07_-_DCN多核防火墙WEB认证配置

DCN多核防火墙快速配置之 Web认证 神州数码网络 案例描述 需求描述内网用户首次访问Internet时需要通过WEB认证才能上网 且内网用户划分为两个用户组usergroup1和usergroup2 其中usergroup1组中的用户在通过认证后仅能浏览web页面 usergroup2组中的用户通过认证后仅能使用使用ftp 神州数码网络 2 网络拓扑 Internet Eth0 0Zone Trust Eth0 1Zone Untrust 192 168 1 0 24 配置步骤 开启web认证功能创建AAA认证服务器创建用户及用户组 并将用户划归不同用户组创建角色创建角色映射规则 将用户组与各自的角色相对应将角色映射规则与AAA服务器绑定创建安全策略对不同角色的用户进行验证 验证通过则放行相应的服务 神州数码网络 3 开启web认证功能 防火墙中的Web认证功能缺省是关闭的 需要手动将其开启 神州数码网络 4 认证成功后 系统会在超时时间结束前对认证成功页面进行自动刷新 确认登录信息 指定认证服务器的HTTP端口号 取值范围是1到65535 默认值是8080 指定认证服务器的HTTP端口号 取值范围是1到65535 默认值是8080 防火墙支持HTTP和HTTPS两种认证模式 HTTP模式更为快捷 而HTTPS模式更为安全 本例这里使HTTPS模式 创建认证服务器 创建一个用户认证服务器 目前防火墙支持多种类型的认证方式 其中包括本地认证 Radius Active Directory及LDAP认证方式 本例中采用防火墙本地认证方式 神州数码网络 5 由于可以在本地创建多个验证服务器 所以需要定义实例名来区分 创建用户组 为使不同权限的用户能分组管理需要为他们创建用户组 该例中我们创建两个用户组usergroup1和usergroup2 Usergroup1组我们用来容纳具有web访问权限的用户 usergroup2组用来容纳具有ftp权限的用户 神州数码网络 6 创建认证用户帐号并加入用户组 为每个上网用户创建Web验证使用的用户名 密码 创建用户过程中将加入相应的用户组 下面的过程是创建user1用户并加入到usergroup1组中 神州数码网络 7 指定创建的用户属于之前创建的本地认证服务器 创建认证用户帐号并加入用户组 创建user2用户 并加入usergroup2组中 神州数码网络 8 创建角色 创建的角色将被用来赋予给不同的用户组 神州数码网络 9 定义角色名称 后面将把角色与用户组相映射 添加角色映射 因为在后面制定安全策略时 所有的动作都是针对角色制定 所以需要事先将角色与相应的用户组定义好对应关系 这就是 角色映射 的作用 神州数码网络 10 这个角色映射规则中会将usergroup1与role permit web关联 usergroup2与role permit ftp关联 将usergroup1与role permit web关联 将usergroup2与role permit ftp关联 指定AAA服务器的角色映射规则 将角色映射规则绑定到AAA认证服务器上 通过绑定角色映射规则AAA服务器能知道角色与AAA服务器中用户的对应关系 神州数码网络 11 将角色映射绑定与AAA服务器绑定 添加安全策略 添加trust untrust的安全策略 这条策略的目的放行DNS服务 以便输入域名后可以先解析再重定向 添加安全策略 添加trust untrust的安全策略 这条策略的目的是要将未通过验证用户的Web页面重定向到用户名口令验证页面 神州数码网络 13 此处的UNKNOWN代表所有为通过认证的用户 Web认证 行为会将未通过认证用户重定向到Web认证页面 指定使用此AAA服务器中的用户进行认证 添加安全策略 添加第二条trust untrust策略 这条策略允许角色为 role permit web 且通过验证的用户访问互联网的http服务 神州数码网络 14 为了能通过域名访问web页面 此处我们放行了HTTP两种服务 此处的角色是已通过第一条策略认证 且被识别为role permit web角色的用户 添加安全策略 添加第三条trust untrust策略 这条策略允许角色为 role permit ftp 且通过验证的用户访问互联网的ftp服务 神州数码网络 15 为了能通过域名访问FTP资源 此处我们放行了FTP两种服务 此处的角色是已通过第一条策略认证 且被识别为role permit ftp角色的用户 安全策略的上下顺序 一定要保证对于UNKNOW用户验证的策略置于第一条 配置完的策略顺序如下所示 神州数码网络 16 使用效果 神州数码网络 17 以访问ftp站点为例 只有通