• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

vpn 双因子

17小时前提问
  • 0关注
  • 0收藏,45浏览
粉丝:0人 关注:0人

问题描述:

 

设备型号:H3C SecPath F5000

软件版本:7.1.064,Release 9660P53

目前使用inode 接入vpn,能否实现inode登录多因子验证,短信、动态验证码、一次性密码等方式?

2 个回答
粉丝:6人 关注:7人

inode啥版本呢,iNode E0584已经支持先验证密码再验证短信。需要EIA E0611P13配套支持,可以查看现场版本是否符合要求。



inode可以的,可以再看看eia的版本,然后满足配套关系就行

咕_H101 发表时间:16小时前 更多>>

7.30.0646

小白小白小白 发表时间:16小时前

inode可以的,可以再看看eia的版本,然后满足配套关系就行

咕_H101 发表时间:16小时前
粉丝:19人 关注:2人

一、结论:完全支持 iNode 多因子登录(短信 / 动态令牌 OTP / 一次性密码)

F5000 自带 SSL VPN+iNode 客户端原生支持二次认证,但防火墙本地仅支持证书 / USBKey 硬件双因子;短信、手机动态验证码、软件 TOTP 令牌必须搭配 iMC EIA(终端准入组件) 或第三方 RADIUS MFA 认证服务器实现。

二、两种部署方案(按需选择)

方案 1:原厂标准方案(iMC EIA,推荐,完美适配 iNode)

支持的二次认证类型

  1. 短信验证码:对接短信猫 / 第三方短信网关,账号密码验证后下发手机一次性验证码
  2. 软件动态令牌 TOTP:iNode 内置令牌、手机令牌 APP,60 秒刷新一次性密码
  3. 硬件动态令牌:H3C DKEY 硬件 OTP 令牌
  4. USB Key 数字证书:硬件证书双因子(无需短信网关,防火墙本地也可独立部署)

组网流程

iNode 输入账号静态密码 → 转发至 iMC EIA 认证 → 密码校验通过后触发二次验证(短信 / 令牌)→ 二次验证码正确,F5000 放行 SSL VPN 隧道

关键配置要点

  1. F5000 SSL VPN 虚拟网关认证方式改为 RADIUS 认证,指向 iMC EIA 服务器;
  2. iMC EIA 开启 VPN 接入双因子策略,给员工绑定手机号 / 令牌密钥;
  3. EIA 对接短信网关,配置短信模板下发一次性验证码;
  4. iNode 客户端自动弹出二次验证码输入框,无需额外操作。

方案 2:第三方 MFA 认证服务器(无 iMC 场景)

使用宁盾、RSA 等 OTP 认证平台,通过标准 RADIUS OTP 协议对接 F5000:
  1. F5000 SSL VPN 认证模式改为 RADIUS,指向第三方 MFA 服务器;
  2. 用户输入账号 + 静态密码,MFA 服务器校验后推送短信 / 小程序验证码;
  3. iNode 弹窗输入一次性密码,双重校验通过建立 VPN 隧道。

方案 3:纯防火墙本地部署(仅证书双因子,无短信 / 动态码)

不依赖 iMC,仅支持账号密码 + USB Key 数字证书双因子:
  1. F5000 内置 PKI 证书管理,给员工下发 USBKey 证书;
  2. iNode 登录时必须同时输入账号密码、插入带证书的 USBKey,两层校验;
  3. 缺陷:不支持短信、手机动态验证码。

三、iNode 客户端适配说明

当前 iNode 全版本均原生兼容上述双因子流程:
  • 账号密码校验通过后,客户端自动弹出动态密码输入窗口
  • 支持自动回填短信 / 令牌验证码,兼容 Windows/macOS 客户端;
  • 可配置强制双因子,不填写二次验证码直接拒绝 VPN 接入。

四、版本适配补充(你的版本 Release 9660P53)

  1. 该固件 SSL VPN 模块完整支持 RADIUS OTP 二次认证,无版本限制;
  2. 若使用 iMC 配套,iMC 版本建议 E0630 及以上,完美联动短信令牌;
  3. 仅本地证书双因子无需升级,开箱可用。

五、优缺点对比

表格
方案支持能力成本适用场景
iMC EIA 原厂方案短信 / TOTP / 硬件令牌 / USBKey 全覆盖需采购 iMC 授权企业已有 iMC 运维平台、等保合规
第三方 MFA 服务器短信 / 小程序 / 推送认证仅采购 MFA 平台无 iMC、轻量化部署
防火墙本地证书仅 USB Key 证书双因子仅 USBKey 硬件不需要短信、少量运维人员

六、最简总结

  1. F5000+iNode能实现短信、动态一次性密码双因子,但防火墙自身不能单独实现短信 / 软件令牌,必须搭配 iMC EIA 或第三方 RADIUS 多因子服务器;
  2. 仅 USBKey 数字证书双因子可直接在 F5000 本地配置,无需额外服务器;
  3. iNode 客户端会自动弹出二次验证码输入框,无需更换客户端。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明