对话框显示已经配置的被动身份验证源。

如有必要，您可以通过此对话框配置 ISE。如果您尚未配置 ISE 对象，可以点击集成 ISE 链接，立即创建对象。如果对象存在，将显示对象及其状态（已启用或已禁用）。

必须配置至少一个已启用被动身份源，才能创建被动身份验证规则。

如果身份规则要求对用户进行主动身份验证，则该用户将被重定向到强制网络门户端口，然后系统会提示他们进行身份验证。在配置这些设置之前，请阅读主动身份验证最佳实践 。

• 服务器证书 - 选择在主动身份验证期间提供给用户的内部证书。如果尚未创建所需的证书，请点击下拉列表底部的创建新的内部证书。

  如果用户不上传其浏览器已经信任的证书，则必须接受该证书。

• 重定向到主机名（仅限 Snort 3.0）- 选择定义接口的完全限定主机名的网络对象，该接口应用作主动身份验证请求的强制网络门户。如果该对象尚不存在，请点击创建新网络。

  FQDN 必须解析为设备上接口之一的 IP 地址。通过使用 FQDN，您可以为客户端将识别的主动身份验证分配证书，从而避免用户在被重定向到 IP 地址时收到不受信任证书警告。证书可以在证书的使用者备选名称 (SAN) 中指定 FQDN、通配符 FQDN 或多个 FQDN。

  如果身份规则要求对用户进行主动身份验证，但您未指定重定向 FQDN，则用户将被重定向到他们连接的接口上的强制网络门户端口。

• 端口 - 强制网络门户端口。默认端口是 885 (TCP)。如果配置了其他端口，则该端口必须在 1025-65535 的范围内。

  注	如果您不提供重定向到主机名 FQDN，HTTP Basic、HTTP 响应页面和 NTLM 身份验证方法会使用接口的 IP 地址将用户重定向到强制网络门户。但对于 HTTP 协商，用户将使用完全限定 DNS 名称 firewall-hostname.AD-domain-name 进行重定向。如果您想在不提供重定向到主机名 FQDN 的情况下使用 HTTP 协商，还必须更新 DNS 服务器以将此名称映射到您需要进行主动身份验证的所有内部接口的 IP 地址。否则，将无法进行重定向，用户也无法进行身份验证。建议您始终提供重定向到主机名 FQDN 以确保行为一致，而无论采用哪种身份验证方法。

您可以使用预定义的 NGFW-Default-InternalCA 证书，也可以使用您创建或上传的证书。如果尚无证书，请点击创建内部 CA 进行创建。

如果尚未在客户端浏览器中安装证书，请点击下载按钮 () 获取副本。有关如何安装证书的信息，请参阅各浏览器文档。另请参阅为解密重签名规则下载 CA 证书。

• 被动身份验证（任何身份源）- 通过对不匹配任何身份规则的连接使用所有配置的被动身份源，确定用户身份。如果不配置任何被动身份源，使用被动身份验证作为默认选择等同于使用“无身份验证”。

• 无身份验证（不需要身份验证）- 不对不匹配任何身份规则的连接确定用户身份。

要删除不再需要的规则，请点击该规则的删除图标 ()。

先匹配的规则先应用，所以您必须确保流量匹配条件条件较具体的规则显示在次之用来匹配流量的较通用条件条件的策略上方。

默认将规则添加到列表的末尾。如果以后要更改规则的位置，请编辑此选项。

您必须选择包括用于被动和主动身份验证规则的用户账户的 AD 身份领域。如果所需的领域尚不存在，请点击创建新身份领域 (Create New Identity Realm) 并立即创建。对于被动身份验证，您可以选择 AD 领域序列，而不是单个 AD 领域对象。

用户有三次机会成功进行身份验证。如果仍不成功，选择此选项可以确定是否标记用户。您可以根据这些值编写访问规则。

• 以访客身份回退 > 开 - 系统将用户标记为访客。

• 以访客身份回退 > 关 - 系统将用户标记为未通过身份验证。

请记住，仅在使用 HTTP 流量时才会尝试进行主动身份验证。因此，无需为非 HTTP 流量配置无身份验证规则，也无需为任何非 HTTP 流量创建主动身份验证规则。但是，被动身份验证适用于任何类型的流量。

身份规则的源/目标条件定义了流量通过的安全区（接口）、IP 地址或该 IP 地址所在的国家/地区或大洲（地理位置）或是流量中所用的协议和端口。默认设置为任何区域、地址、地理位置、协议和端口。

要修改条件，请点击该条件内的 + 按钮，选择所需的对象或元素，然后在弹出对话框中点击确定 (OK)。如果条件需要对象，而所需的对象不存在，您可以点击创建新对象。点击对象或元素对应的 x，可将其从策略中移除。

可以配置以下流量匹配条件。

源区域、目标区域

安全区对象，定义通过其传递流量的接口。可以定义一个或两个条件，也可以不定义任何条件：未指定的任何条件都将应用到任何接口上的流量。

• 要匹配从区域中的接口离开设备的流量，请将该区域添加至目标区域。

• 要匹配从区域中的接口进入设备的流量，请将该区域添加至源区域。

• 如果同时向一条规则添加源区域和目标区域条件，匹配流量必须源自其中一个指定源区域并通过其中一个目标区域流出。

如果应基于流量进入或离开设备的位置来应用规则，请使用此条件。例如，如果要确保从源自内部网络的所有流量收集用户身份，请选择内部区域作为源区域，同时将目标区域留空。

注	不能在同一规则中搭配使用被动和路由安全区。此外，被动安全区只能被指定为源区域，不能作为目标区域。

源网络、目标网络

定义流量的网络地址或位置的网络对象或地理位置。

• 要匹配来自某个 IP 地址或地理位置的流量，请配置源网络。

• 要匹配流向 IP 地址或地理位置的流量，请配置目标网络。

• 如果同时向一条规则添加源网络条件和目标网络条件，匹配流量必须源自其中一个指定 IP 地址并流向其中一个目标 IP 地址。

添加此条件时，可从以下选项卡中进行选择：

• 网络 - 为您要控制的流量选择定义源或目标 IP 地址的网络对象或组。

• 地理位置 - 选择要基于流量的源或目的国家/地区或大洲控制流量的地理位置。选择大洲将会选择该大洲内的所有国家/地区。除了直接在规则中选择地理位置外，也可以选择您创建的地理位置对象来定义位置。使用地理位置，可以便捷地限制对特定国家/地区的访问，而不需要知道此位置所用的全部潜在 IP 地址。

  注	为了确保使用最新地理位置数据过滤流量，思科强烈建议您定期更新地理位置数据库 (GeoDB)。

源端口、目标端口/协议

定义流量中所用协议的端口对象。对于 TCP/UDP，这可能包括端口。

• 要匹配来自协议或端口的流量，请配置源端口。源端口只能为 TCP/UDP。

• 要匹配流向协议或端口的流量，请配置目标端口/协议。

• 要同时匹配来自特定 TCP/UDP 端口的流量和流向特定 TCP/UDP 端口的流量，请配置源端口和目标端口。如果同时将源和目标端口添加至条件，则只能添加共享单一传输协议（TCP 或 UDP）的端口。例如，您可以匹配从端口 TCP/80 流至端口 TCP/8080 的流量。