HCIE-Security Day18：防火墙用户管理（一）上网用户+本地认证（portal认证）

用户

访问网络资源的主体，表示是谁在访问。是网络访问行为的重要标识。

用户认证背景

无关应用影响网络带宽（迅雷电驴）

内部泄密违法行为难以溯源

web威胁

无关活动影响工作效率（追剧游戏）

企业互联网接入

目的

提高策略易用性：可以基于用户进行策略的可视化制定

实现对用户网络访问行为的追踪审计：可以基于用户进行威胁、流量的报表查看和统计分析

解决IP地址动态变化带来的策略控制问题，即以不变的用户应对变化的IP地址。
 

本质：实现IP和用户的分离，从而IP不等于用户

用户分类

fw上的用户根据接入网络时的位置，分为上网用户和接入用户。

上网用户

内部网络中访问网络资源的主体，比如企业总部的内部员工，上网用户可以直接通过fw访问网络资源。接入用户指的是外部网络中访问网络资源的主体，比如企业的分支机构和出差员工

接入用户

需要通过ssl vqn、l2tp vqn、ipsec vqn或者pppoe方式接入到fw，然后才能访问企业总部的网络资源。

管理员用户

通过telnet、ssh、web、ftp等协议或者通过console接口访问设备并对设备进行配置或者操作的用户。

组织结构管理

系统默认有一个缺省的认证域

每个用户组可以包括多个用户和用户组

每个用户组只能属于一个父用户组

每个用户至少属于一个用户组，也可以属于多个用户组

认证域：用户组织结构的容器

用户组/用户：用户按照树形结构组织，用户隶属于组（部门），管理员可以根据企业的组织结构来创建部门和用户

安全组：横向组织结构的跨部门群组，当需要基于部门以外的维度对用户进行管理可以创建跨部门的安全组。

用户创建，必须写名称和密码，其他都是可选的。

认证

用户认证是一种身份验证机制，通过认证可以验证访问者的身份，同时可以获取用户和IP地址的对应关系。用户认证是基于用户配置策略的基础。

认证目的

将网络流量的ip地址标识为用户，为网络行为控制和网络权限分配提供了基于用户的管理维度，实现精细化管理。如基于用户进行策略的可视化制定，提高策略的易用性。基于用户进行威胁，流量的报表查看和统计分析，实现对用户网络访问行为的审计。解决了ip地址动态变化带来的策略控制问题，即以不变的用户应对变化的ip地址。

ip不等于用户、端口不等于应用，传统防火墙基于ip/端口的五元组访问控制策略已经不能有效的应对现阶段网络环境的巨大变化。

认证分类

上网用户单点登录

用户只要通过了其他认证系统的认证就相当于通过了FW的认证。用户认证通过后FW可以获知用户和IP的对应关系，从而基于用户进行策略管理。

此种方式适用于部署防火墙用户认证功能之前已经部署认证系统的场景。

认证方式：

• AD单点登录：用户登录AD域，由AD服务器进行认证。
• Agile Controller单点登录：用户由华为公司的Agile Controller系统（Policy Center或Agile Controller）进行认证。
• RADIUS单点登录：用户接入NAS设备，NA