目录

1. 认证的区别

2. 用户认证的分类

区别：

3. 上网用户认证的认证方式

3.1 置用户认证的位置：

3.1.1 认证域

创建认证域：

 新建一个用户组：

新建一个用户

创建安全组

4. 认证策略

4.1 认证策略方式：

4.2 创建认证策略

5. 认证域

---

1. 认证的区别

防火墙管理员 登录认证 --- 检验身份的合法性，划分身份权限

用户认证 --- 上网行为管理的一部分  

                    网行为管理三要素：用户，行为，流量 

2. 用户认证的分类

        上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行 为，我们希望将行为和产生行为的人进行绑定，所以，需要进行上网用户认证。         

        入网用户认证 --- 二层认证 --- 我们的设备在接入网络中，比如插入交换机或者接入wifi 后，需要进行认证才能正常使用网络。

        接入用户认证 --- 远程接入 --- （VPN） --- 主要是校验身份的合法性的

三者可以重复使用

接入用户认证配置位置:

区别：

        上网用户认证和入网用户认证主要是为了将行为和产生行为的人进行绑定

        接入用户认证、主要是校验身份的合法性的

此处我们主要讲解上网用户认证

3. 上网用户认证的认证方式

        本地认证 --- 用户信息在防火墙上，整个认证过程都在防火墙上执行
        服务器认证 --- 对接第三方服务器，防火墙将用户信息传递给服务器，之后，服务器将 认证结果返回，防火墙执行对应的动作即可

        单点登录 --- 和第三方服务器认证类似（举例：你可以使用你的支付宝登陆某宝、某猫。你可以使用QQ登陆某公司旗下的游戏等待。）

3.1 置用户认证的位置：

3.1.1 认证域

         --- 可以决定认证的方式和组织结构

创建认证域：

此时我们会发现在左侧栏中多出一个名为openlab的认证域

 新建一个用户组：

新建一个用户

        登录名 --- 作为登录凭证使用，一个认证域下不能重复

        显示名 --- 显示名不能用来登录，只用来区分和标识不同的用户。如果使用登录名区分，则也 可以不用写显示名。显示名可以重复。

        账号过期时间 --- 可以设定一个时间点到期，但是，如果到期前账号已登录，到期后，防火墙 不会强制下线该用户。

        允许多人同时使用该账号登录

                私有用户 --- 仅允许一个人使用，第二个人使用时，将顶替到原先的登录

                公有用户 --- 允许多个人同时使用一个账户 IP/MAC绑定 --- 用户和设备进行绑定（IP地址/MAC地址）

                单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录，但是，其他 用户可以在该设备下登录

                双向绑定 --- 该用户只能在绑定设备下登录，并且该绑定设备也仅允许该用户登录。

  查看创建内容：    

批量创建用户：

创建安全组

安全组和用户组的区别 --- 都可以被策略调用，但是，用户组在调用策略后，所有用户组成员 以及子用户组都会生效，而安全组仅组成员生效，子安全组不生效。

4. 认证策略

4.1 认证策略方式：

        Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网 认证，仅需要流量触发对应的服务时，弹出窗口，输入用户名和密码进行认证。

        免认证 --- 需要在IP/MAC双向绑定的情况下使用，则对应用户在对应设备上登录时，就可以 选择免认证，不做认证。

        匿名认证 --- 和免认证的思路相似，认证动作越透明越好，选择匿名认证，则登录者不需要输入用户名和密码，直接使用IP地址作为其身份进行登录

4.2 创建认证策略

查看：

5. 认证域

        如果这里的上网方式选择protal认证，则认证策略里面也要选择portal认证。

        如果这里的上网方式选择免认证或者单点登录，则认证策略中对应动作为免认证

        如果认证策略中选择的是匿名认证，则不触发这里的认证动作。

注： 不同的认证域之间是或的关系