c_userid_policy
缺省情况下,下一代应用安全网关 仅允许策略规则明确允许的网络通信。使用用户识别和认证方法识别来自指定 IP 地址的用户。其他策略根据源和目标 IP 地址、安全配置、服务、时间表和/或应用程序类型来强制执行。
用户识别代理是安装在网络中以获取 IP 地址和网络用户之间所需的映射信息的下一代应用安全网关 应用程序。用户 ID 代理会自动收集用户到 IP 地址的映射信息,并将此信息提供给防火墙以用于安全策略和日志记录。
管理员可以配置特定的 IP 地址或 IP 地址范围,以使用特定的认证方法:
对于透明认证,下一代应用安全网关 会定期在域控制器中检索登录日志信息,这样可以将用户映射到 IP 地址。如果上述方法失败,下一代应用安全网关 将直接连接到客户端计算机(尝试访问网络之外的其他位置的客户端计算机)以查询当前已登录的用户。(这要求 LDAP 设置帐户拥有相应的权限。)
对于网页认证,如果 IP 地址尚未获得认证,并且如果当前请求为 HTTP 请求,则用户将被定向到一个 Web 页以提供域帐户登录信息。
对于用户/组信息,下一代应用安全网关 会定期将总体 LDAP 用户树同步到本地缓存。后续用户组关系查询将在本地解析。
用户识别映射要求防火墙在使用 NAT 转换 IP 地址之前获取用户的源 IP 地址。如果由于 NAT 或使用代理服务器造成多个用户拥有相同的源地址,则不可能进行准确的用户识别。
用户 ID 策略列表使用“策略”>“对象”>“地址”条目。
可以从“策略”>“用户 ID 设置”>“网页认证”页访问自定义网页认证登录选项。如果用户 ID 代理无法将用户与 IP 地址关联,则网页认证可以接管和认证用户。有关详细信息,请参阅关于网页认证。
另请参阅: