《防火墙技术项目化教程》课件_WEB安全认证.ppt

信息安全与管理专业教学资源库防火墙技术信息安全与管理专业教学资源库防火墙技术什么是Web安全认证？Web安全认证方案首先需要给用户分配一个地址，用于访问门户网站，在登录窗口上键入用户名与密码，然后通过Radius客户端去Radius服务器认证，如认证通过，则触发客户端重新发起地址分配请求，给用户分配一个可以访问外网的地址，用户下线时通过客户端发起离线请求。配置需求案例及分析某企业内网/24，要求通过防火墙的设置实现内网用户访问外网时，需要Web认证。内网用户首次访问Internet时需要通过Web认证才能上网。且内网用户划分为两个用户组usergroup1和usergroup2,其中usergroup1组中的用户在通过认证后仅能浏览Web页面，usergroup2组中的用户通过认证后仅能使用FTP。配置步骤——开启Web认证功能防火墙Web认证功能默认是处于关闭状态，当需要进行Web认证时，手工在防火墙网络选项卡中的Web认证选项点击Web安全认证配置，开启相关功能。防火墙Web认证有HTTP和HTTPS两种认证模式。HTTP模式更为快捷，而HTTPS模式则更为安全，在本案例中选用HTTP模式。?配置步骤——开启Web认证功能HTTP服务端口，选择缺省值8080；HTTPS服务端口，选择缺省值44433。本案例中要求用户仅能浏览Web页面和仅能使用FTP功能，因此我们选择普通的HTTP模式即可。超时选项可以根据安全需求设定等待时间，这里选择默认值60，认证成功后，系统会在超时60秒时间结束前对认证成功页面进行自动刷新，确认登录信息。?创建AAA认证服务器在开启防火墙认证功能后，需要在用户选项卡中选择AAA服务器选项，设置一个该服务的AAA认证服务器，该服务器的名称可命名为local_aaa_server。防火墙能够支持本地认证、Radius认证、Active-Directory和LDAP认证。在本案例中我们选择使用防火墙的本地认证类型。*由于两类用户的访问权限不同，要求用户仅能浏览Web页面和仅能使用FTP功能，因此需要分别为各类用户创建两个用户组，分别新建用户组usergroup1和用户组usergroup2两个用户组。配置步骤——创建用户及用户组，并将用户划归不同用户组在用户选项卡中选择用户选项，创建用户。首先在在AAA服务器中选择之前创建好的local--_aaa_server认证服务器，在该服务器下创建user1和user2两个用户。*点击编辑用户按钮，选择user1用户，在组一栏中点击右边多个选项，将user1用户归属到usergroup1组中。同样操作将user2用户归属到usergroup2组中。*最后形成local_aaa_server服务器下，有两个用户组usergroup1和usergroup2，每个用户组下各有一个用户，分别为user1用户和user2用户。*配置步骤——创建角色创建好用户和用户组后，下面在用户选项卡中选择角色选项，新建角色，设置两个新角色，分别为role_permit_web角色和role_permit_ftp角色。为角色命名的时候，一般将角色的功能体现出来，如允许访问Web界面，可以命名为role_permit_web。在角色创建过程也可以增加对角色的描述。当然角色命名清晰的话，也可以不描述，建好的角色在角色列表中显示。配置步骤——创建角色映射规则角色创建好后，需要将角色、用户、用户则，这就需要创建角色映射规则。在用户选项中选择角色选项，在角色列表中选择新角色映射按钮，创建一个新角色映射role_map1，将usergroup1用户组和角色role_permit_web做对应；将用户组usergroup2和角色role_permit_ftp做对应。配置步骤——将角色映射规则与AAA服务器绑定在用户选项卡中选择AAA服务器，将角色映射role_map1绑定到创建的AAA服务器loca_aaa_Server上。创建安全策略不同角色的用户放行不同服务在安全选项卡中选择策略，设置内网到外网的安全策略，首先在该方向安全策略的第一条设置一个放行DNS服务的策略，放行该策略的目的是当我们在IE栏中输入某个网站名后，客户端PC能够正常对该网站做出解析，然后可以重定向到认证页面上。创建安全策略不同角色的用户放行不同服务在内网到外网的安全策略的第二条我们针对未通过认证的用户UNKNOWN，设置Web认证的策略，认证服务器选择创建的local-aaa-server。源安全域为trust，目的安全域