SecPath F1000-AI 全系列双因素认证完整说明（分两类场景：管理员 Web 登录双因子、SSL VPN / 内网用户上网双因子）

一、整体结论

1. 设备管理员登录 Web/SSH 的双因子（UKey 证书 + 密码）：设备本地原生支持，无需外接服务器
2. SSL VPN 远程用户、内网上网用户双因子（短信 / 动态令牌 / 邮箱）：两种实现方式：本地短信 / 动态密码服务器、对接 iMC/RADIUS 双因子平台

二、场景 1：管理员登录 Web 双因子（UKey 证书 + 账号密码，本地原生）

Web 界面路径

1. 登录防火墙 Web 管理界面（https:// 防火墙管理 IP:443）
2. 左侧菜单：系统管理 → 管理员 → 管理设定
3. 页面内勾选：管理员双因子认证（注：仅对 Web 配置生效）
4. 配套前置配置（必须先完成）：
   • 【对象】→【PKI 证书管理】生成 CA 根证书、签发管理员用户证书
   • 将证书导出 P12 格式导入 USB UKey，登录时必须插 UKey + 输入账号密码双重校验

支持的组合

三、场景 2：SSL VPN 远程用户双因素认证（外网员工访问内网）

Web 配置路径

1. 账号密码 + USB UKey 证书（双向证书认证）
2. 账号密码 + 动态令牌（对接 DPS 动态密码服务器 RADIUS）
3. 账号密码 + 短信验证码（设备内置短信接口）

配置步骤入口

1. 【对象】→【AAA 服务器】添加 DPS 动态密码 / 短信网关服务器
2. SSLVPN 接入模板内认证模式选择「密码 + 动态密码」/「密码 + 证书」
3. 用户属性绑定手机号 / 证书，登录时双重校验

四、场景 3：内网用户上网 Portal 双因素认证（内网终端访问互联网）

Web 配置路径

1. 本地短信双因子：用户输入账号密码后，接收短信验证码二次校验；
   前置：【系统管理】→【服务器管理】配置短信服务
2. 对接 iMC/EIA 平台：将认证指向 iMC RADIUS，由 iMC 下发短信 / 令牌双因子策略；
   路径：【用户认证】→【AAA 服务器】添加 iMC RADIUS，认证域绑定该服务器。

支持组合

五、各双因子功能区分速查表

六、常见踩坑提示

1. 管理员双因子仅作用于 Web 页面，Console 串口登录不受该开关控制，仍可单密码登录应急；
2. 开启管理员 UKey 双因子前必须生成 CA 证书，否则勾选后保存报错；
3. 短信 / 动态令牌双因子无本地独立数据库，必须配置短信网关 / DPS 服务器才能下发验证码；
4. 固件版本要求：R8860 及以上 AI 系列版本完整支持全部双因子能力，旧版本仅支持 UKey 证书模式。