使用免认证方式的双向绑定用户不能访问网络资源

发布时间:  2014-09-20 浏览次数:  77 下载次数:  0
问题描述
如图23-1所示,某企业在网络边界处部署了NGFW作为网关,连接内部网络与Internet。管理员在NGFW上配置了用户管理和认证机制,将高级管理者的用户与IP/MAC地址双向绑定,高级管理者不需要进行认证就可以访问网络资源。
图23-1 使用免认证方式的双向绑定用户不能访问网络资源组网图

实际使用中,发现高级管理者无法使用浏览器访问Internet上的网站。

处理过程
不存在高级管理者的用户表项。
可能原因及相应的处理步骤如下:
1. 认证策略中的匹配条件配置有误。
选择“策略 > 认证策略”,以高级管理者的源地址或所属的安全区域为条件查询是否匹配了认证策略,检查认证策略的匹配条件是否正确,确保认证策略能否匹配到高级管理者发出的流量。
2. 认证策略中的认证动作配置有误。
选择“策略 > 认证策略”,查看匹配高级管理者的认证策略中的认证动作是否正确,认证动作应该为“不认证”。
3. 高级管理者没有使用指定IP/MAC地址的PC。
查看高级管理者当前使用PC的IP地址和MAC地址,确保当前的IP地址和MAC地址就是与高级管理者的用户绑定的IP和MAC地址。
4. 在线用户已经达到最大值。
选择“对象 > 用户 > 在线用户”,查看在线用户的数量。
存在高级管理者的用户表项。
可能原因及相应的处理步骤如下:
1. 高级管理者的用户已经被冻结。
选择“对象 > 用户 > 在线用户”,查看被冻结的用户。如果高级管理者的用户已经被冻结,使用“解冻”功能取消冻结。
2. 安全策略配置有误。
选择“监控 > 策略命中日志”,以高级管理者的用户名或源地址为查询条件,查询命中的安全策略。然后检查安全策略及其配置文件是否将高级管理者发出的流量阻断。
根因
选择“对象 > 用户 > 在线用户”,在“在线用户列表”中以高级管理者的登录名为条件,查询是否存在高级管理者的用户表项。根据查询结果可以缩小可能原因的范围,请分别按以下情况逐一排查可能原因:
 不存在高级管理者的用户表项。
 存在高级管理者的用户表项。

END