用户角色防火墙安全策略
用户角色防火墙策略允许管理员根据为用户分配的角色允许或限制用户的网络访问。用户角色防火墙可以更好地缓解威胁,提供信息量更大的取证资源,改进记录存档以实现法规遵从性,并增强日常访问配置。
了解用户角色防火墙
对于当今充满活力和流动的员工队伍来说,仅基于 IP 信息的网络安全执法、监控和报告将远远不够。通过集成用户防火墙策略,管理员可以根据为员工、承包商、合作伙伴和其他用户分配的角色,允许或限制他们的网络访问。用户角色防火墙可以更好地缓解威胁,提供信息量更大的取证资源,改进记录存档以实现法规遵从性,并增强日常访问配置。
用户角色防火墙触发两个操作:
检索与流量关联的用户和角色信息
根据区域对上下文中的六个匹配标准确定要执行的操作
源身份字段将用户角色防火墙与其他类型的防火墙区分开来。如果在特定区域对的任何策略中指定了源身份,则它是用户角色防火墙。在进行策略查找之前,必须检索用户和角色信息。如果未在任何策略中指定源身份,则不需要用户和角色查找。
要检索用户和角色信息,将在身份验证表中搜索具有与流量对应的 IP 地址的条目。如果找到条目,则该用户被归类为经过身份验证的用户。如果未找到,则用户被归类为未经身份验证的用户。
将检索与经过身份验证的用户关联的用户名和角色以进行策略匹配。身份验证分类以及检索到的用户和角色信息都用于匹配源身份字段。
流量的特征与策略规范相匹配。在区域上下文中,与用户或角色匹配的第一个策略以及五个标准匹配标准确定要应用于流量的操作。
以下各节介绍用户和角色检索与策略查找过程的交互、获取用户和角色分配的方法、配置用户角色防火墙策略的技术以及配置用户角色防火墙策略的示例。
用户角色检索和策略查找过程
对于策略查找,防火墙策略按区域对(从区域和到区域)分组。在区域对的上下文中,基于 IP 的防火墙策略根据五个条件(源 IP、源端口、目标 IP、目标端口和协议)与流量进行匹配。
用户角色防火墙策略包括第六个匹配标准 - 源身份。源身份字段指定应用策略的用户和角色。在区域对中的任何策略中指定源身份字段时,必须先检索用户和角色信息,然后才能继续策略查找。(如果区域对中的所有策略都设置为 any 源身份字段中没有条目,则不需要用户和角色信息,并使用五个标准匹配标准进行策略查找。
用户标识表 (UIT) 为已经过身份验证的活动用户提供用户和角色信息。表中的每个条目都将一个 IP 地址映射到经过身份验证的用户以及与该用户关联的任何角色。
当流量需要用户和角色数据时,将搜索每个已注册的 UIT 以查找具有相同 IP 地址的条目。如果用户尚未通过身份验证,则表中没有该 IP 地址的条目。如果不存在 UIT 条目,则该用户被视为未经身份验证的用户。
检索用户和角色信息后,策略查找将恢复。流量的特征与策略中的匹配标准匹配。策略的源身份字段可以指定一个或多个用户或角色,以及以下关键字:
| authenticated-user | 已通过身份验证的用户。 |
| unauthenticated-user | 尚未通过身份验证的用户。 |
| any | 所有用户,无论身份验证如何。如果未配置源身份字段或将其设置为区域对的所有策略中的 any,则只有五个条件匹配。 |
| unknown-user | 由于身份验证服务器断开连接(例如停电)而无法进行身份验证的用户。 |
例如,考虑被分配到管理角色的用户 c。当从 IP 地址为 198.51.100.3 的 user-c 接收到从信任区域到不信任区域的流量时,将启动策略查找。 表 1 表示信任与不信任区域对的用户角色防火墙中的三个策略。
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
小一 |
信任 |
不信任 |
192.0.2.0 |
203.0.113.0 |
任何 |
http |
否认 |
– |
P2 |
信任 |
不信任 |
任何 |
任何 |
管理 |
任何 |
许可证 |
– |
小三 |
信任 |
不信任 |
198.51.100.3 |
任何 |
员工 |
http |
否认 |
– |
首先检查区域对的所有策略以获取源身份选项。如果任何策略指定了用户、角色或关键字,则必须先进行用户和角色检索,然后才能继续策略查找。 表 1 显示策略 P2 将 mgmt 指定为源身份,使其成为用户角色防火墙。必须先检索用户和角色,然后才能继续策略查找。
如果关键字 any 或未在区域上下文中的所有策略中指定源标识,则不会执行用户和角色检索。在这种情况下,只有剩余的五个值与策略条件匹配。
检查 表 2 中表示的 UIT 的 IP 地址。由于找到了地址,因此用户名 user-c、为 user-c 列出的所有角色(在本例中为 mgmt 和员工)以及关键字“经过身份验证的用户”将成为用于将流量与 source-identity 策略字段进行匹配的数据。
源 IP 地址 |
用户 |
角色 |
|---|---|---|
192.0.2.4 |
用户-A |
员工 |
198.51.100.3 |
用户-C |
管理, 员工 |
203.0.113.2 |
用户-s |
承包商 |
策略查找将恢复,并将 表 1 中每个策略中的匹配标准与传入流量进行比较。假设所有其他条件都匹配,则在源身份字段中指定 user-c、mgmt、employee、经过身份验证的用户或任何策略可能与此流量匹配。策略 P1 匹配用户 c 检索到的角色之一,但源 IP 地址不匹配;因此,策略查找仍在继续。对于策略 P2,所有条件都与流量匹配;因此,遵循策略操作并允许流量。请注意,流量也与策略 P3 匹配,但用户防火墙策略是终端 — 找到第一个策略匹配项时,策略查找结束。由于策略 P2 与所有条件匹配,因此策略查找结束,并且不检查策略 P3。
策略还可以基于从用户和角色检索结果中分配给用户的分类。考虑针对 表 3 表示的同一区域对使用一组不同的策略。如果从 IP 为 198.51.100.5 的 user-q 接收流量,则需要检索用户和角色,因为至少在其中一个策略中指定了源身份字段。
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
小一 |
信任 |
不信任 |
任何 |
任何 |
未经身份验证的用户 |
http |
否认 |
– |
P2 |
信任 |
不信任 |
任何 |
任何 |
管理 |
任何 |
许可证 |
– |
小三 |
信任 |
不信任 |
198.51.100.3 |
任何 |
员工 |
http |
否认 |
– |
检查 表 2 中的 UIT 条目时,找不到 IP 地址 198.51.100.5 的条目。因此,该用户被视为未经身份验证的用户。恢复策略查找时,流量将与策略 P1 匹配,流量将被拒绝。
了解用户标识表
在 SRX 系列防火墙上,用户标识表 (UIT) 包含每个经过身份验证的用户的 IP 地址、用户名和角色信息。条目按 IP 地址排序。当安全策略需要用户名和角色信息时,将检查所有 UIT。在其中一个 UIT 的条目中查找 IP 地址意味着该地址的用户已成功通过身份验证。
每个身份验证源独立维护自己的 UIT,并提供用于访问数据的查询函数。支持三种类型的 UIT:本地身份验证表、统一访问控制 (UAC) 身份验证表和防火墙身份验证表。
| Local authentication table | 使用 CLI 命令在 SRX 系列防火墙上手动或以编程方式创建的静态 UIT。本地身份验证表中包含的所有用户都被视为经过身份验证的用户。找到匹配的 IP 地址后,将从表条目中检索用户和角色信息并与流量关联。用户和角色信息可以在设备上手动创建,也可以从第三方认证服务器移植,但本地认证表中的数据不会实时更新。 |
| UAC authentication table | 从 Junos Pulse 访问控制服务推送到 SRX 系列防火墙的动态 UIT。Junos Pulse 访问控制服务的 UAC 身份验证表包含每个经过身份验证的用户的条目。每当更新其身份验证表时,此表中的数据都会更新并推送到 SRX 系列防火墙。根据设备配置,身份验证可能会在 Junos Pulse 访问控制服务本身或第三方身份验证服务器上进行。如果访问控制服务中继来自第三方服务器的数据,则访问控制服务将重组数据以匹配其身份验证表的文件格式,并推送到 SRX 系列防火墙。 |
| Firewall authentication table | 在安全策略中指定为防火墙身份验证类型时,在
|
本地认证表
本地身份验证表使用插入或删除条目的 CLI 命令进行管理。当动态 UIT 不可用时,本地身份验证表可用作备份解决方案,或将用户和角色信息分配给无法向网络进行身份验证的设备,例如打印机或文件服务器。本地身份验证表可用于测试或演示用户角色防火墙如何在未配置防火墙身份验证或访问控制服务的情况下工作。
可以使用 CLI 命令以编程方式下载来自第三方身份验证源的 IP 地址、用户名和角色,并将其添加到本地身份验证表中。如果身份验证源定义了用户和组,则可以将这些组配置为角色并照常与用户关联。
为了符合 UAC 身份验证表,用户名限制为 65 个字符,角色名称限制为 64 个字符。根据安装中的 Junos OS 版本,本地身份验证表在 SRX1500 及以上设备上最多包含 10,240 个身份验证条目,在 SRX650 及以下设备上最多包含 5120 个身份验证条目。本地身份验证表在 vSRX 虚拟防火墙上有 5120 个身份验证条目。每个身份验证条目最多可与 200 个角色相关联。最大容量基于分配给每个用户的平均 10 个角色。这与为 UAC 身份验证表指定的容量相同。
使用以下命令向本地身份验证表添加条目。请注意,每个条目都按 IP 地址进行键控。
user@host> request security user-identification local-authentication-table add user user-name ip-address ip-address role [role-name role-name ]
单个 CLI 命令中的角色选项最多接受 40 个角色。要将 40 多个角色与单个用户关联,您需要输入多个命令。添加或修改身份验证用户和角色条目时,请记住以下特征。
角色名称不能与用户名相同。
将
add选项与现有 IP 地址和用户名一起使用可聚合角色条目。该表最多可以支持每个用户 200 个角色。add将选项与现有 IP 地址和新用户名一起使用将覆盖该 IP 地址的现有用户名。角色聚合不会影响现有会话。
要更改现有条目的角色列表,您需要删除现有条目,然后使用新角色列表添加条目。
要更改现有条目的 IP 地址,您需要删除现有条目并添加具有新 IP 地址的条目。
可以通过 IP 地址或用户名删除条目。
user@host> request security user-identification local-authentication-table delete (ip-address | user-name)
可以使用以下命令清除本地身份验证表:
user@host> clear security user-identification local-authentication-table
要显示本地认证表的内容,请使用以下命令 show... :
user@host> show security user-identification local-authentication-table all (brief | extensive)
该 brief 选项(默认)以按 IP 地址排序的表格格式显示信息。用户名和角色列表将被截断以适合格式。
user@host> show security user-identification local-authentication-table all
Total entries: 2 Source IP Username Roles 198.51.100.1 user1 role1 203.0.113.2 user2 role2, role3
该 extensive 选项显示每个字段的完整内容。其他选项将显示限制为单个用户名、IP 地址或角色。
user@host> show security user-identification local-authentication-table all extensive
Total entries: 3 Ip-address: 198.51.100.2 Username: user1 Roles: role1 Ip-address: 203.0.113.2 Username: user1 Roles: role2 Ip-address: 192.0.2.3 Username: user3 Roles: role1, role2
UAC 身份验证表
SRX 系列防火墙可以充当 Junos Pulse 访问控制服务的实施器。在此实施中,SRX 系列防火墙充当第 3 层实施点,并使用从访问控制服务向下推送的基于 IP 的资源策略控制对资源的访问。
当作为用户角色防火墙实施时,SRX 系列防火墙可以采用类似的方式访问 UAC 网络进行用户角色检索。在此实例中,将从访问控制服务推送所有经过身份验证的用户的用户和角色信息。
SRX 系列防火墙配置类似于实施器的配置。要建立通信,两台设备都需要配置和密码设置才能识别对方。从 SRX 系列防火墙,将访问控制服务作为基础结构控制器连接。
[edit] user@host# set services unified-access-control infranet-controller ic-name address ip-address user@host# set services unified-access-control infranet-controller ic-name interface interface-name user@host# set services unified-access-control infranet-controller ic-name password password
从访问控制服务中,将 SRX 系列防火墙定义为新的实施器。使用 SRX 系列防火墙上指定的相同密码。
用户和密码在访问控制服务上定义,就像在标准身份验证配置中一样。一个或多个角色也可以与用户关联。对用户进行身份验证后,将向访问控制服务上的 UAC 身份验证表添加一个包含 IP 地址、用户名和关联角色的条目。
初始化两台设备之间的连接时,UAC 身份验证表将从访问控制服务推送到 SRX 系列防火墙。每当在访问控制服务上添加、删除或更新条目时,更新后的 UAC 身份验证表都会推送到 SRX 系列防火墙。
对于用户角色防火墙实现,访问控制服务上不需要资源访问策略。访问行为在 SRX 系列防火墙的策略配置中提供。如果在访问控制服务上定义了资源访问策略,则会将其推送到 SRX 系列防火墙,但除非特定防火墙策略在策略的操作字段中实施 UAC 策略,否则不会使用这些策略。
以下命令 show services 显示 SRX 系列防火墙上 UAC 身份验证表的内容,确认已成功从访问控制服务推送该表:
user@host> show services unified-access-control authentication-table extended
Id Source IP Username Age Role name 3 192.0.2.1 april 60 Users 6 192.0.2.2 june 60 Employeees Total: 2
SRX 系列防火墙会监控连接并检测与访问控制服务的通信是否已断开。根据 UAC 配置,SRX 系列防火墙在发出另一个请求之前,会在配置的时间间隔内等待响应。如果收到响应,则认为访问控制服务正常工作。如果在指定的超时期限后未收到响应,则会将通信视为丢失,并应用超时操作。以下 UAC 命令语法配置间隔、超时和超时操作:
user@host# set services unified-access-control interval seconds user@host# set services unified-access-control timeout seconds user@host# set services unified-access-control timeout-action (close | no-change | open)
在断开连接期间,如果尝试对断开连接的设备进行用户和角色查找,则无论超时操作如何,都会返回失败代码。如果无法访问所有身份验证源,则关键字 unknown-user 将与 IP 地址相关联。当策略查找恢复时,以未知用户作为源身份的策略将与流量匹配。通过为未知用户实施特定策略,可以创建处理身份验证源丢失的方法。
防火墙认证表
防火墙身份验证要求用户先向 SRX 防火墙进行身份验证,然后才能允许区域和设备之间的访问。收到流量时,系统会提示用户输入用户名和密码,并根据指定的有效用户配置文件进行验证。根据设备配置,防火墙身份验证会验证 telnet、HTTP、HTTPS(适用于 SRX5800、SRX5600 和 SRX5400 设备)和 FTP 流量是否已在本地或通过 RADIUS、LDAP 或 SecureID 身份验证服务器进行身份验证。
如果设备上正在使用防火墙身份验证,则身份验证过程还可以提供用户角色防火墙匹配标准所需的用户名和角色信息。在这种情况下,将在称为防火墙身份验证表的 UIT 中收集和维护信息。层次结构中的 edit access 一个或多个访问策略定义用于防火墙身份验证的身份验证方法。
必须启用防火墙身份验证表作为用户角色信息检索的身份验证源。该 priority 选项指定检查所有 UIT 的顺序。
user@host# set security user-identification authentication-source firewall-authentication priority priority
在给定区域对的防火墙策略中, firewall-authentication 为操作指定的 permit 服务将启动匹配流量的身份验证。 user-firewall 身份验证类型为经过身份验证的用户生成 UIT 条目。选项中 access-profile 指定的名称标识要用于对有效用户进行身份验证的配置文件。
[edit security policies from-zone zone to-zone zone policy policy-name] user@host# set match source-identity unauthenticated-user user@host# set then permit firewall-authentication user-firewall access-profile profile-name
UIT 表条目包含映射到经过身份验证的用户和用户的关联组的流量的 IP 地址。当用户不再处于活动状态时,将从表中删除该条目。由于条目会随着流量和经过身份验证的用户的变化而不断添加和删除,因此防火墙身份验证表被视为动态的。
当同一区域对中的策略将字段指定为其 source-identity 匹配标准的一部分时,将搜索所有已启用的 UIT,以查找与流量 IP 地址对应的条目。如果找到,将检索关联的用户名和组以进行源-身份匹配。(用户认证组名称被视为源身份匹配的角色名称。
使用用户和角色进行策略配置
所有用户和角色(无论是在 SRX 系列防火墙上定义还是在访问控制服务上定义)都保存在 SRX 系列防火墙上的用户角色文件中。若要显示可用于预配的所有用户和角色,请使用以下命令 show security... 。
防火墙身份验证表中的用户名和角色不包括在以下显示中。
若要显示可用于预配的所有角色,请使用
show security user-identification role-provision all命令。请注意,所有 UIT 中的角色会一起列出。若要显示可用于预配的所有用户,请使用
show security user-identification user-provision all命令。若要显示可用于预配的所有用户和角色,请使用
show security user-identification source-identity-provision all命令。
提交策略配置时,将检查用户角色文件以确定策略中指定的所有用户和角色是否都可用于预配。如果未找到用户或角色,则会显示一条警告,标识缺少的用户或角色,以便您以后可以对其进行定义。
即使尚未定义用户或角色,也会提交策略。
参见
通过防火墙认证获取用户名和角色信息
用户角色防火墙策略可以与防火墙身份验证集成,以对用户进行身份验证以及检索用户名和角色信息。该信息将映射到流量的 IP 地址,存储在防火墙身份验证表中,并用于用户角色防火墙策略实施。
以下 CLI 语句为用户角色防火墙实施配置防火墙身份验证。
为强制网络门户重定向配置用户角色防火墙
要自动将未经身份验证的用户重定向到访问控制服务,请使用 UAC 强制门户功能。以下语法定义了强制门户的配置文件:
set services unified-access-control captive-portal profile-name redirect-traffic [unauthenticated | all] set services unified-access-control captive-portal profile-name redirect-url host-url
用于身份验证加密的 Kerberos 协议仅通过其服务主体名称 (SPN) 标识访问控制服务。协议不接受 IP 地址。因此,重定向 URL 的格式必须为
service://hostname/options
在此实现中,服务是 HTTP,主机名是访问控制服务的 FQDN。主机名后指定的选项将附加信息传递给访问控制服务,将用户定向回原始目标、SRX 系列防火墙或发起重定向的策略。您可以使用以下关键字和变量对来配置选项:
| ?target=%dest-url% | 指定用户尝试访问的受保护资源。 |
| &enforcer=%enforcer-id% | 指定当访问控制服务将 SRX 系列防火墙配置为实施器时分配给该防火墙的 ID。 |
| &policy=%policy-id% | 指定重定向流量的安全策略的加密策略 ID。 |
以下语句定义了名为 auth-redirect 的强制门户的配置文件。强制门户将未经身份验证的用户重定向到访问控制服务的 URL 进行身份验证。身份验证成功后,流量将被定向回 SRX 系列防火墙。
[edit] user@host# set services unified-access-control captive-portal auth-redirect redirect-traffic unauthenticated user@host# set services unified-access-control captive-portal auth-redirect redirect-url "http://ic6000.example.com/?target=%dest-url%&enforcer=%enforcer-id%&policy=%policy-id%"
定义的强制门户配置文件显示为 UAC 配置的一部分。
[edit] user@host#show services
unified-access-control {
captive-portal auth-redirect {
redirect-traffic unauthenticated;
redirect-url "http://ic6000.example.com/?target=%dest-url%&enforcer=%enforcer-id%&policy=%policy-id%";
}
}
定义配置文件后,策略可以在符合特定条件时将强制门户应用为应用程序服务。只要用户角色未经身份验证,身份验证重定向强制门户就会将流量从信任区域转移到不信任区域。以下示例定义策略 P1,以将身份验证重定向强制门户配置文件应用于从信任到不信任的任何 HTTP 流量:
[edit] user@host# set security policies from-zone trust to-zone untrust policy P1 match application http user@host# set security policies from-zone trust to-zone untrust policy P1 match source-identity unauthenticated-user user@host# set security policies from-zone trust to-zone untrust policy P1 then permit application-services uac-policy captive-portal auth-redirect
示例:在 SRX 系列设备上配置用户角色防火墙
以下示例在 SRX 系列防火墙上配置用户角色防火墙。防火墙根据经过身份验证的活动用户或其关联角色控制从信任区域到不信任区域的访问。用户角色防火墙策略建立以下限制:
仅允许经过身份验证的用户从信任区域到不信任区域。
未经身份验证的用户将被重定向到访问控制服务进行身份验证。
区域上下文中从 IP 192.0.2.0 到 IP 203.0.113.0 的流量受到限制。仅允许来自具有 dev-abc、http-juniper 可访问或 ftp 可访问角色的用户的流量。AppFW 规则进一步评估允许的流量。
标识为 junos:FACEBOOK-ACCESS、junos:GOOGLE-TALK 或 junos:MEEBO 应用程序流量的允许流量将被拒绝。
允许任何其他应用程序的允许流量。
允许从信任区域到不信任区域的所有其他流量。
要求
开始之前,请确保已配置并初始化 Junos OS 12.1 或更高版本的 SRX 系列防火墙。
在此示例中,与流量 IP 地址关联的用户和角色信息由访问控制服务提供。有关配置访问控制服务器的说明,请参阅 从 Active Directory 认证服务器获取用户角色信息。
概述
表 4 概述了满足此示例要求的防火墙。用户角色防火墙由四个策略组成。
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
用户角色-fw1 |
信任 |
不信任 |
任何 |
任何 |
未经身份验证的用户 |
http |
许可证 |
UAC 强制门户 |
user-role-fw2 |
信任 |
不信任 |
192.0.2.0 |
203.0.113.0 |
dev-abc http-juniper-accessible ftp-accessible |
http |
许可证 |
AppFW 规则集 RS1 |
用户角色-fw3 |
信任 |
不信任 |
192.0.2.0 |
203.0.113.0 |
任何 |
http |
否认 |
|
用户角色-fw4 |
信任 |
不信任 |
任何 |
任何 |
任何 |
http |
许可证 |
|
source-identity由于为此防火墙中的至少一个策略指定了该字段,因此在执行策略查找之前,必须检索用户和角色信息。将流量的源 IP 与 UIT 中的项目进行比较。如果找到源 IP 地址,则会存储关键字 authenticated、用户名以及与此用户关联的任何角色,以供以后在策略查找中使用。如果在 UIT 中找不到 IP 地址的匹配条目,则会存储关键字unauthenticated-user以进行策略查找。
检索用户名、角色和关键字后,将开始策略查找。将传入流量的特征与每个策略的匹配标准进行比较。如果找到匹配项,则会执行该策略中指定的操作。
策略匹配是终端事件,匹配后不会检查任何策略。策略序列会影响为匹配流量而要执行的操作。在此示例中,策略按以下顺序应用:
| user-role-fw1 | 将 UAC 强制门户服务应用于将 HTTP 流量与未经身份验证的用户关键字进行匹配,并将其重定向到访问控制服务进行身份验证。还必须配置 UAC 配置文件以标识强制门户规格。 |
| user-role-fw2 | 将 AppFW 规则集应用于从地址 192.0.2.0 到地址 203.0.113.0 且具有匹配用户名或角色的任何 HTTP 流量。还必须配置应用程序防火墙来定义规则集。 |
| user-role-fw3 | 拒绝此区域对从地址 192.0.2.0 到地址 203.0.113.0 的所有剩余 HTTP 流量。 |
| user-role-fw4 | 允许此区域对的所有剩余 HTTP 流量。 |
配置
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
为未经身份验证的用户配置重定向
分步过程
当 UIT 中未列出 IP 地址时,将在策略查找中使用未经身份验证的用户关键字。策略可以将流量重定向到 UAC 强制门户进行身份验证,而不是拒绝对此流量的访问。
请务必将未经身份验证的用户的重定向策略放在“任何”用户的策略之前,以便 UAC 身份验证不会被用于经过身份验证的用户的策略所掩盖。
要配置从 SRX 系列防火墙到访问控制服务的重定向:
在配置模式下,为强制门户 acs 设备配置 UAC 配置文件。
[edit] user@host# set services unified-access-control captive-portal acs-device redirect-traffic unauthenticated-user
配置访问控制服务的重定向 URL 或强制门户的默认 URL。
[edit] user@host# set services unified-access-control captive-portal acs-device redirect-url “https://%ic-url%/?target=%dest-url%&enforcer=%enforcer-id%”
此策略指定访问控制服务用于在身份验证后将用户定向回的默认目标和实施器变量。这可确保对系统规范的更改不会影响配置结果。
注意:当命令行中包含变量(如
?target=)时,必须将 URL 和变量括在引号中。配置用户角色防火墙策略,如果源身份是未经身份验证的用户,该策略会将 HTTP 流量从区域信任重定向到区域不信任。强制网络门户配置文件名称被指定为要针对与此策略匹配的流量执行的操作。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match source-identity unauthenticated-user user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 then permit application-services uac-policy captive-portal acs-device
如果已完成策略配置,请提交更改。
[edit] user@host# commit
结果
在配置模式下,输入 show services 和 show security policies 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]user@host#show services unified-access-control { captive-portal acs-device { redirect-traffic unauthenticated; redirect-url “https://%ic-ip%/?target=%dest-url%&enforcer=%enforcer-id%”
user@host# show security policies
from-zone trust to-zone untrust {
policy user-role-fw1 {
match {
source-address any;
destination-address any;
application http;
source-identity unauthenticated-user
}
then {
permit {
application-services {
uac-policy {
captive-portal acs-device;
}
}
}
}
}
}
使用应用程序防火墙创建用户角色策略
分步过程
此策略根据其用户和角色以及应用程序,将 IP192.0.2.0 的流量限制为 IP 203.0.113.0。该配置定义应用程序规则集,并将其应用于匹配的用户角色流量。
配置 AppFW 规则集 rs1。以下规则集拒绝 junos:FACEBOOK-ACCESS、junos:GOOGLE-TALK 或 junos:MEEBO 应用程序流量。它将默认设置“允许”应用于剩余流量。
[edit security application-firewall rule-sets rs1] user@host# set rule r1 match dynamic-application [junos:FACEBOOK-ACCESS junos:GOOGLE-TALK junos:MEEBO] user@host# set rule r1 then deny user@host# set default-rule permit
配置策略以将 rs1 应用程序防火墙规则集应用于具有 dev-abc、http-mgmt-access 或 FTP 可访问用户角色的 IP 192.0.2.0 到 IP 203.0.113.0 的流量。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match source-address 192.0.2.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match destination-address 203.0.113.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match source-identity [dev-abc http-mgmt-accessible ftp-accessible] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 then permit application-services application-firewall rule-set rs1
如果已完成策略配置,请提交更改。
[edit] user@host# commit
结果
验证是否正确配置了 AppFW 规则集。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]user@host#show security application-firewall rule-sets rs1 { rule r1 { match { dynamic-application [junos:FACEBOOK-ACCESS junos:GOOGLE-TALK junos:MEEBO] } then { deny; } } default-rule { permit; } }
根据用户和角色创建剩余的安全策略
分步过程
以下过程为剩余流量配置策略。
配置策略以拒绝具有相同源地址和目标地址但用户和角色标准不同于 user-role-fw2 策略中指定的流量。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match source-address 192.0.2.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match destination-address 203.0.113.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match source-identity any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 then deny
配置安全策略以允许从区域信任到区域不信任的所有其他 HTTP 流量。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match source-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match source-identity any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 then permit
结果
验证用户角色防火墙策略的内容和顺序。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]user@host#show security policies ... from-zone trust to-zone untrust { policy user-role-fw1 { match { source-address any; destination-address any; application http; source-identity unauthenticated-user } then { permit { application-services { uac-policy { captive-portal acs-device; } } } } } } from-zone trust to-zone untrust { policy user-role-fw2 { match { source-address 192.0.2.0; destination-address 203.0.113.0; application http; source-identity [dev-abc http-juniper-accessible ftp-accessible] } then { permit { application-services { application-firewall { rule-set rs1 } } } } } } from-zone trust to-zone untrust { policy user-role-fw3 { match { source-address 192.0.2.0; destination-address 203.0.113.0; application http; source-identity any } then { deny } } } from-zone trust to-zone untrust { policy user-role-fw4 { match { source-address any; destination-address any; application http; source-identity any } then { permit } } }
使用 UAC 配置资源策略
使用用户角色防火墙功能时,访问控制服务不需要资源策略。但是,如果存在资源策略,则会在连接时将其推送到 SRX 系列防火墙。您可以通过在策略配置中应用 UAC 应用程序服务来创建使用这些资源策略的策略。 表 5 显示了专门使用 UAC 资源策略的三个防火墙策略:
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
小一 |
区域1 |
区域2 |
任何 |
192.0.2.1 |
任何 |
http |
许可证 |
内容安全 |
P2 |
区域1 |
区域2 |
任何 |
net2 |
任何 |
http |
许可证 |
国内流离失所者 |
小三 |
区域1 |
区域2 |
任何 |
任何 |
任何 |
任何 |
许可证 |
Uac |
从区域 1 到区域 2 的流量策略不会启动用户和角色检索,因为每个策略的源身份字段中都指定了任何策略。在此示例中,允许发往 IP 地址 192.0.2.1 的流量,但必须满足指定应用程序服务的处理要求,在本例中为内容安全。IDP 处理要求允许并处理到 net2 的流量。UAC 处理要求允许和处理任何剩余流量。
此防火墙策略的配置如下所示:
[edit]user@host#show security policies from-zone zone1 to-zone zone2 { policy P1 { match { source-address any; destination-address 192.0.2.1; source-identity any; application http; } then { permit { application-services { idp; } } } } } from-zone zone1 to-zone zone2 { policy P2 { match { source-address any; destination-address net2; source-identity any; application http; } then { permit { application-services { utm; } } } } } from-zone zone1 to-zone zone2 { policy P3 { match { source-address any; destination-address any; source-identity any; application any; } then { permit { application-services { uac-policy; } } } } }
在此示例配置中,P1 和 P2 中的操作字段分别应用为 IDP 和内容安全性配置的任何要求。通过指定 uac 策略选项,推送到 SRX 系列防火墙的资源策略将确定目标是否可访问。
用户角色防火墙可以实施用户角色策略和从访问控制服务推送的资源策略。 表 6 显示了三个区域对的策略。
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
小一 |
区域1 |
区域2 |
任何 |
任何 |
未经身份验证的用户 |
任何 |
许可证 |
UAC 强制门户 |
P2 |
区域1 |
区域2 |
任何 |
192.0.2.1 |
角色2 |
http |
许可证 |
国内流离失所者 |
小三 |
区域1 |
区域2 |
任何 |
net2 |
经过身份验证的用户 |
http |
许可证 |
内容安全 |
小四 |
区域1 |
区域2 |
任何 |
任何 |
任何 |
任何 |
许可证 |
|
小五 |
区域1 |
区域3 |
任何 |
任何 |
任何 |
任何 |
许可证 |
Uac |
小六 |
区域2 |
区域3 |
任何 |
任何 |
任何 |
任何 |
许可证 |
Uac |
从区域 1 到区域 2 的流量受四个用户角色策略之一的约束。其中第一个策略使用 UAC 强制门户将未经身份验证的用户重定向到访问控制服务进行身份验证。
从区域 1 到区域 3 以及从区域 2 到区域 3 的流量访问由从访问控制服务推送的资源策略控制。