教程篇(7.0) 05. FortiGate安全 & 防火墙认证 ❀ Fortinet 网络安全专家 NSE 4

Posted 2022-02-17 meigang2012

  在本节中，你将学习如何在FortiGate的防火墙策略中使用身份验证。

  本节课，你将学习上图显示的主题。

  完成本节后，你应该能够实现上图显示的目标。

　　通过展示防火墙身份验证方法的能力，你将能够描述和识别FortiGate上可用的受支持的防火墙身份验证方法。

  传统防火墙通过验证源IP地址和设备来实现网络访问。这是不够的，可能会带来安全风险，因为防火墙无法确定谁正在使用它授予访问权的设备。

　　FortiGate包括用户和用户组的认证。因此，你可以跨多个设备跟踪个人。

　　当访问由用户或用户组控制时，用户必须通过输入有效的凭据(例如用户名和密码)进行身份验证。FortiGate验证用户后，FortiGate应用防火墙策略和配置文件来允许或拒绝对特定网络资源的访问。

  FortiGate支持多种防火墙认证方式：

　　● 本地密码认证

　　● 基于服务器的密码认证(也称为远程密码认证)

　　● 双因子认证

　　这是一个在现有方法之上启用的身份验证系统——如果不首先配置其他方法之一，就不能启用它。它需要一些你知道的东西，比如密码。还有你拥有的东西，比如令牌或证书。

　　接下来你将详细了解防火墙身份验证的每种方法。

  最简单的认证方法是本地密码认证。FortiGate设备本地存储用户帐号信息(用户名和密码)。这种方法适用于单个FortiGate安装。

　　在用户定义页面上创建本地帐户，向导将带你完成该过程。如果是本地密码认证，用户类型选择本地用户，并创建用户名和密码。如果需要，还可以添加邮件和短信信息、开启双因子认证，并将用户加入预先配置的用户组。

　　创建用户之后，可以将用户或任何预先配置的用户组(用户是其中的成员)添加到防火墙策略中，以便进行身份验证。

  当采用服务器密码认证方式时，需要使用远端认证服务器对用户进行认证。当多个FortiGate设备需要对相同的用户或用户组进行身份验证时，或者在已经包含身份验证服务器的网络中添加FortiGate时，这种方法是理想的。

　　当你使用远程身份验证服务器对用户进行身份验证时，FortiGate将用户输入的凭证发送到远程身份验证服务器。远程身份验证服务器响应，指示凭据是否有效。如果有效，FortiGate会参考其配置来处理流量。请注意，评估用户凭据的是远程身份验证服务器——而不是FortiGate。

　　当使用基于服务器的密码身份验证方法时，FortiGate不会在本地存储所有(或者在某些配置的情况下存储任何)用户信息。

  FortiGate支持许多远程认证服务器，包括POP3、RADIUS、LDAP和TACACS+。

　　POP3是唯一需要电子邮件地址作为登录凭据的服务器。所有其他远程认证服务器都使用该用户名。一些POP3服务器需要带有域名(user@example.com)的完整电子邮件，其他服务器只需要后缀，而还有一些服务器同时接受两种格式。这一需求由服务器的配置决定，而不是FortiGate上的设置。POP3认证只能通过CLI配置。注意，你可以将LDAP配置为使用电子邮件而不是用户名进行验证。

  配置FortiGate使用外部认证服务器有两种方式：

　　● 在FortiGate上创建用户帐户。使用这种方法，你必须选择远端认证服务器类型(RADIUS、TACACS+或LDAP)，将FortiGate指向你预先配置的远端认证服务器，并将用户添加到适当的组中。当你想要向远程用户添加双因子认证时，通常会这样做。记住，POP3只能通过CLI进行配置。

　　● 添加远端认证服务器到用户组中。使用这种方法，你必须创建一个用户组，并将预配置的远程服务器添加到该用户组中。因此，任何在远程身份验证服务器上拥有帐户的用户都可以进行身份验证。如果使用其他类型的远程服务器(如LDAP服务器)作为远程认证服务器，则可以控制对LDAP服务器中定义的特定LDAP组的访问。

　　与本地密码认证类似，你必须将预配置的用户组(用户是其中的成员)添加到防火墙策略中，以便进行身份验证。

  传统的用户身份验证需要你的用户名加上你知道的东西，比如密码。这种传统的身份验证方法的缺点是，如果有人获得了你的用户名，他们只需要你的密码就可以破坏你的帐户。此外，由于人们倾向于在多个帐户中使用相同的密码(有些站点的安全漏洞比其他站点多)，因此无论密码强度如何，帐户都很容易受到攻击。

　　另一方面，双因子认证需要你知道的东西(如密码)和你拥有的东西(如令牌或证书)。由于这种方法对易受攻击的密码不那么重要，因此对于攻击者来说，它使得泄露帐户变得更加复杂。你可以在FortiGate上对用户和管理员帐户使用双重身份验证。将用户(或用户所属的用户组)添加到防火墙策略中以进行身份验证。注意，你不能对显式代理使用双因子认证。

　　你可以使用一次性密码(OTP)作为第二个因素。OTP比静态密码更安全，因为密码定期更改，而且只在很短的时间内有效。一旦你使用了OTP，你就不能再使用它。所以，即使它被拦截也没有用。FortiGate可以通过令牌(如FortiToken 200(硬件令牌)和FortiToken Mobile(软件令牌))，以及通过电子邮件或短信发送OTP。通过电子邮件或短信发送OTP，用户帐号必须包含用户联系信息。

　　FortiToken和OTP通过电子邮件和短信发送是基于时间的。例如，FortiToken每60秒(默认情况下)生成一个新的6位密码。建议使用NTP服务器，以确保OTP保持同步。FortiToken移动推送允许用户从他们的FortiToken移动应用程序接受授权请求，而不需要输入额外的代码。

  令牌使用特定的算法生成OTP。算法包括：

　　● 种子：一个独特的、随机生成的数字，不随时间变化

　　● 时间：从精确的内部时钟中获取

　　种子和时间都经过一种算法，在令牌上生成OTP(或密码)。密码的生命周期很短，通常以秒为单位(FortiToken 200为60秒，其他RSA密钥生成器可能多或少)。一旦生命周期结束，一个新的密码就会产生。

　　使用令牌进行双因子认证时，用户必须先使用静态密码，然后使用令牌生成的密码登录。验证服务器(FortiGate)接收用户的凭据，并首先验证静态密码。验证服务器接着验证密码。它通过使用种子和系统时间(与令牌上的时间同步)重新生成相同的密码，并将其与从用户收到的密码进行比较来实现这一点。静态密码有效，且OTP匹配，表示用户认证成功。同样，令牌和验证服务器都必须使用相同的种子，并已同步系统时钟。因此，在FortiGate上正确配置日期和时间至关重要，或者将其连接到NTP服务器(推荐这样做)。

  你可以在FortiToken页面添加FortiToken 200或FortiToken Mobile到FortiGate。

　　硬件令牌有一个序列号，它为FortiGate提供了关于初始种子值的详细信息。如果你有几个硬件令牌要添加，你可以导入一个文本文件，其中每行列出一个序列号。

　　软件令牌需要激活码。请注意，每个FortiGate(和FortiGate VM)提供两个免费的FortiToken移动激活。你必须从Fortinet购买任何额外的令牌。

　　你不能在多个FortiGate上注册相同的FortiToken。如果希望在多个FortiGate设备上使用相同的FortiToken进行身份验证，则必须使用一个中央验证服务器，例如FortiAuthenticator。在这种情况下，FortiToken将在FortiAuthenticator上注册并分配给用户。FortiGate使用FortiAuthenticator作为其验证服务器。

　　在使用FortiGate注册FortiToken设备之后，可以将它们分配给用户，以用作他们的第二因素身份验证方法。要分配令牌，编辑(或创建)用户帐户，并选择启用双因子认证。在令牌下拉列表中，选择要分配的已注册令牌。

  你了解的所有认证方法（本地密码认证、基于服务器的认证和双因子认证），都使用主动身份验证。主动身份验证意味着，在授予用户访问权限之前，会提示用户手动输入登录凭证。

　　但并不是所有用户都用相同的方式进行身份验证。可以透明地授予某些用户访问权限，因为用户信息是在不要求用户输入登录凭证的情况下确定的。这就是所谓的被动身份验证。基于服务器的密码认证采用单点登录方式进行被动认证：FSSO、RSSO和NTLM。

  答案：A

  答案：A

  现在你了解了防火墙身份验证的基本知识。接下来，你将了解远程身份验证服务器。

  完成本节后，你应该能够实现上图显示的目标。

　　通过演示远程身份验证服务器的能力，你将能够使用远程身份验证服务器上定义的远程用户帐户配置防火墙身份验证。

  轻量级目录访问协议 (LDAP) 是一种用于访问和维护分布式目录信息服务的应用协议。

　　LDAP协议用于维护身份验证数据，其中可能包括部门、人员、人员组、密码、电子邮件地址和打印机。LDAP由一个数据表示方案、一组定义的操作和一个请求-响应网络组成。

　　LDAP协议包括客户端可以请求的许多操作，例如搜索、比较、添加或删除条目。绑定是LDAP服务器对用户进行身份验证的操作。如果用户通过身份验证成功，绑定将根据用户的权限允许用户访问LDAP服务器。

  LDAP目录树的根表示组织本身，定义为域组件(DC)。DC通常是一个DNS域，例如example.com。(因为名称包含一个点，所以写成用逗号分隔两部分：dc-example,dc-com。)你可以根据需要向层次结构添加额外的条目(称为对象)。通常，两种类型的对象组成了大多数条目：容器和叶。

　　容器是可以包含其他对象的对象，类似于文件系统中的文件夹。容器例子包括：

　　● 国家 (用c表示)

　　● 组织单位 (用ou表示)

　　● 单位 (用o表示)

　　叶子是树枝末端的对象，没有从属对象。树叶例子包括：

　　● 用户ID (用uid表示)

　　● 常用名称 (用cn表示)

  上图展示了一个简单的LDAP层次结构示例。

　　你必须配置请求身份验证的FortiGate设备(充当LDAP客户端)，将其请求定位到存在用户记录的层次结构部分：域组件或存在记录的特定容器。与用户类似，容器也有DN，在本例中，DN为ou=people, dc=example, dc=com。

　　身份验证请求还必须指定用户帐户条目。这可以是许多选项之一，包括通用名称(cn)，或者在计算机网络上的用户ID (uid)，这是用户用于登录的信息。请注意，如果对象名称包含空格，例如John Smith，在CLI中测试时必须将文本用双引号括起来。例如：cn="John Smith"。

  在LDAP服务器页面中，可以将FortiGate配置为指向LDAP服务器进行基于服务器的密码认证。配置在很大程度上依赖于服务器的架构和安全设置。Windows Active Directory (AD)非常常见。

　　〖Common Name〗标识符设置是用于查找用户名的属性名。一些模式允许你使用属性uid。AD通常使用sAMAccountName或cn，但也可以使用其他名称。

　　〖Distinguished Name〗的设置标识用户所在树的顶部，一般为dc值；但是，它可以是一个特定的容器或ou。必须使用正确的X.500或LDAP格式。

　　〖绑定类型〗的设置取决于LDAP服务器的安全设置。如果你要跨多个域进行搜索，并且需要授权执行LDAP查询的用户的凭据(例如，LDAP管理员)，则必须使用Regular设置(指定常规绑定)。

　　如果需要在FortiGate和远端LDAP服务器之间建立安全连接，请启用〖安全连接〗，并包含LDAP服务器协议(LDAPS或STARTTLS)和验证服务器证书的CA证书。

　　请注意，〖测试连接性〗按钮只测试与LDAP服务器的连接是否成功。要测试用户凭据是否能够成功进行身份验证，可以使用〖测试用户认证信息〗按钮，也可以使用CLI。

  在CLI中使用diagnose test authserver命令测试用户的凭据是否可以通过认证。在你的任何防火墙策略上实现身份验证之前，你希望确保身份验证是成功的。

　　来自服务器的响应报告成功、失败和组成员的详细信息。

  RADIUS与LDAP有很大的不同。因为不需要考虑目录树结构。RADIUS是提供AAA (authentication, authorization and accounting)服务的标准协议。

　　用户进行认证时，客户端(FortiGate)向RADIUS服务器发送ACCESS-REQUEST报文。来自服务器的回复如下：

　　● ACCESS-ACCEPT，这意味着用户凭据是正确的

　　● ACCESS-REJECT，这意味着凭证是错误的

　　● ACCESS-CHALLENGE，这意味着服务器正在请求辅助密码ID、令牌或证书。这通常是使用双因子认证时来自服务器的回复。

　　并不是所有的RADIUS客户端都支持RADIUS质询方式。

  你可以通过RADIUS服务器界面配置FortiGate指向RADIUS服务器进行基于服务器的密码认证。

　　〖主服务器 IP/名称〗为RADIUS服务器的IP地址或FQDN。

　　〖主服务器 秘钥〗设置是在RADIUS服务器上设置的秘钥，以便允许从这个客户端进行远程查询。在主服务器出现故障时，可以定义备份服务器(具有单独的秘钥)。注意，FortiGate必须作为RADIUS服务器的客户端在RADIUS服务器上列出，否则服务器将不会响应FortiGate的查询。

　　〖认证方法式〗是指RADIUS服务器支持的认证协议，包括chap、pap、mschap和mschap2。如果选择〖默认〗，FortiGate将使用pap、mschap2和chap(按此顺序)。

　　与LDAP配置不同，上图所示的示例中使用的〖测试连接性〗按钮可以测试实际的用户凭据，但是，与LDAP一样，你也可以使用CLI进行测试。

　　〖在每个用户组中包含〗选项将RADIUS服务器和可以根据该服务器进行身份验证的所有用户添加到FortiGate上创建的每个用户组中。因此，你应该只在非常特定的场景中启用这个选项(例如，只有管理员可以对RADIUS服务器进行身份验证，并且策略的限制从最小到最严格)。

  测试RADIUS与测试LDAP非常相似。在CLI中使用diagnose test authserver命令测试用户的凭据是否可以通过认证。同样，你应该这样做，以确保身份验证在任何防火墙策略上实现之前是成功的。

　　与LDAP一样，它根据服务器的响应报告成功、失败和组成员的详细信息。更深层次的故障排除通常需要RADIUS服务器访问。

　　注意，Fortinet有一个特定于供应商的属性(VSA)字典来标识Fortinet专有的RADIUS属性。这个功能允许你扩展RADIUS的基本功能。Fortinet VSA字典可以从Fortinet知识库(kb.fortinet.com)中获取。

  答案：B

  答案：B

  答案：B

  现在你了解了远程身份验证服务器的基本知识。接下来，你将了解用户组。

  完成本节后，你应该能够实现上图显示的目标。

　　通过展示用户组的能力，你将能够配置用户组以有效地管理防火墙策略。

  FortiGate允许管理员将用户分配到组。通常，团队用于更有效地管理拥有某种共享关系的个体。你可能希望按照业务领域(如财务或人力资源)或员工类型(如承包商或客人)对员工进行分组。

　　创建用户组后，可以将用户组添加到防火墙策略中。这允许你控制对网络资源的访问，因为策略决策是在整个组上制定的。在FortiGate设备上可以定义本地和远端用户组。用户组有四种类型：

　　● 防火墙

　　● 来宾

　　● Frtinet单点登录 (FSSO)

　　● RADIUS单点登录 (RSSO)

　　FortiGate上的防火墙用户组不需要匹配外部服务器上可能已经存在的任何类型的组。例如LDAP服务器。防火墙用户组的存在只是为了方便防火墙策略的配置。

　　大多数身份验证类型都可以根据单个用户(而不仅仅是用户组)做出决策。

 来宾用户组与防火墙用户组不同，因为它们只包含临时来宾用户帐户(整个帐户，而不仅仅是密码)。来宾用户组是无线网络中最常用的用户组。来宾帐户在预定的时间后过期。

　　管理员可以手动创建来宾帐户，或者使用随机生成的用户ID和密码同时创建多个来宾帐户。这减少了管理员处理大型事件的工作量。创建后，你可以将帐户添加到来宾用户组，并将该组与防火墙策略关联。

　　你可以创建任务管理管理员，该管理员只能创建和管理只读用户帐户。

  你可以在用户组页面配置用户组。必须指定用户组类型，并将用户加入该用户组。根据创建的组，需要不同的配置。例如，对于防火墙用户组，成员可以是本地用户、PKI对端用户、来自一个或多个远程认证服务器的用户。如果你的远程认证服务器是LDAP服务器，你可以根据LDAP服务器上的定义，选择特定的LDAP组添加到你的用户组中。注意，你也可以选择RADIUS组，但是这需要在你的RADIUS服务器和FortiGate上进行额外的配置(请参阅kb.fortinet.com上的Fortinet知识库)。

　　如果你希望以相同的方式对待特定的用户，例如，如果你希望为整个培训部门提供访问相同网络资源的权限，则用户组可以简化你的配置。如果要区别对待所有用户，需要将所有用户分别添加到防火墙策略中。

  答案：A

  答案：B

  现在你了解了用户组的基本知识，接下来，你将了解如何使用防火墙策略进行身份验证。

  完成本节后，你应该能够实现上图显示的目标。

　　通过展示防火墙策略的能力，你将能够配置防火墙策略，以强制对特定用户和用户组进行身份验证。

  防火墙策略由访问和检查规则(划分的指令集)组成，这些规则告诉FortiGate如何处理被过滤的接口上的流量。在用户进行初次连接尝试后，FortiGate检查防火墙策略，以确定是否接受通信会话。但是，防火墙策略还包括许多其他指令，例如那些处理身份验证的指令。你可以使用防火墙策略的源地址来实现此目的。防火墙策略的源地址必须包括源地址(IP地址)，也可以包括用户和用户组。通过这种方式，防火墙策略指定的源定义中包含的任何用户或用户组都成功地进行了身份验证。

　　用户和用户组可以包括本地防火墙帐号、外部服务器帐号、PKI用户和FSSO用户。

  防火墙策略还检查服务，以便传输命名的协议或协议组。用户认证通过前，防火墙策略不允许任何业务(DNS除外)通过。HTTP通常使用DNS，这样人们就可以使用域名来访问网站，而不是IP地址。允许使用DNS，因为它是一种基本协议，最可能需要它来初始查看或操作身份验证协议流量。主机名解析几乎总是任何协议的要求。但是，DNS服务仍然必须在策略中定义为允许的，以便通过。

　　在上图的示例中，策略序列1 (Full Access)允许用户在成功身份验证之前使用外部DNS服务器来解析主机名。如果身份验证不成功，也允许使用DNS，因为用户需要能够再次尝试身份验证。任何包含DNS的服务都将以相同的方式工作，就像默认的ALL服务一样。

　　HTTP服务为TCP 80端口，不包括DNS (UDP 53端口)。

  除了DNS服务外，防火墙策略还需要指定允许的协议，如HTTP、HTTPS、FTP和Telnet。如果启用了身份验证的防火墙策略不允许至少一种支持的协议用于获取用户凭据，用户将无法进行身份验证。

　　所有使用主动认证的认证方法(本地密码认证、基于服务器的密码认证和双因子认证)都需要协议。主动认证根据以下内容提示用户输入用户凭据：

　　● 流量的协议

　　● 防火墙策略

　　被动认证，另一方面，确定后台的用户标识，并且不要求策略中允许任何特定的服务。

  在上图所示的例子中，假设使用了主动身份验证，来自LOCAL_SUBNET不匹配策略序列1(Full_Access)。策略序列1查找IP、用户和用户组信息(分别为LOCAL_SUBNET和HR-group)，由于用户尚未通过身份验证，因此流量的用户组方面不匹配。由于策略匹配不完全，FortiGate继续沿着序列列表向下搜索，以查看是否存在完全匹配。

　　接下来，FortiGate评估策略序列2，看看流量是否匹配。它匹配所有的标准，所以流量是允许的，而不需要验证。

　　当你只使用主动认证时，如果所有可能匹配源IP的策略都启用了身份验证，那么用户将收到一个登录提示(假设他们使用了一个可接受的登录协议)。换句话说，如果策略序列2也启用了身份验证，那么用户将收到登录提示。

　　如果使用被动认证，并且能够成功获取用户详细信息，那么流量来自带有属于HR-group用户的LOCAL_SUBNET将应用于策略序列1，即使策略序列2没有启用身份验证。

　　如果同时使用主动认证和被动认证，FortiGate可以通过被动认证识别用户的凭据，用户永远不会收到登录提示，这是因为当FortiGate能够被动地识别用户是谁时，就不需要提示用户登录凭据。当主、被动认证方式相结合时，主认证作为备份，仅在被动认证失败时使用。

  如前所述，有三种不同的方式可以改变主动认证行为。如果有一个主动认证防火墙策略，后面跟着一个失效策略，而失效策略没有启用认证，那么所有流量都将使用失效策略。这意味着不要求用户进行身份验证。缺省情况下，所有流量都通过捕获-所有策略而不经过认证。可以通过在所有防火墙策略上启用认证来改变这种行为。启用认证功能后，所有的系统都必须经过认证，流量才会进入出接口。

　　或者，仅在CLI中，你可以将auth-on-demand选项更改为always。这将指示FortiGate在启用了主动认证的防火墙策略时触发认证请求。在这种情况下，直到认证成功，流量才被允许。

　　如果希望所有用户都连接到特定的接口，那么最好在接口级别启用强制门户认证。通过这种方式，所有设备在被允许访问任何资源之前都必须进行身份验证。

  答案：A

  答案：B

  现在你了解了如何使用防火墙策略进行身份验证。接下来，你将学习通过强制门户进行身份验证。

  完成本节后，你应该能够实现上图显示的目标。

　　通过在强制门户中展示能力，你将能够通过强制门户配置身份验证。

  如果希望提示连接到网络的所有用户输入他们的登录凭证(主动认证)，可以启用强制门户。强制门户是一种方便的方法，可以通过请求用户名和密码的html表单，在有线或Wi-Fi网络上验证web用户。

　　你可以在FortiGate或外部身份验证服务器(如FortiAuthenticator)上主持一个强制门户。

  你可以在接口级别为有线和Wi-Fi网络启用强制——无论允许它的防火墙策略是什么，或者它最终离开的端口是什么(在策略上启用或禁用身份验证不是一个因素)。适用于任何网络接口，包括Wi-Fi和VLAN接口。在本地网络中，必须在输入端口上启用强制门户设置。

　　你可以在接口界面配置强制门户。选择所需的接口。在网络区域框中，启用〖安全模式〗，并在下拉列表中选择〖强制门户〗。请注意，如果你正在为Wi-Fi网络配置强制门户，Wi-Fi SSID必须首先存在。

　　强制门户不兼容DHCP模式的接口。

  在网络一节中，还将限制强制门户用户的访问。

　　选择〖组限制〗以控制从强制门户配置的访问。

　　在命令行中使用端口配置中的security-mode和security-groups设置进行相同的修改。

  选中〖允许所有〗，表示认证后允许防火墙策略中配置的任意组的成员访问。

　　请在端口配置中使用security-mode captive-portal设置，通过CLI强制门户访问。忽略security-groups的设置，将用户访问配置为〖允许所有〗。

  你可以配置防火墙策略，禁止特定地址或服务的强制门户。这对于无法主动进行身份验证的设备非常有用，比如打印机和传真机。但仍然需要防火墙策略的允许。当被禁止时，与源或目的地匹配的流量不会显示在强制门户登录页面中。

　　有两种方法可以绕过强制门户：

　　● 通过GUl或CLI下的config user security-exempt-list的安全豁免列表

　　● 通过防火墙策略。在CLlI中，编辑该策略，并输入命令set captive-portal-exempt enable。所有匹配此策略的流量现在都不必通过强制门户进行身份验证。

  如果希望将服务免责条款与强制门户认证结合使用，可以通过使用config firewall policy和set disclaimer enable命令在CLI中来实现。服务免责条款声明了用户和主机组织的法律责任。当你启用免责声明时，用户必须同意声明中概述的条款，才能继续访问所请求的URL。启用后，服务免责条款将在成功的身份验证之后立即打开。

　　安全豁免列表或防火墙上的强制门户豁免都不能绕过免责声明。

  FortiGate允许你定制门户消息，其中包括登录页面和免责声明页面。你可以在〖替换信息 〗页面自定义消息。

　　免责声明页面是HTML格式的，所以你必须了解HTML才能定制该消息。默认的布局是〖简单查看〗，它隐藏了大多数替换消息。使用〖扩展查看〗显示所有可编辑的替换消息。

  认证超时对于安全性非常有用。它将使用合法认证用户的IP的风险降到最低。它还确保用户不进行身份验证，然后无限期地留在内存中。如果用户永远停留在内存中，最终会导致内存耗尽。

　　超时行为有三个选项：

　　● Idle：查看来自主机IP的数据包。如果在配置的时间范围内主机设备没有产生数据包，则注销该用户。

　　● Hard：时间是一个绝对值。无论用户的行为如何，计时器在用户通过身份验证后立即启动，并在配置的值之后过期。

　　●  New session：即使是在已有的通信通道上生成流量，如果主机设备在设置的超时时间内没有通过防火墙创建新的会话，则认证过期。

　　选择最适合你环境的身份验证需求的超时类型。

  答案：B

  答案：B

  现在你了解了通过强制门户进行身份验证。接下来，你将了解监控和故障排除。

  完成本节后，你应该能够实现上图显示的目标。

　　通过展示监控和故障排除能力，你将能够监控经过身份验证的用户并排除可能发生的任何问题。

  你可以使用 仪表板 > User & Devices > 防火墙用户 页面监视通过防火墙策略进行身份验证的用户。显示用户、用户组、时长、IP地址、流量、认证方式。

　　它不包括管理员，因为他们没有通过允许流量的防火墙策略进行身份验证。他们直接在FortiGate上登录。

　　此页面还允许你在同一时间断开一个用户或多个用户的连接。

  在基于web的管理器中，一个很好的故障排除工具是单击 策略 & 对象 > 防火墙策略 打开的安全策略页面上的字节数列。此列显示通过该策略的字节数。当你在进行故障排除时，这是有价值的信息。当你在测试配置(端到端连接、用户身份验证和策略使用)时，观察字节数的增加有助于进行故障排除。增加表示相关策略是否看到任何流量，如果你希望用户需要身份验证，但却从未提示他们，那么这是有用的信息。

　　使用CLI命令收集用户和用户认证尝试的更多信息，有助于解决用户认证失败的问题。

　　● diagnose firewall auth list：显示通过认证的用户及其IP地址。

　　● diagnose firewall auth clear：从当前列表中清除所有授权用户，当系统或组更改后需要强制用户重新进行身份验证时，这非常有用。但是，这个命令很容易导致许多用户不得不重新进行身份验证，所以要小心使用。

　　● diagnose debug application fnbamd -1：使用该命令排除身份验证故障(必须与diagnose debug enable同时使用)。

　　● diagnose test authserver RADIUS -direct <ip> <port> <secret>：测试FortiGate和RADIUS服务器之间的预共享密钥。

　　● diagnose test authserver ldap <server name> <username> <password>：测试指定用户帐号的LDAP认证。

  在配置防火墙身份验证时，请使用上图中列出的最佳实践来避免不必要的问题。

  答案：B

  恭喜你！你已经学完了这一课。

　　现在，你将回顾你在这一课中涉及的目标。

  上图展示了你在这节课中涉及的目标。

　　通过掌握本课讨论的目标，你了解了如何在FortiGate的防火墙策略上使用身份验证。

---