深信服防火墙NGAF渠道高级认证培训04_用户登录权限防护

问题思考
1.用户登录权限防护认证URL需要注意事项？
2.TCP方式如何进行认证？ 3. 用户登录权限BYPASS功能有何意义？
www.sangfor.com.cn
SANGFOR NGAF 用户登录权限防护
培训内容 用户登录权限防 护
培训目标
1、理解用户登录权限防护功能的作 用与使用场景 2、掌握用户登陆权限防护的配置方 法与测试方法
目录 1、用户登录权限防护介绍 2、用户登录权限配置
Hale Waihona Puke Baidu
1、用户登录权限
目前网页管理后台、FTP、远程桌面与ssh是常见的黑客入侵通道， 越来越多的网站后台被黑或者数据库被恶意篡改，造成企业单位数据 严重丢失。 为使这些服务器的权限获得更可靠的保障，防止出现以上问题， AF在原有的web应用防护基础又新增了一项用户登录权限的防护，也 就是所谓的短信认证，使用户在访问满足之前的web防护之后，还必 须同时通过AF的短信认证后才能登陆管理页面或者后台进行操作。
• 短信认证防护的对象：
对象
WEB网站
远程桌面 FTP TCP服务 TELNET SSH
web页面，一般用于网站管理后台页面的防护。 TCP服务，一般用于远程桌面、ssh、telnet、ftp的防护。
• 短信认证的流程：
TCP服务：必须先主动访问AF的短信认证页面进行认证，AF无法对 于客户端的访问进行重定向
管理员手机号设置
WEB资源防护，即 需要防护的URL 管理员手机号码
测试短信猫 选择需要防护的非 是否可用 WEB资源，TCP类 型
白名单时间，认证过后 多长时间内无需认证
2、用户权限配置
短信网关Bypass
Bypass，若无短信猫或短 信猫认证失败，不做短信 认证，仅验证手机号
BYPASS默认关闭 短信猫欠费或停机无法bypass
1、用户登录权限
• 短信认证防护： 客户网站中有管理界面，但不允许对管理界面的直接登陆，必须通过AF 设备的短信认证后才能登陆管理界面，这就是用户登陆权限防护。 • 短信认证的作用：
身份验证
对不支持多因子认证的应用系统或管理方式，实现了叠加的多因子认 证，提高了客户应用系统和管理系统的安全性，并且不需要修改 应用系统或增加额外的开发成本。
目录 1、用户登录权限防护介绍 2、用户登录权限配置
2、用户权限配置
用户登录权限防护模块是WAF模块的子功能，功能开关集成在WAF策略配 置中，与WAF的配置相关，需要尽量配置正确的WAF策略防护信息，如 保护区域和目的IP组，以及WEB服务端口。默认用户登录权限未开启。
2、 用户权限配置
WEB方式防护
2、用户权限配置
短信认证过程: A. 检测到对受保护资源的访问，则强制进入认证页面。 B. 输入管理员手机号码并获取验证码。 C. 如果是管理员号码，则发送短信。
D. 输入验证码，提交。
E. 验证码正确，认证成功，可正常访问受保护资源。
2、用户权限配置
数据中心日志:
注意事项
1、配置用于非WEB登陆方式认证的URL： 配置一个不存在的url，用户访问此url时必须经过AF设备，AF设备会抓 取TCP连接并返回短信认证页面。若此处配置的url与客户内部网站的真 实URL冲突，用户将只能浏览到短信认证页面。 2、允许BYPASS: 1).默认关闭。 2).每次认证时，若检测到短信猫未插入USB口，开启bypass不做短信认证， 仅需输入的手机号是管理员手机号，则认证通过。 3).短信猫欠费或停机无法bypass
WEB资源防护，即 需要防护的URL
主动认证的url，访问后 返回认证界面。此处配 置一个不存在的url，用 户访问此url时必须经过 AF设备，AF设备会抓取 TCP连接并返回短信认 证页面。
2、用户权限配置
TCP方式防护
选择需要防护 的非WEB资源， TCP类型
选择需要防护 的TCP应用
2、用户权限配置