[计算机]07_-_DCN多核防火墙WEB认证配置.pptVIP

神州数码网络 神州数码网络 神州数码网络 DCN多核防火墙快速配置之 Web认证 神州数码网络 案例描述 需求描述 内网用户首次访问Internet时需要通过WEB认证才能上网。且内网用户划分为两个用户组usergroup1和usergroup2,其中usergroup1组中的用户在通过认证后仅能浏览web页面，usergroup2组中的用户通过认证后仅能使用使用ftp。 神州数码网络 * 网络拓扑 Internet 第一次通过web访问外网 认证通过予以放行 Eth0/0 Zone：Trust Eth0/1 Zone：Untrust /24 配置步骤 开启web认证功能 创建AAA认证服务器 创建用户及用户组，并将用户划归不同用户组 创建角色 创建角色映射规则，将用户组与各自的角色相对应 将角色映射规则与AAA服务器绑定 创建安全策略对不同角色的用户进行验证，验证通过则放行相应的服务 神州数码网络 * 开启web认证功能 防火墙中的Web认证功能缺省是关闭的，需要手动将其开启 神州数码网络 * 认证成功后，系统会在超时时间结束前对认证成功页面进行自动刷新，确认登录信息 指定认证服务器的HTTP端口号。取值范围是1到65535。默认值是8080 指定认证服务器的HTTP端口号。取值范围是1到65535。默认值是8080 防火墙支持HTTP 和HTTPS 两种认证模式。HTTP 模式更为快捷，而HTTPS 模式更为安全。本例这里使HTTPS模式。 创建认证服务器 创建一个用户认证服务器。目前防火墙支持多种类型的认证方式，其中包括本地认证、Radius、Active-Directory及LDAP认证方式。本例中采用防火墙本地认证方式。 神州数码网络 * 由于可以在本地创建多个验证服务器，所以需要定义实例名来区分 创建用户组 为使不同权限的用户能分组管理需要为他们创建用户组。该例中我们创建两个用户组usergroup1和usergroup2。 Usergroup1组我们用来容纳具有web访问权限的用户， usergroup2组用来容纳具有ftp权限的用户。 神州数码网络 * 创建认证用户帐号并加入用户组 为每个上网用户创建Web验证使用的用户名、密码，创建用户过程中将加入相应的用户组。下面的过程是创建user1用户并加入到usergroup1组中。 神州数码网络 * 指定创建的用户属于之前创建的本地认证服务器 创建认证用户帐号并加入用户组 创建user2用户，并加入usergroup2组中。 神州数码网络 * 创建角色 创建的角色将被用来赋予给不同的用户组 神州数码网络 * 定义角色名称，后面将把角色与用户组相映射 添加角色映射 因为在后面制定安全策略时，所有的动作都是针对角色制定，所以需要事先将角色与相应的用户组定义好对应关系，这就是“角色映射”的作用。 神州数码网络 * 这个角色映射规则中会将usergroup1与role-permit-web关联， usergroup2与role-permit-ftp关联 将usergroup1与role-permit-web关联 将usergroup2与role-permit-ftp关联 指定AAA服务器的角色映射规则 将角色映射规则绑定到AAA认证服务器上。通过绑定角色映射规则AAA服务器能知道角色与AAA服务器中用户的对应关系。 神州数码网络 * 将角色映射绑定与AAA服务器绑定 添加安全策略 添加trust-untrust的安全策略，这条策略的目的放行DNS服务。以便输入域名后可以先解析再重定向。 添加安全策略 添加trust-untrust的安全策略，这条策略的目的是要将未通过验证用户的Web页面重定向到用户名口令验证页面。 神州数码网络 * 此处的UNKNOWN代表所有为通过认证的用户 “Web认证”行为会将未通过认证用户重定向到Web认证页面 指定使用此AAA服务器中的用户进行认证 添加安全策略 添加第二条trust-untrust策略。这条策略允许角色为“role-permit-web”且通过验证的用户访问互联网的http服务。 神州数码网络 * 为了能通过域名访问web页面，此处我们放行了HTTP两种服务。 此处的角色是已通过第一条策略认证，且被识别为role-permit-web角色的用户。 添加安全策略 添加第三条trust-untrust策略。这条策略允许角色为“role-permit-ftp”且通过验证的用户访问互联网的ftp服务。 神州数码网络 * 为了能通过域名访问FTP资源，此处我们放行了FTP两种服务。 此处的角色是已通过第一条策略认证，且被识别为r