信息安全产品配置与应用-课件 项目7-终端接入认证系统配置与应用

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务7.1-本地Portal认证配置Part03知识储备项目7-终端接入认证系统配置与应用任务目标知识目标技能目标素养目标1.理解防火墙的用户类型。2.理解防火墙的本地认证和服务器认证的含义。3.理解防火墙本地Portal认证的含义。4.理解防火墙的认证策略。1.培养学生的规则意识、责任担当、安全素养、诚信精神的大局观。2.塑造学生“敬畏规则、追求卓越、以人为本”的工程师品格。1.掌握防火墙本地Portal认证配置的方法。任务描述本任务要完成的工作：公司为保障上网安全，要求公司的访客用户上网都需要进行Portal认证，项目经理安排小锐在公司出口防火墙上配置本地Portal认证,实现访客用户上网认证功能。青春是最美的模样，就是矢志追求梦想，为祖国为人民不懈奋斗的姿态。比如“最美奋斗者”黄文秀，戍边英雄陈祥榕等英雄，都做到了心有大我，至诚报国。知识储备7.1.2用户组织结构7.1.1用户与认证的定义和目的7.1.3用户认证方式7.1.4防火墙内置Portal认证7.1.1用户与认证的定义和目的用户：指的是访问网络资源的主体，表示“谁”在进行访问，是网络访问行为的重要标识。防火墙上的用户包括上网用户和接入用户两种形式。上网用户是内部网络中访问网络资源的主体，如企业总部的内部员工。上网用户可以直接通过防火墙访问网络资源。接入用户是外部网络中访问网络资源的主体，如企业的分支机构员工和出差员工。接入用户需要先通过SSLVPN、L2TPVPN、IPSecVPN或PPPoE方式接入到防火墙，然后才能访问企业总部的网络资源。7.1.1用户与认证的定义和目的认证：防火墙通过认证来验证访问者的身份，防火墙对访问者进行认证的方式有本地认证、服务器认证和单点登录。本地认证：访问者通过Portal认证页面将标识其身份的用户名和密码发送给防火墙，防火墙上存储了密码，验证过程在防火墙上进行，该方式称为本地认证。本地认证流程7.1.1用户与认证的定义和目的服务器认证：访问者通过Portal认证页面将标识其身份的用户名和密码发送给防火墙，防火墙上没有存储密码，防火墙将用户名和密码发送至第三方认证服务器，验证过程在认证服务器上进行，该方式称为服务器认证。服务器认证流程7.1.1用户与认证的定义和目的单点登录：访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三方认证服务器将访问者的身份信息发送给防火墙。防火墙只记录访问者的身份信息不参与认证过程，该方式称为单点登录（SingleSign-On）。单点登录认证流程7.1.1用户与认证的定义和目的用户认证目的：防火墙的用户管理技术是网络安全领域的重要组成部分，其核心是通过认证、授权与计费（AAA）机制，实现对用户访问网络的全面控制与管理。用户认证主要旨在达成以下目标：支持部署基于用户的安全策略，从而提升整体安全防护等级。使日志分析从依赖IP地址转向以用户信息为依据，增强审计的准确性与可追溯性。解决因IP地址动态变化导致的策略控制难题，实现以用户为中心、不受IP变动影响的访问管理。7.1.2用户组织结构用户组织结构。用户是网络访问的主体，是防火墙进行网络行为控制和网络权限分配的基本单元。防火墙中的用户组织结构是实际企业中组织结构的映射，是基于用户进行权限管控的基础。防火墙中的用户组织结构示意图7.1.2用户组织结构用户、用户组和安全组的来源。在防火墙上创建用户、用户组和安全组时，可以使用手动创建、从CSV文件导入和从服务器导入三种方式。手动创建：管理员手动创建用户、用户组、安全组，并配置用户属性。例如，管理员可根据企业的纵向组织架构创建用户组，根据企业的横向组织架构创建安全组，然后在各组下创建用户信息。如果没有部署第三方认证服务器或者部署的第三方认证服务器不支持向防火墙导入用户信息的功能，使用该方式来创建用户。将用户信息、安全组信息按照指定格式写入不同的CSV文件中，再将CSV文件导入到FW中，或者将之前从防火墙上导出的CSV文件再次导入，批量创建用户、用户组和安全组。如果没有部署第三方认证服务器或者部署的第三方认证服务器不支持向防火墙导入用户信息的功能，使用该方式来创建用户。与手动创建方式相比，可以简化配置。从服务器导入。如果实际环境中已经部署了身份验证机制，并且用户信息都存放在第三方认证服务器上，则可以通过执行服务器导入策略，将第三方认证服务器上用户/用户组/安全组的信息导入到防火墙上。7.1.2用户组织结构用户的属性。属性说明登录名用户的账号，即用户进行认证时使用的名称。显示名用户在防火墙上显示的名称，仅作为区分用户的标识。描述用户的描述信息，便于管理员对该用户进行识别和维护。所属用户组用户所在的父用户组，一个用户只能属于一个父用户组。密码用户的密码。使用本地认证时，必须在防火墙上配置用户的密码；使用服务器认证时，用户的密码在第三方认证服务器上配置，无需在防火墙上配置。账号过期时间账号的有效期，过期之后该账号无法使用。允许多人同时使用该账号登录是否允许多人同时使用该用户的登录名登录，即允许该登录名同时在多台计算机上登录。IP/MAC绑定将用户与IP/MAC绑定，限制该用户只能在特定的IP/MAC地址上登录。用户的主要属性及其说明7.1.2用户组织结构在线用户。用户访问网络资源前，首先需要经过防火墙的认证，目的是识别这个用户当前在使用哪个IP地址。对于通过认证的用户，防火墙还会检查用户的属性（用户状态、账号过期时间、IP/MAC地址绑定、是否允许多人同时使用该账号登录），只有认证和用户属性检查都通过的用户，该用户才能上线，称为在线用户。防火墙上的在线用户表记录了用户和该用户当前所使用的地址的对应关系，对用户实施策略，也就是对该用户对应的IP地址实施策略。用户上线后，如果在线用户表项超时时间内（缺省30分钟）没有发起业务流量，则该用户对应的在线用户监控表项将被删除。当该用户下次再发起业务访问时，需要重新进行认证。7.1.3用户认证方式防火墙用户认证方式主要有会话认证、事前认证、免认证和单点登录四种。会话认证：适用于访问者只使用单一的HTTP业务访问网络资源，访问者不主动进行身份认证，先进行HTTP业务访问，在访问过程中自动触发认证，认证通过后，再进行业务访问。事前认证：访问者访问非HTTP业务时，先主动进行身份认证，认证通过后，再访问网络资源。免认证：将用户名与IP-MAC进行双向绑定，防火墙通过识别IP/MAC和用户的双向绑定关系，来确定用户身份。访问者访问业务时，如果匹配了免认证的认证策略，则无需输入用户名和密码，直接通过认证。单点登录：单点登录是指防火墙不是认证点，防火墙通过获取其他认证系统的用户登录消息，使用户在防火墙上线。常用的实现方式有AD单点登录、AgileController单点登录和RADIUS单点登录三种。7.1.4防火墙内置Portal认证Portal认证也称为Web认证。用户可以通过Web认证页面，输入用户帐号和密码信息，实现对终端用户身份的认证。用户可通过两种方式实现认证页面访问：主动认证：用户通过浏览器主动访问Portal认证网站。重定向认证：用户输入的访问地址不是Portal认证网站地址，被接入设备强制访问Portal认证网站（即重定向）。客户端Portal服务器APRadius服务器接入设备（WAC）7.1.4防火墙内置Portal认证防火墙内置Portal认证：防火墙作为企业的出口网关，已部署了内置Portal认证页面用于对用户进行认证，防火墙接收到认证请求后可转发认证请求至本地用户数据库、认证服务器，由防火墙、认证服务器完成用户认证。防火墙内置Portal认证有本地认证和服务器认证两种方式。本任务介绍本地认证。本地认证：管理员依据企业的组织结构，在防火墙上创建相应的用户/组，并设置用户的密码。认证时，由防火墙来验证访问者使用的用户和密码，对访问者进行认证。如图所示。任务实施实施场景小锐为XUN公司的网络工程师，公司为保障上网安全，要求公司的访客用户上网都需要进行Portal认证，项目经理安排小锐在公司出口防火墙上配置本地Portal认证,实现访客用户上网认证功能。具体配置任务如下：（1）根据拓扑图完成防火墙、路由器、交换机和主机的网络参数的基本配置。（2）配置防火墙各接口所属安全区域。（3）创建安全策略trust_untrust，放行trust区域到untrust区域的流量。（4）配置NAPT方式的源NAT，对总部内网主机访问Internet的报文源地址进行转换。（5）配置各安全区域间对应方向安全策略。（6）使用本地认证，创建用户组guests，用户名user_guest，用户密码abc@123。（7）配置认证域，使用默认域default，域用户被限制为只能访问Internet。（8）配置trust和untrust域间认证策略，确保访客用户IP网段（即/24）需要进行身份认证，访客用户使用会话认证的方式来触发认证过程，即访问者使用浏览器访问某个Web页面，防火墙会将浏览器重定向到认证页面。认证通过后，浏览器的界面会自动跳转到先前访问的Web页面。（9）配置安全策略，允许Trust区域访问认证页面。任务实施实施设备1）USG6000V防火墙1台；2）Client机1台，访客用户客户端使用云接口绑定物理机虚拟网卡；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1的网络基本参数。Client1参数配置任务实施实施过程2）配置内网HTTP服务器和公网HTTP服务器的网络参数，开启HTTP服务，以内网HTTP服务器为例。内网HTTP服务器网络参数配置内网HTTP服务器配置任务实施实施过程

3）配置防火墙FW1网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]service-manageallpermit[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424任务实施实施过程

4）划分防火墙FW1的安全区域，将FW1的GE1/0/1口加入trust区域，GE1/0/2口加入untrust区域，GE1/0/0口加入dmz区域。配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/0[FW1-zone-dmz]quit任务实施实施过程

5）配置防火墙FW1的安全策略，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit任务实施实施过程

6）FW1上配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换。配置命令如下：[FW1]nat-policy[FW1-policy-nat]rulenamenat_gz[FW1-policy-nat-rule-nat_gz]source-zonetrust[FW1-policy-nat-rule-nat_gz]destination-zoneuntrust[FW1-policy-nat-rule-nat_gz]actionsource-nateasy-ip[FW1-policy-nat-rule-nat_gz]quit[FW1-policy-nat]quit[FW1]iproute-static054任务实施实施过程

7）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipaddress24[AR1-GigabitEthernet0/0/1]quit任务实施实施过程

8）配置交换机SW1，在SW1上创建VLAN10、VLAN20和VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为54/24，配置VLAN20的VLANIF接口IP地址为54/24，配置VLAN50的VLANIF接口IP地址为/24。配置命令如下：[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlanif10[SW1-Vlanif10]ipaddress5424[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress5424[SW1-Vlanif20]quit[SW1]interfaceVlanif50[SW1-Vlanif50]ipaddress24[SW1-Vlanif50]quit任务实施实施过程

9）交换机SW1与防火墙FW1采用OSPF动态路由协议互联，配置命令如下：[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由协议，区域号为0，进程号为1，宣告/24[FW1-ospf-1]area0[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]quit[FW1-ospf-1]default-route-advertisealways//防火墙FW1配置了默认路由，强制通告默认路由[FW1-ospf-1]quit任务实施实施过程

10）分支机构Client1使用HttpClient可以正常访问公网HTTP服务器，如图所示。Client1访问公网HTTP服务器任务实施实施过程

11）访客用户客户端通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡IP地址配置00/24，网关为54。云接口具体配置如图示。访客用户客户端使用云接口配置任务实施实施过程

12）在物理主机上增加两条静态路由，保证员工上网客户端可以通过ENSP云接口访问公网HTTP服务器和总部防火墙FW1内网口。以Windows操作系统为例。以管理员身份运行cmd.exe命令。C:\windows\system32>routeadd00mask5554C:\windows\system32>routeadd54mask5554

13）员工上网客户端（即物理机）使用IE浏览器成功访问公网HTTP服务器，如图所示。访客用户客户端访问公网HTTP服务器任务实施实施过程

14）创建访客用户组和用户。[FW1]user-managegroup/default/guests//创建访客用户组[FW1-usergroup-/default/guests]quit[FW1]user-manageuseruser_guest//创建访客用户[FW1-localuser-user_guest]parent-group/default/guests//指定用户所属组[FW1-localuser-user_guest]passwordabc@123//配置用户登录密码[FW-localuser-user_guest]quit

15）配置认证域，使用默认域default。[FW1]aaa[FW1-aaa]domaindefault[FW1-aaa-domain-default]service-typeinternetaccess//上网行为进行认证[FW1-aaa-domain-default]quit[FW1-aaa]quit任务实施实施过程

16）设置用户认证通过后自动跳转到先前访问的Web页面。[FW1]user-manageredirect

17）配置认证策略。[FW1]auth-policy[FW1-policy-auth]rulenametrust_untrust[FW1-policy-auth-rule-trust_untrust]source-zonetrust//源安全区域[FW1-policy-auth-rule-trust_untrust]source-address24//认证的IP网段[FW1-policy-auth-rule-trust_untrust]destination-zoneuntrust//目的安全区域[FW1-policy-auth-rule-trust_untrust]actionauth//认证动作：要求用户进行身份认证[FW1-policy-auth-rule-trust_untrust]quit[FW1-policy-auth]quit任务实施实施过程

18）配置安全策略，允许Trust区域访问认证页面。[FW1]security-policy[FW1-policy-security]rulenametrust_local[FW1-policy-security-rule-trust_local]source-zonetrust[FW1-policy-security-rule-trust_local]destination-zonelocal[FW1-policy-security-rule-trust_local]source-address24[FW1-policy-security-rule-trust_local]serviceprotocoltcpdestination-port8887[FW1-policy-security-rule-trust_local]actionpermit[FW1-policy-security-rule-trust_local]quit任务实施实施过程

19）访客用户客户端（即物理机）打开IE浏览器，访问54:8887，弹出“警告：面临潜在的安全风险”，如图7-14所示。单击“继续浏览此网站”后，会弹出本地Portal认证页面，如图所示。警告窗口本地Portal认证窗口任务实施实施过程

20）在本地Portal认证界面中，输入用户名：user_guest，密码：abc@123，用户认证通过后自动跳转到先前访问的Web页面。如图所示。用户认证后正常访问Internet任务小结本任务介绍了用户与认证的定义、用户组织架构、用户认证方式和内置Portal认证方式与流程等知识。通过实施本地Portal认证配置任务，掌握了本地Portal认证配置方法，深化了对本地Portal认证应用场景的理解，在配置本地Portal认证时需关注认证域、认证策略、安全策略等技术要点，实现公司访客用户需要通过Portal认证才能访问Internet，确保网络行为可追溯，防止未授权访问。思考题1.简述防火墙内置本地认证的工作流程。谢谢观看！目录ContentsPart01任务目标Part02任务描述Part04任务实施任务7.2-Radius服务器认证配置Part03知识储备项目7-终端接入认证系统配置与应用任务目标知识目标技能目标素养目标1.理解防火墙Radius服务器认证的含义。1.培养具备风险识别与抵御能力、自我守护意识的安全意识。2.积极向上、乐观豁达的健康心态。1.掌握防火墙Radius服务器认证配置的方法。任务描述本任务要完成的工作：公司为保障上网安全，要求公司的内部员工上网都需要进行Portal认证，项目经理安排小锐在公司出口防火墙上配置Radius服务器认证,实现内部员工上网认证功能。培育学生的网络强国战略思想，树立正确的人生观、价值观，加强网络安全意识和网络“法律”意识，激发学生学习的原动力。从自身做起，自觉正确应用技术，维护网络信息安全及国家安全。知识储备7.2.2Radius协议概述7.2.1AAA简介7.2.3Radius服务器认证配置7.2.1AAA简介AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。认证:验证用户是否可以获得访问权，确定哪些用户可以访问网络。授权:授权用户可以使用哪些服务。计费:记录用户使用网络资源的情况。7.2.1AAA简介AAA常用技术方案。目前华为设备支持基于Radius、HWTACACS、LDAP或AD来实现AAA，在实际应用中，Radius最为常用。7.2.2Radius协议概述Radius协议的主要特征如下:客户端/服务器模式安全的消息交互机制良好的扩展性AAA可以通过多种协议来实现，在实际应用中，Radius协议最为常用。Radius是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰，常应用在既要求有较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP(UserDatagramProtocol,用户数据报协议)的Radius报文格式及其传输机制，并规定UDP端囗1812、1813分别作为默认的认证、计费端口。7.2.2Radius协议概述Radius认证、授权、计费流程。7.2.2Radius协议概述Radius用户认证方式为防止用户密码在不安全的网络上传递时被窃取，Radius客户端(NAS)和Radius服务器在Radius报文传输过程中利用共享密钥对用户密码进行了加密。Radius支持使用多种方式对用户的身份信息进行验证，其中最常见的是PAP以及CHAP方式。7.2.3Radius服务器认证配置Radius服务器认证防火墙除了使用本地Portal认证外，还可以使用服务器Portal认证的方式。使用服务器Portal认证时用户管理和认证方式的示意图如图所示：服务器Portal认证时用户管理和认证方式示意图7.2.3Radius服务器认证配置采用Radius服务器进行认证时，在Radius认证服务器上存储了用户/组和密码等信息。管理员需要根据现有的组织结构，在防火墙上手动创建或者使用文件批量导入相应的用户/组。对于通过了Radius服务器认证，但是在防火墙上不存在的用户，可以在防火墙上设置新用户选项来决定对新用户的处理方式，包括：允许新用户登录。不允许添加新用户到FW的本地用户组中。即不管该用户是否通过了认证服务器的认证，防火墙都不允许新用户登录。仅作为临时用户，不添加到本地用户列表中。新用户认证通过后只能作为临时用户，不添加到防火墙的本地用户组中，但可以临时拥有防火墙上某个组的权限。临时用户只在一次登录中有效，用户下线或防火墙重启后该用户的信息就会消失，下次登录时仍然被识别为新用户。任务实施实施场景小锐为XUN公司的网络工程师，公司为保障上网安全，要求公司的内部员工上网都需要进行Portal认证，项目经理安排小锐在公司出口防火墙上配置Radius服务器认证,实现内网员工上网Portal认证功能。具体配置任务如下：（1）根据拓扑图完成防火墙、路由器、交换机和主机的网络参数的基本配置。（2）配置防火墙各接口所属安全区域。（3）配置NAPT方式的源NAT，对总部内网主机访问Internet的报文源地址进行转换。（4）配置各安全区域间对应方向安全策略。（5）使用Radius服务器认证，创建用户组members，用户名user_member，用户密码abc@123。对于新入职的员工，在Radius服务器上创建了用户信息，但是没有在防火墙上存储该用户。对于这类用户，认证后作为临时用户使用指定用户组的权限。（6）配置认证域，创建认证域net，域用户被限制为只能访问Internet。（7）配置trust和untrust域间认证策略，确保访客用户IP网段（即/24）需要进行身份认证，访客用户使用会话认证的方式来触发认证过程，即访问者使用浏览器访问某个Web页面，防火墙会将浏览器重定向到认证页面。认证通过后，浏览器的界面会自动跳转到先前访问的Web页面。（8）配置安全策略，允许Trust区域访问认证页面。（9）DMZ区域部署了一台Radius服务器，本任务通过ENSP云接口绑定虚拟网卡，虚拟网卡IP地址（即00/24）为安装在物理机上Radius服务器的地址，Radius服务器通过WinRadius软件模拟。任务实施实施设备1）USG6000V防火墙1台；2）Client机1台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。6）云接口2个，其中一个绑定Radius服务器的虚拟网卡，另一台绑定员工上网客户端的虚拟网卡。任务实施实施过程1）配置Client1的网络基本参数。Client1参数配置任务实施实施过程2）配置内网HTTP服务器和公网HTTP服务器的网络参数，开启HTTP服务，以内网HTTP服务器为例。内网HTTP服务器网络参数配置内网HTTP服务器配置任务实施实施过程

3）配置防火墙FW1网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]service-manageallpermit[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424[FW1-GigabitEthernet1/0/0]interfaceGigabitEthernet1/0/3[FW1-GigabitEthernet1/0/3]ipadd5424[FW1-GigabitEthernet1/0/3]quit任务实施实施过程

4）划分防火墙FW1的安全区域，将FW1的GE1/0/1口加入trust区域，GE1/0/2口加入untrust区域，GE1/0/0口和GE1/0/3口加入dmz区域。配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/0[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/3[FW1-zone-dmz]quit任务实施实施过程

5）配置防火墙FW1的安全策略，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit任务实施实施过程

6）FW1上配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换。配置命令如下：[FW1]nat-policy[FW1-policy-nat]rulenamenat_gz[FW1-policy-nat-rule-nat_gz]source-zonetrust[FW1-policy-nat-rule-nat_gz]destination-zoneuntrust[FW1-policy-nat-rule-nat_gz]actionsource-nateasy-ip[FW1-policy-nat-rule-nat_gz]quit[FW1-policy-nat]quit[FW1]iproute-static054任务实施实施过程

7）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipaddress24[AR1-GigabitEthernet0/0/1]quit任务实施实施过程

8）配置交换机SW1，在SW1上创建VLAN10、VLAN20和VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为54/24，配置VLAN20的VLANIF接口IP地址为54/24，配置VLAN50的VLANIF接口IP地址为/24。配置命令如下：[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlanif10[SW1-Vlanif10]ipaddress5424[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress5424[SW1-Vlanif20]quit[SW1]interfaceVlanif50[SW1-Vlanif50]ipaddress24[SW1-Vlanif50]quit任务实施实施过程

9）交换机SW1与防火墙FW1采用OSPF动态路由协议互联，配置命令如下：[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由协议，区域号为0，进程号为1，宣告/24[FW1-ospf-1]area0[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]quit[FW1-ospf-1]default-route-advertisealways//防火墙FW1配置了默认路由，强制通告默认路由[FW1-ospf-1]quit任务实施实施过程

10）分支机构Client1使用HttpClient可以正常访问公网HTTP服务器，如图所示。Client1访问公网HTTP服务器任务实施实施过程

11）员工上网客户端通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡IP地址配置00/24，网关为54。云接口具体配置如图示。员工上网客户端使用云接口配置任务实施实施过程

12）在物理主机上增加两条静态路由，保证员工上网客户端可以通过ENSP云接口访问公网HTTP服务器和总部防火墙FW1内网口。以Windows操作系统为例。以管理员身份运行cmd.exe命令。C:\windows\system32>routeadd00mask5554C:\windows\system32>routeadd54mask5554

13）员工上网客户端（即物理机）使用IE浏览器成功访问公网HTTP服务器，如图所示。访客用户客户端访问公网HTTP服务器任务实施实施过程

14）Radius服务器通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡IP地址配置00/24，网关为54。云接口具体配置如图所示。Radius服务器使用云接口配置任务实施实施过程

15）配置Radius服务器。解压WinRadius

（1）解压WinRadius软件的压缩包，然后运行解压后的“winRadius.exe”，如图所示。任务实施实施过程

15）配置Radius服务器。WinRaidus系统设置

（2）选择“设置>系统”命令，设置NAS密钥为secret，认证端口和计费端口分别使用默认的1812和1813，如图所示。任务实施实施过程

15）配置Radius服务器。自动配置ODBC

（3）选择“设置>数据库”命令，如图所示，保持默认配置，单击“自动配置ODBC”按钮。提示配置成功后，关闭WinRadius软件，然后再次运行WinRadius软件。任务实施实施过程

15）配置Radius服务器。新建user_member@net账号

（4）选择“操作>添加账号”命令，在弹出的“添加帐号“对话框中输入用户名user_member@net，密码abc@123，所属组：/net/members，如图所示，即可新建user_member@net账号。任务实施实施过程

16）配置Radius服务器对接参数。[FW1]Radius-servertemplateauth_server_Radius[FW1-Radius-auth_server_Radius]Radius-servershared-keyciphersecret[FW1-Radius-auth_server_Radius]Radius-serverauthentication001812[FW1-Radius-auth_server_Radius]Radius-serveruser-namedomain-included[FW1-Radius-auth_server_Radius]quit

17）配置认证方案。[FW1]aaa[FW1-aaa]authentication-schemaadmin_Radius[FW1-aaa-authen-admin_Radius]quit任务实施实施过程

18）创建认证域。[FW1]aaa[FW1-aaa]domainnet[FW1-aaa-domain-net]authentication-schemeadmin_Radius[FW1-aaa-domain-net]Radius-serverauth_server_Radius[FW1-aaa-domain-net]service-typeinternetaccess[FW1-aaa-domain-net]quit[FW1-aaa]quit

19）创建员工上网用户组和用户。[FW1]user-managegroup/net/members[FW1-usergroup-/net/members]quit[FW1]user-manageuseruser_memberdomainnet[FW1-localuser-user_member@net]parent-group/net/members[FW1-localuser-user_member@net]passwordabc@123[FW1-localuser-user_member@net]quit任务实施实施过程

20）配置认证域中新用户选项。[FW1]user-managegroup/net/newuser[FW1-usergroup-/net/newuser]quit[FW1]aaa[FW1-aaa]domainnet[FW1-aaa-domain-net]new-useradd-temporarygroup/net/newuser[FW1-aaa-domain-net]quit[FW1-aaa]quit

21）设置用户认证通过后自动跳转到先前访问的Web页面。[FW]user-manageredirect任务实施实施过程

22）配置认证策略。[FW1]auth-policy[FW1-policy-auth]rulenametrust_untrust[FW1-policy-auth-rule-trust_untrust]source-zonetrust//源安全区域[FW1-policy-auth-rule-trust_untrust]source-address24//认证的IP网段[FW1-policy-auth-rule-trust_untrust]destination-zoneuntrust//目的安全区域[FW1-policy-auth-rule-trust_untr