防火墙认证的类型——Vecloud

防火墙可以支持各种身份验证方法。
防火墙认证意味着用户声称自己是他们所说的身份，并被允许访问对其进行身份验证的资源。就像当我们登录到Microsoft
Windows计算机并通过指定用户名然后指定密码来让Windows知道我们的身份时，我们证明我们的身份。最后，Windows仅使我们可以访问允许访问的资源。
防火墙认证可由各种功能使用。最常见的两个是SSL VPN和Web过滤。以下是大多数防火墙支持的一些常见身份验证方法。

1.内置数据库认证
使用用于身份验证的内置数据库，防火墙包含一个内置的身份验证数据库。用户可以针对该数据库进行身份验证以进行访问。数据库通常配置有多个用户名和密码。使用内置的数据库身份验证易于配置且非常有效，但是此方法不可扩展。如果经常需要更改(例如用户频繁加入和离开)，则防火墙数据库将需要不断更新。
2.LDAP验证
您可以使用轻型目录访问协议(LDAP)来对目录服务器进行查询和身份验证。通常，这将是Active
Directory，尽管它可以是任何支持LDAP的目录服务，例如Novell目录Open
LDAP等。这是一种可伸缩的方法，因为目录服务通常总是保持最新状态。我们不需要更新本地防火墙，因为它正在查询目录服务器。
3.证书认证
对于大多数防火墙，您可以使用公共签名证书或自签名证书进行防火墙身份验证。如果防火墙是面向外部任何人的公共防火墙，则应设置一个可公开识别的证书，以对匿名用户进行身份验证。公开认可的证书是由诸如VeriSign，Go
Daddy或Thawte之类的人颁发的，并且由Internet Explorer和Mozilla Firefox等常见浏览器所知道，因此自动受信任。
但是，如果防火墙正在对其控制下的已知客户端进行身份验证，则可以轻松地使用自签名证书对其进行配置。防火墙供应商免费颁发自签名证书，并且由于您控制客户端，因此可以在客户端浏览器上安装相关证书。您需要执行此操作，因为默认情况下浏览器不知道此证书，因为它是自签名的。您可以使用Active
Directory组策略或类似方法一次在许多客户端系统上部署证书。此处的常见用例是SSL VPN用户。由于SSL
VPN是基于安全浏览器的应用程序，因此您可以使用自签名证书，这样可以防止出现错误页面，指出“此网站提供的安全证书不是由受信任的证书颁发机构颁发的”。
4.两要素认证
两因素身份验证是指需要两个不同的因素才能在允许访问之前进行身份验证。它通常以您知道的内容(密码)和您拥有的内容(软件或硬件令牌)的形式。也可以选择是您的身份(指纹)。一种非常常见的方法是将防火墙配置为要求使用硬件令牌以及您的个人密码进行身份验证。在SSL
VPN方案中，您将使用个人密码以及硬件令牌上显示的6位数字登录SSL门户。如果没有两者的结合，您将无法访问。与依靠单个密码相比，这提供了更好的安全性。毕竟，如果有人确实窃取了您的密码，他们就可以访问您公司的公司网络。
5.单点登录
单一登录可确保用户透明地通过防火墙的身份验证，而无需手动登录。与Active
Directory集成的防火墙的一个示例是，当用户登录网络时，防火墙代理会从Active
Directory轮询此信息并转发此信息。到防火墙。因此，当用户质疑防火墙要求身份验证的策略时，防火墙知道此用户已通过网络身份验证。然后，根据用户是谁来决定允许用户访问的天气。如果允许用户访问，防火墙将允许他们访问所需的资源，而最终用户无需注意任何事情。因此，用户无需手动再次指定密码即可进行身份验证。
Vecloud是一家面向企业提供云交换网络服务为核心业务的技术创新企业，在全球的数据中心节点30个，POP节点超过200个，服务的大客户超过300个，涉及金融、互联网、游戏、AI、教育、制造业、跨国企业等行业领域。http://www.vecloud.com/products/it-outsourcing.html