Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置集成用户防火墙

如名称表示,集成用户防火墙提供更简单的用户防火墙功能,而无需与网络接入控制 (NAC) 的统一接入控制 (UAC) 集成。集成化用户防火墙通过轻量级目录访问协议 (LDAP) 收集用户信息,通过实施策略,允许或拒绝访问。

示例:在 SRX 用户防火墙配置集成网络

此示例演示如何通过配置 Windows Active Directory 域、LDAP 库、要定向到强制门户的未经过身份验证的用户以及基于源身份的安全策略来实施集成化用户防火墙功能。此示例中用于强制门户的所有配置都传输层安全 (TLS)。

要求

此示例具有以下硬件和软件组件:

  • 一个 SRX 系列设备

  • Junos OS SRX 12.1X47-D10或更高版本

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在集成用户防火墙功能的典型情景中,域和非域用户希望通过 SRX 系列设备访问互联网。SRX 系列设备将读取和分析域内配置的控制器的事件日志。因此,SRX 系列设备将检测 Active Directory 控制器上的域用户。Active Directory 域可生成认证表,作为集成用户防火墙的 Active Directory 认证源。SRX 系列设备使用这些信息实施策略以实现基于用户或基于组的访问控制。

对于非域设备上的任何非域用户或域用户,网络管理员可指定强制门户以强制用户提交至防火墙认证(如果 SRX 系列设备支持信息流类型的强制门户)。例如,HTTP)。用户输入名称和密码并传递防火墙认证后,SRX 系列设备从 LDAP 服务器获取防火墙身份验证 用户到组映射信息,并可以对用户实施用户防火墙策略控制。

从Junos OS版本17.4R1,除了 IPv4 地址之外,还可以为 Active Directory 域控制器使用 IPv6 地址。为了说明此支持,此示例使用 2001:db8:0:1:2a0:a502:0:1da 作为域控制器的地址。

在集成的用户防火墙配置中,不管主组是默认域名为域用户,还是其他任何名称(如果更改了此名称,)都不得使用主组。

在 Active Directory (AD) 中创建新用户时,用户将添加到全局安全组 主组(默认为域用户)。主要组不如在 AD 中创建的其他组具体,因为所有用户都属于此组。而且,它可能会变得更大

配置

程序

CLI快速配置

要快速配置此示例,请将以下命令复制到文本文件,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [edit] commit 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户 指南 中的 在配置模式下CLI 编辑器

要建立 Windows Active Directory 域、配置强制门户和配置另一个安全策略,请执行本部分的步骤。

配置后,当信息流到达时,SRX 系列设备会咨询用户防火墙进程,而该流程会咨询 Active Directory 身份验证源,以确定源是否在其身份验证表中。如果用户防火墙命中认证条目,SRX 系列设备将检查步骤 4 中配置的策略以执行进一步操作。如果用户防火墙未点击任何认证条目,SRX 系列设备将检查步骤 3 中配置的策略,强制用户执行强制门户操作。

  1. 配置 LDAP 库可分辨名称。

  2. 配置域名、域的用户名和密码以及域内控制器的名称和 IP 地址。

  3. 配置访问配置文件并设置认证顺序和 LDAP 选项。

    no-tls-certificate-check配置选项后,SRX 系列设备将忽略服务器证书的验证,并接受证书,而不执行检查。

  4. 为源身份"未身份验证的用户"和"未知用户"配置策略,并启用防火墙身份验证强制门户。如果没有配置身份验证源,则必须配置源身份,并且该身份验证源已断开连接。

  5. 配置第二个策略以启用特定用户。

    在策略语句中指定源身份时,将域名和反杠重新加入组名称或用户名。用引号将组合括起来。

  6. 将 Active Directory 认证表设置为集成用户防火墙信息检索的身份验证源,并指定检查用户信息表的顺序。

    您必须将 Active Directory 认证表设置为集成用户防火墙信息检索的身份验证源,并指定使用 命令检查用户信息表的顺序 set security user-identification authentication-source active-directory-authentication-table priority value

    此选项的默认值为 125。所有认证源的默认优先级如下:

    • 本地身份验证:100

    • 集成化用户防火墙:125

    • 用户角色防火墙:150

    • 统一访问控制 (UAC):200

    priority字段指定 Active Directory 认证表的来源。值集确定了在支持的各种认证表之间搜索以检索用户角色的顺序。请注意,这些是当前支持的唯一值。您可以输入 0 到 65,535 的任何值。Active Directory 认证表的默认优先级为 125。这意味着,即使您未指定优先级值,Active Directory 认证表也将从值 125(集成用户防火墙)顺序开始搜索。

    每个认证表都分配有一个唯一的优先级值。该值越低,优先级越高。例如,在优先级为 200 的表之前搜索优先级为 120 的表。将表的优先级值设置为 0 将禁用表并消除搜索顺序中的优先级值。

    有关详细信息,请参阅 了解 Active Directory 身份验证表

(可选)配置 PKI 和 SSL 转发代理来认证用户

逐步过程

或者,对于非域用户,您可以配置公钥基础架构 (PKI) 来验证流量的完整性、机密性和真实性。PKI 包括证书授权机构 (证书颁发机构) 颁发的数字证书、证书有效性和到期日期、有关证书所有者和加密器的详细信息以及安全策略。

对于非域计算机上的任何非域用户或域用户,管理员指定强制用户执行防火墙身份验证的强制门户(如果 SRX 系列设备支持信息流类型的强制门户)。用户输入名称和密码并传递防火墙认证后,SRX 系列设备将获取防火墙认证用户/组信息,并且可实施用户防火墙策略以相应地控制用户。除了强制门户之外,如果事件日志中没有 IP 地址或用户信息,用户还可以再次登录 Windows PC 以生成事件日志条目。然后,系统将相应地生成用户的认证条目。

要启用 SRX 系列设备通过 HTTPs 对用户进行身份验证,必须配置并启用 SSL 转发代理。您需要生成本地证书、添加 SSL 终止配置文件、添加 SSL 代理配置文件,以及引用安全策略中的 SSL 代理配置文件。如果未启用 SSL 转发代理,SRX 系列设备无法对使用 HTTPS 的用户进行身份验证,但对于使用 HTTP、FPT 和 Telnet 的用户,可以按预期执行身份验证。

要生成 PKI 并启用 SSL 转发代理,请执行以下步骤:

  1. 为本地数字证书生成 PKI 公共/私钥对。

  2. 为给定可分辨名称手动生成自签名证书。

  3. 定义用于 SSL 终端服务的访问配置文件。此选项仅在安全SRX5400、SRX5600和SRX5800可用。

  4. 在 SSL 代理配置文件中将已加载的证书配置为 root-ca。此选项仅在安全SRX5400、SRX5600和SRX5800可用。

  5. ignore-server-auth-failure如果不想导入整个 证书颁发机构且不希望丢弃会话,请指定 选项。此选项仅在安全SRX5400、SRX5600和SRX5800可用。

  6. 将 SSL 终止配置文件添加至安全策略中。此选项仅在安全SRX5400、SRX5600和SRX5800可用。

结果

在配置模式下,输入 命令以确认您的集成用户防火墙 show services user-identification active-directory-access 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 命令以确认您的策略 show security policies 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 命令以确认您的访问配置文件 show access profile profile1 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

确认配置工作正常。

验证与控制器的连接

目的

验证至少已配置并连接一个域控制器。

行动

在操作模式下,输入 show services user-identification active-directory-access domain-controller status 命令。

意义

显示已连接或断开控制器。

验证 LDAP 服务器

目的

验证 LDAP 服务器是否提供用户到组的映射信息。

行动

在操作模式下,输入 show services user-identification active-directory-access user-group-mapping status 命令。

意义

LDAP 服务器地址、端口号和状态将显示。

验证身份验证表条目

目的

查看用户属于哪些组,以及域中的用户、组和 IP 地址。

行动

在操作模式下,输入 show services user-identification active-directory-access active-directory-authentication-table all 命令。

意义

每个域都显示 IP 地址、用户名和组。

验证 IP 到用户映射

目的

验证是否扫描事件日志。

行动

在操作模式下,输入 show services user-identification active-directory-access statistics ip-user-mapping 命令。

意义

将显示查询和失败查询的计数。

验证 IP 探测计数

目的

验证 IP 探测是否正在发生。

行动

在操作模式下,输入 show services user-identification active-directory-access statistics ip-user-probe 命令。

意义

显示 IP 探测和故障 IP 探测器的计数。

验证用户到组的映射查询

目的

验证是否查询用户到组的映射。

行动

在操作模式下,输入 show services user-identification active-directory-access statistics user-group-mapping 命令。

意义

将显示查询和失败查询的计数。

在 NFX 用户防火墙配置集成化网络

在集成用户防火墙功能的典型情景中,域用户希望通过 NFX 设备访问 Internet。设备将读取和分析在域中配置的域控制器的事件日志。因此,设备将检测 Active Directory 控制器上的域用户。Active Directory 域可生成认证表,作为集成用户防火墙的 Active Directory 认证源。设备使用这些信息实施策略以实现基于用户或基于组的访问控制。

在 Active Directory (AD) 中创建新用户时,用户将添加到全局安全组 主组(默认为域用户)。主要组不如在 AD 中创建的其他组具体,因为所有用户都属于此组。而且,它可能会变得更大

在集成的用户防火墙配置中,不管主组是默认域名为域用户,还是其他任何名称(如果更改了此名称,)都不得使用主组。

要建立 Windows Active Directory 域并配置另一个安全策略,

  1. 配置 LDAP 库可分辨名称。
  2. 配置域名、域的用户名和密码以及域内控制器的名称和 IP 地址。
  3. 配置第二个策略以启用特定用户。

    在策略语句中指定源身份时,将域名和反杠重新加入组名称或用户名。用引号将组合括起来。

  4. 将 Active Directory 认证表设置为集成用户防火墙信息检索的身份验证源,并指定检查用户信息表的顺序。

要验证配置是否工作正常:

  1. 输入 命令,验证至少已配置并连接一个 show services user-identification active-directory-access domain-controller status 域控制器。

  2. 输入 命令,验证 LDAP 服务器是否提供用户到组的映射 show services user-identification active-directory-access user-group-mapping status 信息。

  3. 通过输入 命令来验证认证表 show services user-identification active-directory-access active-directory-authentication-table all 条目。每个域都显示 IP 地址、用户名和组。

  4. 输入 命令验证 IP 到用户 show services user-identification active-directory-access statistics ip-user-mapping 映射。将显示查询和失败查询的计数。

  5. 输入 命令以验证 IP 探测是否 show services user-identification active-directory-access statistics ip-user-probe 发生。

  6. 输入 命令,验证是否正在查询用户到组的 show services user-identification active-directory-access statistics user-group-mapping 映射。

示例:在 SRX 系列用户防火墙配置集成策略以对未经过身份验证和未知用户使用 Web 重定向

此示例展示如何使用未经过身份验证的用户和未知用户的 Web 重定向通过 http 重定向至认证页面。

要求

此示例具有以下硬件和软件组件:

  • 一个 SRX 系列设备

  • Junos OS SRX 系列15.1X49-D70或更高版本

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

fwauth 访问配置文件将 web-redirect 传递信息流请求重定向至 HTTP webauth(JWEB httpd 服务器)。认证成功后,fwauth 会为用户防火墙创建防火墙认证。

配置

CLI快速配置

要快速配置此示例,请将以下命令复制到文本文件,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [] commit 层次结构级别的 CLIedit 中,然后从配置模式进入 。

程序

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 在配置 CLI使用编辑器

要配置集成用户防火墙,为请求访问基于 HTTP 的资源的未经过身份验证的用户使用 Web 重定向:

  1. 为 HTTP 流量启用 Web 管理支持。

  2. 配置接口和分配 IP 地址。在 ge-0/0/1 接口上启用 Web 认证。

  3. 配置安全策略,将未身份验证的用户或未知用户指定为源身份。

    从Junos OS 17.4R1开始,配置源地址时,除了 IPv4 地址之外,还可以分配 IPv6 地址。要配置 IPv6 源地址any any-IPv6,请通过 [编辑区域信任到区域之间的安全策略 untrust policy-name match source-address] 层次结构级别发出或命令。

  4. 配置安全策略,允许 web-redirect 使用 作为操作的用户防火墙进行防火墙认证,并指定用户预先配置的访问配置文件。

  5. 配置指定域名的安全策略。

结果

在配置模式下,输入 命令以确认您的 show system services 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 命令以确认您的集成用户-防火墙 show interfaces 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 命令以确认您的集成用户-防火墙 show security policies 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 命令以确认您的策略 show security policies 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

验证配置。

目的

验证配置正确。

行动

在操作模式下,输入 show security policies 命令。

示例输出
意义

显示允许使用 Web 重定向作为操作的用户防火墙的防火墙身份验证的安全策略。

示例:在 SRX 系列用户防火墙集成防火墙以使用 Web-重定向至 HTTPS 来认证未经过身份验证和未知用户

此示例展示如何对尝试访问 HTTPS 站点的未身份验证和未知用户使用 Web 重定向至 https,让他们通过 SRX 系列设备的内部 Webauth 服务器进行身份验证。

您也可使用 Web-redirect-https 来认证尝试访问 HTTP 站点的用户,但此示例未显示。

要求

此示例具有以下硬件和软件组件:

  • 一个 SRX 系列设备

  • Junos OS SRX 系列15.1X49-D70或更高版本

概述

Web-重定向-https 功能允许您将用户的浏览器重定向至 SRX 系列服务网关的内部 HTTPS Webauth 服务器以尝试访问 HTTP 或 HTTPS 资源,以安全认证未知和未身份验证的用户。即,webauth 服务器向客户端系统发送 HTTPS 响应,重定向其浏览器以连接到 webauth 服务器进行用户认证。客户端请求到达的接口是重定向响应发送至的接口。在这种情况下,HTTPS 保护认证流程,而不是用户的流量。

用户通过认证后,将显示一条消息,以通知用户认证成功。浏览器将重定向至启动用户的原始目标 URL(无论是到 HTTP 或 HTTPS 站点),而无需用户重新键入该 URL。显示以下消息:

如果用户的目标资源是 HTTPS URL,则此流程要成功配置必须包含适用安全策略中引用的 SSL 终止配置文件。如果目标是 HTTP URL,则不需要 SSL 终止配置文件。

使用此功能可以更加丰富的用户登录体验。例如,系统在浏览器中显示用户登录页面,而不是出现要求用户输入其用户名和密码的弹出提示。使用 Web-重定向-https 的效果与用户在客户端浏览器中键入 Web 认证 IP 地址的效果相同。在这方面,Web-redirect-https 可提供无缝的身份验证体验;用户不需要知道 Web 身份验证源的 IP 地址,而只需要知道试图访问的资源的 IP 地址。

对于集成化用户防火墙,安全策略配置语句包括源身份元组,用于指定安全策略应用于哪些用户类别,在此案例中,用户未经身份验证且未知用户。将"any"指定为源地址元组的值允许源身份元组值控制匹配。

出于安全考虑,建议将 Web-重定向-https 用于认证,而不是也支持 Web 重定向。Web 重定向认证功能为认证流程使用 HTTP,在这种情况下,认证信息以清除方式发送,因此具有可读性。

此示例假设用户试图访问 HTTPS 资源,例如 https://mymailsite.com。

配置

程序

CLI快速配置

要快速配置此示例,请将以下命令复制到文本文件,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 [] commit 层次结构级别的 CLIedit 中,然后从配置模式进入 。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 在配置 CLI使用编辑器

要配置未经过身份验证的用户或未知用户请求访问基于 HTTPS 的资源的 Web 重定向至 https,请输入以下语句。

  1. 为 HTTPS 流量启用 Web 管理支持。

    请注意,此示例适用于 HTTPS 用户流量,但是经过身份验证的用户也支持 Web 重定向至 https 认证,其流量将指向 HTTP URL 站点,虽然此特定情景不会在这里显示。在这种情况下,不需要 SSL 端接配置文件。

  2. 配置接口和分配 IP 地址。在 ge-0/0/1 接口上启用 Web 认证。

  3. 配置安全策略,将未身份验证的用户和未知用户指定为源身份元组值。

    从Junos OS 17.4R1开始,配置源地址时,除了 IPv4 地址之外,还可以分配 IPv6 地址。要配置 IPv6 源地址any any-IPv6,请通过 [编辑区域信任到区域之间的安全策略 untrust policy-name match source-address] 层次结构级别发出或命令。

  4. 配置安全策略以允许使用 web-redirect-to-https 作为操作的用户防火墙进行防火墙认证,并指定用户预配置的访问配置文件。

  5. 配置安全策略的域名。

  6. 配置安全策略以引用要使用的 SSL 终端配置文件。

    如果您已有适当的 SSL 终端配置文件,可提供实施所需的服务,您可以使用。否则,请遵循步骤 7 创建一个。

  7. 指定要用于 SSL 终端服务的配置文件。

  8. 定义 TLS 类型,以通过 StartTLS 配置 LDAP。

  9. 配置要认证的对等主机名称。

  10. 指定 TLS 握手的超时值。您可以输入 3 到 90 秒。

  11. 将 TLS 版本(支持 v1.1 和 v1.2)指定为在连接中启用的最小协议版本。

结果

在配置模式下,输入 命令以确认您的 show system services 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 命令以确认您的集成用户-防火墙 show services ssl 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 命令以确认您的集成用户-防火墙 show interfaces 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 命令以确认您的集成用户-防火墙 show security policies 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

在配置模式下,输入 命令以确认您的访问配置文件 show access profile profile1 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。