缺省情况下,下一代应用安全网关仅允许策略规则明确允许的网络通信。使用用户识别和认证方法识别来自指定 IP 地址的用户。其他策略根据源和目标 IP 地址、安全配置、服务、时间表和/或应用程序类型来强制执行。
用户 ID 代理是安装在网络中的一个下一代应用安全网关应用程序,用于获取 IP 地址和网络用户之间所需的映射信息。用户 ID 代理会自动收集用户到 IP 地址的映射信息,并将此信息提供给防火墙以用于安全策略和日志记录。
配置特定的 IP 地址或 IP 地址范围,以使用特定的认证方法:
- 对于透明认证,下一代应用安全网关会定期在域控制器中检索登录日志信息,这样可以将用户映射到 IP 地址。如果上述方法失败,下一代应用安全网关将直接连接到客户端计算机(即尝试访问网络之外的位置的客户端计算机)以查询当前登录的用户。(这要求
LDAP 设置帐户拥有相应的权限。)
- 对于网页认证,如果 IP 地址尚未获得认证,并且如果当前请求为 HTTP 请求,则用户将被定向到一个 Web 页以提供域帐户登录信息。
对于用户/组信息,下一代应用安全网关会定期将总体 LDAP 用户树同步到本地缓存。后续用户组关系查询将在本地解析。
|
注意
用户识别映射要求防火墙在使用 NAT 转换 IP 地址之前获取用户的源 IP 地址。如果由于 NAT 或使用代理服务器造成多个用户拥有相同的源地址,则不可能进行准确的用户识别。
|
用户 ID 策略列表使用条目。
可以从页面访问定制的网页认证登录信息。如果用户 ID 代理无法将用户与 IP 地址关联,则网页认证可以接管和认证用户。有关详细信息,请参阅
关于网页认证。