Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 SRX 防火墙用户配置身份验证方法

了解如何配置直通身份验证和强制门户身份验证。

示例:配置直通身份验证

此示例说明如何配置直通身份验证来对防火墙用户进行身份验证。防火墙用户是在通过防火墙发起连接时必须提供用户名和密码的网络用户。

直通身份验证允许 SRX 系列管理员限制尝试使用 FTP、Telnet、HTTP 或 HTTPS 访问其他区域中的资源的用户。如果流量与操作为直通身份验证的安全策略匹配,则需要用户提供登录信息。

对于 HTTPS,为确保安全性,HTTPS 默认证书密钥大小为 2048 位。如果未指定证书大小,则假定为默认大小。

要求

开始之前,定义防火墙用户。请参阅防火墙用户身份验证概述。

此示例使用以下硬件和软件组件:

  • SRX 系列防火墙

  • 防火墙用户系统

  • 数据包目标系统

概述

当客户端(称为防火墙用户)尝试启动 FTP、Telnet 或 HTTP 会话以访问其他区域中的资源时,将触发直通身份验证过程。SRX 系列防火墙充当 FTP、Telnet、HTTP 或 HTTPS 服务器的代理,以便在允许用户访问防火墙后面的实际 FTP、Telnet 或 HTTP 服务器之前,对防火墙用户进行身份验证。

如果防火墙用户发送的连接请求生成的流量与某安全策略规则双向匹配,并且该规则将直通防火墙身份验证指定为其子句的操作 then ,则 SRX 系列防火墙将要求防火墙用户向 Junos OS 代理服务器进行身份验证。

如果身份验证成功,则来自同一源 IP 地址的后续流量与安全策略元组匹配时,将自动允许这些流量通过 SRX 系列防火墙。

图 1 显示了此示例中使用的拓扑。

图 1:配置直通防火墙身份验证 Configuring Pass-Through Firewall Authentication
注意:

尽管拓扑显示了外部服务器的使用情况,但配置中没有涵盖它。这超出了此示例的范围。

配置

程序

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

要配置直通身份验证,请执行以下操作:

  1. 配置两个接口并为其分配 IP 地址。

    注意:

    在此示例中,可以选择为接口分配两个地址。

  2. 为 FWClient1 用户创建 FWAUTH 访问配置文件,指定用户的密码,并为 Telnet 会话定义成功横幅。

  3. 配置安全区域。

    注意:

    在此示例中,可以选择为安全区域配置第二个接口。

  4. 将安全策略 P1 分配给安全区域。

  5. 使用 Telnet 向 host2 验证 FWClient1 防火墙用户的身份。

结果

在配置模式下,输入以下命令以确认您的配置。

  • show interfaces

  • show access

  • show security zones

  • show security policies

如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

为简洁起见,输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式进入提交。

验证

要确认配置工作正常,请执行以下任务:

验证防火墙用户身份验证并监控身份验证表中的用户和 IP 地址

目的

显示防火墙认证用户历史记录,验证成功认证的防火墙用户数和登录失败的防火墙用户数。

行动

在操作模式下,输入以下 show 命令:

示例:配置 HTTPS 流量以触发直通身份验证

此示例说明如何配置 HTTPS 流量以触发直通身份验证。HTTPS比HTTP更安全,因此它变得更加流行,使用范围更广。

要求

此示例使用以下硬件和软件组件:

  • SRX 系列防火墙

  • 两台运行 Linux 和 Open SSL 的 PC。一台 PC 充当客户端,另一台充当 HTTPS 服务器。这两台 PC 用于创建密钥文件和发送流量。

  • Junos OS 12.1X44-D10 或更高版本(适用于 SRX5400、SRX5600 和 SRX5800 设备),Junos OS版本为 15.1X49-D40 或更高版本(适用于 vSRX 虚拟防火墙、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M 和 SRX1500 服务网关)。

注意:

从 Junos OS 版本 12.1X44-D10 和 Junos OS 版本 17.3R1 开始,可在 SRX5400、SRX5600 和 SRX5800 设备上引入基于 HTTPS 的身份验证。

从 Junos OS 版本 15.1X49-D40 和 Junos OS 版本 17.3R1 开始,在 vSRX 虚拟防火墙、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M 和 SRX1500 服务网关上引入了基于 HTTPS 的身份验证。

开始之前:

SRX 系列防火墙必须解码 HTTPS 流量才能触发直通身份验证。然后,SSL 终止代理创建并安装私钥文件和认证文件。以下列表介绍了创建和安装私钥文件和证书密钥文件的步骤。

注意:

如果您有正式 的 .crt 文件和 .key 文件,则可以直接在 SRX 系列 防火墙上上传和安装文件。如果您没有 .crt 文件和 .key 文件,请按照过程创建和安装文件。步骤 1 和步骤 2 中指定的说明必须在安装了 Linux 和 OpenSSL 的 PC 上运行。步骤 3 和步骤 4 中指定的说明必须在操作模式下运行。

要创建并安装私钥文件和认证文件,请执行以下操作:

  1. 在 PC 上创建 .key 文件。

  2. 在 PC 上,创建 .crt 文件。

  3. .key.crt 文件上传到 SRX 系列 防火墙,并在操作模式下使用以下命令将文件安装在设备上:

概述

防火墙身份验证启动要在两台设备之间建立的安全连接。网络用户在通过防火墙发起连接时,必须提供用户名和密码进行身份验证。防火墙身份验证支持用于直通身份验证的 HTTPS 流量。HTTPS 可以保护用户与 SRX 系列防火墙之间的 HTTP 防火墙身份验证流量。

HTTPS 是 HTTP 的安全版本,HTTP 是在用户和用户连接的设备之间发送数据的协议。用户与所连接设备之间的所有通信均经过加密。HTTPS 通常用于保护高度机密的在线交易,如网上银行和在线购物订单。

在此示例中,HTTPS 流量用于触发直通身份验证,因为 HTTPS 比 HTTP 更安全。要使 HTTPS 流量触发直通身份验证,必须先配置 SSL 终止配置文件。

图 2 显示了使用 HTTPS 流量进行直通身份验证的示例。在此示例中,来自不信任区域的主机或用户尝试访问信任区域上的资源。SRX 系列防火墙使用 HTTPS 收集用户名和密码信息。根据此身份验证的结果,允许或拒绝来自主机或用户的后续流量。

图 2:使用 HTTPS 流量 Pass-Through Authentication Using HTTPS Traffic的直通身份验证

配置

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 CLI 中,然后从配置模式进入 commit

程序

分步过程

要将 HTTPS 流量配置为触发直通身份验证,请执行以下操作:

  1. 配置接口并分配 IP 地址。

  2. 配置安全策略以允许从区域信任到区域不信任的防火墙身份验证流量。

  3. 指定当数据包符合条件时要执行的策略操作。

  4. 配置安全区域并分配接口。

  5. 为区域配置应用程序服务。

  6. 创建访问配置文件,将客户端配置为防火墙用户并设置密码。

  7. 在其中定义身份验证设置,配置防火墙类型和默认配置文件名称。

  8. 配置 SSL 终止配置文件并输入本地证书标识符名称。

结果

在配置模式下,输入show interfacesshow accessshow security policiesshow security zonesshow services ssl termination命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

验证配置

目的

验证配置是否正确。

行动

在操作模式下,为标识符 1 输入 show security firewall-authentication users 命令。

意义

命令 show security firewall-authentication users 显示指定标识符的防火墙身份验证用户信息。如果输出在“身份验证方法”字段中显示“使用 HTTPS 直通”,在“身份验证状态”字段中显示“成功”,则您的配置正确。

示例:配置强制门户身份验证

此示例说明如何启用强制门户身份验证并设置策略,以便在流量遇到启用了强制门户身份验证的策略时允许访问用户。

要求

开始之前:

  • 定义防火墙用户。请参阅 防火墙用户身份验证概述

  • 在接口的地址层次结构下添加 Web 身份验证 HTTP 标志以启用 Web 身份验证。

概述

要启用 Web 身份验证,必须指定托管 HTTP 会话的设备的 IP 地址。如果访问受保护资源的防火墙用户希望通过直接访问 Web 服务器或通过 Web 身份验证进行身份验证,则使用这些设置。以下说明说明如何设置一个策略,以便在流量遇到启用了 Web 身份验证 (Policy-W) 的策略时,允许访问 FWClient1 用户。(请参阅 图 3。在此示例中,FWClient1 已通过 Web 身份验证登录页进行身份验证。

FWClient1 防火墙用户执行以下操作来获取身份验证:

  1. 将浏览器指向 Web 身份验证 IP (198.51.100.63/24) 以首先进行身份验证

  2. 启动流量以访问 policy-W 策略指定的资源

图 3:Web 身份验证示例 Web Authentication Example

当您按照这些说明中的说明配置设备并且用户成功进行身份验证时,将显示 如图 4 所示的屏幕。

图 4:Web 认证成功横幅 Web Authentication Success Banner

配置

程序

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

要配置 Web 身份验证,请执行以下操作:

  1. 配置两个接口并为其分配 IP 地址。

    注意:

    在此示例中,可以选择为接口分配两个地址。

  2. 为 FWClient1 用户创建 WEBAUTH 访问配置文件,指定用户的密码,并定义成功横幅。

  3. 配置安全区域。

    注意:

    在此示例中,可以选择为安全区域配置第二个接口。

  4. 将安全策略 P1 分配给安全区域。

  5. 激活设备上的 HTTP 进程(守护程序)。

结果

在配置模式下,输入以下命令以确认您的配置:

  • show interfaces

  • show access

  • show security zones

  • show security policies

  • show system services

如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

为简洁起见,此 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式输入 commit

验证

要确认配置工作正常,请执行以下任务:

验证防火墙用户身份验证并监控身份验证表中的用户和 IP 地址

目的

显示防火墙认证用户历史记录,验证成功认证的防火墙用户数和登录失败的防火墙用户数。

行动

在操作模式下,输入以下 show 命令:

示例:配置 HTTPS 流量以触发强制门户身份验证

此示例说明如何配置 HTTPS 流量以触发强制门户身份验证。HTTPS 被广泛用于强制门户身份验证,因为它比 HTTP 更安全。

要求

开始之前:

此示例使用以下硬件和软件组件:

  • SRX 系列防火墙

  • 两台安装了 Linux 和 Open SSL 的 PC。一台 PC 充当客户端,另一台充当 HTTPS 服务器。这两台 PC 用于创建密钥文件和发送流量。

  • Junos OS 12.1X44-D10 或更高版本(适用于 SRX5400、SRX5600 和 SRX5800 设备),Junos OS版本为 15.1X49-D40 或更高版本(适用于 vSRX 虚拟防火墙、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M 和 SRX1500 服务网关)。

SRX 系列防火墙必须解码 HTTPS 流量才能触发 Web 身份验证。以下列表介绍了创建和安装私钥文件和证书密钥文件的步骤。

注意:

如果您有正式 .crt 文件和 .key 文件,则可以直接在 SRX 系列防火墙上上传和安装文件。如果您没有 .crt 文件和 .key 文件,请按照过程创建和安装文件。步骤 1 和步骤 2 中指定的说明必须在安装了 Linux 和 OpenSSL 的 PC 上运行。步骤 3 和步骤 4 中指定的说明必须在操作模式下运行。

  1. 在 PC 上创建 .key 文件。

  2. 在 PC 上创建 .crt 文件。

  3. 在 SRX 系列防火墙中,上传 .key.crt 文件,然后使用以下命令将文件安装到设备上:

概述

防火墙身份验证启动要在两台设备之间建立的安全连接。网络用户在通过防火墙发起连接时,必须提供用户名和密码进行身份验证。防火墙身份验证支持用于直通身份验证的 HTTPS 流量。HTTPS 可以保护用户与 SRX 系列防火墙之间的 HTTP 防火墙身份验证流量。

HTTPS 是 HTTP 的安全版本,HTTP 是在用户和用户连接的设备之间发送数据的协议。用户与所连接设备之间的所有通信均经过加密。HTTPS 通常用于保护高度机密的在线交易,如网上银行和在线购物订单。

在此示例中,HTTPS 流量用于触发 Web 身份验证,因为 HTTPS 比 HTTP 更安全。

用户使用 HTTPS 访问已启用 Web 身份验证的设备上的 IP 地址。在此方案中,用户不使用 HTTPS 访问受保护资源的 IP 地址。系统会提示用户输入用户名和密码,并由设备进行验证。根据此 Web 身份验证的结果,允许或拒绝从用户或主机到受保护资源的后续流量。

图 5 显示了使用 HTTPS 流量进行 Web 身份验证的示例。

图 5:使用 HTTPS 流量 Web Authentication Using HTTPS Traffic的 Web 身份验证

配置

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 CLI 中,然后从配置模式进入 commit

程序

分步过程

要配置 HTTPS 流量以触发 Web 身份验证,请执行以下操作:

  1. 启用对 HTTPS 流量的 Web 管理支持。

  2. 配置接口并分配 IP 地址。在 ge-0/0/0 接口启用 Web 认证。

  3. 配置安全策略以允许从区域信任到区域不信任的防火墙身份验证流量。

  4. 创建访问配置文件,将客户端配置为防火墙用户,并设置密码。

  5. 配置防火墙身份验证设置的类型。

  6. 指定当数据包符合条件时要执行的策略操作。

结果

在配置模式下,输入show system servicesshow interfacesshow security policies、和show access命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

验证配置

目的

验证配置是否正确。

行动

在操作模式下,输入 show security firewall-authentication users identifier identifier 命令。

示例输出
意义

命令 show security firewall-authentication users identifier identifier 使用用户的标识符 ID 显示防火墙身份验证用户信息。如果身份验证方法参数显示 Web 身份验证,并且身份验证状态参数在输出中显示成功,则您的配置是正确的。

为未经身份验证的浏览器配置强制门户

了解如何为未经身份验证的浏览器配置强制门户。

下面是如何配置安全策略以使用仅验证浏览器和身份验证用户代理防火墙身份验证功能的一些示例。

For Pass-Through Authentication

为使用 auth-only-browser 参数的直通身份验证配置安全策略。

为使用 auth-user-agent 参数(不带 auth-only-browser)的直通身份验证配置安全策略。

配置直通身份验证的安全策略,该策略使用带有 auth-user-agent 参数的 auth-only-browser。

For User Firewall Authentication

配置使用 auth-only-browser 参数的用户防火墙身份验证安全策略。

为用户防火墙身份验证配置安全策略,该策略使用 auth-user-agent 参数,不使用 auth-only-browser。

为用户防火墙身份验证配置安全策略,该策略使用带有 auth-user-agent 参数的 auth-only-browser。

示例:配置统一策略

阅读此示例,了解如何在统一策略中配置直通身份验证和强制门户身份验证,以限制或允许用户访问网络资源。

概述

通过防火墙用户身份验证,可以在用户访问防火墙后面的网络资源之前对用户进行身份验证。启用防火墙用户身份验证后,用户在跨防火墙启动连接时必须提供用户名和密码进行身份验证。

从 Junos OS 21.2R1 版开始,我们支持使用统一策略的防火墙用户身份验证。支持直通身份验证和强制门户身份验证。

拓扑学

图 6 显示了此示例中使用的拓扑。
图 6:拓扑:使用统一策略 Topology: Configuring Firewall User Authentication with Unified Policy配置防火墙用户身份验证

如拓扑所示,不信任区域中的防火墙用户需要访问信任区域中的外部服务器(IP 地址 10.1.2.1)。用户在访问服务器之前使用安全设备进行身份验证。设备通过查询本地数据库确定认证结果。身份验证成功后,安全设备将允许来自同一源 IP 地址的后续流量,直至用户会话超时并关闭。

在此示例中,您将在 SRX 系列防火墙上配置以下功能:

  1. 在访问配置文件中配置安全设备本地的用户数据库。在配置文件中添加一个或多个客户端,代表最终用户。client-name 表示用户名。以纯文本格式输入每个用户的密码。

  2. 将访问配置文件与直通或 Web 防火墙身份验证方法相关联。设置自定义横幅以向最终用户显示。
  3. 配置安全策略以允许或限制流量,并为允许的流量应用防火墙用户身份验证。

要求

此示例使用以下硬件和软件组件:

  • SRX 系列防火墙或 vSRX 虚拟防火墙
  • Junos OS 21.2R1 版

开始之前:

使用传统策略和统一策略对 SRX 防火墙用户进行配置

在此示例中,我们将使用传统安全策略和统一策略配置直通身份验证。配置包括设置安全区域和接口、创建访问配置文件以及定义安全策略,如下表所示:
方案
表 1:安全策略详细信息
、策略 、用户启动会话结果时的工作流程
使用传统安全策略和未知用户进行身份验证 策略 P1
  • 匹配标准: source-identity -unknown/unauthenticated users
  1. 设备在用户标识表 (UIT) 中搜索用户源标识。
  2. 如果源标识不可用,策略会将用户视为未经过身份验证的用户。
  3. 策略拦截来自用户的 HTTP 或 HTTPS 流量,并触发防火墙身份验证提示。
  4. 身份验证成功后,策略会根据配置的策略规则允许或拒绝流量。
  5. 设备通过包括 IP 地址和用户名在用户标识表中创建身份验证条目。
在防火墙用户身份验证成功后允许未经过身份验证的用户。
使用统一策略和经过身份验证的用户进行身份验证 策略 P2
  • 匹配标准: source-identity - authenticated-users
  • 动态应用程序 - junos:GOOGLE
  1. 设备从用户标识表 (UIT) 中检索用户和角色信息(如果可用)。
  2. 安全策略将用户分类为经过身份验证的用户。
  3. 身份验证成功后,策略会根据配置的策略规则允许或拒绝流量。
允许经过身份验证的用户无需防火墙用户身份验证。
使用统一策略进行身份验证 策略 P3
  • dynamic-application -junos:YAHOO
  1. 设备搜索认证配置文件 PROFILE-1 以确定认证结果。
  2. 身份验证成功后,策略会根据配置的策略规则允许或拒绝流量。
允许使用防火墙用户身份验证的流量。

要将流量从未经过身份验证的用户重定向到 UAC 强制门户进行身份验证,请参阅 示例:在 SRX 系列设备上配置用户角色防火墙

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例,请复制以下命令并将其粘贴到文本文件中。删除所有换行符,更改所有必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到 [编辑] 层级的 CLI 中。

分步过程

  1. 配置接口。

  2. 创建安全区域并分配接口。

  3. 设置访问配置文件并添加用户详细信息。

    我们添加了两个用户 CLIENT-1 和 CLIENT-2 并使用密码,并将这些用户分配到客户端组 GROUP-1。

  4. 配置身份验证方法并分配访问配置文件。

  5. 配置 SSL 终止配置文件。

  6. 配置安全策略以允许未经过身份验证的用户使用防火墙用户身份验证。

  7. 配置安全策略,以允许经过身份验证的用户无需防火墙用户身份验证。

  8. 配置安全策略以允许使用防火墙用户身份验证的流量。

  9. 向本地身份验证表添加条目。请注意,每个条目必须包含一个 IP 地址。

结果

在配置模式下,输入 show security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

[edit ] [edit] [edit]

[edit]

如果完成设备上的功能配置,请从配置模式输入 commit

验证防火墙用户身份验证是否有效

要验证防火墙用户身份验证是否有效,请在客户端计算机上打开 Web 浏览器。通过输入服务器 IP 地址 10.1.2.1 访问服务器。系统将提示您输入登录名和密码详细信息,如 图 7 所示。

图 7:直通身份验证提示 Pass-Through Authentication Prompt

成功输入凭据后,即可访问服务器。

使用统一策略配置直通身份验证

在此示例中,我们将使用统一策略配置直通身份验证。配置包括设置安全区域和接口、创建访问配置文件以及定义统一策略。在统一策略中,我们将匹配条件动态应用 any定义为 。

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层级的 CLI 中。

分步过程

  1. 配置接口。

  2. 定义安全区域并分配接口。

  3. 设置访问配置文件并添加用户详细信息。

    我们已使用密码添加了两个用户 CLIENT-1 和 CLIENT-2,并将这些用户分配到客户端组 GROUP-1。

  4. 配置身份验证方法并分配访问配置文件。

  5. 配置 SSL 终止配置文件。

  6. 将动态应用程序配置为的安全 any策略。

结果

在配置模式下,输入 show security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

[edit]

[edit]

[edit]

[edit]

如果完成设备上的功能配置,请从配置模式输入 commit

验证直通身份验证是否有效

要验证防火墙用户身份验证是否有效,请在客户端计算机上打开 Web 浏览器。通过输入服务器 IP 地址 10.1.2.1 访问服务器。系统将提示您输入登录名和密码详细信息,如 图 8 所示。

图 8:直通身份验证提示 Pass-Through Authentication Prompt

成功输入凭据后,即可访问服务器。

使用统一策略配置强制门户身份验证

在此示例中,我们将使用统一策略配置强制门户身份验证。配置包括设置安全区域和接口、创建访问配置文件以及定义统一策略。对于强制门户身份验证,我们将为 HTTP 会话定义一个成功横幅。

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层级的 CLI 中。

分步过程

  1. 创建接口。

    使用辅助 IP 地址进行 Web 验证。在此示例中,我们使用 10.1.1.253/24 进行 Web 身份验证。请注意,辅助 IP 地址必须使用与主 IP 地址相同的子网。

  2. 创建安全区域并分配接口。

  3. 启用 Web 认证接口。
  4. 设置访问配置文件并添加用户详细信息。

    我们已使用密码添加了两个用户 CLIENT-1 和 CLIENT-2,并将这些用户分配到客户端组 GROUP-1。

  5. 配置 Web 认证属性

  6. 使用 dynamic-application 创建安全策略。

结果

在配置模式下,输入 show security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

[edit]

[edit]

[edit]

[edit]

[edit]

如果完成设备上的功能配置,请从配置模式输入 commit

验证 Web 身份验证是否有效

若要验证 Web 认证是否有效,请在客户端计算机上打开 Web 浏览器。首先,使用 Web 浏览器访问安全设备。使用我们为 Web 身份验证配置的 IP 地址 10.1.1.253。设备将提示输入用户名和密码,如 图 9 所示。

图 9:Web 身份验证提示 Web Authentication Prompt

身份验证成功后,系统会显示配置的横幅,如 图 10 所示,您可以访问服务器。

图 10:Web 认证横幅 Web Authentication Banner

验证

监控防火墙用户

目的

显示防火墙身份验证用户历史记录以验证防火墙用户详细信息。

行动

在操作模式下,输入以下 show 命令:

意义

命令输出提供详细信息,例如登录用户、使用的身份验证方法、应用的配置文件、登录尝试等。

验证安全策略利用率详细信息

目的

根据收到的点击数显示安全策略的效用率。

行动

在操作模式下,输入以下 show 命令:

意义

命令输出提供有关在流量上应用的安全策略的详细信息。

示例:配置外部认证服务器

此示例说明如何配置设备以进行外部身份验证。

要求

开始之前,请创建一个身份验证用户组。

概述

您可以将多个用户帐户组合在一起以形成一个用户组,该用户组可以存储在本地数据库或 RADIUS、LDAP 或 SecurID 服务器上。当您在策略中引用身份验证用户组和外部身份验证服务器时,与策略匹配的流量将引发身份验证检查。

此示例说明如何为外部身份验证配置访问配置文件 Profile-1。在访问配置文件中配置了两台 RADIUS 服务器和一台 LDAP 服务器。但是,身份验证顺序仅指定 RADIUS 服务器,因此,如果 RADIUS 服务器身份验证失败,则防火墙用户将无法进行身份验证。不会访问本地数据库。

注意:

如果防火墙客户端由 RADIUS 服务器进行身份验证,则 RADIUS 服务器返回的组成员 VSA 应在 RADIUS 服务器配置或访问配置文件 Profile-1 中包含 alpha、beta 或 gamma 客户端组。访问配置文件存储用户的用户名和密码,或指向存储此类信息的外部身份验证服务器。

配置

程序

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

要配置设备以进行外部身份验证:

  1. 指定外部身份验证顺序的 RADIUS 服务器。

  2. 配置 Client1-4 防火墙用户,并将 Client-1 防火墙用户和 Client-2 防火墙用户分配到客户端组。

  3. 在会话选项中配置客户端组。

  4. 配置 LDAP 服务器和服务器选项的 IP 地址。

  5. 配置两个 RADIUS 服务器的 IP 地址。

结果

在配置模式下,输入 show access profile Profile-1 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

要确认配置工作正常,请执行以下任务:

使用日志进行故障排除

目的

使用这些日志来确定任何问题。

行动

在操作模式下,输入 show log messages 命令和 show log dcd 命令。

示例:配置客户端组

此示例说明如何为配置文件中的客户端组配置本地用户。

要求

开始之前,请创建访问配置文件。

概述

客户端组是客户端所属的组的列表。与客户端空闲超时一样,仅当外部认证服务器在其响应中未返回值时(例如,LDAP 服务器不返回此类信息),才使用客户端组。

此示例说明如何在名为 Managers 的配置文件中为客户端组 G1、G2 和 G3 配置名为 Client-1 的本地用户。在此示例中,为客户端配置了客户端组。如果未为客户端定义客户端组,则使用层次结构下的 access profile session-options 客户端组。

配置

程序

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

要在配置文件中为客户端组配置本地用户,请执行以下操作:

  1. 配置防火墙用户配置文件管理器,并为其分配客户端组。

  2. 在会话选项中配置客户端组。

结果

从配置模式输入 show access profile Managers 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

要确认配置工作正常,请执行以下任务:

使用日志进行故障排除

目的

使用这些日志来确定任何问题。

行动

在操作模式下,输入 show log messages 命令和 show log dcd 命令。

示例:自定义横幅

此示例说明如何自定义浏览器中显示的横幅文本。

要求

开始之前,请创建访问配置文件。

概述

横幅是根据登录类型在显示器上不同位置显示的消息。此示例说明如何更改浏览器中显示的横幅,以指示用户在通过 Web 身份验证成功登录后已成功进行身份验证。新消息为“Web 身份验证成功”。如果身份验证失败,则新消息为“身份验证失败”。

配置

程序

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

要自定义浏览器中显示的横幅文本:

  1. 为通过 FTP 的失败直通身份验证指定横幅文本。

  2. 指定成功进行 Web 身份验证的横幅文本。

结果

在配置模式下,输入 show access firewall-authentication 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

示例:配置互 TLS (mTLS) 身份验证

了解如何配置互 TLS (mTLS) 身份验证。

使用此示例可在防火墙上配置并验证互传输层安全性 (mTLS) 身份验证。在此示例中,我们使用 防火墙 来指代瞻博网络® SRX 系列防火墙或瞻博网络® vSRX 虚拟防火墙 (vSRX3.0)。使用此配置,用户无需密码即可进行身份验证。用户身份验证是通过在公钥-私钥密钥对的帮助下验证客户端/服务器证书来实现的。

若要配置此示例中所示的 mTLS,管理员必须生成以下证书:

  • CA 证书 — 在防火墙和客户端浏览器上运行 CA 证书。

  • 服务器证书 — 使用 domain1.com mTLS 服务器在防火墙上生成服务器证书。使用防火墙上配置的 CA 证书对服务器证书进行签名。

  • 客户端证书 — 在客户端浏览器上生成客户端证书,并使用防火墙上配置的 CA 证书对客户端证书进行签名。

提示:
表 2:估计计时器

阅读时间

不到一个小时。

配置时间

不到一个小时。

先决条件示例

表3:所需经费

硬件要求

® 瞻博网络 SRX 系列防火墙或瞻博网络® vSRX 虚拟防火墙 (vSRX3.0)

软件要求

Junos OS 23.4R1 或更高版本

准备工作

表 4:让我们开始吧

好处

使用 mTLS 身份验证,您可以:

  • 确保无密码登录,以实现用户和服务器之间的安全连接。

  • 为登录到组织网络或应用的用户提供额外的安全层。

  • 验证防火墙与未遵循登录过程的任何用户设备之间的连接。

  • 确保 API 请求来自合法用户,并阻止任何恶意 API 请求。

了解更多

身份感知防火墙

了解更多信息

防火墙用户身份验证

功能概述

本节提供此示例中配置组件的摘要。

表 5:配置和验证详细信息

使用的技术

要建立 mTLS 身份验证,必须配置:

  • 安全区域 — 配置两个安全区域以隔离流量。

    • untrust

    • trust

  • 安全策略 — 分别配置安全策略 p1p2 允许未经过身份验证的用户和经过身份验证的用户。使用这些策略可以选择数据流量并将其从 untrust 区域移动到 trust 区域。

  • 访问配置文件 - 配置访问配置文件 profile1 并添加 user1 详细信息。将用户分配给客户端组 group1group2

  • mTLS 配置文件 — 配置 mTLS 配置文件 ma2 以对客户端和服务器进行身份验证。

主要验证任务

验证 mTLS 身份验证。

拓扑概览

在此示例中,客户端通过防火墙连接到服务器。在 mTLS 身份验证中,客户端和服务器通过加密的 TLS 连接交换信息,从而验证彼此的证书。

连接到服务器后,防火墙会将未经身份验证的客户端重定向到 domain1.com。此过程可避免证书错误,因为防火墙上预安装了 domain1.com 的 CA 证书和服务器证书。CA 证书预安装在客户端的浏览器上。

使用 mTLS 身份验证可以绕过手动输入用户凭据以进行强制门户身份验证。确保针对轻型目录访问协议 (LDAP) 配置文件配置有效用户,以便从 Active Directory 中检索用户信息和授权。在策略中应用防火墙身份验证时,需要进行 JIMS 配置。

表 6:此配置中使用的设备、角色和功能

主机名

角色

功能

客户

服务请求者

通过 SRX 系列防火墙启动与服务器的会话。

SRX 系列防火墙

防火墙

对客户端的数据包进行加密和解密。

服务器

服务器

响应客户端的请求。

活动目录

标识源

作为身份源的 Active Directory 定义了 SRX 系列防火墙、vSRX 虚拟防火墙、瞻博网络® cSRX 容器防火墙或瞻博网络® NFX 系列网络服务平台与 Microsoft Windows Active Directory 的集成。有关详细信息,请参阅 作为标识源的 Active Directory

JIMS

Windows 服务应用程序

® 瞻博网络身份管理服务 (JIMS) 是一款 Windows 服务应用,旨在收集和管理来自 Active Directory 域的用户、设备和组信息。有关详细信息,请参阅 使用 SRX 系列防火墙的 JIMS

拓扑图示

图 11:互 TLS (mTLS) 身份验证 Mutual-TLS (mTLS) Authentication

在被测设备 (DUT) 上进行分步配置

注意:

有关 DUT 的完整示例配置,请参阅:

  1. 配置所需的接口。

  2. 配置安全区域并为这些区域分配接口。

  3. 配置访问配置文件。

  4. 配置安全策略以允许未经过身份验证的用户使用防火墙用户身份验证。

  5. 配置安全策略,以允许经过身份验证的用户无需防火墙用户身份验证。

  6. 配置 ca-profile。

  7. 配置 mTLS 配置文件。

  8. 配置 web-management 为在运行 domain1.com 服务器证书的防火墙上启动 mTLS。

  9. (选答)配置证书吊销列表 (CRL) 以进行证书验证。mTLS 支持传入证书的 CRL 验证。请参阅 证书吊销

附录 1: set 所有设备上的命令

为客户端和服务器生成密钥证书

验证

本部分提供可用于验证此示例中功能的命令 show 列表。

验证 mTLS 身份验证

目的

验证 mTLS 身份验证。

行动

在操作模式下,输入 show services user-identification debug-counters | match MTLS 命令,以查看 mTLS 身份验证的状态。

意义

示例输出确认:

  • 您已成功配置 mTLS 身份验证。

  • 用户防火墙已成功处理 mTLS 身份验证。