防火墙用户身份验证概述

防火墙用户是在跨防火墙启动连接时必须提供用户名和密码进行身份验证的网络用户。Junos OS 使管理员能够根据源 IP 地址和其他凭据限制和允许防火墙用户访问防火墙后面的受保护资源（不同区域）。

Junos OS 还支持管理员和点对点协议 （PPP） 用户类型。

定义防火墙用户后，可以创建一个策略，要求用户通过以下三种身份验证方案之一对自己进行身份验证：

• Pass-through authentication- 一个区域中的主机或用户尝试访问另一个区域中的资源。您必须使用 FTP 客户端、Telnet 客户端、HTTP 客户端或 HTTPS 客户端才能访问受保护资源的 IP 地址并获得防火墙的身份验证。设备使用 FTP、Telnet、HTTP 或 HTTPS 收集用户名和密码信息，并根据此身份验证的结果允许或拒绝来自用户或主机的后续流量。当设备使用 HTTPS 服务器时，身份验证完成后，无论身份验证成功与否，来自用户的后续流量始终会终止。

  注意：

  从 Junos OS 12.1X44-D10 版和 Junos OS 17.3R1 版开始，高端 SRX 系列防火墙引入了对基于 HTTPS 的身份验证的支持。SRX 系列分支设备不支持此功能。对于分支设备，必须使用基于 HTTP 的身份验证。

  注意：

  从 Junos OS 19.1R1 版开始，NFX150 设备支持直通防火墙用户身份验证。

• Pass-through with web-redirect authentication- 此身份验证方法可用于 HTTP 或 HTTPS 客户端请求。将防火墙身份验证配置为对 HTTP 和 HTTPs 客户端请求使用直通身份验证时，可以使用 Web 重定向功能将用户的请求定向到设备的内部 Web 服务器。Web 服务器向客户端系统发送重定向 HTTP 或 HTTPS 响应，指示它重新连接到 Web 服务器进行用户身份验证。客户端请求到达的接口是重定向响应发送到的接口。

  注意：

  出于安全原因，在为 HTTP 直通身份验证配置的安全策略上，我们建议您使用 Web 重定向而不是直接直通身份验证。Web 浏览器可以通过自动包含对目标 Web 服务器的后续请求的凭据来提供安全性。

  使用此功能可实现更丰富的用户登录体验。例如，不会弹出提示要求用户输入其用户名和密码，而是在浏览器中向用户显示登录页面。启用的效果 web-redirect 与用户在客户端浏览器中键入 Web 身份验证 IP 地址的效果相同。从这个意义上说， web-redirect 它提供了无缝的身份验证体验;用户不需要知道 Web 身份验证源的 IP 地址，而只需要知道他们尝试访问的资源的 IP 地址。对用户进行身份验证后，允许来自用户 IP 地址的流量通过该方法 web-redirect 。

  将显示一条消息，通知用户身份验证成功。身份验证成功后，浏览器将启动用户的原始目标 URL，而无需重新键入 URL。

  将显示以下消息：

• Web 身份验证 — 用户尝试使用 HTTP 或 HTTPS 连接到设备上已启用 Web 身份验证的 IP 地址;在这种情况下，您不会使用 HTTP 或 HTTPS 来获取受保护资源的 IP 地址。系统将提示您输入设备验证的用户名和密码。根据此身份验证的结果，允许或拒绝从用户或主机到受保护资源的后续流量。