Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

SRX 防火墙用户

了解身份验证方法:直通身份验证、强制门户身份验证、使用 Web 重定向身份验证直通或 SRX 强制门户的双向 TLS (mTLS) 身份验证。

SRX 防火墙用户是一种网络用户,在通过防火墙启动连接时,必须提供用户名和密码进行身份验证。您可以将多个用户帐户放在一起以形成用户组。您可以将这些用户组存储在本地数据库或 RADIUS 或 LDAP 服务器上。在策略中引用身份验证用户组和外部身份验证服务器时,与策略匹配的流量将触发身份验证检查。

定义防火墙用户时,您可以创建一个策略,要求用户通过以下身份验证方法之一进行身份验证:直通身份验证、强制门户身份验证或使用 Web 重定向直通身份验证。

直通身份验证

什么是直通身份验证?

直通身份验证有助于使用您当前登录的 Windows 系统用户名和密码自动验证您自己的身份。您无需手动输入 Windows 凭据即可登录。

直通身份验证的工作原理是什么?

一个区域中的用户尝试访问另一个区域中的资源。调用直通身份验证时,系统会提示用户输入用户名和密码。如果用户的身份已通过验证,则允许用户通过防火墙并访问受保护资源的 IP 地址。

设备使用 FTP、Telnet、HTTP 或 HTTPS 收集用户名和密码信息。然后,设备会拦截请求,并提示用户输入用户名和密码。设备通过将用户名和密码与存储在本地数据库或外部身份验证服务器上的用户名和密码进行核对来验证它们。

图 1:用户 Policy Lookup for a User的策略查找

  1. 客户端用户向198.51.100.9发送FTP、HTTP、HTTPS或Telnet数据包。

  2. 设备拦截数据包,注意其策略需要来自本地数据库或外部身份验证服务器的身份验证,并对数据包进行缓冲。
  3. 设备通过 FTP、HTTP、HTTPS 或 Telnet 提示用户输入登录信息。
  4. 用户使用用户名和密码进行回复。
  5. 设备会检查其本地数据库中的身份验证用户帐户,或者按照策略中指定的方式将登录信息发送到外部身份验证服务器。
  6. 找到有效匹配项(或从外部身份验证服务器接收此类匹配项的通知),设备会通知用户登录成功。
  7. 对于 HTTP、HTTPS 或 Telnet 流量,设备将数据包从缓冲区转发到目标 IP 地址 198.51.100.9/24。但是,对于 FTP 流量,身份验证成功后,设备将关闭会话,用户必须重新连接到 IP 地址为 198.51.100.9/24 的 FTP 服务器。

好处

  • 更好的安全性。

  • 部署更轻松。

  • 高度可用。

  • 无缝的用户体验。

强制门户身份验证

什么是强制强制门户身份验证?

强制强制门户是公共网络用户在访问网络之前查看并与之交互的网页。该网页还会提示用户验证或接受使用策略和条款。强制门户 Web 登录页面由内部或外部服务器托管。

强制门户身份验证的工作原理是什么?

用户尝试使用 HTTP 或 HTTPS 连接到设备上启用强制门户身份验证的 IP 地址。用户无法访问受保护资源的 IP 地址。这会启动到设备上托管强制门户身份验证功能的 IP 地址的 HTTP 会话。然后,设备会提示您输入用户名和密码,并将结果缓存在设备中。根据此身份验证的结果,允许或拒绝从用户到受保护资源的后续流量。

图 2:强制门户身份验证 Captive Portal Authentication

  1. 默认强制门户身份验证配置文件确定用户是使用本地数据库还是外部身份验证服务器进行身份验证。访问配置文件存储用户的用户名和密码,或指向存储此类信息的外部身份验证服务器。

  2. 强制强制门户身份验证地址必须与要用于托管它的接口位于同一子网中。例如,如果您希望身份验证用户通过 IP 地址为 203.0.113.1/24 的以太网 3 使用强制门户身份验证进行连接,则可以在 203.0.113.0/24 子网中为强制门户身份验证分配一个 IP 地址。

  3. 您可以将强制门户身份验证地址与任何物理接口或虚拟安全接口 (VSI) 的 IP 地址放在同一子网中。

  4. 您可以在多个接口上设置强制门户身份验证地址。

  5. 设备对特定源 IP 地址上的用户进行身份验证后,随后会允许策略中指定的流量。这需要来自同一地址上的任何其他用户的直通身份验证。如果用户从将所有原始源地址更改为单个转换地址的 NAT 设备后面发起流量,则可能会出现这种情况。

  6. 启用强制门户身份验证后,任何发往 IP 地址的 HTTP 流量都将获得强制门户身份验证登录页面,而不是管理员登录页面。禁用此选项将显示管理员登录页面(假设启用了 [系统服务 Web 管理 HTTP]。

  7. 如果地址用于强制门户身份验证,建议您使用单独的主 IP 地址或首选 IP 地址。

好处

  • 更简单的互联网访问方式。

  • 添加额外的安全层。

  • 营销和商业认可。

使用 Web 重定向身份验证直通

什么是带有 Web 重定向身份验证的直通?

带有 Web 重定向身份验证的直通可用于 HTTP 或 HTTPS 客户端请求。将防火墙身份验证配置为对 HTTP 和 HTTPs 客户端请求使用直通身份验证时,可以使用 Web 重定向功能将用户的请求定向到设备的内部 Web 服务器。Web 服务器向客户端系统发送重定向 HTTP 或 HTTPS 响应,指示其重新连接到 Web 服务器进行用户身份验证。客户端请求到达的接口是重定向响应发送到的接口。

对用户进行身份验证后,将允许来自用户 IP 地址的流量通过 Web 重定向方法。将显示一条消息,通知用户身份验证成功。身份验证成功后,浏览器将启动用户的原始目标 URL,而无需重新键入 URL。

好处

  • 更丰富的用户登录体验 - 在浏览器中为用户显示登录页面,而不是要求用户输入其用户名和密码的弹出提示。

  • 无缝身份验证体验 — 用户无需知道强制门户身份验证源的 IP 地址,而只需知道他们尝试访问的资源的 IP 地址。

未经身份验证的浏览器的强制门户

防火墙会将未经过身份验证的用户重定向到强制门户进行身份验证。重定向到强制门户时,后台进程(如 Microsoft 更新)会在触发基于 HTTP/HTTPS 浏览器的用户访问之前触发强制门户。这使得浏览器显示“401 未经授权”页面,而不显示身份验证门户。auth-only-browser 和 auth-user-agent 参数使您能够控制处理 HTTP/HTTPS 流量。

该服务在未通知浏览器的情况下丢弃了该页面,并且从未向浏览器用户显示身份验证门户。防火墙不支持在不同 SPU 上同时进行来自同一源(IP 地址)的身份验证。

该防火墙支持跨多个 SPU 同时进行 HTTP/HTTPS 直通身份验证,包括支持 Web 重定向身份验证。如果 HTTP/HTTPS 数据包在 SPU 查询 CP 时到达,则 SRX 系列防火墙会将该数据包排入队列,以便稍后处理。

此外,还提供了以下两个参数,以便更好地控制 HTTP/HTTPS 流量的处理方式。

  • auth-only-browser - 仅验证浏览器流量。如果指定该参数,防火墙会将 HTTP/HTTPS 浏览器流量与其他 HTTP/HTTPS 流量区分开来。防火墙不响应非浏览器流量。可以将 auth-user-agent 参数与此控件结合使用,以进一步确保 HTTP 流量来自浏览器。

  • auth-user-agent - 根据 HTTP/HTTPS 浏览器标头中的 User-Agent 字段验证 HTTP/HTTPS 流量。您可以为每个配置指定一个用户代理值。防火墙会根据 HTTP/HTTPS 浏览器标头中的 User-Agent 字段检查您指定的 user-agent 值是否匹配,以确定流量是否基于 HTTP/HTTPS 浏览器。

    您可以将此参数与 auth-only-browser 参数一起使用,也可以单独用于直通身份验证和用户防火墙防火墙身份验证。

    您只能指定一个字符串作为 auth-user-agent 的值。它不得包含空格,并且不需要将字符串括在引号中。

有关如何为未经过身份验证的浏览器配置强制门户的详细信息,请参阅 为未经身份验证的浏览器配置强制门户

统一策略

统一策略允许您先对用户进行身份验证,然后用户才能访问防火墙后面的网络资源。使用统一策略启用 SRX 防火墙用户时,用户在跨防火墙启动连接时必须提供用户名和密码进行身份验证。

有关如何配置统一策略的信息,请参阅 示例:配置统一策略

表 1:统一策略工作流
具有统一策略工作流程的 SRX 防火墙用户
采用传统安全策略和统一策略的直通身份验证

  • 当 FTP、Telnet、HTTP 或 HTTPS 流量与安全策略匹配标准匹配时,传统安全策略会触发防火墙身份验证。

  • 身份验证成功后,统一策略将允许或阻止与统一策略规则匹配的后续流量。
采用传统安全策略和统一策略(动态应用为“any”的直通式身份验证)
  • 统一策略根据策略中配置为“any”的动态应用,基于预定义的应用(如 FTP、Telnet、HTTP 或 HTTPS 服务端口)强制实施防火墙身份验证。如果用户使用其他服务端口发送流量,并且最终该流量可能被识别为动态应用 junos:HTTP,则此流量不会触发防火墙身份验证。
  • 身份验证成功后,统一策略将允许或阻止与统一策略规则匹配的后续流量。
使用统一策略的强制门户身份验证
  • 统一策略会在用户打开浏览器并输入接口的 IP 地址时强制实施防火墙身份验证。必须为用户访问的接口启用强制门户身份验证。
  • 身份验证成功后,统一策略将允许或阻止与统一策略规则匹配的后续流量。

外部认证服务器

外部身份验证服务器用于从外部服务器收集用户的凭据进行身份验证。

身份验证、授权和计费 (AAA) 服务器通过以下方式为用户访问提供额外级别的保护和控制:

  • 身份验证确定防火墙用户。
  • 授权决定了防火墙用户可以执行的作。
  • 计费确定防火墙用户在网络上执行的作。

您可以单独使用身份验证,也可以通过授权和计费来使用。授权始终要求先对用户进行身份验证。您可以单独使用会计,也可以通过身份验证和授权使用。

收集用户凭据后,将使用 SRX 防火墙用户身份验证进行处理,该身份验证支持以下类型的服务器:

  • 本地身份验证和授权。

  • RADIUS 身份验证和授权。

  • LDAP 身份验证。

客户端组

要管理多个 SRX 防火墙用户,您可以创建用户或客户端组,并将信息存储在本地瞻博网络设备或外部 RADIUS 或 LDAP 服务器上。

客户端组是客户端所属的组的列表。与客户端空闲超时一样,仅当外部身份验证服务器未在其响应中返回值时,才使用客户端组。(例如,LDAP 服务器不会返回此类信息。RADIUS 服务器使用瞻博网络 VSA (46) 将客户端的组信息发送到瞻博网络设备。策略的客户端匹配部分接受一个字符串,该字符串可以是客户端所属的用户名或组名。

为不同类型的客户端(管理员除外)使用单个数据库的原因是基于单个客户端可以具有多种类型的假设。例如,防火墙用户客户端也可以是 L2TP 客户端。

自定义横幅

横幅是一条自定义消息,您可以创建该消息来指示用户身份验证是成功还是失败。横幅是根据登录类型在显示器上不同位置显示的消息。

图 3:自定义横幅 Customize Banner
  • 在用户成功登录强制门户身份验证地址后,位于浏览器屏幕顶部,如图 3 所示。
  • 在 Telnet、FTP、HTTP 或 HTTPS 登录提示、成功消息和失败消息之前或之后。
除控制台登录横幅外,所有横幅都具有默认消息。您可以自定义横幅上显示的消息,以更好地适应您使用设备的网络环境。

SRX 强制网络门户的双向 TLS (mTLS) 身份验证

什么是 mTLS 身份验证?

互传输层安全性 (mTLS) 使用公钥/私钥对和 TLS 证书在客户端和服务器之间建立安全连接。客户端和服务器各自拥有一个密钥对和一个 TLS 证书,并相互进行身份验证。

与 mTLS 相比,传输层安全性 (TLS) 仅要求服务器具有 TLS 证书和公钥/私钥对。客户端验证服务器的安全连接证书。

由于客户端和服务器都进行了身份验证,因此您可以在零信任安全框架内实施 mTLS,以在没有密码的情况下对组织中的用户、设备和服务器进行身份验证。您还可以使用 mTLS 来提高 API 安全性。

有关如何为 SRX 强制门户配置相互 TLS (mTLS) 身份验证的信息,请参阅 示例:配置互 TLS (mTLS) 身份验证

mTLS 身份验证的工作原理

图 4 描述了 mTLS 身份验证在客户端设备和防火墙之间的工作原理。Mutual TLS 通过以下步骤保护客户端和防火墙之间的流量:

  1. 用户连接到防火墙并发送“Hello”消息。

  2. 防火墙会向用户发送“Hello”消息和 TLS 证书以及证书链和公钥。

  3. 防火墙请求用户证书。

  4. 用户验证防火墙证书。

  5. 用户将 TLS 证书与证书链和公钥一起发送到防火墙。

  6. 防火墙验证用户证书。

  7. 防火墙向用户授予访问权限。

  8. 用户和防火墙通过加密的 mTLS 连接交换信息。

图 4:mTLS 身份验证的工作原理 How mTLS Authentication Works

好处

  • 提高攻击弹性 - 使用 mTLS 身份验证阻止填充和网络钓鱼攻击。

  • 改进的身份验证 - 确保 API 请求仅来自经过身份验证的用户。

相关主题