問候! 歡迎來到本課程的第八課 。 上 и 在課程中我們熟悉了基本的安全配置文件,現在我們可以將用戶釋放到互聯網上,保護他們免受病毒侵害,限制對網路資源和應用程式的存取。 現在出現了有關管理使用者記錄的問題。 如何只向特定用戶群提供網路存取權限? 如何禁止一組使用者存取某些網站,而允許另一組使用者存取某些網站? 如何將現有的使用者記錄監控解決方案與FortiGate防火牆整合? 今天我們就來探討這些問題,並試圖一切在實踐中去做。
首先,讓我們來看看FortiGate支援的身份驗證方法,主要有兩種:本地和遠端。
本地方法是最簡單的認證方法。 在這種情況下,用戶資料儲存在 FortiGate 本地。 本地用戶可以組合成群組。 並根據使用者或群組,區分對各種資源的存取。
當使用遠端認證時,使用者透過遠端伺服器進行認證。 當多個 FortiGate 需要對相同使用者進行身份驗證,或網路上已經存在身份驗證伺服器時,此方法非常有用。
當遠端伺服器對使用者進行身份驗證時,FortiGate 會將使用者輸入的憑證傳送到該伺服器。 該伺服器反過來檢查其資料庫中是否存在此類憑證。 如果是,則使用者已成功通過系統驗證。
值得注意的是,在這種情況下,使用者憑證不會儲存在 FortiGate 上,並且驗證過程本身發生在遠端伺服器上。
另外值得一提的是 Fortinet 單一登入機制。 它允許您使用來自網域控制器的資料在 FortiGate 上組織網域使用者的透明身份驗證。 不幸的是,對這種機制的考慮超出了我們課程的範圍。
FortiGate 支援多種類型的驗證伺服器,例如 POP3、RADIUS、LDAP、TACAS+。 我們將研究如何使用 LDAP 伺服器。
該影片涵蓋了基本理論,以及如何使用本機用戶和 LDAP 伺服器。
在下一課中,我們將了解日誌的使用,特別是 FortiAnalyzer 解決方案的功能。 為了不錯過,請關注以下頻道的更新:
來源: www.habr.com