導讀:這篇文章主要為大家介紹了如何進行防火墻配置,需要的朋友可以參考下。
Web認證配置
– 網絡拓撲 –
– 需求描述 –
內網用戶首次訪問 Internet 時需要通過 WEB 認證才能上網。且內網用戶劃分為兩個用 戶組 usergroup1 和 usergroup2,其中 usergroup1 組中的用戶在通過認證后僅能瀏覽 web 頁面, usergroup2 組中的用戶通過認證后僅能使用使用 ftp。
– 配置步驟 –
第一步:配置 web 認證向導
點擊配置/主頁/網絡/Web 認證中,在右側的向導處,點擊新建 web 認證 首先設置參數配置
點擊下一步后,設置認證用戶
也可以新建一個 AAA 服務器,AAA 服務器的類型支持以下四種方式,本實驗中我們 使用新建的 local-aaa-server 服務器,使用本地認證的類型。
設置完認證用戶后,點擊下一步策略配置
在策略配置中選擇源、目的安全域以及 DNS 安全域,一旦選擇后,可以看到下方策略 處將會創建三條策略。此處相對于 4.0 版本簡化了配置,不需要再手工去創建放行 DNS 策 略、web 認證策略及認證后放行的策略。最后點擊完成即可!
修改 Web 認證參數設置,通過以下界面可以修改 web 認證的部分參數
第二步:創建用戶及用戶組,并將用戶劃歸不同用戶組
既然要做認證,需要在設置用戶及用戶組,在本實驗中我們設置了usergroup1 和usergroup2 兩個用戶組。并設置了uesr1和user2兩個用戶,這兩個用戶分別歸屬于兩個組。點擊對象用戶/本地用戶,首先在本地服務器中選擇之前。
然后創建 user1 和 user2 并將 user1 將其歸屬到 usergroup1 組中,user2 將其歸屬到usergroup2 組中
第三步:創建角色
在對象用戶/角色中設置兩個角色,稱分別為 role-permit-web 和 role-permit-ftp
第四步:創建角色映射規則,將用戶組與角色相對應
在用戶對象/角色中,創建一個角色映射role-map1 , 將usergroup1 用戶組和role-permit-web 做對應,將usergroup2 和role-permit-ftp 做對應。
第五步:將角色映射規則與 AAA 服務器綁定
在用戶對象/AAA 服務器中,將角色映射 role-map1 綁定到 AAA 服務器 loca-aaa-server 上。
第六步:創建安全策略不同角色的用戶放行不同服務
在安全/策略中設置內網到外網的安全策略,首先在該方向安全策略的第一條設置一個放行 DNS 服務的策略,放行該策略的目的是當我們在 IE 欄中輸入某個網站名后,客戶端 PC 能夠正常對該網站做出解析,然后可以重定向到認證頁面上。第二條我們針對未通過認 證的用戶 UNKNOWN,設置認證的策略,認證服務器選擇創建的 local-aaa-server。以上兩 條策略在 web 認證向導中都已經配置過。下面我們設置針對 role-permit-web 角色放行 http 的服務策略如下:
針對 role-permit-web 角色放行 http 的服務策略如下:
最后我們看下在防火墻/策略中我們設置了幾條策略,在這里我們設置了四條策略,第 一條策略我們只放行 DNS 服務,第二條策略我們針對未通過認證的用戶設置認證的安全策 略,第三條策略和第四條策略我們針對不同角色用戶放行不同的服務。
第七步:用戶驗證
內網用戶打開 IE 后輸入某網站后可以看到頁面馬上重定向到認證頁面,我們輸入user1用戶名和密碼認證通過后,當我們訪問某 web 時訪問成功,當我們訪問 ftp 時看到未能打開。
在設備上查看認證狀態
以上實驗是通過角色映射來實現的控制,指導中只是提供這樣一種思路,如果采訪簡單 的方法可以不用設置角色,在策略中直接針對用戶組設置相應的服務權限。
會話控制配置
– 網絡拓撲 –
– 需求描述 –
內網用戶首要求針對內網每 ip 限制會話數到 300 條
– 配置步驟 –
第一步:點擊控制/會話限制,選擇安全域 trust 及限制條件,每 IP 限制 300 條會話
關注微信公眾號:安徽思恒信息科技有限公司,了解更多技術內容……
