防火墙产品作为对网络访问进行有效控制的信息安全设备，在对用户的网络访问进行控制的时候，要使用有效的用户认证技术来区分不同的用户身份，以适应不同访问级别的用户对网络访问的不同权限。
　　
　　目前市场上销售的防火墙都具备用户认证功能，但传统的防火墙的用户认证技术尚存在如下不足：
　　
　　在应用代理（网关）一级的认证技术必须与应用服务相关，也就是必须针对不同的应用（如HTTP,FTP等）进行定制。如果用户有一种新的应用服务需要进行认证，则必须开发相对应的认证模块嵌进去;此外，当用户使用不同的网络服务时，需要分别进行认证，即存在多次认证的问题，使用户使用不便，因此，当存在大量的应用时，防火墙具有较大的局限性。
　　
　　包过滤功能与应用代理功能的网络性能相差非常大。当用户需要用户认证模块，而用户认证模块必须在应用代理基础上实现时，会极大地影响网络性能。因此，当用户在强调网络性能的情况下需要用户认证功能时，防火墙受到较大的限制。
　　
　　在对用户做计费统计时，如果在应用网关一级做统计，往往只能对某些特定的网络服务类型来做统计，而不能统计该用户使用的所有服务的流量以及时间，这样，统计的准确性和有效性将大打折扣。
　　
　　针对上述用户认证技术存在的不足，联想网御2000防火墙新增了网络层用户认证功能，以解决用户应用上存在的问题。
　　
　　联想网御2000防火墙的网络层用户认证系统，解决了在应用代理一级做认证存在的只能为有限的服务提供认证功能、包处理的效率低和计费（流量或时间）的局限性。它采用在链路层和网络层的用户认证技术，则可以为任何网络协议、服务提供认证功能，变为与应用服务无关的用户认证，同时大大提高了处理效率。尤其在做计费时，可以精确地统计某用户发出/接收到每一个IP包以及用户使用网络的总时间。
　　
　　目前联想网御2000的网络层用户认证系统的主要功能有：
　　
　　认证功能
　　
　　用户通过联想网御定制的客户端软件，可以使用电子钥匙自动认证方式或用户手动认证方式，向服务器防火墙证明自己的身份。只有当登录用户成功证明自己的身份，该用户才可以成为防火墙系统认可的认证用户，从而可以使用认证用户才能使用的网络服务。
　　
　　支持本地认证或RADIUS认证
　　
　　可以使用本地认证服务器（防火墙上自带的，支持1000个用户），或者第三方的标准RADIUS认证服务器。使用RADIUS时，支持RADIUS的审计功能。
　　
　　用户管理功能
　　
　　用户可以通过客户端软件修改自己的密码。
　　
　　系统管理员管理功能
　　
　　系统管理员可以通过Web浏览器管理认证服务器，包括：认证服务器参数的设置，增加/删除/修改本地组和用户；锁定/解除锁定特定的组或用户；设定需要认证的包过滤或透明代理规则；设置用户可使用的总的时间量和总的流量（具体说明见下文）。
　　
　　时间和流量的控制和统计
　　
　　每个认证用户每次连接使用的时间和流量均被记录在系统日志中，以便对用户的访问时间和流量进行统计；可以限定用户能使用的网络流量。当用户当前已经使用的流量超过该值时，用户将无法登录；可以限定用户能使用网络的时间。当用户当前已经使用的时间总量超过该值时，用户将无法登录。
　　
　　防火墙系统在线检测
　　
　　防火墙系统对认证通过的用户且正在使用网络服务的用户还要进行在线检测，当发现在线用户不是刚才的认证用户时，系统会自动断开网络服务的连接。
　　
　　目前，联想网御2000防火墙具有多个认证方案，支持PAP和高安全强度的一次性口令（S/Key）认证协议，并支持标准的RADIUS、数字证书等，支持软件方式与iKey等硬件方式认证，支持用户和组管理。
　　
　　联想网御2000防火墙的网络层用户认证系统很好地解决了传统防火墙在用户认证应用上的局限性和性能问题，同时极大地丰富了防火墙固有的用户管理和控制功能，使联想网御2000防火墙更好地实现了对网络服务的认证与授权的有效监控。

转载地址：http://www.netsp.com.cn/Article/netsafe/FW/200506/20050602131807.html