《深信服SSL VPN用户认证技术详解》
深信服SSL VPN用户认证技术是网络安全领域中的重要组成部分,它为用户提供安全、便捷的访问控制手段。本文将深入解析SANGFOR SSL v7.0版本在2016年度的用户认证技术,包括用户分类、用户组管理、认证方式配置及常见认证方法的应用。
用户在SANGFOR SSL VPN系统中分为两类:私有用户和公有用户。私有用户具有唯一性,同一时间仅允许一人登录,而公有用户则允许多个人同时在线。用户组是用户管理的基础,每个用户必须隶属于一个用户组,其中root根组和默认用户组是不能被删除的。添加SSL用户组时,需要选择账户类型和认证方式,并设置组名和所属组,关联策略组与角色。配置完成后,点击“立即生效”以确保配置的即时应用。
接着,SSL用户的添加涉及到认证方式的选择。若选择“继承所属组的认证选项”,用户将沿用组的认证方式,如“support”组的认证方式。若不选择继承,用户可自定义认证方式。保存并生效配置后,认证设置正式生效。
SSL VPN的用户认证方式多样,既可以选择单一的主要认证,也可以结合多种辅助认证。主要认证方式包括本地认证,如用户名/密码、数字证书、硬件特征码等,辅助认证则有短信认证、LDAP认证、RADIUS认证等。对于主要认证,系统允许设置多个,可设定必须全部通过或只需通过一种即可。
1. 用户名/密码认证:这是最基本的认证方式,用户通过输入用户名和密码登录。为了增强安全性,可启用密码策略、软键盘和图形校验码功能。这种方式适用于公有用户和私有用户。
2. 数字证书认证:数字证书是一种经过权威机构数字签名的文件,包含公开密钥信息,用于识别和验证网络通信双方的身份。深信服支持自建CA和第三方CA的数字证书。DKEY认证则提供了硬件保障,分为有驱DKEY和无驱DKEY。生成DKEY前需确保已插入电脑,且无驱DKEY需启用USB KEY V2。
3. 硬件特征码认证:通过绑定特定电脑的硬件信息,如硬盘ID、网卡MAC等,限制账号只能在特定设备上登录,提高安全性。硬件特征码作为辅助认证,需与主要认证方式结合使用。
4. 短信认证:SSL设备向用户绑定的手机号码发送短信验证码,用户输入正确验证码后才能登录。短信认证需要开通序列号,并可选择内置短信猫或外部短信网关进行短信发送。
深信服SSL v7.0的用户认证技术旨在提供灵活、多样的安全登录方案,确保用户数据安全,同时便于管理员管理和维护。用户可以根据自身需求和环境选择合适的认证方式,以达到最佳的网络访问安全效果。
