具有关统计资料显示，一般企业员工平均每天有三分之一的上班时间是在网上浏览与工作无关的信息；在员工从互联网下载各种信息中，只有25％的下载信息与其所从事的工作有关。缺乏有效的内部用户上网管理措施，将会导致工作效率的下降，这与网络发展的初衷相违背的。

    互联网是一个没有国界的网络，网络中有许多宣传反动言论、色情和封建迷信的站点。如果没有有效的针对用户身份管理监控手段来对用户的上网进行必要的限制和记录，同时也没有对用户的上网时间进行限制，对于一些非法站点也没有采取有效手段来过滤。一旦出现问题，往往因为没有用户上网的历史记录而法无追查下去，给企业的网络管理带来许多不必要的麻烦。

    防火墙是位于企业网络边界最常用的网络安全设备，主要用于控制外部网络对内部网络的访问，并决定内部网络可以访问哪些外部资源和目标，同时还可以抵御各类拒绝服务攻击和扫描攻击，保护企业局域网和服务器免受外部非授权的访问和攻击。防火墙产品作为对网络访问进行有效控制的信息安全设备，在对用户的网络访问进行控制的时候，使用有效的用户身份认证技术来区分不同的用户身份，以适应不同访问级别的用户对网络访问的不同权限，弥补传统防火墙仅仅基于IP或MAC访问控制的局限性，有效地实现内部人员上网的行为管理和审计管理。

    目前在市场上销售的防火墙提供用户身份认证功能的并不多见，即使提供，也多在应用层完成用户的身份认证，具有效率低、适应性差、难以推广应用等诸多不足。

    中网智能防火墙不仅能够提供基于IP或MAC的过滤和访问控制机制，而且能够提供基于用户身份的认证功能，实现对所有用户进行分组、对用户组进行授权管理。在高安全性的场所，当用户通过防火墙进行访问时，首先需要对其身份进行认证是非常必要的，认证的方式可以通过任何支持认证的网页浏览器，身份认证是基于密码技术的，对管理员用户名和口令在传输时进行加密，并对防火墙和控制端之间传输的所有数据进行加密，有效防范在网络传输过程中数据被窃听、篡改，达到更高可靠性的身份认证。在用户身份认证通过后，确定用户所属的用户组，对该用户组所拥有的授权来进行访问控制，并对用户被授权后所有的访问进行记录、实现审计。这样，就可以避免各种针对IP、MAC等的攻击，将权责落实到具体的用户，不仅极大地增强了防火墙的防御能力、也便于防火墙系统的管理和维护。

    中网智能防火墙在系统内核层直接支持基于鉴别、授权、审计（AAA）的功能。将AAA直接引入到网络内核，有效的控制了基于假身份的欺骗、不确定和消耗资源等问题。AAA是Authentication、Authorization和Accounting的简写形式。其中，认证提供对用户的合法性检查（Who is the user）；授权用于规范每个用户的行为（What can be done by the user ）；审计则用于记录每个用户的行为（What is the user doing or has done by the user）。在结合了AAA功能的中网智能防火墙中，一个用户经由防火墙提供服务必须先后经过认证和授权后才能开始所提供的服务，同时要对服务的开始时间、结束时间、传输字节数、传输包数、提供服务的总时间等相关信息进行记录。

    中网智能防火墙在网络内核采用的AAA用户认证系统，解决了在应用代理一级进行身份认证存在的只能为有限的、个别的应用服务提供认证功能、包处理效率低、流量或时间控制管理不能针对用户身份的局限性。它采用在系统内核实现用户身份认证技术，则可以为任何网络协议、应用服务提供身份认证功能，提供基于用户身份的认证、授权等管理，同时大大提高系统的处理效率。





    目前，中网智能防火墙的AAA用户身份认证的主要管理功能有：

    认证规则管理：认证规则就是一系列过滤器，以确定哪些服务、那些应用需要用户身份认证之后，才能够访问，哪些服务不需要用户身份认证就可以直接访问。每条认证规则均包括以下部分信息：用户的网络或主机、要访问的目的网络或主机、哪些用户的网卡的访问需要认证，以及需要认证或不需要认证的控制等。通过对认证规则的管理，即可实现基于用户的访问控制和应用的管理。

    访问规则管理：访问规则用于对用户访问进行授权，授权包括允许访问和禁止访问，控制用户可以访问或不可以访问的服务。访问规则是通过访问规则组来管理，访问规则组就是由多条访问规则构成的一个组，组中的所有规则不分先后次序，没有优先级，因此同一个组中的所有规则不应有重叠的部分。通过对访问规则的管理，即可实现用户授权的管理。

    用户身份管理：防火墙系统的用户管理可以用于创建、编辑、删除和查询认证用户身份，并包括显示用户列表、创建新用户、删除用户、修改用户密码和资料、查询用户等操作。

    中网智能防火墙通过认证规则管理、访问规则管理和用户身份管理，实现AAA身份认证机制，很好的解决了传统防火墙在用户认证应用上的局限性和性能问题，同时极大的丰富了防火墙固有的用户管理和访问控制能力，使中网智能防火墙更好得实现了对网络服务认证与授权的有效监控。