认证 > 关于用户认证

关于用户认证

用户认证是查明用户宣称的身份是否属实并验证分配给该用户的权限的过程。 在 XTM 设备上,用户帐户有两个部分:用户名和密码。 每个用户帐户关联一个 IP 地址。 用户名、密码及 IP 地址三者组合帮助设备管理员监控通过该设备的连接。 有了认证,用户就可以从任何计算机上登录网络,但只能访问他们获得授权的网络端口和协议。 用户通过认证后,XTM 设备即可映射从特定 IP 地址开始的连接,还将传输会话名称。

您可以创建防火墙策略,给予用户和组访问指定网络资源的权限。 这在不同用户共享一台计算机或一个 IP 地址的网络环境中很有用。

您可以将 XTM 设备配置为本地认证服务器,也可以使用现有的 Active Directory 或 LDAP 认证服务器,或者现有的 RADIUS 认证服务器。 使用 Firebox 认证(通过端口 4100)时,帐户权限可以基于用户名。 使用第三方认证时,向第三方认证服务器进行认证的用户的帐户权限基于组成员身份。

WatchGuard 的用户认证功能允许将用户名与特定的 IP 地址相关联,帮助您进行认证并跟踪通过该设备的用户连接。 使用设备时,针对每个连接要询问和回答的基本问题是:我是否应该允许从源 X 到目标 Y 的流量? 为使 WatchGuard 认证功能正常工作,在用户已通过设备的认证后,不得更改用户的计算机 IP 地址。

在大多数环境中,IP 地址与用户计算机之间的关系在用于认证时足够稳定。 在用户与 IP 地址之间的关联不稳定的环境中(例如信息亭或应用程序从终端服务器运行的网络),我们建议您使用 Terminal Services Agent 进行安全认证。 有关详细信息,请参阅安装和配置 Terminal Services Agent

WatchGuard 支持防火墙产品中的认证、统计和访问控制 (AAA) 功能,但要求 IP 地址和用户之间存在稳定的关联。

WatchGuard 用户认证功能还支持认证使用单一登录 (SSO) 的 Active Directory 域及其他常用的认证服务器。 此外,它还支持非活动设置和会话时间限制。 这些可控制允许 IP 地址通过 XTM 设备传输流量的时间,超过该时间后,用户必须重新提供密码(再次进行认证)。

如果您通过白名单控制 SSO 访问,管理非活动超时、会话超时以及允许哪些用户进行认证,则可以改善对认证、统计和访问控制的控制。

要阻止用户进行认证,您必须在认证服务器上禁用该用户的帐户。

请参阅

用户 认证步骤

管理已通过认证的用户

认证服务器类型

将 XTM 设备配置为认证服务器

关于 第三方认证服务器

关于单一登录 (SSO)

提供反馈  •   获得支持  •   全部产品文件  •   知识库