1、DCN多核防火墙快速配置之,Web认证,,神州数码网络,案例描述,需求描述 内网用户首次访问Internet时需要通过WEB认证才能上网。且内网用户划分为两个用户组usergroup1和usergroup2,其中usergroup1组中的用户在通过认证后仅能浏览web页面,usergroup2组中的用户通过认证后仅能使用使用ftp。,,神州数码网络,2,网络拓扑,Internet,Eth0/0 Zone:Trust,Eth0/1 Zone:Untrust,192.168.1.0/24,配置步骤,开启web认证功能 创建AAA认证服务器 创建用户及用户组,并将用户划归不同用户组 创建角色 创建角
2、色映射规则,将用户组与各自的角色相对应 将角色映射规则与AAA服务器绑定 创建安全策略对不同角色的用户进行验证,验证通过则放行相应的服务,,神州数码网络,3,开启web认证功能,防火墙中的Web认证功能缺省是关闭的,需要手动将其开启,,神州数码网络,4,认证成功后,系统会在超时时间结束前对认证成功页面进行自动刷新,确认登录信息,指定认证服务器的HTTP端口号。取值范围是1到65535。默认值是8080,指定认证服务器的HTTP端口号。取值范围是1到65535。默认值是8080,防火墙支持HTTP 和HTTPS 两种认证模式。HTTP 模式更为快捷,而HTTPS 模式更为安全。本例这里使HTTP
3、S模式。,创建认证服务器,创建一个用户认证服务器。目前防火墙支持多种类型的认证方式,其中包括本地认证、Radius、Active-Directory及LDAP认证方式。本例中采用防火墙本地认证方式。,,神州数码网络,5,由于可以在本地创建多个验证服务器,所以需要定义实例名来区分,创建用户组,为使不同权限的用户能分组管理需要为他们创建用户组。该例中我们创建两个用户组usergroup1和usergroup2。 Usergroup1组我们用来容纳具有web访问权限的用户, usergroup2组用来容纳具有ftp权限的用户。,,神州数码网络,6,创建认证用户帐号并加入用户组,为每个上网用户创建We
4、b验证使用的用户名、密码,创建用户过程中将加入相应的用户组。下面的过程是创建user1用户并加入到usergroup1组中。,,神州数码网络,7,指定创建的用户属于之前创建的本地认证服务器,创建认证用户帐号并加入用户组,创建user2用户,并加入usergroup2组中。,,神州数码网络,8,创建角色,创建的角色将被用来赋予给不同的用户组,,神州数码网络,9,定义角色名称,后面将把角色与用户组相映射,添加角色映射,因为在后面制定安全策略时,所有的动作都是针对角色制定,所以需要事先将角色与相应的用户组定义好对应关系,这就是“角色映射”的作用。,,神州数码网络,10,这个角色映射规则中会将user
5、group1与role-permit-web关联, usergroup2与role-permit-ftp关联,将usergroup1与role-permit-web关联,将usergroup2与role-permit-ftp关联,指定AAA服务器的角色映射规则,将角色映射规则绑定到AAA认证服务器上。通过绑定角色映射规则AAA服务器能知道角色与AAA服务器中用户的对应关系。,,神州数码网络,11,将角色映射绑定与AAA服务器绑定,添加安全策略,添加trust-untrust的安全策略,这条策略的目的放行DNS服务。以便输入域名后可以先解析再重定向。,添加安全策略,添加trust-untrust
6、的安全策略,这条策略的目的是要将未通过验证用户的Web页面重定向到用户名口令验证页面。,,神州数码网络,13,此处的UNKNOWN代表所有为通过认证的用户,“Web认证”行为会将未通过认证用户重定向到Web认证页面,指定使用此AAA服务器中的用户进行认证,添加安全策略,添加第二条trust-untrust策略。这条策略允许角色为“role-permit-web”且通过验证的用户访问互联网的http服务。,,神州数码网络,14,为了能通过域名访问web页面,此处我们放行了HTTP两种服务。,此处的角色是已通过第一条策略认证,且被识别为role-permit-web角色的用户。,添加安全策略,添加
7、第三条trust-untrust策略。这条策略允许角色为“role-permit-ftp”且通过验证的用户访问互联网的ftp服务。,,神州数码网络,15,为了能通过域名访问FTP资源,此处我们放行了FTP两种服务。,此处的角色是已通过第一条策略认证,且被识别为role-permit-ftp角色的用户。,安全策略的上下顺序,一定要保证对于UNKNOW用户验证的策略置于第一条。配置完的策略顺序如下所示,,神州数码网络,16,使用效果,,神州数码网络,17,以访问ftp站点为例。只有通过认证的role-permit-ftp角色用户才能使用ftp服务,也就是需要使用usergroup1组中的user1用户登陆验证。,当访问时页面被重定向到此URL,,神州数码网络,18,The End,,神州数码网络,
