渠道初级认证培训之基础认证技术

1、 基础认证技术培训内容培训目标 认证功能介绍1. 掌握设备支持的认证方式 认证功能配置1.掌握设备认证（跨三层环境）的配置步骤2.掌握设备用户名密码认证的配置步骤3.掌握设备认证的配置步骤密码认证加强1.掌握如何设置用户密码强度2.掌握如何强制客户端初次认证修改密码用户注销功能介绍1.掌握如何注销已经通过认证的用户认证功能介绍 认证功能介绍概述：认证功能主要用于对经过设备上网的用户进行身份的验证。通过认证功能可识别内网上网用户的身份，为后续的流量管理、用户上网权限策略及应用审计提供基础。 的认证方式：1、不需要认证（绑定）2、密码认证（包括本地密码认证和第三方服务器认证） 3、单点登陆4、认证

2、认证方式介绍 1、不需要认证 设备根据数据包的源地址、源地址、上网的计算机名来识别用户。 不需要认证的方式，优点是用户上网前浏览器中不会弹出认证框,不需要通过用户名密码验证才能上网。因此用户不会感知到设备的存在。 认证方式介绍 当用户首次通过上网时，会要求用户提交用户名密码信息，如果用户提交的用户名密码信息和本机保存的信息一致时，给予认证通过。 用户名密码认证适用于内网用户不固定，或者内网存在第三方认证服务器的网络环境。 可以手动在上新建用户名和密码，也可以直接沿用第三方认证服务器上的账号和密码( 与第三方认证服务器结合，支持、 3、数据库、H3C 等第三方服务器认证)。 2、密码认证(包括本

3、地密码认证和第三方服务器认证)认证方式介绍 3、单点登录 当客户有自己的第三方认证服务器对内网用户进行认证时，单点登录可以实现在内网用户通过第三方认证服务器认证时自动通过设备的认证，并且获取到相关的权限上网。 支持域单点登录，3单点登录，单点登录，单点登录、单点登陆，数据库单点登陆，第三方设备单点登陆（包括锐捷系统，城市热点，H3C 系统等），单点登录功能培训将详细介绍相关功能和配置，此不再赘述。认证方式介绍 4、认证 提供上网认证的有两种，绿色的认证和紫色的免审计。 认证过程：管理员生成，然后分发给用户。用户上网时，把插入个人电 脑，使用认证客户端提交认证信息，通过认证后才允许接入互联网。

4、认证适用于对认证安全要求较高的网络环境，也适用于公司高层机密信息不被随意审计的情况。认证方式介绍绿色的是认证，紫色的是免审计，这两种不能混淆。还有一种咖啡色的，用于数据中心查询。认证功能配置认证场景认证场景用户名密码认证场景典型应用场景与配置案例背景 某集团公司内部有办公区和公共上网区， 要求实现办公区（192.168.1.0/24）用户上网不能修改和地址，公共上网区（192.168.2.0/24）则需要输入账号和密码才能上网，确保网络行为能跟踪到，另外总经理的上网数据要保证安全，不能被审计。核心交换防火墙总经理办公区公共上网区解决方案 根据客户需求，我们可以将部署在防火墙与核心交换机之间，并

5、通过如下认证设置来满足需求：1、办公区用户采用认证方式2、公共上网区采用密码认证，设置用户名和密码3、总经理使用免审计上网，确保数据不被记录核心交换防火墙总经理办公区公共上网区配置思路1、新建认证策略 认证策略决定了使用某个网段地址的计算机的认证方式。通过认证策略可设置内网用户的认证方式。 2、手动新建用户或者自动添加新用户 新建用户，可编辑用户属性，定义用户具体的认证信息。包括用户名密码信息， 启用以及绑定。 如果采用自动添加新用户，在认证策略里开启和定义即可。几种认证方式中，认证在对应的用户属性中设置即可，不需要设置认证策略，且认证的优先级最高。不需要认证、密码认证、单点登录这几种认证方式

6、需要到认证策略中设置。配置步骤一（认证的用户） 1、首先为办公区的用户建一个用户组，在【用户与策略管理】【用户管理】【组/用户】中，点新增，选择【组】，定义组名：办公区，设置完后点提交。配置步骤一（认证的用户） 2、配置认证策略 新增一个认证策略，选择认证方式，本案例的需求是同时绑定，因此选择绑定，且绑定方式为用户和地址双向绑定。在新用户选项中，自动添加新用户到办公区用户组。定义需要使用认证的范围这里也可以用地址或计算机名做为新用户选择用户组勾选后，客户端登陆时自动绑定配置完成，点击确定配置步骤一（认证的用户） 注：如果和内网用户是跨三层环境，需开启功能实现和的绑定，【用户与策略管理】【用户认

7、证】【认证选项】【跨三层识别】填入与相连的三层交换机的地址，格式如图配置步骤二（用户名密码认证） 1、配置认证策略：在【用户与策略管理】【用户认证】【认证策略】中，点击【新增】，如图，配置完成后点提交。配置步骤二（用户名密码认证） 2、新增用户名密码认证的用户，设置用户名密码勾选后，该账号可供多人使用，也可不勾选，为每个用户单独建立 用户名和密码配置步骤二（用户名密码认证） 3、客户端输入用户名密码认证 当用户访问网站时，会重定向到这个认证的页面，用户输入正确的用户名密码认证后，才可以继续上网。配置步骤三（认证的用户） 1、新增认证的用户，手动生成勾选后，会弹出提示信息，要求生成，点关闭即可。

8、使用免审计时，需要勾选此项设置的初始密码点写入前请先在本机安装驱动配置步骤三（认证的用户） 2、使用认证的用户，需下载并安装客户端172.16.0.1为设备口地址点击下载并安装客户端配置步骤三（认证的用户）3、使用客户端进行认证 用户安装完客户端后，会在桌面生成图标。 若将紫色插入电脑，双击图标，输入密码，认证成功后，桌面右下角图标会提示您：“认证成功，您正处于不受监控状态.”密码认证加强设置用户密码强度 设置密码强度主要为了满足对认证用户的密码安全的需求。密码强度限制仅对私有用户在客户端修改密码有效，管理员在控制台建立或修改密码不受此限制。设置用户密码强度 配置步骤：【用户与策略管理】【用户

9、认证】【认证选项】【其它认证选项】按照用户需求勾选相应条目，可复选。设置用户密码强度客户端登陆修改密码：输入密码的时候会实时检测并根据输入情况在右边显示相应的提示点击确定时会再次检测，若不符合要求，则修改不成功，并会弹出相应提示强制客户端初次认证修改密码 应用背景：用户批量导入或者大量加入的时候，初始密码是一致的，这样很不安全 解决思路：强制要求用户初次登录时自行修改密码。 注意事项： 1. 仅对设备本地密码认证的用户有效 2. 用户认证后会自动跳转到修改密码窗口，若不修改则无法上网。 配置方法： 1. 添加用户时：在【用户与策略管理】【用户管理】【组/用户】中，点击 新增，在【本地密码】设置

10、的下方勾选“初次认证修改密码”。强制客户端初次认证修改密码强制客户端初次认证修改密码 2. 导入用户时：【用户与策略管理】【用户管理】【用户导入】，点击 格式文件导入时，勾选初次认证修改密码。强制客户端初次认证修改密码 启用了初次认证修改密码，用户第一次认证通过后会跳转到修改密码页面，修改完成后出现如下页面：提示：1.此页面为静态页面，不会自动跳转到之前访问的页面。2.修改密码后生效可能有30秒的延迟，建议在30秒内不要注销或重新登录。用户注销如何注销已经通过认证的用户 当需要注销已经认证成功的用户时，可以通过网关控制台注销用户或在客户端手动注销来实现。控制台注销用户：1. 在线用户列表强制注

11、销（不需要认证用户，用户，临时用户不能被注销）如何注销已经通过认证的用户 2. 无流量自动注销用户（适用于所有认证类型的用户）如何注销已经通过认证的用户 3. 开启密码认证的用户，通过弹出注销窗口（只适用于本地密码认证的用户）如何注销已经通过认证的用户 用户认证成功后，自动跳转到如下注销页面，用户可以手动点击页面上的“注销”按钮完成注销。如何注销已经通过认证的用户 4. 客户端手动注销认证，通过输入打开手动认证和注销的页面，点击注销（只适用于密码认证的用户和单点登录的用户）。练练手 某酒店内部是一个二层网络（192.168.1.0/24），每台电脑均分配了一个固定的地址，要求内部员工上网只能使用自己的电脑，不能随便修改，确保网络行为能跟踪到人。客户房区的用户上网需通过账号和密码认证，方便计费和管理。您有什么样的方案能满足客户的需求呢？我们的建议：对内部员工的电脑启用地址绑定。其它用