Fortinet安全解决方案 用户认证管理

Fortinet用户管理解决方案

1. 概述

用户认证用处广泛，单就FortiGate而言，就多处功能得使用用户认证，比如防火墙策略认证、IPSec VPN、SSL VPN、设备管理等。FortiGate用户认证分为三种基本类型：认证用户的密码型、认证主机和终端的证书型，在密码外附属其他安全策略的双因子型的。用户是通过密码来确定身份的，但是网络资源通常是以用户组的方式授权的。也就是说任何用户要访问该资源时，需要通过密码来证明自己属于授权的用户组。

如上图所示，FortiGate-FortiAuthenticator解决方案涵盖了多种应用，无线接入、有线接入、VPN接入等用户管理系统。在下面方案中，我们将阐述不同认证体系，以及其与FortiGate和FortiAuthenticator关系。

2. 本地用户

本地用户是配置于FortiGate上的用户名，密码可以存储与FortiGate本身，也可以取自认证服务器。取自认证服务器时，认证服务器上的用户名必须和FortiGate上配置的用户名相匹配，密码是来自认证服务器的。

本地用户也可以采用双因子认证。双因子认证可以动态令牌卡、邮件发送密码、短信方式等。双因子可以强化本地用户的安全特点。如果采用动态令牌卡，需要将FortiT oken注册于设备上。

FortiAuthenticator也可以设置本地用户，其特点在于完善的用户管理体系。管理员可以建立和删除用户，用户可以采用自注册方式生成用户，用户名和密码可以通过邮件、短信等方式发送。FortiAuthenticator可以强制用户在注册时，填写必要的选项。用户自注册界面如下：

FortiAuthenticator也可以对用户信息进行管理，强制用户密码有效期，用户可以自行修改密码等。当用户遗忘密码时，可以自行恢复密码。

3. 访客管理

企业经常有访客来访，往往希望有线或者无线的接入internet和企业网络。如何为访客授权和管理是网络灵活性和安全性的一个重要方面。Fortinet解决方案可以提供多个层次的访客管理体系。

1、专人来生成和管理访客账号。在FortiGate可以设置一个管理员负责访客的账号生成和吊销。访客管理可以采用单独生成和批量生成，具有以下特点：

●自动生成用户名和密码

●可以采用邮件作为用户名，也可以自动生成

●账号有效期可以生成账号或者使用开始计时

●账号通过邮件和打印等方式进行发送

2、由访客自行注册账号。FortiGate-FortiAuthenticator组合起来可以为访客提供一个自注册的管理平台，用户可以根据自己需求来生成账号，具有以下特点：

●用户自行填写用户信息

●管理员可以强制要求必填的信息

●管理员可以设置账号有效期

●账号可以通过邮件、短信和打印等方式进行发送。

4. RADIUS认证

FortiGate可以充分发挥RADIUS服务器。用户认证时，FortiGate转发用户名和密码到RADIUS服务器，如果RADIUS服务器能够认证该用户，则该用户可以成功认证，如果不能通过RADIUS认证，则FortiGate拒绝该用户。管理员可以指定RADIUS认证的加密协议。

通过与Radius的配合，FortiGate可以实现多种功能，比如用户认证，VPN接入，并且可以充分发挥Radius的作用进行根据时间的记账，也可以利用Radius向用户分配IP和访问权限等更为详尽的用户属性。

FortiAuthenticator可以从两个方面上支持Radius，一是它可以作为Radius服务器，二是它可以查询Radius上的用户信息。如下图所示，FortiAuthenticator作为一个综合认证平台，可以从Radius服务器、LDAP服务器和设备本身上提取用户信息，转换为Radius 服务。

5. LDAP认证

LDAP是用途非常广泛的用户认证管理体系，它能够有效地体现用户的体系结构，比如部门、组等。LDAP是数据表现的架构，是一整套操作的组合，构造请求和回应的网络。FortiGate可以支持采用LDAP服务器来认证用户。

FortiGate可以通过LDAP来遍历所有用户名和密码，如下图所示。

FortiGate LDAP支持重设密码，也就是说通知用户更新密码和密码的结束时间，但是需要在命令行下配置。

6. TACACS+

TACACS+(Terminal Access Controller Access-Control System) 通常用于认证路由器、VPN和其他基于网络的设备。FortiGate将用户名和密码转发给TACACS+服务器，服务器决定是否接受还是拒绝该请求该用户访问网络。缺省的TACACS+端口号是TCP的49端口。管理员可以选择认证的类型，比如ASCII, PAP, CHAP和MSCHAP，也可以设置成自动。

7. 双因子认证与FortiToken

FortiGate和FortiAuthenticator支持多种双因子认证，Fortinet的FortiToken动态口令卡，邮件、短信等。FortiT oken有多种表现形态，FortiToken 200系列为硬件化的动态口令卡，FortiToken 300系列为基于CA证书方式的硬件Key，FortiToken移动软件版的动态口令软件。

FortiT oken是一系列双因子认证系统，具有以下特点：

●通常用于部署FortiGate VPN功能时使用

●认证服务器是内置于FortiGate系统和FortiAuthenticator中，无需另外购买

●不需要购买和维护其他的硬件和软件

●FortiT oken的管理是由FortiGate或者FortiAuthenticator完成的

●可以与现有域控制器、本地用户、LDAP、Radius用户配合使用

●部署简便，零维护

FortiT oken可以用于FortiGate的各个需要认证的功能，比如设备管理、SSL VPN、IPSec VPN、门户认证等。由于FortiT oken采用动态口令或者CA证书的方式，为用户提供了双