用戶管理解決方案

1.背景問題

　　傳統的防火墻大多針對IP和域的概念對內部用戶進行管理，但在安全問題定位、訪問控制、網絡管理中，光從IP的角度早已無法滿足現今的需求。現在絕大多數防火墻或者網絡管理設備都已使用針對于用戶的管理來滿足這些場景要求。新一代安全技術，用戶識別作為安全防護的基礎已變得不可或缺。

2.用戶問題

　　企業在對用戶進行管理時，經常會面臨諸多挑戰，例如：

　　1. 用戶數目較多、組織結構比較復雜。每個結構分支都可能需要不同的安全策略和管理策略；安全問題定位時也需要精細到具體的部門甚至小組，否則就會猶如大海撈針。

　　2. 同一個用戶可能屬于不同的機構或分類，而不同的機構或分類之間的權限、策略等很可能不同。例如某一個用戶既屬于財務人員，又屬于管理層。同一個用戶同時擁有兩個不同的角色屬性。傳統的用戶管理單一的方式無法適用這種復雜場景。

　　3. 可以隨便搶占別人IP上網，出現安全問題無法定位到設備。

　　4. 終端在近些年發展迅速，越來越多的人會使用自帶移動終端設備接入企業內網（我們稱之為BYOD）。這對企業的網絡管理及安全防護帶來新的挑戰。

　　5. 本身擁有AD、Radius等第三方的認證服務器，現今的防火墻等涉及認證授權的設備必須能與企業已有的認證系統兼容。

　　6. 可以方便的對臨時用戶進行管理。企業很多使用會有第三方的代理商或者合作伙伴臨時接入企業內網。即使在企業內部也會出現不同權限部門的人需要臨時獲取其他部門的權限的情況發生。所以對于臨時用戶的管理需要更加科學方便。

3.網康NGFW的用戶管理解決方案

3.1支持按企業的組織結構建立用戶分組

　　當用戶數目較多、組織結構比較復雜時，按照實際的組織結構管理用戶是較有效的方式，易于管理員查詢、定位和設置策略，也易于定位安全問題主機。網康NGFW支持樹型結構管理用戶，能夠完全按照企業的實際情況建立用戶組。

3.2支持同一個用戶屬于不同的權限組

　　網康NGFW支持權限組的定義和管理。可在各級用戶組織中建立“權限組”，可將任意用戶添加入“權限組”中，一個用戶可以同時隸屬于多個權限組。這一功能提高了用戶策略管理的靈活性，在不改變原用戶的組織結構的情況下，可實現對一些分散在各組中的用戶進行統一策略管理。

3.3支持IP/MAC綁定

　　網康NGFW支持二層網絡環境和三層網絡環境下的IP/MAC綁定。可自動阻塞那些非法占用他人IP地址的用戶，保障網絡的安全性。

3.4支持對BYOD的識別與管理

　　支持對辦公區域內移動設備（包括iOS、Android、Windows等）的識別與管理，防范日益增長的BYOD趨勢所帶來的安全問題。

3.5支持豐富的用戶認證方式，包括第三方認證

　　網康NGFW提供多種用戶認證和識別方式，為用戶管理提供了靈活而完善的方案，包括基本的IP/MAC綁定、三層網絡環境下的IP/MAC綁定、網關Web認證、AD域透明認證、LDAP認證、RADIUS認證、POP3認證、PPPoE認證賬號識別、第三方用戶識別。對于每一種認證方式，NGFW都支持分段/混合認證。通過規劃并部署合適的認證方式，可以把互聯網訪問管理應用到具體用戶，實現基于用戶身份的訪問管理。

　　在有些企業，實行規劃合理并且嚴格執行的IP地址分配制度，那么通過IP地址和網卡MAC地址來確定用戶身份是可靠的；但是在有些網絡環境下，用IP或網卡MAC地址并不能確定一個人的身份，比如DHCP動態分配IP、或多人共用一臺設備的時候，就需要其它方式確定用戶身份，如網關本地Web認證或第三方認證。

　　在WEB認證方式下，管理員可以設定并分發統一的初始口令，并定義賬號緩存的有效時間，保障用戶身份的安全，使用戶身份的確定與具體上網設備完全無關。要實現WEB認證，首先需要在網康互聯網控制網關中建立用戶信息。NSNGFW支持多種用戶信息獲取方式，可以通過IP網段地址掃描，自動獲取內網用戶的IP地址、計算機名、MAC地址信息，也可以通過LDAP同步的方式定期更新用戶目錄服務器的用戶信息，支持RADIUS認證，此外，還可以使用網康自定義用戶導入功能，將微軟Excel表格整理的用戶信息快速導入。

　　建立用戶信息后，按照管理需求，基于網段、權限、行政職能自定義用戶組和成員，并且可以在不同用戶組之間靈活調整成員用戶，最終形成清晰直觀的樹型組織結構。這樣就解決了“確定用戶身份”的問題，并為基于用戶或用戶組制定安全管理策略和統計報表奠定了基礎。

3.6支持臨時賬號的管理

　　對于一些需求臨時入網的用戶，管理員可通過該功能限制這些用戶可以入網的時間范圍，超出限定范圍后，該用戶無法再入網。一方面提高準入用戶的安全性，另一方面可實現入網限時的功能。