网络安全实验08 配置用户认证,对上网用户进行本地认证和
上图为某企业上网用户本地认证组网拓扑图,该企业在网络边界处部署了防火墙作为出口网关,连接内部网络与Internet。其内网中访问者包括研发部员工、市场部员工和来访客户,这些人员均动态获取IP地址。
该企业网络管理员希望利用防火墙提供的用户管理与认证,将内网中IP地址识别为用户,为实现基于用户网络行为控制和网络权限分配提供基础,需求如下:
- 防火墙存储用户、部门信息,体现公司组织结构,供策略引用。
- 研发、市场部员工访问网络必须通过防火墙认证。
- 来源用户访问网络必须通过防火墙认证,且只能使用特定用户名认证。
- 访问者使用会话认证方式触发认证。
用户本地认证数据规划
项目 | 数据 | 说明 |
|---|---|---|
研发部员工 | 组组名:research所属组:/default用户登录名:user_0001显示名:Tom所属组:/default/research密码:Admin@123不允许多人同时使用该账号登陆 | 将研发部门员工规划到“research”组中 |
市场部员工 | 组组名:marketing所属组:/default用户登录名:user_0002显示名:Jack所属组:/default/marketing密码:Admin@123不允许多人同时使用该账号登陆 | 将市场部门员工规划到“marking”组中 |
来访客户 | 组组名:/default用户登录名:guest所属组:/default密码:Admin@123允许多人同时使用该账号登陆 | 所有来访客户都是用“guest”用户来进行认证,该用户允许多人同时登陆 |
认证策略 | 名称:policy_auto_01源安全区域:Trust源地址/地区:10.3.0.0/24目的安全区域:any目的地址/区域:any认证动作:Portal认证 | 对匹配条件的研发部员工、市场部员工和来访客户进行认证。研发部员工、市场部员工和来访客户必须通过防火墙的认证后才能访问网络资源。 |
- 组名:research
- 所属组:/default
用户
- 登录名:user_0001
- 显示名:Tom
- 所属组:/default/research
- 密码:Admin@123
- 不允许多人同时使用该账号登陆
将研发部门员工规划到“research”组中 市场部员工 组
- 组名:marketing
- 所属组:/default
用户
- 登录名:user_0002
- 显示名:Jack
- 所属组:/default/marketing
- 密码:Admin@123
- 不允许多人同时使用该账号登陆
将市场部门员工规划到“marking”组中 来访客户 组
- 组名:/default
用户
- 登录名:guest
- 所属组:/default
- 密码:Admin@123
- 允许多人同时使用该账号登陆
所有来访客户都是用“guest”用户来进行认证,该用户允许多人同时登陆认证策略 名称:policy_auto_01 源安全区域:Trust 源地址/地区:10.3.0.0/24 目的安全区域:any 目的地址/区域:any 认证动作:Portal认证 对匹配条件的研发部员工、市场部员工和来访客户进行认证。 研发部员工、市场部员工和来访客户必须通过防火墙的认证后才能访问网络资源。
配置步骤
步骤1:配置防火墙的网络参数
(1)接口IP
system
int g 1/0/1
ip add 1.1.1.1 24
quit
int g 1/0/2
ip add 10.2.0.1 24
quit
int g 1/0/3
ip add 10.3.0.1 24
quit(2)接口加入安全区域
firewall zone untrust
add int g 1/0/1
quit
firewall zone dmz
add int g 1/0/2
quit
firewall zone trust
add int g 1/0/3
quit步骤2:创建用户组和用户
(1)研发部
# 创建用户组
user-manage group /default/research
quit
# 创建用户
user-manage user user_0001
alias Tom
# 加入父组
parent-group /default/research
password Admin@123
# 禁止多人同时使用该账户
undo multi-ip online enable
quit(2)市场部
# 创建用户组
user-manage group /default/marketing
quit
# 创建用户
user-manage user user_0002
alias Jack
# 加入父组
parent-group /default/marketing
password Admin@123
# 禁止多人同时使用该账户
undo multi-ip online enable
quit(3)来访客户?
# 创建用户
user-manage user guest
# 加入父组
parent-group /default
password Admin@123quit步骤5:配置认证域
# 进度AAA视图(Authentication认证、Authorization授权、Accounting计费)
aaa
# 进入默认的default认证域视图
domain default
# 配置认证域的接入控制(internetaccess允许对用户坐基于策略的控制)
service-type internetaccess
quit
quit步骤6:配置安全策略
(1)配置允许用户访问认证页面
security-policy
rule name policy_sec_01
source-zone trust
source-address 10.3.0.0 24
destination-zone local
# 认证页面服务类型,TCP的8887端口
service protocol tcp destination-port 8887
action permit
quit(2)允许用户访问外网
security-policy
rule name policy_sec_02
source-zone trust
source-address 10.3.0.0 24
destination-zone untrust
action permit
quit(3)允许用户访问DMZ
security-policy
rule name policy_sec_03
source-zone trust
source-address 10.3.0.0 24
destination-zone dmz
action permit
quitquit步骤7:验证和调试
(1)访问HTTP业务
浏览器输入www.huawei.com自动跳转到认证界面
(2)访问非HTTP业务
访问https://10.3.0.1:8887进行认证
(3)防火墙查看在线用户信息
display user-manage online-user verbose