身份认证及基于身份的策略和监控
功能说明
- 可支持WEB认证(SSO)
- 可识别认证终端的星连身份信息,包括:用户、部门
- 支持基于身份信息的策略,以及基于身份信息的统计信息
使用场景
场景1: 站点仅开启SSO认证
场景说明
某公司下有部门:销售部,办公网段为:192.168.100.0/24,其中:
- 销售总监:李总,设置白名单,免于认证
- 销售部其他员工,需要认证
租户认证配置
配置路径:『租户』→『配置』→『安全服务』→『身份认证』,切换到“身份认证”页
配置:认证对接、认证Portal、认证页面定制
- 具体参数配置说明,请点击:“身份认证”配置说明
站点认证配置
配置路径:『租户』→『站点』→『VRF配置』→『网络』,“认证策略”部分
配置如下:
- 认证范围:销售部的网段 (192.168.100.0/24)
- 白名单:李总的设备ip (192.168.100.100)
- 具体参数配置说明,请点击:“认证策略”配置说明)
操作说明:SSO登录
- 站点下的未认证终端,连接上网络或者浏览器输入网址,会弹出认证Portal;然后点击登录按钮
- 若无法正常弹出Portal,建议浏览器输入:qq.com,触发Portal弹出
跳转到星连登录界面,输入相应内容,点击“下一步”
跳转到密码界面,输入密码,点击“登录”进行认证
认证成功后,即可正常访问网页
操作说明:SSO登出
已成功认证的终端,在浏览器上,输入认证Portal地址,可跳转到登出界面,然后点击“注销”
info认证Portal地址查看: 『租户』→『配置』→『安全服务』→『身份认证』→ 『身份认证』页
“认证Portal”部分的“Portal域名”
场景2: 站点开启SSO认证,且需配置基于身份信息的策略
- 配置SSO认证及SSO登录/登出,请参考场景1的介绍
- 本部分着重介绍:配置基于身份信息的策略
- 支持如下策略:策略路由、业务策略、ACL防火墙、应用防火墙、SNAT、安全策略
- 源/目的,选择本站点,才支持配置身份信息
- 策略路由/安全策略只支持配置源的身份信息,其余策略都支持源/目的身份信息
- 策略中的单条规则,只允许选择一个部门;如需多个部门,请配置多条规则
- 身份信息发生变更,如:用户所属部门发生改变,建议用户先重新进行认证,再使用基于该用户的策略
- 用户认证成功后,基于用户所属部门的策略,最长生效时间:5分钟
身份同步
- 身份同步,用于将星连身份信息(用户,部门),同步到控制器侧
- 先进行身份同步,才能在不同策略中,使用身份信息
- 具体参数配置说明,请点击:“身份同步”配置说明
配置路径:『租户』→『配置』→『安全服务』→『身份认证』,切换到“身份同步”页
点击“修改”,在弹出的界面配置同步参数;点击“立即同步”,触发同步操作
切换到“身份信息”页,查看同步的身份信息
静态绑定
- 需要先进行身份同步,才能进行静态绑定
- 将设备ip与用户进行绑定操作
- 静态绑定的ip,无需认证操作,即可访问网络
- 一般用于无法弹出Portal页面的设备
配置如下:
基于身份的策略配置
操作说明:策略中选择身份
以ACL防火墙为例,新建1条规则,先点击“本站点”,再点击“匹配条件”
点击“部门/用户”页
当前处于根部门,点击“下级”,进入下级部门
先选择分类:用户或者部门,然后在分类下,通过勾选或者搜索的方式,来选中用户/部门
选择的用户/部门,会在右侧列表显示。然后点击“确定”
配置规则的其他参数,点击“保存配置”
操作说明:策略中使用认证条件
- 已认证:认证通过或静态绑定
- 免认证:认证白名单或者认证范围外
- 认证条件不可与部门/用户一起配置
以ACL防火墙为例,新建1条规则,先点击“本站点”,再点击“匹配条件”
点击“认证条件”页,选择已认证用户/免认证用户,然后点击“确定”
场景1:配置ACL防火墙:禁止某部门访问指定网站
先配置地址组,包含禁止访问的网站URL
配置如下ACL防火墙规则,其中:源选择部门,目的选择地址组
场景2:配置业务策略:部门总监限速20M,部门其余员工限速10M
- 总监规则的优先级要高于部门规则,所以先配置部门规则,再配置总监规则
业务策略,配置部门,限速10M
业务策略,配置部门总监的用户,限速20M
配置好的业务策略,显示如下
场景3:配置安全策略:部门下的某些用户,开启内容过滤
先配置内容过滤配置文件
配置安全策略,源选择多个用户,引用内容过滤配置文件
监控相关
在线终端及静态绑定
认证日志
基于身份的监控
安全日志
- 安全日志中体现源/目的用户
流量监控
安全监控
