只有通过了认证，用户的请求才被允许。3Sept.2008NEUSOFTSECRETNetEyeFW5200词典文件•当通过Radius服务器进行认证时，用户需要在Radius服务器上加载词典文件。词典文件用于定义可加载到Radius服务器上的供应商专用属性（Vendor-SpecificAttribute，简称VSA）。•NetEyeFW5200目前支持以下2种需要加载词典文件的Radius服务器，并为其定义了不同的词典文件。–FreeRadius1.1.7–CiscoSecureACSforWindows4.13Sept.2008NEUSOFTSECRETNetEyeFW5200词典文件（续）•NetEyeFW5200目前支持以下两种不需要加载词典文件的Radius服务器。–Windows2000ServerServicePack4IAS(ChineseVersion;EnglishVersion)–Windows2003ServerServicePack2IAS(ChineseVersion;EnglishVersion)3Sept.2008NEUSOFTSECRETNetEyeFW5200词典文件（续）•NetEyeFW5200词典文件包含的信息如下表所示：参数名称说明VendorID即供应商ID，表示SMI网络管理专用企业代码（SMINetworkManagementPrivateEnterpriseCode）。AttributeName即属性名，用于描述防火墙系统中的专用属性。AttributeNumber即属性编号，用于识别各供应商专用属性。AttributeType即属性类型，用于确定属性数据的显示形式。3Sept.2008NEUSOFTSECRETRadius服务器配置•以管理员的身份登录防火墙，选择“系统”“配置”“服务配置”“远程服务器”，进入“远程服务器”配置页面。如下图所示：3Sept.2008NEUSOFTSECRETRadius服务器配置（续）•添加Radius服务器：在“远程服务器”页面的“添加服务器”区域中添加Radius服务器。如下图所示：3Sept.2008NEUSOFTSECRETRadius服务器配置（续）•查看Radius服务器：在“远程服务器”页面中查看创建的结果。如下图所示：删除选项Radius服务器名称3Sept.2008NEUSOFTSECRETRadius服务器配置（续）•编辑Radius服务器配置信息：在“远程服务器”页面中点击Radius服务器名称，进入Radius服务器编辑页面。如下图所示：3Sept.2008NEUSOFTSECRET管理用户认证配置•管理用户的认证方式与用户所使用的连接方式相关。NetEyeFW5200默认是通过本地数据库对管理用户进行认证的。同时，NetEyeFW5200还允许根系统管理员或者Vsys管理员为使用HTTPS、SSH和Telnet连接方式的管理用户分别设置本地认证或远程认证方式。3Sept.2008NEUSOFTSECRETVPN远程用户认证配置•NetEyeFW5200可以对单独的或者基于用户组的VPN远程用户进行管理，NetEyeFW5200的用户或用户组可分为：–本地认证用户或用户组；–Radius认证用户或用户组。•本地认证用户或用户组中的用户认证是在防火墙本地数据库完成的。Radius认证用户或用户组中的用户认证则是由Radius服务器完成的。回顾•NetEyeFW5200可以对管理用户和VPN远程用户的身份进行认证。•NetEyeFW5200可以使用本地数据库或Radius认证服务器对用户进行身份认证。•我们通过NetEyeNetworkVoyager可以很容易的配置用户认证功能。