【全网行为管理】04-用户认证技术之密码认证

装备实验

开始实验01:00:00

拓扑

实验手册

实验报告

声明：本实验手册仅供学习交流使用，请勿用于非法用途，违者一律自行承担所有风险！PS：本窗口支持左右拉伸

用户认证技术之密码认证

实验目标

学会配置AC的内部用户，要求用户在上网时，使用AC的内置账户进行认证，才允许上网。

实验原理

AC作为网关部署在公司互联网出口，当用户访问网络时，需要使用分配的用户名和密码进行认证，才允许上网。

实验场景

某大型集团公司，内部用户上网处于无法管理的状态，也无法识别用户，不符合网络安全相关管理制度。

现在要求管理员在AC内给每个用户建立一个账号，用户上网时，必须要经过账号验证，才能获取上网权限。

实验拓扑

实验设备

1、总部AC ，作总部出口网关使用
2、PC1，普通办公PC，员工办公使用。
3、PC2，普通办公PC，员工办公使用。
4、Internet-WEB Server， 作为在互联网上的服务器

环境预配

环境预配，是指已经实验场景化的配置边界。
实验环境中，非深信服设备，不需要学员配置。如交换机、路由器、PC、服务器。

实验环境中，深信服设备，需要学员按实验拓扑说明进行配置。

实验环境中，配置基本遵循上述两条原则，少数实验例外。例外过程，在实验步骤中说明

实验步骤

一、配置总部AC的网络（操作对象：总部AC）

登录设备过程略

1.1 开始配置网络

1.2 选择路由模式

1.3 根据拓扑图，配置网卡，如下图

其中
eth1为LAN口，即办公区
eth2为DMZ口，即服务器区
eth3为WAN口，即互联网区

1.4 配置eth1

eth1接办公区，IP地址参照拓扑图配置

1.5 配置eth3

eth3接互联网区，IP地址参照拓扑图配置

1.6 配置eth2

eth2接DMZ区，即服务器区，IP地址参照拓扑图配置

1.7 配置代理上网

这里配置代理办公网段上网。办公网网段为192.168.1.0/24

1.8 检查无误后提交

二、新建AC的内置账户（操作对象：总部AC）

2.1 新建用户组

输入组名

2.2 新建用户

新建用户zhangsan 密码Sangfor!7890

新建用户lisi 密码Sangfor!7890

三、配置AC的认证策略 （操作对象：总部AC）

四、使用PC1上网测试 （操作对象：PC1）

使用PC1的浏览器，访问Internet-WEB Server服务器,即124.126.200.2

会自动跳转到如下页面

登录成功后，会自动跳转到之前的访问页面，即124.126.200.2

五、查看用户认证状态（操作对象：总部AC）

实验总结

前面实验仅仅实验了最简单的认证。

思考一下：

如果公司想规避更多的上网问题，例如

如何防止员工，共享同一个账户去上网？

如何防止员工，借用其他人的账户去上网？

如何使员工的账户只能在指定的IP地址上登录？

这些问题在刚才的配置中，属于一些只需稍加一点配置即可实现，大家可以进一步自行研究。

关键信息是“用户绑定”。