fortigate考試nse4中文版防火墻認(rèn)證

1、FortiGate I防火墻認(rèn)證FortiGate 5.2.1認(rèn)證確定一個用戶或一個設(shè)備的身份一旦一個用戶或者設(shè)備的身份得到確認(rèn)，F(xiàn)ortiGate就會應(yīng)用相應(yīng)的防火墻策略和安全配置來允許或者拒絕對不同網(wǎng)絡(luò)資源的訪問認(rèn)證的方式可以使用如下的幾種防火墻認(rèn)證方式：本地認(rèn)證遠(yuǎn)端服務(wù)器認(rèn)證雙因子認(rèn)證本地認(rèn)證本地認(rèn)證是一種基于存儲在FortiGate上的用戶信息的認(rèn)證方式對應(yīng)每一個賬號，用戶名和密碼被存儲在FortiGate上User name and password12Fortigate遠(yuǎn)端服務(wù)器認(rèn)證賬戶信息存儲在第三方的認(rèn)證服務(wù)器上管理員可以：創(chuàng)建一個本地賬戶，并且密碼由遠(yuǎn)程服務(wù)器來驗證管理員可以

2、添加認(rèn)證服務(wù)器到一個用戶組中認(rèn)證服務(wù)器上所有用戶都將變成組的成員Username and passwordUsername and passwordOK1234FortiGateRemote Server遠(yuǎn)端服務(wù)器認(rèn)證 - 使用的協(xié)議LDAPDirectoryServicesFSSO, NTLMTACACS+RADIUSRADIUSRSSOSingle Sign OnPOP3遠(yuǎn)端服務(wù)器認(rèn)證 - 單點(diǎn)登錄(SSO)它指的是已經(jīng)通過某個域認(rèn)證的用戶如何利用已有的認(rèn)證事件來通過防火墻的認(rèn)證用戶只需輸入一次憑證，在訪問其他網(wǎng)絡(luò)資源的時候不會再彈出重新認(rèn)證的提示。FortiGate設(shè)備的SSO功能包含以

3、下兩種方法：FSSO: 這種通信框架下，一臺Fortinet設(shè)備收集用戶登錄事件，并轉(zhuǎn)發(fā)到其他FortiGate設(shè)備上RSSO: Radius計費(fèi)被發(fā)送到FortiGate設(shè)備，計費(fèi)報文中含有登錄和登出時間遠(yuǎn)端服務(wù)器認(rèn)證 POP3大部分的認(rèn)證方式為用戶名和密碼的組合比如RADIUS或者FSSO中：User: jsmithPassword: POP3的服務(wù)器認(rèn)證時是基于email地址：User: jsmith (or just jsmith)Password: 雙因子認(rèn)證 (2FA)2FA 是一種增強(qiáng)型認(rèn)證，它可以防御針對靜態(tài)密碼的攻擊，提高認(rèn)證本身的安全性2FA 要求兩種獨(dú)立識別用戶的方法：例

4、如：密碼或者 PIN例如：令牌或者PKI證書一次性口令 (OTP)算法可以基于時間或者事件：Fortinet 是基于時間，因此FortiGate系統(tǒng)時鐘是必須要準(zhǔn)確的一次性口令是比較好的方法，僅供一次使用，所以即使被截獲了，口令也已經(jīng)失效不可用了雙因子認(rèn)證 ： 一次性口令FortiToken/移動端的FortiToken: 每60秒，令牌將會產(chǎn)生一個6位數(shù)字，由一個唯一的種子和標(biāo)準(zhǔn)時間計算得出硬件FortiToken移動端的FortiToken：iOS版和Android版其他方式Email:通過用戶配置的電子郵箱來發(fā)送一次性口令SMS: 一次性口令可通過電子郵件發(fā)送給SMS運(yùn)營商雙因子認(rèn)證 令

5、牌AlgorithmTime*Seed+AlgorithmTimeSeed+Same OTP valueSame timeSame seedValidation Server OTP generator Time sync with accurate NTP sourceStatic password + OTPValidate static password1234添加一個FortiToken認(rèn)證的分類Active 用戶收到一個登陸提示，必須手動輸入用戶名密碼信息使用LDAP, RADIUS, TACACS+等協(xié)議認(rèn)證，或者本地認(rèn)證Passive用戶不會收到登陸提示，用戶名密碼信息自動添加通

6、常的方式有FSSO，RSSO和NTLM觸發(fā)用戶認(rèn)證觸發(fā)用戶認(rèn)證的協(xié)議包括以下協(xié)議：HTTPHTTPSFTPTelnet認(rèn)證協(xié)議必須在策略中設(shè)置為允許除非用戶已經(jīng)通過以上四種協(xié)議一種成功進(jìn)行認(rèn)證，否則其他服務(wù)將被禁止認(rèn)證的種類:執(zhí)行的順序當(dāng)主動認(rèn)證方式和被動認(rèn)證方式同時被使能時，首先識別出用戶名的認(rèn)證方式生效如果用戶信息不能被被動認(rèn)證方式所識別，則主動認(rèn)證方式生效?防火墻策略：源防火墻策略可以使用user或者組來作為源任何一個用戶只要命中了策略中的源，這個策略的認(rèn)證即為成功Policy Source防火墻策略: DNS即使用戶沒有認(rèn)證成功，DNS流量也可以通過主機(jī)名解析時，HTTP/HTTPS/

7、FTP/Telnet流量會觸發(fā)用戶認(rèn)證可以在策略中指明DNS服務(wù)的流量為允許通過的流量混合策略在一個策略中使能認(rèn)證不一定會觸發(fā)認(rèn)證發(fā)生兩種方法:在每一個流量可能會匹配的策略中都使能認(rèn)證在流量的入接口上使能captive portal強(qiáng)制Portal 在接口上使能了captive portal后，如果收到了沒有認(rèn)證過的流量，則強(qiáng)制觸發(fā)認(rèn)證頁面彈出Port 2Port 1Enable captive portal hereLocal Network舉例: 強(qiáng)制Portal只有主動認(rèn)證方式才能使用強(qiáng)制portal 強(qiáng)制Portal如果在接口上使能了強(qiáng)制portal，但并不想對某些設(shè)備進(jìn)行認(rèn)證打印機(jī)，

8、傳真機(jī)，游戲機(jī)等設(shè)備不能進(jìn)行主動認(rèn)證，但仍需要被防火墻策略運(yùn)行通過#config firewall policy#edit #set captive-portal-exempt enable#end#config user security-exempt-list#edit #config rule#edit #set srcaddr #next#end免責(zé)聲明Policy在用戶認(rèn)證之前顯示免責(zé)聲明頁面用戶必須接受免責(zé)條款才能進(jìn)一步進(jìn)行認(rèn)證一旦認(rèn)證成功用戶將打開原始的認(rèn)證頁面#config firewall policy#edit #set disclaimer enable#end修改免責(zé)聲

9、明免責(zé)聲明可以有所不同文本可以修改可以添加圖片認(rèn)證超時超時時間指用戶認(rèn)證完成之后，一直到下一次必須認(rèn)證之前所處于的空閑狀態(tài)的時間默認(rèn)5分鐘3個選項：Idle (默認(rèn)值) 這段時間里沒有任何流量Hard 絕對時間，這段時間之后認(rèn)證就超時了新會話 這段時間里沒有新的會話被創(chuàng)建#config user setting#set auth-timeout-type idle-timeout|hard-timeout|new-session#end用戶和用戶組在外部server上添加用戶LDAPRADIUS在FortiGate上為防火墻認(rèn)證創(chuàng)建用戶和用戶組LDAP 回顧輕量級目錄訪問協(xié)議(LDAP) 是一

10、種應(yīng)用層協(xié)議，用于訪問和維護(hù)分布式目錄信息服務(wù)。LDAP結(jié)構(gòu)類似于一棵樹，在每個分支包含條目（對象）:每個條目都有一個唯一的ID， Distinguished Name （DN）每個條目也有自己的屬性每個屬性有一個名字和一個值或者多個值屬性是在目錄框架中定義LDAP 層次結(jié)構(gòu)LDAP樹通常配合客戶的組織層次根節(jié)點(diǎn)代表組織結(jié)構(gòu)本身，被定義為Domain Components （DC）例如：dc=example, 其他等級包括：c (country)ou (organizational unit)o (organization)用戶賬戶或者組通常具有名字例如“uid”（user ID）或者“cn”

11、（common name）LDAP目錄樹舉例uid: jsmithemail: objectClass: inetOrgPerson c=francec=usac=canadaou= itou= hrDN: uid= jsmith, ou=it, c=france, dc=example, uid= apiquetuid= abushLDAP查詢配置Name of attribute that identifies each userParent branch where all users are locatedCredentials for an LDAP administrator測試L

12、DAP查詢通過CLI:輸出舉例#diagnose test authserver ldap # diagnose test authserver ldap Lab jsmith fortinetauthenticate jsmith against Lab succeeded!Group membership(s) - RADIUS回顧它是一種提供認(rèn)證，授權(quán)，計費(fèi)(AAA)服務(wù)的標(biāo)準(zhǔn)協(xié)議UserFortiGateRADIUS serverAccess-RequestAccess-AcceptAccess-RejectAccess-ChallengeororRADIUS配置Fortinet 廠商

13、屬性 字典（Vendor-Specific Attributes VSA dictionary） 用來識別Fortinet專有的Radius屬性IP address or FQDN of the RADIUS serverThe “Secret” must match the servers key測試RADIUS通過CLI:支持的加密算法:chappapmschapmschap2#diagnose test authserver radius 用戶用戶組的分類FirewallUserFSSOGuest UserParisVisitors用戶組可分為以下四種類型：防火墻，F(xiàn)ortinet Si

14、ngle Sign On (FSSO)，訪客，和RADIUS Single Sign On (RSSO)防火墻用戶組可以在需要認(rèn)證的防火墻策略中使用Firewall user groups provide access to firewall policies that require authenticationFSSO和RSSO用來認(rèn)證的單點(diǎn)登錄SSORSSOActiveDirectoryRADIUSServer訪客用戶組大部分用于wifi訪客網(wǎng)絡(luò)訪客組包含臨時賬戶配置用戶組Select the local users that belong to the groupSelect the remote authentication servers that contain users that bel