CheckPoint防火墙支持3中认证访问，分别是user认证，session认证和client认证。本片文章主要介绍Client authentication，使用防火墙内置用户比较简单，本文介绍结合Radius服务器进行认证。

    相比user认证和session认证。client认证的优势在于支持所有类型的服务。user认证只支持ftp，http，telnet三种，命令行下ftp和telnet认证可以实现，http实现起来效果不好。而Session认证需要在计算机上安装会话代理。    配置Client Authentication主要分四个步骤,Radius服务器配置本文不介绍，测试推荐使用winradius绿色软件。

 

  1.通过建立Radius Server对象.

     首先，新建一个节点对象，命名为Radius_SVR,IP设为Radius服务器IP。依次点击Manage - Server and OPPSEC Application，在弹出窗口中点击new，选择Radius，在弹出窗口中新建Radius对象。

• 填写Radius服务对象的名称（自定义）。
• host选择刚才新建的节点。
• service一般选择NEW-RADIUS，这要根据Radius服务器的端口来决定的。NEW-RADIUS是UDP1812端口。
• 共享密钥按照服务器端设置填写。其他不用改。

2.建立用户。

    这里要详细说一下，有两种匹配用户的方式。

    一种是完全匹配方式。即防火墙不建立内置用户，直接转发用户认证请求到Radius，这种配置的方法好处是比较省事，不用逐个的在防火墙上加用户，但是不够灵活，不能灵活的配置认证策略。这样配置以后就不能兼容其他认证方式。适合认证模式比较单一的场景。

    另一种是每用户匹配方式。即在防火墙逐一添加用户，为用户指定特定的认证方法。本次文章主要介绍每用户匹配方式，因为我们要用控制用户访问权限，当然要针对不同用户添加不同的策略，这样才能起到因人而治的认证理念。

    添加用户很简单，点击manage - Users and Administrator，点击new，选择Standard_User。设置一个用户名，认证方式选择Radius。其他不用设置。

 

 

 

  规划多个用户组，将不同权限用户分配到不同用户组中。

 

 3.建立防火墙策略。

 

  源指定为用户组，目的指定目标网络，动作选择为client auth。下发策略。

 

 4.访问认证。

    认证过程，在R75版本以后，http类的访问请求会触发认证页面，直接输入用户名密码即可。R75版本之前，则需要手动登录到防火墙的认证页面，即HTTP://防火墙IP:900,通过用户名密码进行验证。