08Fortinet安全系统解决方案设计用户认证管理系统.docx
《08Fortinet安全系统解决方案设计用户认证管理系统.docx》由会员分享,可在线阅读,更多相关《08Fortinet安全系统解决方案设计用户认证管理系统.docx(9页珍藏版)》请在冰豆网上搜索。
08Fortinet安全系统解决方案设计用户认证管理系统
Fortinet用户管理解决方案
1.概述
用户认证用处广泛,单就FortiGate而言,就多处功能得使用用户认证,比如防火墙策略认证、IPSecVPN、SSLVPN、设备管理等。
FortiGate用户认证分为三种基本类型:
认证用户的密码型、认证主机和终端的证书型,在密码外附属其他安全策略的双因子型的。
用户是通过密码来确定身份的,但是网络资源通常是以用户组的方式授权的。
也就是说任何用户要访问该资源时,需要通过密码来证明自己属于授权的用户组。
如上图所示,FortiGate-FortiAuthenticator解决方案涵盖了多种应用,无线接入、有线接入、VPN接入等用户管理系统。
在下面方案中,我们将阐述不同认证体系,以及其与FortiGate和FortiAuthenticator关系。
2.本地用户
本地用户是配置于FortiGate上的用户名,密码可以存储与FortiGate本身,也可以取自认证服务器。
取自认证服务器时,认证服务器上的用户名必须和FortiGate上配置的用户名相匹配,密码是来自认证服务器的。
本地用户也可以采用双因子认证。
双因子认证可以动态令牌卡、邮件发送密码、短信方式等。
双因子可以强化本地用户的安全特点。
如果采用动态令牌卡,需要将FortiToken注册于设备上。
FortiAuthenticator也可以设置本地用户,其特点在于完善的用户管理体系。
管理员可以建立和删除用户,用户可以采用自注册方式生成用户,用户名和密码可以通过邮件、短信等方式发送。
FortiAuthenticator可以强制用户在注册时,填写必要的选项。
用户自注册界面如下:
FortiAuthenticator也可以对用户信息进行管理,强制用户密码有效期,用户可以自行修改密码等。
当用户遗忘密码时,可以自行恢复密码。
3.访客管理
企业经常有访客来访,往往希望有线或者无线的接入internet和企业网络。
如何为访客授权和管理是网络灵活性和安全性的一个重要方面。
Fortinet解决方案可以提供多个层次的访客管理体系。
1、专人来生成和管理访客账号。
在FortiGate可以设置一个管理员负责访客的账号生成和吊销。
访客管理可以采用单独生成和批量生成,具有以下特点:
●自动生成用户名和密码
●可以采用邮件作为用户名,也可以自动生成
●账号有效期可以生成账号或者使用开始计时
●账号通过邮件和打印等方式进行发送
2、由访客自行注册账号。
FortiGate-FortiAuthenticator组合起来可以为访客提供一个自注册的管理平台,用户可以根据自己需求来生成账号,具有以下特点:
●用户自行填写用户信息
●管理员可以强制要求必填的信息
●管理员可以设置账号有效期
●账号可以通过邮件、短信和打印等方式进行发送。
4.RADIUS认证
FortiGate可以充分发挥RADIUS服务器。
用户认证时,FortiGate转发用户名和密码到RADIUS服务器,如果RADIUS服务器能够认证该用户,则该用户可以成功认证,如果不能通过RADIUS认证,则FortiGate拒绝该用户。
管理员可以指定RADIUS认证的加密协议。
通过与Radius的配合,FortiGate可以实现多种功能,比如用户认证,VPN接入,并且可以充分发挥Radius的作用进行根据时间的记账,也可以利用Radius向用户分配IP和访问权限等更为详尽的用户属性。
FortiAuthenticator可以从两个方面上支持Radius,一是它可以作为Radius服务器,二是它可以查询Radius上的用户信息。
如下图所示,FortiAuthenticator作为一个综合认证平台,可以从Radius服务器、LDAP服务器和设备本身上提取用户信息,转换为Radius服务。
5.LDAP认证
LDAP是用途非常广泛的用户认证管理体系,它能够有效地体现用户的体系结构,比如部门、组等。
LDAP是数据表现的架构,是一整套操作的组合,构造请求和回应的网络。
FortiGate可以支持采用LDAP服务器来认证用户。
FortiGate可以通过LDAP来遍历所有用户名和密码,如下图所示。
FortiGateLDAP支持重设密码,也就是说通知用户更新密码和密码的结束时间,但是需要在命令行下配置。
6.TACACS+
TACACS+(TerminalAccessControllerAccess-ControlSystem)通常用于认证路由器、VPN和其他基于网络的设备。
FortiGate将用户名和密码转发给TACACS+服务器,服务器决定是否接受还是拒绝该请求该用户访问网络。
缺省的TACACS+端口号是TCP的49端口。
管理员可以选择认证的类型,比如ASCII,PAP,CHAP和MSCHAP,也可以设置成自动。
7.双因子认证与FortiToken
FortiGate和FortiAuthenticator支持多种双因子认证,Fortinet的FortiToken动态口令卡,邮件、短信等。
FortiToken有多种表现形态,FortiToken200系列为硬件化的动态口令卡,FortiToken300系列为基于CA证书方式的硬件Key,FortiToken移动软件版的动态口令软件。
FortiToken是一系列双因子认证系统,具有以下特点:
●通常用于部署FortiGateVPN功能时使用
●认证服务器是内置于FortiGate系统和FortiAuthenticator中,无需另外购买
●不需要购买和维护其他的硬件和软件
●FortiToken的管理是由FortiGate或者FortiAuthenticator完成的
●可以与现有域控制器、本地用户、LDAP、Radius用户配合使用
●部署简便,零维护
FortiToken可以用于FortiGate的各个需要认证的功能,比如设备管理、SSLVPN、IPSecVPN、门户认证等。
由于FortiToken采用动态口令或者CA证书的方式,为用户提供了双因子认证的选择。
采用FortiToken,可以极大地降低因密码泄露导致安全隐患。
另外FortiToken部署极为简便,无需额外的服务器和硬件设施,能够迅速地部署。
8.单点登录与FSSO
WindowsAD和NovelleDirectory通过多个域服务器来管理用户的认证信息。
每个用户在域中都有独立的用户名和密码,并且根据帐号来获得访问相应的资源。
这种集中的账户管理被称为目录,存储与域控制器上。
域控制器是管理所有与用户相关的安全信息的服务器。
Fortinet通过用户组与策略配合的方式控制用户访问网络。
每个Fortinet用户组可以与域控制器上的一个组或者多个组对应。
当用户登陆到现有的域网络中时,FSSO可以及时发现登录状态,并且通过FortiGate给予相应的访问网络的权限。
FortiAuthenticator同样也集成了单点登录功能,可以支持与Windows和Novell实现同步,将认证通过的用户同步到FortiAuthenticator,FortiAuthenticator再将信息提供给FortiGate等设备,实现多个FortiGate用户认证信息的统一化管理。
FortiAuthenticator集成了FSSO的Polling模式,可以在线地查询域控制器上的用户登录信息,而不需要在域控制器上安装软件。
该模式适合于中小规模用户,部署简单方便。
FortiAuthenticator不仅仅可以查询Windows和Novell的用户登录信息,也可以查询Radius的Accounting信息,了解Radius用户登录和退出信息,并且也可以将该登录信息提供给FortiGate等设备,实现Radius用户的单点登录。
FortiAuthenticator也可以提供用户登录的界面,当用户在FortiAuthenticator上登录成功后,该设备将该登录成功信息自动地同步给多个FortiGate。
该登录界面是采用Portal方式提供,用户可以将它嵌入到其他页面,实现企业级的统一认证平台。
FortiAuthenticator支持API来集成第三方认证数据到FSSO。
凡是在第三方认证平台上采用Fortinet的API,FortiAuthenticator也可以识别该登录和退出信息。
该API经过REST认证,是开放标准化的体系。
9、PKI和CA
PKI使用证书认证系统与用户、用户组等信息关联,对用户进行认证。
用户仅需要证书即可完成认证,可以不用输入用户名和密码。
防火墙策略控制和SSLVPN可以使用CA认证的方式对用户进行管理。
FortiGate本身具有一定的CA申请、吊销、认证等多种功能。
FortiGate可以支持在线的SCEP,也就是在线式申请证书,如下图所示。
FortiGate也可以支持在线的证书吊销管理,如下图:
如下图所示,FortiAuthenticator可以作为PKI证书签发的服务器。
FortiAuthenticator可以作为root来签发证书,方便各种使用证书的场所,比如IPSECVPN,SSLVPN,基于证书的用户认证,基于证书的设备管理员认证,基于证书的无线用户认证等等。
FortiAuthenticator可以为客户端和服务器颁发数字证书。
双方使用证书来相互认证。
非常适用于BYOD。
该设备可以支持SCEP,简化了证书管理和发布并且支持手动吊销和在线吊销证书(OCSP),方便因失窃和管理原因删除签发证书许可。