深信服AC入门必学.pptVIP

SANGFORAC基础认证技术,SANGFORAC认证功能介绍,所有计算机上网前必须通过SANGFORAC的认证才可上网。通过认证功能用于识别内网上网用户的身份，为后续流量管理、用户上网权限策略及应用审计提供基础。,SANGFORAC的认证方式：1、不需要认证（IP/MAC绑定）2、密码认证（包括本地密码认证和第三方服务器认证）3、单点登陆4、DKEY认证,认证方式介绍,1、不需要认证设备根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户。不需要认证的识别方式，优点是用户上网前浏览器中不会弹出认证框，要求输入正确的用户名密码才能上网。因此用户不会感知到设备的存在。,认证方式介绍,当用户首次通过AC上网时，AC会要求用户提交用户名密码信息，如果用户提交的用户名密码信息和AC本机保存的信息一致时，给予认证通过。用户名密码认证适用于内网用户IP/MAC不固定，或者内网存在第三方用户名密码认证服务器的网络环境。可以手动在AC上新建用户名和密码，也可以直接沿用第三方认证服务器上的账号和密码(SANGFORAC与第三方认证服务器结合，支持LDAP，RADIUS,POP3第三方服务器认证)。,2、密码认证(包括本地密码认证和第三方服务器认证),认证方式介绍,3、单点登录当客户有自己的第三方认证服务器对内网用户进行认证时，单点登录可以实现在内网用户通过第三方认证服务器认证时自动通过AC设备的认证，并且获取到相关的权限上网。SANGFORAC支持域单点登录，POP3单点登录，PROXY单点登录，WEB单点登录（后续PPT详细介绍相关功能和配置，此PPT不再累述）,认证方式介绍,4、DKEY认证SANGFORAC提供上网认证的DKEY有两种，绿色的认证KEY和紫色的免审计KEY。管理员生成DKEY，然后分发给用户。用户上网时，把DKEY插入个人电脑，使用DKEY认证客户端提交认证信息，通过认证后才允许接入互联网。DKEY认证使用于对认证安全要求较高的网络环境，也适应于公司高层机密信息不被随意审计的情况。,认证方式介绍,绿色的是认证KEY，紫色的是免审计KEY，这两种KEY不能混淆。AC还有一种咖啡色的KEY，用于数据中心查询。,IP/MAC认证场景,DKEY认证场景,用户名密码认证场景,典型应用场景与配置,案例背景,某集团公司内部有办公区和公共上网区，要求实现办公区（192.168.1.0/24）用户上网不能修改IP和MAC地址，公共上网区（192.168.2.0/24）则需要输入账号和密码才能上网，确保网络行为能跟踪到，另外总经理的上网数据要保证安全，不能被审计到。,核心交换,防火墙,DMZ服务器,解决方案,根据客户需求，我们可以用如下方式来满足：1、办公区用户采用IP/MAC认证方式2、公共上网区采用密码认证，设置用户名和密码3、总经理使用免审计KEY上网，确保数据不被记录,核心交换,防火墙,DMZ服务器,配置思路,1、新建认证策略认证策略决定了某个IP/网段/MAC地址上计算机的认证方式。通过认证策略设置内网用户的认证方式，以及新用户添加的策略。2、手动新建用户或者自动添加新用户新建用户，可编辑用户属性，定义用户具体的认证信息。包括用户名密码信息，启用DKEY以及IP/MAC绑定如果采用自动添加新用户，在认证策略里开启和定义即可。,AC几种认证方式中，DKEY认证在对应的用户属性中设置即可，不需要设置认证策略，且DKEY认证的优先级最高。不需要认证、密码认证、单点登录这几种认证方式是由认证策略设置决定的。,配置步骤一（IP/MAC认证的用户）,1、首先为办公区的用户建一个用户组,办公区用户,配置步骤一（IP/MAC认证的用户）,2、配置认证策略新增一个认证策略，选择认证方式，。需求是同时绑定IP/MAC，因此选择IP/MAC绑定，且绑定方式为用户和地址双向绑定。开启新用户选项，自动添加新用户到办公区用户组。,配置步骤一（IP/MAC认证的用户）,注意：如果AC和内网用户是跨三层环境，请开启SNMP功能实现IP和MAC的绑定,配置步骤二（用户名密码认证）,1、新建密码认证用户的认证策略,配置步骤二（用户名密码认证）,2、手动新增用户名密码认证的用户，设置用户名密码,配置步骤二（用户名密码认证）,3、客户端输入用户名密码认证,当用户访问网站时，AC会重定向一个认证的页面，如左图所示，用户输入正确的用户名密码认证后，才可以继续上网。,配置步骤三（DKEY认证的用户）,1、新增DKEY认证的用户，手动生成DKEY,勾选使用该DKEY登陆后，不审计此用户的网络应用，则为免审计DKEY，另外需要注意的是点写入DKEY前需要先下载并安装好DKEY驱动,配置步骤三（DKEY认证的用户）,2、使用DKEY认证的用户，下载并安装DKEY客户端,配置步骤三（DKEY认证的用户）,3、使用DKEY客户端进行认证,用户安装完DKEY客户端后，会在桌面生成图标。,把紫色DKEY插入电脑，双击图标，输入DKEY密码，认证成功后，桌面右下角图标会提示您：“认证成功，您正处于不受监控状态.”,练练手,某酒店内部是一个二层DHCP自动分配IP地址的网络（192.168.1.0/24），要求内部员工上网只能使用自己的电脑