fortigate考试nse4中文版防火墙认证

1、FortiGate I防火墙认证FortiGate 5.2.1认证确定一个用户或一个设备的身份一旦一个用户或者设备的身份得到确认，FortiGate就会应用相应的防火墙策略和安全配置来允许或者拒绝对不同网络资源的访问认证的方式可以使用如下的几种防火墙认证方式：本地认证远端服务器认证双因子认证本地认证本地认证是一种基于存储在FortiGate上的用户信息的认证方式对应每一个账号，用户名和密码被存储在FortiGate上User name and password12Fortigate远端服务器认证账户信息存储在第三方的认证服务器上管理员可以：创建一个本地账户，并且密码由远程服务器来验证管理员可以

2、添加认证服务器到一个用户组中认证服务器上所有用户都将变成组的成员Username and passwordUsername and passwordOK1234FortiGateRemote Server远端服务器认证 - 使用的协议LDAPDirectoryServicesFSSO, NTLMTACACS+RADIUSRADIUSRSSOSingle Sign OnPOP3远端服务器认证 - 单点登录(SSO)它指的是已经通过某个域认证的用户如何利用已有的认证事件来通过防火墙的认证用户只需输入一次凭证，在访问其他网络资源的时候不会再弹出重新认证的提示。FortiGate设备的SSO功能包含以

3、下两种方法：FSSO: 这种通信框架下，一台Fortinet设备收集用户登录事件，并转发到其他FortiGate设备上RSSO: Radius计费被发送到FortiGate设备，计费报文中含有登录和登出时间远端服务器认证 POP3大部分的认证方式为用户名和密码的组合比如RADIUS或者FSSO中：User: jsmithPassword: POP3的服务器认证时是基于email地址：User: jsmith (or just jsmith)Password: 双因子认证 (2FA)2FA 是一种增强型认证，它可以防御针对静态密码的攻击，提高认证本身的安全性2FA 要求两种独立识别用户的方法：例

4、如：密码或者 PIN例如：令牌或者PKI证书一次性口令 (OTP)算法可以基于时间或者事件：Fortinet 是基于时间，因此FortiGate系统时钟是必须要准确的一次性口令是比较好的方法，仅供一次使用，所以即使被截获了，口令也已经失效不可用了双因子认证 ： 一次性口令FortiToken/移动端的FortiToken: 每60秒，令牌将会产生一个6位数字，由一个唯一的种子和标准时间计算得出硬件FortiToken移动端的FortiToken：iOS版和Android版其他方式Email:通过用户配置的电子邮箱来发送一次性口令SMS: 一次性口令可通过电子邮件发送给SMS运营商双因子认证 令

5、牌AlgorithmTime*Seed+AlgorithmTimeSeed+Same OTP valueSame timeSame seedValidation Server OTP generator Time sync with accurate NTP sourceStatic password + OTPValidate static password1234添加一个FortiToken认证的分类Active 用户收到一个登陆提示，必须手动输入用户名密码信息使用LDAP, RADIUS, TACACS+等协议认证，或者本地认证Passive用户不会收到登陆提示，用户名密码信息自动添加通

6、常的方式有FSSO，RSSO和NTLM触发用户认证触发用户认证的协议包括以下协议：HTTPHTTPSFTPTelnet认证协议必须在策略中设置为允许除非用户已经通过以上四种协议一种成功进行认证，否则其他服务将被禁止认证的种类:执行的顺序当主动认证方式和被动认证方式同时被使能时，首先识别出用户名的认证方式生效如果用户信息不能被被动认证方式所识别，则主动认证方式生效?防火墙策略：源防火墙策略可以使用user或者组来作为源任何一个用户只要命中了策略中的源，这个策略的认证即为成功Policy Source防火墙策略: DNS即使用户没有认证成功，DNS流量也可以通过主机名解析时，HTTP/HTTPS/

7、FTP/Telnet流量会触发用户认证可以在策略中指明DNS服务的流量为允许通过的流量混合策略在一个策略中使能认证不一定会触发认证发生两种方法:在每一个流量可能会匹配的策略中都使能认证在流量的入接口上使能captive portal强制Portal 在接口上使能了captive portal后，如果收到了没有认证过的流量，则强制触发认证页面弹出Port 2Port 1Enable captive portal hereLocal Network举例: 强制Portal只有主动认证方式才能使用强制portal 强制Portal如果在接口上使能了强制portal，但并不想对某些设备进行认证打印机，

8、传真机，游戏机等设备不能进行主动认证，但仍需要被防火墙策略运行通过#config firewall policy#edit #set captive-portal-exempt enable#end#config user security-exempt-list#edit #config rule#edit #set srcaddr #next#end免责声明Policy在用户认证之前显示免责声明页面用户必须接受免责条款才能进一步进行认证一旦认证成功用户将打开原始的认证页面#config firewall policy#edit #set disclaimer enable#end修改免责声

9、明免责声明可以有所不同文本可以修改可以添加图片认证超时超时时间指用户认证完成之后，一直到下一次必须认证之前所处于的空闲状态的时间默认5分钟3个选项：Idle (默认值) 这段时间里没有任何流量Hard 绝对时间，这段时间之后认证就超时了新会话 这段时间里没有新的会话被创建#config user setting#set auth-timeout-type idle-timeout|hard-timeout|new-session#end用户和用户组在外部server上添加用户LDAPRADIUS在FortiGate上为防火墙认证创建用户和用户组LDAP 回顾轻量级目录访问协议(LDAP) 是一

10、种应用层协议，用于访问和维护分布式目录信息服务。LDAP结构类似于一棵树，在每个分支包含条目（对象）:每个条目都有一个唯一的ID， Distinguished Name （DN）每个条目也有自己的属性每个属性有一个名字和一个值或者多个值属性是在目录框架中定义LDAP 层次结构LDAP树通常配合客户的组织层次根节点代表组织结构本身，被定义为Domain Components （DC）例如：dc=example, 其他等级包括：c (country)ou (organizational unit)o (organization)用户账户或者组通常具有名字例如“uid”（user ID）或者“cn”

11、（common name）LDAP目录树举例uid: jsmithemail: objectClass: inetOrgPerson c=francec=usac=canadaou= itou= hrDN: uid= jsmith, ou=it, c=france, dc=example, uid= apiquetuid= abushLDAP查询配置Name of attribute that identifies each userParent branch where all users are locatedCredentials for an LDAP administrator测试L

12、DAP查询通过CLI:输出举例#diagnose test authserver ldap # diagnose test authserver ldap Lab jsmith fortinetauthenticate jsmith against Lab succeeded!Group membership(s) - RADIUS回顾它是一种提供认证，授权，计费(AAA)服务的标准协议UserFortiGateRADIUS serverAccess-RequestAccess-AcceptAccess-RejectAccess-ChallengeororRADIUS配置Fortinet 厂商

13、属性 字典（Vendor-Specific Attributes VSA dictionary） 用来识别Fortinet专有的Radius属性IP address or FQDN of the RADIUS serverThe “Secret” must match the servers key测试RADIUS通过CLI:支持的加密算法:chappapmschapmschap2#diagnose test authserver radius 用户用户组的分类FirewallUserFSSOGuest UserParisVisitors用户组可分为以下四种类型：防火墙，Fortinet Si

14、ngle Sign On (FSSO)，访客，和RADIUS Single Sign On (RSSO)防火墙用户组可以在需要认证的防火墙策略中使用Firewall user groups provide access to firewall policies that require authenticationFSSO和RSSO用来认证的单点登录SSORSSOActiveDirectoryRADIUSServer访客用户组大部分用于wifi访客网络访客组包含临时账户配置用户组Select the local users that belong to the groupSelect the remote authentication servers that contain users that bel