Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置用户身份验证方法

通过身份验证和 Web 身份验证是对用户进行身份验证的两种认证方法。

了解通过身份验证

通过用户身份验证是一种主动身份验证形式;调用通过验证时,系统会提示用户输入用户名和密码。如果用户的身份得到验证,则允许用户通过防火墙并获得所请求资源的访问权限。

当用户尝试启动 HTTP、HTTPS、FTP 或具有需要认证的策略的 Telnet 连接请求时,设备将拦截请求并提示用户输入用户名和密码。根据配置,设备将根据存储在本地数据库中或外部认证服务器上存储的用户名和密码来验证用户名和密码。

如果使用外部认证服务器,收集用户凭据之后,它们通过防火墙用户认证处理。支持以下外部认证服务器:

  • RADIUS身份验证和授权(与瞻博网络 Steel-Belted Radius 服务器兼容)

    除了身份验证之外,RADIUS还想获取有关用户访问权的授权信息(用户可以在网络中执行哪些操作),则您可以使用外部加密服务器。

  • 仅 LDAP 身份验证(支持 LDAP 版本 3,与 Windows AD 兼容)

  • 仅 SecurID 认证(使用 RSA SecurID 外部认证服务器)

防火墙用户是一名网络用户,在跨防火墙发起连接时必须提供认证用户名和密码。您可以将多个用户帐户组合在一起以形成用户组,您可将用户帐户存储在本地数据库或 RADIUS、LDAP 或 SecurID 服务器上。在策略中引用认证用户组和外部认证服务器时,与策略匹配的信息流将触发认证检查。

注意:

您可使用家族 inet 分配 IPv4 地址。您可使用家族 inet6 分配 IPv6 地址。接口可同时配置 IPv4 和 IPv6 地址。为简洁起见,这些示例仅使用 IPv4 地址。

图 1:用户策略查找 Policy Lookup for a User

1 中的 步骤如下:

  1. 客户端用户将 FTP、HTTP、HTTPS 或 Telnet 数据包发送到 198.51.100.9。

  2. 设备会拦截数据包,请注意,其策略要求从本地数据库或外部认证服务器进行身份验证,并缓冲数据包。

  3. 设备通过 FTP、HTTP、HTTPS 或 Telnet 提示用户登录信息。

  4. 用户回复用户名和密码。

  5. 设备会检查其本地数据库上的认证用户帐户,或者根据策略中指定的方式将登录信息发送到外部认证服务器。

  6. 查找有效匹配(或从外部认证服务器收到此类匹配项的通知),设备将通知用户登录成功。

  7. 对于 HTTP、HTTPS 或 Telnet 流量,设备将数据包从缓冲区转发至其目标 IP 地址 198.51.100.9/24。但是,对于 FTP 流量,成功通过身份验证后,设备将关闭会话,并且用户必须重新连接到 FTP 服务器(地址为 198.51.100.9/24)。

注意:

出于安全目的,建议针对为 HTTP 直通式身份验证配置的安全策略使用 Web 重定向而不是直接直通式身份验证。Web 浏览器可能会通过自动将后续请求的凭据添加到目标 Web 服务器中来提供安全性。

设备在位于特定源 IP 地址对用户进行身份验证后,随后允许同一地址的其他任何用户发送信息流(在需要通过通过验证的策略中指定)。如果用户从设备后面发起流量,将所有原始源地址更改NAT单个已转换地址,则可能是这种情况。

在安全优先级高于便利性的情况下,建议使用通过用户验证方法。此认证方法仅适用于与触发该会话的策略匹配的会话和子会话。如果小心使用,您可以将此方法应用于面向 Internet 的链路。

示例:配置通过身份验证

此示例展示如何配置通过身份验证来认证防火墙用户。防火墙用户是网络用户,在跨防火墙发起连接时必须提供用户名和密码。

通过身份验证允许 SRX 系列管理员限制尝试使用 FTP、Telnet、HTTP 或 HTTPS 访问另一个区域的资源的用户。如果流量与操作为通过验证的安全策略匹配,则用户需要提供登录信息。

对于 HTTPS,为确保安全,HTTPS 默认证书密钥大小为 2048 位。如果不指定证书大小,将假设默认大小。

要求

开始之前,请定义防火墙用户。请参阅 防火墙用户身份验证概述 。

此示例具有以下硬件和软件组件:

  • SRX 系列设备

  • 防火墙用户系统

  • 数据包目标系统

概述

当客户端(称为防火墙用户)尝试发起 FTP、Telnet 或 HTTP 会话以访问另一个区域的资源时,将触发通过身份验证过程。SRX 系列防火墙充当 FTP、Telnet、HTTP 或 HTTPS 服务器的代理,以便它可以认证防火墙用户,然后再允许用户访问防火墙后面的实际 FTP、Telnet 或 HTTP 服务器。

then如果从防火墙用户发送的连接请求生成的流量双向匹配安全策略规则,并且该规则将通过防火墙认证指定为其语句的操作,SRX 系列设备需要防火墙用户向 Junos OS 代理服务器进行身份验证。

如果身份验证成功,如果流量与安全策略元组匹配,将自动允许来自同一源 IP 地址的后续信息流通过 SRX 系列设备。

图 2 显示了此示例中使用的拓扑。

图 2:配置通过防火墙身份验证 Configuring Pass-Through Firewall Authentication
注意:

尽管拓扑显示对外部服务器的使用,但配置中未涵盖此拓扑。此示例没有进行说明。

配置

程序

CLI快速配置

要快速配置此示例,请将以下命令复制到文本文件,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [edit] commit 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 在配置 模式下CLI编辑器

要配置通过身份验证:

  1. 配置两个接口并将 IP 地址分配给它们。

    注意:

    例如,可以选择为接口分配两个地址。

  2. 为 FWClient1 用户创建 FWAUTH 访问配置文件,指定用户的密码,以及定义 Telnet 会话的成功横幅。

  3. 配置安全区域。

    注意:

    例如,可以选择为安全区域配置第二个接口。

  4. 将安全策略 P1 分配给安全区域。

  5. 使用 Telnet 对 host2 的 FWClient1 防火墙用户进行身份验证。

结果

在配置模式下,输入以下命令以确认您的配置。

  • show interfaces

  • show access

  • show security zones

  • show security policies

如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

为简洁起见,输出仅包含与此示例相关的配置。系统上的其他任何配置已替换为椭圆 (...)。

如果完成设备配置,请在配置模式下输入 commit 。

验证

要确认配置工作正常,请执行此任务:

验证认证表中的防火墙用户身份验证和监控用户和 IP 地址

目的

显示防火墙身份验证用户历史记录,并验证成功通过身份验证的防火墙用户数量和未能登录的防火墙用户数。

行动

在操作模式下,输入以下 show 命令:

示例:配置 HTTPS 流量以触发通过身份验证

此示例展示如何配置 HTTPS 流量以触发通过身份验证。HTTPS 比 HTTP 更安全,因此它变得更流行、使用也更广泛。

要求

此示例具有以下硬件和软件组件:

  • SRX 系列设备

  • 两个运行 Linux 和 Open SSL 的 PC。一台 PC 充当客户端,另一台充当 HTTPS 服务器。这两个 PC 用于创建密钥文件和发送信息流。

  • Junos OS SRX5400、SRX5600 和 SRX5800 设备的 12.1X44-D10 或更高版本,以及 vSRX 15.1X49-D40、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M 和 SRX1500 服务网关的 Junos OS 或更高版本。

注意:

从 Junos OS 12.1X44-D10 和 Junos OS 版本 17.3R1 开始,SRX5400、SRX5600 和 SRX5800 设备上引入了基于 HTTPS 的SRX5800认证。

从 Junos OS 版 15.1X49-D40 和 Junos OS 版本 17.3R1 开始,vSRX、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M 和 SRX1500 服务网关推出了基于 HTTPS 的身份验证。

开始之前:

SRX 系列设备必须解码 HTTPS 流量以触发通过验证。随后,SSL 终端代理会创建并安装私钥文件和认证文件。以下列表介绍了创建和安装私钥文件和认证密钥文件的步骤。

注意:

如果有官方 .crt 文件和 .key 文件,可以直接在 SRX 系列设备上上传和安装文件。如果您没有 .crt 文件和 .key 文件,请执行该过程创建并安装文件。在步骤 1 和步骤 2 中指定的说明必须在安装了 Linux 和 OpenSSL 的 PC 上运行。在步骤 3 和步骤 4 中指定的说明必须在操作模式下运行。

要创建并安装私钥文件和认证文件:

  1. 在 PC 上创建 .key 文件。

  2. 在 PC 上,创建 .crt 文件。

  3. 操作模式下, 使用以下命令将 .key 和 .crt 文件上传到 SRX 系列设备,然后设备上安装这些文件:

概述

防火墙认证会启动将在两台设备上建立的安全连接。在防火墙之间发起连接时,网络用户必须提供用于验证的用户名和密码。防火墙身份验证支持通过验证的 HTTPS 流量。HTTPS 可以保护用户和 SRX 系列设备之间的 HTTP 防火墙身份验证流量。

HTTPS 是 HTTP 的安全版本,这是一种在用户与用户所连接设备之间发送数据的协议。用户与已连接设备之间的所有通信均加密。HTTPS 通常用于保护高度机密的在线交易,如网上银行和在线购物单表格。

在这种情况下,HTTPS 信息流用于触发通过身份验证,因为 HTTPS 比 HTTP 更安全。要触发通过验证的 HTTPS 信息流,必须先配置 SSL 终端配置文件。

图 3 显示了使用 HTTPS 信息流进行通过身份验证的示例。在这种情况下,不可信区域中的主机或用户将尝试访问信任区域上的资源。SRX 系列设备使用 HTTPS 收集用户名和密码信息。根据此认证的结果,允许或拒绝来自主机或用户的后续信息流。

图 3:使用 HTTPS 流量的通过身份验证 Pass-Through Authentication Using HTTPS Traffic

配置

CLI快速配置

要快速配置此示例,请将以下命令复制到文本文件,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [edit] commit 层次结构级别的 CLI 中,然后从配置模式进入 。

程序

逐步过程

要配置 HTTPS 信息流以触发通过身份验证:

  1. 配置接口和分配 IP 地址。

  2. 配置安全策略以允许从区域信任到区域不信任的防火墙认证流量。

  3. 指定数据包符合标准时要采取的策略操作。

  4. 配置安全区域并分配接口。

  5. 为区域配置应用程序服务。

  6. 创建访问配置文件,将客户端配置为防火墙用户并设置密码。

  7. 配置防火墙类型和默认配置文件名称(其中定义了认证设置)。

  8. 配置 SSL 终端配置文件并输入本地证书标识符名称。

结果

在配置模式下,输入 show interfacesshow security policiesshow security zones和 命令, show access以确认您的 show services ssl termination 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

验证配置

目的

验证配置正确。

行动

在操作模式下,输入 标识符 show security firewall-authentication users 1 命令。

意义

命令 show security firewall-authentication users 显示指定标识符的防火墙认证用户信息。如果输出在"身份验证方法"字段中显示"使用 HTTPS 通过"和"在身份验证状态字段中成功",则配置是正确的。

了解 Web 身份验证

Web 认证是采用通过用户身份验证的一种替代方法。您不是指向从客户端浏览器要连接到的资源,而是将浏览器指向已启用 Web 认证的设备上的 IP 地址。这会启动到设备上托管 Web 认证功能 IP 地址的 HTTP 会话。然后,设备会提示您输入用户名和密码,然后在设备中缓存结果。之后,当流量遇到 Web 认证策略时,将基于之前的 Web 认证结果允许或拒绝访问,如 图 4 所示

注意:

您可使用家族 inet 分配 IPv4 地址。您可使用家族 inet6 分配 IPv6 地址。接口可同时配置 IPv4 和 IPv6 地址。为简洁起见,这些示例仅使用 IPv4 地址。

图 4:Web 身份验证示例 Web Authentication Example

请遵循以下 Web 身份验证准则:

  • 您可以将默认 Web 认证服务器保留为本地数据库,或者为角色选择外部认证服务器。默认 Web 认证配置文件可确定用户是使用本地数据库还是外部认证服务器进行身份验证。访问配置文件将用户的用户名和密码或点存储到存储这些信息的外部认证服务器。

  • Web 认证地址必须和用于托管 Web 的接口在同一子网中。例如,如果您希望认证用户使用具有 IP 地址 203.0.113.1/24 的以太网 3 的 Web 身份验证来连接,则您可以在 203.0.113.0/24 子网中分配 Web 认证一个 IP 地址。

  • 您可以将 Web 认证地址置于任何物理接口或虚拟安全接口 (VSI) 的 IP 地址相同的子网中。(有关不同类型的接口的信息,请参阅 安全区域概述 。)

  • 您可以将 Web 认证地址置于多个接口上。

  • 设备在位于特定源 IP 地址对用户进行身份验证后,随后允许同一地址的其他任何用户发送信息流(在需要通过 Web 身份验证的策略中指定)。如果用户从设备后面发起流量,将所有原始源地址更改NAT单个已转换地址,则可能是这种情况。

  • 启用 Web 认证后,到达 IP 地址的任何 HTTP 流量都将获得 Web 认证登录页面,而不是管理员登录页面。禁用此选项将显示管理员登录页面(假设已启用 [system services web-management HTTP] )。

  • 如果地址用于 Web 认证,我们建议您拥有单独的主 IP 地址或首选 IP 地址。

注意:

当客户端设备紧邻安全网关且客户端设备不是多用户主机时,建议使用 Web 认证方法。此认证方法最适合无线链路、停火区或会议室链路。

示例:配置 Web 身份验证

此示例展示如何启用 Web 认证并设置策略,当流量遇到已启用 Web 身份验证的策略时,允许用户访问。

要求

开始之前:

概述

要启用 Web 认证,必须指定托管 HTTP 会话的设备的 IP 地址。如果访问受保护资源的防火墙用户希望通过直接访问 Web 服务器或 Web 认证来认证,则使用这些设置。以下说明显示如何设置在流量遇到已启用 Web 身份验证 (Policy-W) 的策略时允许访问 FWClient1 用户的策略。(参见 图 5。)此示例中,FWClient1 已通过 Web 认证登录页面验证。

FWClient1 防火墙用户执行以下操作以进行验证:

  1. 将浏览器指向 Web 身份验证 IP (198.51.100.63/24),以先进行验证

  2. 启动流量以访问策略 W 策略指定的资源

图 5:Web 身份验证示例 Web Authentication Example

按这些说明配置设备且用户成功进行身份验证时,将显示图 6 中说明 屏幕。

图 6:Web 身份验证成功横幅 Web Authentication Success Banner

配置

程序

CLI快速配置

要快速配置此示例,请将以下命令复制到文本文件,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [edit] commit 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 在配置 模式下CLI编辑器

要配置 Web 身份验证,

  1. 配置两个接口并将 IP 地址分配给它们。

    注意:

    例如,可以选择为接口分配两个地址。

  2. 为 FWClient1 用户创建 WEBAUTH 访问配置文件,指定用户的密码,以及定义成功横幅。

  3. 配置安全区域。

    注意:

    例如,可以选择为安全区域配置第二个接口。

  4. 将安全策略 P1 分配给安全区域。

  5. 激活您设备的 HTTP 进程(守护程序)。

结果

在配置模式下,输入以下命令以确认您的配置:

  • show interfaces

  • show access

  • show security zones

  • show security policies

  • show system services

如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

为简洁起见,此 show 输出仅包含与此示例相关的配置。系统上的其他任何配置已替换为椭圆 (...)。

如果完成设备配置,请从配置 commit 模式输入 。

验证

要确认配置工作正常,请执行此任务:

验证认证表中的防火墙用户身份验证和监控用户和 IP 地址

目的

显示防火墙身份验证用户历史记录,并验证成功通过身份验证的防火墙用户和未能登录的防火墙用户的数量。

行动

在操作模式下,输入以下 show 命令:

示例:配置 HTTPS 流量以触发 Web 身份验证

此示例展示如何配置 HTTPS 流量以触发 Web 认证。HTTPS 比 HTTP 更安全,因此广泛用于 Web 认证。

要求

开始之前:

此示例具有以下硬件和软件组件:

  • SRX 系列设备

  • 两个安装有 Linux 和 Open SSL 的 PC。一台 PC 充当客户端,另一台充当 HTTPS 服务器。这两个 PC 用于创建密钥文件和发送信息流。

  • Junos OS SRX5400、SRX5600 和 SRX5800 设备的 12.1X44-D10 或更高版本,以及 vSRX 15.1X49-D40、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M 和 SRX1500 服务网关的 Junos OS 或更高版本。

SRX 系列设备必须解码 HTTPS 流量以触发 Web 认证。以下列表介绍了创建和安装私钥文件和认证密钥文件的步骤。

注意:

如果有官方文件和.crt.key文件,可以直接在 SRX 系列设备上上传和安装文件。如果您没有文件和文件,.crt.key请遵循该过程创建和安装文件。在步骤 1 和步骤 2 中指定的说明必须在安装了 Linux 和 OpenSSL 的 PC 上运行。在步骤 3 和步骤 4 中指定的说明必须在操作模式下运行。

  1. 在 PC 上创建 .key 文件。

  2. 在 PC 上创建 .crt 文件。

  3. 从 SRX 系列设备,使用.key.crt以下命令上传 和 文件,然后设备上安装文件:

概述

防火墙认证会启动将在两台设备上建立的安全连接。在防火墙之间发起连接时,网络用户必须提供用于验证的用户名和密码。防火墙身份验证支持通过验证的 HTTPS 流量。HTTPS 可以保护用户和 SRX 系列设备之间的 HTTP 防火墙身份验证流量。

HTTPS 是 HTTP 的安全版本,这是一种在用户与用户所连接设备之间发送数据的协议。用户与已连接设备之间的所有通信均加密。HTTPS 通常用于保护高度机密的在线交易,如网上银行和在线购物单表格。

此示例中,HTTPS 信息流用于触发 Web 认证,因为 HTTPS 比 HTTP 更安全。

用户使用 HTTPS 访问设备上启用 Web 身份验证的 IP 地址。在这种情况下,用户不使用 HTTPS 访问受保护资源的 IP 地址。系统将提示用户输入用户名和密码,由设备验证。根据此 Web 身份验证的结果,允许或拒绝从用户或主机到受保护资源的后续信息流。

图 7 显示了使用 HTTPS 流量的 Web 身份验证示例。

图 7:使用 HTTPS 流量的 Web 身份验证 Web Authentication Using HTTPS Traffic

配置

CLI快速配置

要快速配置此示例,请将以下命令复制到文本文件,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [edit] commit 层次结构级别的 CLI 中,然后从配置模式进入 。

程序

逐步过程

要配置 HTTPS 流量以触发 Web 认证,

  1. 为 HTTPS 流量启用 Web 管理支持。

  2. 配置接口和分配 IP 地址。在 ge-0/0/0 接口上启用 Web 认证。

  3. 配置安全策略以允许从区域信任到区域不信任的防火墙认证流量。

  4. 创建访问配置文件,将客户端配置为防火墙用户,然后设置密码。

  5. 配置防火墙身份验证设置的类型。

  6. 指定数据包符合标准时要采取的策略操作。

结果

在配置模式下,输入 show system services、 和 show interfaces命令以确认 show security policies您的 show access 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

验证配置

目的

验证配置正确。

行动

在操作模式下,输入 show security firewall-authentication users identifier identifier 命令。

示例输出
意义

命令 show security firewall-authentication users identifier identifier 使用用户的标识符 ID 显示防火墙认证用户信息。如果认证方法参数显示 Web 认证,而认证状态参数显示输出成功,则配置正确。