用户角色防火墙安全策略
用户角色防火墙策略允许管理员根据为用户分配的角色允许或限制用户的网络访问。用户角色防火墙可以更好地缓解威胁,提供更多信息丰富的取证资源,改进记录存档以确保合规性,并增强常规访问配置。
了解用户角色防火墙
仅基于知识产权信息的网络安全执法、监控和报告在短期内将不足以满足当今动态和移动劳动力的需求。通过集成用户防火墙策略,管理员可以根据为员工、承包商、合作伙伴和其他用户分配的角色,允许或限制他们的网络访问。用户角色防火墙可以更好地缓解威胁,提供更多信息丰富的取证资源,改进记录存档以确保合规性,并增强常规访问配置。
用户角色防火墙会触发两个作:
检索与流量关联的用户和角色信息
根据区域对上下文中的六个匹配标准确定要执行的作
source-identity 字段用于将用户角色防火墙与其他类型的防火墙区分开来。如果在特定区域对的任何策略中指定了源身份,则该身份为用户角色防火墙。在执行策略查找之前,必须检索用户和角色信息。如果未在任何策略中指定源标识,则不需要查找用户和角色。
为了检索用户和角色信息,需要在身份验证表中搜索具有与流量对应的 IP 地址的条目。如果找到条目,则该用户将被归类为经过身份验证的用户。如果未找到,则该用户将被归类为未经过身份验证的用户。
将检索与经过身份验证的用户关联的用户名和角色,以便进行策略匹配。身份验证分类以及检索到的用户和角色信息都用于匹配源-身份字段。
流量的特征与策略规范相匹配。在区域上下文中,与用户或角色匹配的第一个策略与五个标准匹配标准将确定要应用于流量的作。
以下各节介绍用户和角色检索与策略查找过程的交互、获取用户和角色分配的方法、配置用户角色防火墙策略的技术,以及配置用户角色防火墙策略的示例。
用户角色检索和策略查找过程
对于策略查找,防火墙策略按区域对(“从区域”和“到区域”)进行分组。在区域对的上下文中,基于 IP 的防火墙策略会根据五个标准(源 IP、源端口、目标 IP、目标端口和协议)与流量进行匹配。
用户角色防火墙策略包括第六个匹配标准 - 源身份。source-identity 字段指定应用策略的用户和角色。在区域对内的任何策略中指定 source-identity 字段时,必须先检索用户和角色信息,然后才能继续执行策略查找。(如果区域对中的所有策略都设置为 any
或在源标识字段中没有条目,则不需要用户和角色信息,并且使用五个标准匹配标准进行策略查找。
用户标识表 (UIT) 为已通过身份验证的活动用户提供用户和角色信息。表中的每个条目都将一个 IP 地址映射到经过身份验证的用户以及与该用户关联的任何角色。
当流量需要用户和角色数据时,将搜索每个注册的 UIT 以查找具有相同 IP 地址的条目。如果用户尚未经过身份验证,则表中没有该 IP 地址的条目。如果不存在 UIT 条目,则该用户被视为未经过身份验证的用户。
检索到用户和角色信息后,将恢复策略查找。流量的特征将与策略中的匹配标准进行匹配。策略的 source-identity 字段可以指定一个或多个用户或角色,以及以下关键字:
authenticated-user | 已通过身份验证的用户。 |
unauthenticated-user | 尚未通过身份验证的用户。 |
any | 所有用户,无论身份验证如何。如果未在区域对的所有策略中配置 source-identity 字段或将其设置为 any,则仅匹配 5 个条件。 |
unknown-user | 由于身份验证服务器断开(如停电)而无法对用户进行身份验证。 |
例如,考虑被分配到管理角色的用户 c。当从位于 IP 地址 198.51.100.3 的用户 c 接收到从信任区域到不信任区域的流量时,将启动策略查找。 表 1 表示信任到不信任区域对的用户角色防火墙中的三个策略。
|
|
|
|
|
|
|
|
|
---|---|---|---|---|---|---|---|---|
小一 |
信任 |
不信任 |
192.0.2.0 |
203.0.113.0 |
任何 |
HTTP的 |
否认 |
– |
小二 |
信任 |
不信任 |
任何 |
任何 |
管理 |
任何 |
许可证 |
– |
小三 |
信任 |
不信任 |
198.51.100.3 |
任何 |
员工 |
HTTP的 |
否认 |
– |
首先检查区域对的所有策略以获取源身份选项。如果任何策略指定了用户、角色或关键字,则必须在继续策略查找之前进行用户和角色检索。 表 1 显示策略 P2 将 mgmt 指定为源标识,使其成为用户角色防火墙。必须先检索用户和角色,然后才能继续查找策略。
如果关键字 any 或未在区域上下文中的所有策略中指定源标识,则不会执行用户和角色检索。在这种情况下,只有剩余的五个值与策略条件匹配。
检查 表 2 中表示的 UIT 的 IP 地址。找到地址后,用户名 user-c、为 user-c 列出的所有角色(在本例中为 mgmt 和 employee)以及关键字 authenticated-user 将成为用于将流量 source-identity
与策略字段匹配的数据。
源 IP 地址 |
用户名 |
角色 |
---|---|---|
192.0.2.4 |
用户 - A |
员工 |
198.51.100.3 |
用户-C |
管理,员工 |
203.0.113.2 |
用户 |
承包商 |
策略查找将恢复 ,并将表 1 中每个策略中的匹配标准与传入流量进行比较。假设所有其他条件都匹配,则在源标识字段中指定 user-c、mgmt、employee、authenticated-user 或任何 an 的第一个策略可能与此流量匹配。策略 P1 与用户 c 检索到的角色之一匹配,但源 IP 地址不匹配;因此,策略查找仍在继续。对于策略 P2,所有条件都与流量匹配;因此,将遵循策略作并允许流量。请注意,流量也与策略 P3 匹配,但用户防火墙策略是终端策略 — 当找到第一个策略匹配项时,策略查找将结束。由于策略 P2 匹配所有条件,因此策略查找将结束,并且不会检查策略 P3。
策略还可以基于根据用户和角色检索结果分配给用户的分类。请考虑对表 3 表示的同一区域对使用一组不同的策略。如果从 IP 198.51.100.5 的用户 q 接收流量,则需要检索用户和角色,因为至少在其中一个策略中指定了 source-identity 字段。
|
|
|
|
|
|
|
|
|
---|---|---|---|---|---|---|---|---|
小一 |
信任 |
不信任 |
任何 |
任何 |
un-authenticated-user |
HTTP的 |
否认 |
– |
小二 |
信任 |
不信任 |
任何 |
任何 |
管理 |
任何 |
许可证 |
– |
小三 |
信任 |
不信任 |
198.51.100.3 |
任何 |
员工 |
HTTP的 |
否认 |
– |
检查 表 2 中的 UIT 条目时,未找到 IP 地址 198.51.100.5 的条目。因此,该用户被视为未经身份验证的用户。恢复策略查找时,流量与策略 P1 匹配,流量将被拒绝。
了解用户标识表
在 SRX 系列防火墙上,用户标识表 (UIT) 包含每个经过身份验证的用户的 IP 地址、用户名和角色信息。参赛作品按 IP 地址排序。当安全策略需要用户名和角色信息时,将检查所有 UIT。在其中一个 UIT 的条目中查找 IP 地址意味着该地址上的用户已成功通过身份验证。
每个认证源独立维护自己的 UIT,并提供用于访问数据的查询功能。支持三种类型的 UIT:本地身份验证表、统一访问控制 (UAC) 身份验证表和防火墙身份验证表。
Local authentication table | 使用 CLI 命令手动或以编程方式在 SRX 系列防火墙上创建的静态 IT。本地身份验证表中包含的所有用户均被视为经过身份验证的用户。找到匹配的 IP 地址后,将从表条目中检索用户和角色信息,并与流量关联。用户和角色信息可以在设备上手动创建,也可以从第三方认证服务器移植,但本地认证表中的数据不会实时更新。 |
UAC authentication table | 从 Junos Pulse 接入控制服务推送到 SRX 系列防火墙的动态 UIT。Junos Pulse 接入控制服务的 UAC 认证表包含每个经过身份验证的用户的条目。每当 SRX 系列 防火墙的身份验证表更新时,此表中的数据都会更新并推送到 防火墙。根据设备配置,身份验证可能在 Junos Pulse 接入控制服务本身或第三方身份验证服务器上进行。如果访问控制服务中继来自第三方服务器的数据,则访问控制服务会重组数据,使其匹配其认证表的文件格式,并推送到 SRX 系列防火墙。 |
Firewall authentication table | 在 SRX 系列防火墙上创建的动态 UIT 在
|
本地认证表
本地认证表通过插入或删除条目的 CLI 命令进行管理。当动态 UIT 不可用时,本地身份验证表可用作备份解决方案,或者将用户和角色信息分配给无法向网络进行身份验证的设备(如打印机或文件服务器)。本地身份验证表可用于测试或演示用户角色防火墙如何在未配置防火墙身份验证或访问控制服务的情况下工作。
可以从第三方身份验证源下载 IP 地址、用户名和角色,并使用 CLI 命令以编程方式将其添加到本地身份验证表中。如果身份验证源定义了用户和组,则可以将组配置为角色,并像往常一样与用户关联。
为了符合 UAC 身份验证表,用户名限制为 65 个字符,角色名称限制为 64 个字符。本地认证表在 SRX1500 及以上设备上最多有 10,240 个验证条目,在 SRX650 及更低的设备上最多有 5120 个验证条目,具体取决于安装中的 Junos OS 版本。本地认证表在 vSRX 虚拟防火墙上有 5120 个认证条目。每个身份验证条目最多可与 200 个角色相关联。最大容量基于平均分配给每个用户的 10 个角色。这与为 UAC 身份验证表指定的容量相同。
使用以下命令向本地认证表添加条目。请注意,每个条目都按 IP 地址键控。
user@host> request security user-identification local-authentication-table add user user-name ip-address ip-address role [role-name role-name ]
单个 CLI 命令中的角色选项最多可以接受 40 个角色。要将 40 多个角色与单个用户关联,您需要输入多个命令。添加或修改身份验证、用户和角色条目时,请记住以下特征。
角色名称不能与用户名相同。
add
将选项与现有 IP 地址和用户名一起使用可聚合角色条目。该表最多可支持每个用户 200 个角色。add
将选项用于现有 IP 地址和新用户名将覆盖该 IP 地址的现有用户名。角色聚合不会影响现有会话。
若要更改现有条目的角色列表,需要删除现有条目,然后使用新角色列表添加条目。
要更改现有条目的 IP 地址,您需要删除现有条目并使用新 IP 地址添加条目。
条目可以按 IP 地址或用户名删除。
user@host> request security user-identification local-authentication-table delete (ip-address | user-name)
可以使用以下命令清除本地认证表:
user@host> clear security user-identification local-authentication-table
要显示本地认证表的内容,请使用以下 show...
命令:
user@host> show security user-identification local-authentication-table all (brief | extensive)
该 brief
选项(默认值)以按 IP 地址排序的表格格式显示信息。用户名和角色列表将被截断以适应格式。
user@host> show security user-identification local-authentication-table all
Total entries: 2 Source IP Username Roles 198.51.100.1 user1 role1 203.0.113.2 user2 role2, role3
该 extensive
选项显示每个字段的完整内容。其他选项将显示限制为单个用户名、IP 地址或角色。
user@host> show security user-identification local-authentication-table all extensive
Total entries: 3 Ip-address: 198.51.100.2 Username: user1 Roles: role1 Ip-address: 203.0.113.2 Username: user1 Roles: role2 Ip-address: 192.0.2.3 Username: user3 Roles: role1, role2
UAC 认证表
SRX 系列防火墙可以充当 Junos Pulse 接入控制服务的实施器。在此实施中,SRX 系列防火墙充当第 3 层实施点,并使用从访问控制服务推送的基于 IP 的资源策略控制对资源的访问。
当作为用户角色防火墙实施时,SRX 系列防火墙可以采用类似方式访问 UAC 网络,以进行用户角色检索。在此实例中,所有经过身份验证的用户的用户和角色信息都将从访问控制服务推送。
SRX 系列防火墙的配置类似于实施器的配置。要建立通信,两台设备都需要配置和密码设置才能识别另一台设备。在 SRX 系列防火墙中,将接入控制服务连接为内部网控制器。
[edit] user@host# set services unified-access-control infranet-controller ic-name address ip-address user@host# set services unified-access-control infranet-controller ic-name interface interface-name user@host# set services unified-access-control infranet-controller ic-name password password
在访问控制服务中,将 SRX 系列防火墙定义为新的实施器。使用在 SRX 系列防火墙上指定的相同密码。
用户和密码在访问控制服务上定义,就像在标准身份验证配置中一样。一个或多个角色也可以与用户关联。对用户进行身份验证后,将包含 IP 地址、用户名和关联角色的条目添加到访问控制服务的 UAC 身份验证表中。
初始化两台设备之间的连接时,UAC 身份验证表将从访问控制服务推送到 SRX 系列防火墙。每当在访问控制服务上添加、删除或更新条目时,更新的 UAC 身份验证表都会推送到 SRX 系列防火墙。
对于用户角色防火墙实施,访问控制服务不需要资源访问策略。访问行为在 SRX 系列防火墙的策略配置中提供。如果在访问控制服务上定义了资源访问策略,则这些策略将被推送到 SRX 系列防火墙,但除非特定防火墙策略在策略的作字段中实施了 UAC 策略,否则不会使用这些策略。
以下 show services
命令显示 SRX 系列防火墙上 UAC 认证表的内容,确认该表已成功从访问控制服务推送:
user@host> show services unified-access-control authentication-table extended
Id Source IP Username Age Role name 3 192.0.2.1 april 60 Users 6 192.0.2.2 june 60 Employeees Total: 2
SRX 系列防火墙监视连接并检测与访问控制服务的通信是否丢失。根据 UAC 配置,SRX 系列防火墙会在配置的时间间隔内等待响应,然后再发出另一个请求。如果收到响应,则访问控制服务被视为正常运行。如果在指定的超时时间段后未收到响应,则视为通信丢失,并应用超时作。以下 UAC 命令语法配置间隔、超时和超时作:
user@host# set services unified-access-control interval seconds user@host# set services unified-access-control timeout seconds user@host# set services unified-access-control timeout-action (close | no-change | open)
在断开连接期间,如果尝试对断开连接的设备进行用户和角色查找,则无论超时作如何,它都会返回失败代码。如果失去对所有身份验证源的访问,则关键字 unknown-user 将与 IP 地址相关联。恢复策略查找时,以 unknown-user 为源身份的策略将与流量匹配。通过为 unknown-user 实现特定策略,您可以创建一种方法来处理身份验证源丢失。
防火墙认证表
防火墙身份验证要求用户先向 SRX 系列防火墙进行身份验证,然后才允许在区域和设备之间进行访问。接收到流量时,系统会提示用户输入用户名和密码,并根据指定有效用户配置文件进行验证。根据设备配置,防火墙身份验证会验证 telnet、HTTP、HTTPS(对于 SRX5800、SRX5600 和 SRX5400 设备)和 FTP 流量是否已在本地或由 RADIUS、LDAP 或 SecureID 身份验证服务器进行身份验证。
如果设备上正在使用防火墙身份验证,则身份验证过程还可以提供用户角色防火墙匹配标准所需的用户名和角色信息。在这种情况下,将在称为防火墙身份验证表的 UIT 中收集和维护信息。层次结构中的 edit access
一个或多个访问策略定义了用于防火墙身份验证的身份验证方法。
必须启用防火墙认证表作为用户角色信息检索的认证源。该 priority
选项指定检查所有 UIT 的顺序。
user@host# set security user-identification authentication-source firewall-authentication priority priority
在给定区域对的防火墙策略中, firewall-authentication
为 permit
作指定的服务将启动匹配流量的身份验证。 user-firewall
身份验证类型为经过身份验证的用户生成 UIT 条目。选项中 access-profile
指定的名称标识用于对有效用户进行身份验证的配置文件。
[edit security policies from-zone zone to-zone zone policy policy-name] user@host# set match source-identity unauthenticated-user user@host# set then permit firewall-authentication user-firewall access-profile profile-name
UIT 表条目包含映射到经过身份验证的用户和用户的关联组的流量的 IP 地址。当用户不再处于活动状态时,该条目将从表中删除。由于条目会随着流量和经过身份验证的用户的变化而不断添加和删除,因此防火墙身份验证表被视为动态的。
当同一区域对中的策略将字段 source-identity
指定为其匹配标准的一部分时,将搜索所有已启用的 UIT,以查找与流量 IP 地址对应的条目。如果找到,将检索关联的用户名和组以进行源身份匹配。(用户身份验证组名称被视为源身份匹配的角色名称。
使用用户和角色进行策略配置
所有用户和角色,无论是在 SRX 系列防火墙上还是在访问控制服务上定义,都保留在 SRX 系列防火墙的用户角色文件中。要显示可用于预配的所有用户和角色,请使用以下 show security...
命令。
防火墙身份验证表中的用户名和角色不包括在以下显示中。
要显示可用于预配的所有角色,请使用命令
show security user-identification role-provision all
。请注意,所有 UIT 中的角色都一起列出。要显示可供置备的所有用户,请使用命令
show security user-identification user-provision all
。要显示可供预配的所有用户和角色,请使用命令
show security user-identification source-identity-provision all
。
提交策略配置时,将检查用户角色文件,以确定策略中指定的所有用户和角色是否都可用于预配。如果未找到用户或角色,则会出现警告,标识缺少的用户或角色,以便以后可以对其进行定义。
即使尚未定义用户或角色,策略也会提交。
通过防火墙身份验证获取用户名和角色信息
用户角色防火墙策略可以与防火墙身份验证集成,以对用户进行身份验证以及检索用户名和角色信息。这些信息将映射到流量的 IP 地址,存储在防火墙身份验证表中,用于用户角色防火墙策略实施。
以下 CLI 语句为用户角色防火墙实施配置防火墙身份验证。
为强制门户重定向配置用户角色防火墙
要自动将未经身份验证的用户重定向到访问控制服务,请使用 UAC 强制门户功能。以下语法定义了强制门户的配置文件:
set services unified-access-control captive-portal profile-name redirect-traffic [unauthenticated | all] set services unified-access-control captive-portal profile-name redirect-url host-url
用于身份验证加密的 Kerberos 协议仅通过其服务主体名称 (SPN) 标识访问控制服务。协议不接受 IP 地址。因此,重定向 URL 的格式必须为
service://hostname/options
在此实现中,服务是 HTTP,主机名是访问控制服务的 FQDN。在主机名之后指定的选项会将附加信息传递给接入控制服务,以将用户引导回原始目标、SRX 系列防火墙或发起重定向的策略。您可以使用以下关键字和变量对配置选项:
?target=%dest-url% | 指定用户尝试访问的受保护资源。 |
&enforcer=%enforcer-id% | 指定当 SRX 系列防火墙被访问控制服务配置为实施器时分配给该防火墙的 ID。 |
&policy=%policy-id% | 指定重定向流量的安全策略的加密策略 ID。 |
以下语句定义名为 auth-redirect 的强制门户的配置文件。强制门户将未经身份验证的用户重定向到访问控制服务的 URL 进行身份验证。身份验证成功后,流量将被定向回 SRX 系列防火墙。
[edit] user@host# set services unified-access-control captive-portal auth-redirect redirect-traffic unauthenticated user@host# set services unified-access-control captive-portal auth-redirect redirect-url "http://ic6000.example.com/?target=%dest-url%&enforcer=%enforcer-id%&policy=%policy-id%"
定义的强制门户配置文件将显示为 UAC 配置的一部分。
[edit] user@host#show services
unified-access-control { captive-portal auth-redirect { redirect-traffic unauthenticated; redirect-url "http://ic6000.example.com/?target=%dest-url%&enforcer=%enforcer-id%&policy=%policy-id%"; } }
定义配置文件后,当匹配某些条件时,策略可以将强制门户应用为应用程序服务。每当用户角色未通过身份验证时,身份验证重定向强制门户都会将流量从信任区域转移到不信任区域。以下示例定义策略 P1,用于将身份验证重定向强制门户配置文件应用于从信任到不信任的任何 HTTP 流量:
[edit] user@host# set security policies from-zone trust to-zone untrust policy P1 match application http user@host# set security policies from-zone trust to-zone untrust policy P1 match source-identity unauthenticated-user user@host# set security policies from-zone trust to-zone untrust policy P1 then permit application-services uac-policy captive-portal auth-redirect
示例:在 SRX 系列设备上配置用户角色防火墙
以下示例在 SRX 系列防火墙上配置用户角色防火墙。防火墙根据经过身份验证的活动用户或其关联角色控制从信任区域到不信任区域的访问。用户角色防火墙策略会建立以下限制:
仅允许经过身份验证的用户从信任区域到不信任区域。
未经身份验证的用户将被重定向到访问控制服务进行身份验证。
区域上下文中从 IP 192.0.2.0 到 IP 203.0.113.0 的流量将受到限制。仅允许来自具有 dev-abc、http-juniper-accessible 或 ftp 可访问角色的用户的流量。AppFW 规则进一步评估允许的流量。
标识为 junos:FACEBOOK-ACCESS、junos:GOOGLE-TALK 或 junos:MEEBO 应用程序流量的允许流量将被拒绝。
允许用于任何其他应用程序的流量。
允许从信任区域到不信任区域的所有其他流量。
要求
开始之前,请确保已配置并初始化采用 Junos OS 12.1 或更高版本的 SRX 系列防火墙。
在此示例中,与流量的 IP 地址关联的用户和角色信息由访问控制服务提供。有关配置访问控制服务器的说明,请参阅 将 Active Directory 配置为标识源。
概述
表 4 概述了满足此示例要求的防火墙。用户角色防火墙由四个策略组成。
|
|
|
|
|
|
|
|
|
---|---|---|---|---|---|---|---|---|
用户角色-FW1 |
信任 |
不信任 |
任何 |
任何 |
un-authenticated-user |
HTTP的 |
许可证 |
UAC 强制门户 |
用户角色-FW2 |
信任 |
不信任 |
192.0.2.0 |
203.0.113.0 |
dev-abc http-瞻博网络可访问 ftp-可访问 |
HTTP的 |
许可证 |
AppFW 规则集 RS1 |
用户角色-FW3 |
信任 |
不信任 |
192.0.2.0 |
203.0.113.0 |
任何 |
HTTP的 |
否认 |
|
用户角色-FW4 |
信任 |
不信任 |
任何 |
任何 |
任何 |
HTTP的 |
许可证 |
|
由于已为此防火墙中的至少一个策略指定了 source-identity
字段,因此在执行策略查找之前,必须检索用户和角色信息。流量的源 IP 将与 UIT 中的项目进行比较。如果找到源 IP 地址,则将存储关键字 authenticated
、用户名以及与此用户关联的任何角色,以供以后在策略查找中使用。如果在 UIT 中找不到 IP 地址的匹配条目,则存储该关键字 unauthenticated-user
以进行策略查找。
检索用户名、角色和关键字后,将开始策略查找。系统会将传入流量的特征与每个策略的匹配标准进行比较。如果找到匹配项,则执行该策略中指定的作。
策略匹配是终端事件,匹配后不会检查任何策略。策略序列会影响针对匹配流量所采取的作。在此示例中,按以下顺序应用策略:
user-role-fw1 | 将 UAC 强制门户服务应用于将 HTTP 流量与 unauthenticated-user 关键字匹配,并将其重定向到访问控制服务进行身份验证。还必须配置 UAC 配置文件以标识强制门户规范。 |
user-role-fw2 | 将 AppFW 规则集应用于从地址 192.0.2.0 到地址 203.0.113.0 具有匹配用户名或角色的任何 HTTP 流量。还必须配置应用程序防火墙来定义规则集。 |
user-role-fw3 | 拒绝此区域对从地址 192.0.2.0 到地址 203.0.113.0 的所有剩余 HTTP 流量。 |
user-role-fw4 | 允许此区域对的所有剩余 HTTP 流量。 |
配置
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的 在配置模式下使用 CLI 编辑器 。
为未经过身份验证的用户配置重定向
分步过程
当 UIT 中未列出 IP 地址时,将在策略查找中使用 unauthenticated-user 关键字。策略可以将流量重定向到 UAC 强制门户进行身份验证,而不是拒绝对此流量的访问。
请务必将未身份验证用户的重定向策略置于“任何”用户的策略之前,以便 UAC 身份验证不会被面向经过身份验证的用户的策略所掩盖。
要配置从 SRX 系列防火墙到访问控制服务的重定向:
在配置模式下,为强制门户 acs-device 配置 UAC 配置文件。
[edit] user@host# set services unified-access-control captive-portal acs-device redirect-traffic unauthenticated-user
配置访问控制服务的重定向 URL 或强制门户的默认 URL。
[edit] user@host# set services unified-access-control captive-portal acs-device redirect-url “https://%ic-url%/?target=%dest-url%&enforcer=%enforcer-id%”
此策略指定访问控制服务在身份验证后用于将用户引导回的默认目标和实施器变量。这可确保对系统规格的更改不会影响配置结果。
注意:当命令行中包含变量(如
?target=
)时,必须用引号将 URL 和变量括起来。配置用户角色防火墙策略,如果源身份为 unauthenticated-user,则将 HTTP 流量从区域信任重定向到区域不信任。强制门户配置文件名称被指定为与此策略匹配的流量要执行的作。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match source-identity unauthenticated-user user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 then permit application-services uac-policy captive-portal acs-device
如果完成策略配置,请提交更改。
[edit] user@host# commit
结果
在配置模式下,输入 show services
和 show security policies
命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host#
show services unified-access-control { captive-portal acs-device { redirect-traffic unauthenticated; redirect-url “https://%ic-ip%/?target=%dest-url%&enforcer=%enforcer-id%”
user@host#
show security policies
from-zone trust to-zone untrust {
policy user-role-fw1 {
match {
source-address any;
destination-address any;
application http;
source-identity unauthenticated-user
}
then {
permit {
application-services {
uac-policy {
captive-portal acs-device;
}
}
}
}
}
}
使用应用程序防火墙创建用户角色策略
分步过程
此策略根据其用户和角色以及应用将流量限制从 IP192.0.2.0 限制为 IP 203.0.113.0。该配置定义应用程序规则集,并将其应用于匹配的用户角色流量。
配置 AppFW 规则集 rs1。以下规则集会拒绝 junos:FACEBOOK-ACCESS、junos:GOOGLE-TALK 或 junos:MEEBO 应用程序流量。它会将默认设置 permit 应用于剩余的流量。
[edit security application-firewall rule-sets rs1] user@host# set rule r1 match dynamic-application [junos:FACEBOOK-ACCESS junos:GOOGLE-TALK junos:MEEBO] user@host# set rule r1 then deny user@host# set default-rule permit
配置一个策略,以使用 dev-abc、http-mgmt-accessible 或 ftp 可访问用户角色将 rs1 应用程序防火墙规则集应用于从 IP 192.0.2.0 到 IP 203.0.113.0 的流量。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match source-address 192.0.2.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match destination-address 203.0.113.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match source-identity [dev-abc http-mgmt-accessible ftp-accessible] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 then permit application-services application-firewall rule-set rs1
如果完成策略配置,请提交更改。
[edit] user@host# commit
结果
验证 AppFW 规则集配置是否正确。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host#
show security application-firewall rule-sets rs1 { rule r1 { match { dynamic-application [junos:FACEBOOK-ACCESS junos:GOOGLE-TALK junos:MEEBO] } then { deny; } } default-rule { permit; } }
根据用户和角色创建剩余的安全策略
分步过程
以下过程为剩余流量配置策略。
配置一个策略以拒绝源地址和目标地址相同但用户和角色条件与 user-role-fw2 策略中指定的不同流量。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match source-address 192.0.2.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match destination-address 203.0.113.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match source-identity any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 then deny
配置安全策略以允许从区域信任到区域不信任的所有其他 HTTP 流量。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match source-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match source-identity any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 then permit
结果
验证用户角色防火墙策略的内容和顺序。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host#
show security policies ... from-zone trust to-zone untrust { policy user-role-fw1 { match { source-address any; destination-address any; application http; source-identity unauthenticated-user } then { permit { application-services { uac-policy { captive-portal acs-device; } } } } } } from-zone trust to-zone untrust { policy user-role-fw2 { match { source-address 192.0.2.0; destination-address 203.0.113.0; application http; source-identity [dev-abc http-juniper-accessible ftp-accessible] } then { permit { application-services { application-firewall { rule-set rs1 } } } } } } from-zone trust to-zone untrust { policy user-role-fw3 { match { source-address 192.0.2.0; destination-address 203.0.113.0; application http; source-identity any } then { deny } } } from-zone trust to-zone untrust { policy user-role-fw4 { match { source-address any; destination-address any; application http; source-identity any } then { permit } } }
使用 UAC 配置资源策略
使用用户角色防火墙功能时,访问控制服务不需要资源策略。但是,如果存在资源策略,则会在连接时将其推送到 SRX 系列防火墙。您可以通过在策略配置中应用 UAC 应用程序服务来创建使用这些资源策略的策略。 表 5 显示了三个专门使用 UAC 资源策略的防火墙策略:
|
|
|
|
|
|
|
|
|
---|---|---|---|---|---|---|---|---|
小一 |
区域 1 |
区域 2 |
任何 |
192.0.2.1 |
任何 |
HTTP的 |
许可证 |
内容安全 |
小二 |
区域 1 |
区域 2 |
任何 |
净2 |
任何 |
HTTP的 |
许可证 |
IDP |
小三 |
区域 1 |
区域 2 |
任何 |
任何 |
任何 |
任何 |
许可证 |
UAC |
从 zone1 到 zone2 的流量策略不会启动用户和角色检索,因为每个策略的 source-identity 字段中都指定了任何策略。在此示例中,允许发往 IP 地址 192.0.2.1 的流量,但必须满足指定应用程序服务的处理要求,在本例中为 内容安全。到 net2 的流量由 IDP 处理要求允许和处理。UAC 处理要求允许并处理任何剩余流量。
此防火墙策略的配置如下:
[edit]
user@host#
show security policies from-zone zone1 to-zone zone2 { policy P1 { match { source-address any; destination-address 192.0.2.1; source-identity any; application http; } then { permit { application-services { idp; } } } } } from-zone zone1 to-zone zone2 { policy P2 { match { source-address any; destination-address net2; source-identity any; application http; } then { permit { application-services { utm; } } } } } from-zone zone1 to-zone zone2 { policy P3 { match { source-address any; destination-address any; source-identity any; application any; } then { permit { application-services { uac-policy; } } } } }
在此示例配置中,P1 和 P2 中的作字段分别应用已为 IDP 和内容安全配置的任何要求。通过指定 uac-policy 选项,推送到 SRX 系列防火墙的资源策略将确定目标是否可访问。
用户角色防火墙既可以实现用户角色策略,也可以实现从访问控制服务推送的资源策略。 表 6 显示了三个区域对的策略。
|
|
|
|
|
|
|
|
|
---|---|---|---|---|---|---|---|---|
小一 |
区域 1 |
区域 2 |
任何 |
任何 |
unauthenticated-user |
任何 |
许可证 |
UAC 强制门户 |
小二 |
区域 1 |
区域 2 |
任何 |
192.0.2.1 |
角色 2 |
HTTP的 |
许可证 |
IDP |
小三 |
区域 1 |
区域 2 |
任何 |
净2 |
经过身份验证的用户 |
HTTP的 |
许可证 |
内容安全 |
小四 |
区域 1 |
区域 2 |
任何 |
任何 |
任何 |
任何 |
许可证 |
|
小五 |
区域 1 |
区域 3 |
任何 |
任何 |
任何 |
任何 |
许可证 |
UAC |
小六 |
区域 2 |
区域 3 |
任何 |
任何 |
任何 |
任何 |
许可证 |
UAC |
从 zone1 到 zone2 的流量受以下四个用户角色策略之一的约束。这些策略中的第一个使用 UAC 强制门户将未经身份验证的用户重定向到访问控制服务进行身份验证。
从 zone1 到 zone3 以及从 zone2 到 zone3 的流量访问由访问控制服务推送的资源策略控制。
特定于平台的用户角色防火墙安全策略行为
使用 功能浏览器 确认平台和版本对特定功能的支持。
使用下表查看您的平台特定于平台的行为:
特定于平台的本地身份验证行为
平台 |
差异 |
---|---|
SRX 系列 |
|
特定于平台的防火墙身份验证行为
平台 |
差异 |
---|---|
SRX 系列 |
|