用户角色 防火墙安全策略
用户角色防火墙策略允许管理员根据用户分配的角色,允许或限制用户访问网络。用户角色防火墙可实现更大的威胁缓解,提供更具信息性的取证资源,改进法规合规性的记录存档,以及增强日常接入调配。
了解用户角色防火墙
仅仅基于 IP 信息的网络安全实施、监控和报告很快就不足以满足当今动态和移动员工的需求。通过集成用户防火墙策略,管理员可以根据被分配的角色,允许或限制员工、承包商、合作伙伴和其他用户的网络访问。用户角色防火墙可实现更大的威胁缓解,提供更具信息性的取证资源,改进法规合规性的记录存档,以及增强日常接入调配。
用户角色防火墙触发两个操作:
检索与流量相关联的用户和角色信息
确定根据区域对上下文中的六个匹配标准要采取的操作
源身份字段用于区分用户角色防火墙和其他类型的防火墙。如果在特殊区域对的任何策略中指定源身份,则它是用户角色防火墙。必须先检索用户和角色信息,然后才能进行策略查找。如果在任何策略中未指定源身份,则不需要用户和角色查找。
要检索用户和角色信息,认证表将搜索具有对应于信息流的 IP 地址的条目。如果找到条目,则用户被归类为经认证的用户。如果未找到,则用户被归类为未通过身份验证的用户。
将检索与经过身份验证的用户关联的用户名和角色,以匹配策略。认证分类和检索到的用户和角色信息均用于匹配源身份字段。
信息流特征与策略规格匹配。在区域环境中,匹配用户或角色的第一个策略以及五个标准匹配标准将决定要应用于流量的操作。
以下部分介绍了用户和角色检索的交互以及策略查找流程、获取用户和角色分配的方法、配置用户角色防火墙策略的技巧,以及配置用户角色防火墙策略的示例。
用户角色检索和策略查找流程
对于策略查找,防火墙策略按区域对(从区域到区域)进行分组。在区域对上下文中,基于 IP 的防火墙策略根据五个标准(源 IP、源端口、目标 IP、目标端口和协议)与流量匹配。
用户角色防火墙策略包含第六项匹配标准 — 源身份。Source-identity 字段指定策略所适用的用户和角色。当在区域对内的任何策略中指定源标识字段时,必须先检索用户和角色信息,然后才能继续策略查找。(如果区域 any 对中所有策略均设置为 源标识字段或没有条目,则不需要用户和角色信息,并且五个标准匹配标准用于策略查找。)
用户识别表 (UIT) 为已认证的活动用户提供用户和角色信息。表中的每个条目将一个 IP 地址映射到经认证的用户,以及与该用户相关联的任何角色。
当信息流需要用户和角色数据时,将搜索每个注册 UIT 具有相同的 IP 地址的条目。如果用户未经过认证,表中没有该 IP 地址条目。如果不存在 UIT 条目,则用户被视为未通过身份验证的用户。
检索用户和角色信息后,将恢复策略查找。流量特征根据策略中的匹配标准进行匹配。策略的源身份字段可以指定一个或多个用户或角色,以及以下关键字:
| 认证用户 | 已认证用户。 |
| 未身份验证的用户 | 尚未经过认证的用户。 |
| 任何 | 所有用户,而不考虑身份验证。如果未对源标识字段进行配置或设置为区域对的所有策略中的任一,则仅匹配五个标准。 |
| 未知用户 | 由于身份验证服务器断开连接(例如断电)导致无法通过身份验证的用户。 |
例如,考虑分配给 mgmt 角色的用户-c。从信任区域到不信任区域的流量从 IP 地址 198.51.100.3 的用户 c 接收时,将启动策略查找。 表 1 表示用户角色防火墙中的三个策略,用于信任不信任区域对。
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
P1 |
信任 |
不可信 |
192.0.2.0 |
203.0.113.0 |
任何 |
http |
否认 |
– |
P2 |
信任 |
不可信 |
任何 |
任何 |
mgmt |
任何 |
许可证 |
– |
P3 |
信任 |
不可信 |
198.51.100.3 |
任何 |
员工 |
http |
否认 |
– |
先检查区域对的所有策略,以检查源标识选项。如果任何策略指定了用户、角色或关键字,则必须先进行用户和角色检索,然后才能继续策略查找。 表 1 显示策略 P2 将 mgmt 指定为源身份,从而成为用户角色防火墙。必须先检索用户和角色,然后才能继续策略查找。
如果在区域环境中的所有策略中未指定关键字 any 或未指定源身份,则不执行用户和角色检索。在这种情况下,仅剩余五个值与策略标准匹配。
表 2 中表示的 UIT 检查 IP 地址。由于已找到地址,因此用户名 user-c、为 user-c 列出的所有角色(此情况下为 mgmt 和员工)以及关键字认证 source-identity 用户均会成为将流量与策略字段匹配的数据。
源 IP 地址 |
用户 |
角色 |
|---|---|---|
192.0.2.4 |
用户-a |
员工 |
198.51.100.3 |
用户-c |
管理, 员工 |
203.0.113.2 |
用户 |
承包商 |
策略查找将恢复,并将表 1 中每个策略中的匹配标准 与 传入流量进行比较。假设所有其他标准匹配,指定用户-c、mgmt、员工、认证用户或源身份字段中的任何一个策略可以是此流量的匹配项。策略 P1 匹配检索到的用户-c 角色之一,但源 IP 地址不匹配;因此,策略查找将持续。对于策略 P2,所有标准均与流量匹配;因此将遵循策略操作且允许流量。请注意,流量也匹配策略 P3,但用户防火墙策略是终端 — 当发现第一个策略匹配时,策略查找将结束。由于策略 P2 匹配所有标准,因此策略查找结束时且策略 P3 不检查。
策略还可以基于从用户和角色检索结果分配给用户的分类。为表 3 表示的相同区域对考虑一组不同的 策略。如果在 IP 198.51.100.5 时从 user-q 接收流量,则需要用户和角色检索,因为源身份字段至少在一个策略中指定。
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
P1 |
信任 |
不可信 |
任何 |
任何 |
未经认证的用户 |
http |
否认 |
– |
P2 |
信任 |
不可信 |
任何 |
任何 |
mgmt |
任何 |
许可证 |
– |
P3 |
信任 |
不可信 |
198.51.100.3 |
任何 |
员工 |
http |
否认 |
– |
检查表 2 中的 UIT 条目时,未找到 IP 地址 198.51.100.5 条目。因此,此用户被视为未通过身份验证的用户。恢复策略查找时,流量与策略 P1 匹配,流量被拒绝。
了解用户识别表
在 SRX 系列设备上,用户识别表 (UIT) 包含每个经过身份验证的用户的 IP 地址、用户名和角色信息。条目按 IP 地址排序。当安全策略需要用户名和角色信息时,将检查所有 UIT。查找其中一个 UIT 条目中的 IP 地址表示该地址的用户已成功通过身份验证。
每个身份验证源都独立维护自己的 UIT 并提供用于访问数据的查询功能。支持三种类型的 UIT:本地认证表、统一接入控制 (UAC) 身份验证表和防火墙身份验证表。
| 本地认证表 | 在 SRX 系列设备上创建的静态 UIT 通过手动方式或编程方式CLI命令。本地认证表中的所有用户都被视为经过身份验证的用户。在找到匹配的 IP 地址时,会从表条目中检索用户和角色信息,并且与流量相关联。用户可以在设备上手动创建用户和角色信息,也可从第三方认证服务器端口,但本地认证表中的数据不会实时更新。 |
| UAC 认证表 | 动态 UIT 从 Junos Pulse 接入控制推送到 SRX 系列设备。服务 UAC 认证表Junos Pulse 接入控制每个已认证用户的条目。只要更新了认证表,就会更新此表中的数据并推送到 SRX 系列设备。根据设备配置,认证可以在服务本身Junos Pulse 接入控制第三方身份验证服务器上进行。如果接入控制服务正在第三方服务器中继数据,则由访问控制服务对数据进行标记,以匹配其认证表的文件格式,然后推送到 SRX 系列设备。 |
| 防火墙身份验证表 | 在 SRX 上创建的动态 UIT, 认证 |
本地认证表
本地认证表通过插入或删除条目CLI管理。当动态 UIT 不可用时,本地认证表可以用作备份解决方案,或者将用户和角色信息分配给无法连接到网络的设备,如打印机或文件服务器。本地认证表可用于测试或演示用户角色防火墙如何在未配置防火墙认证或接入控制服务的情况下工作。
可通过 CLI 命令下载来自第三方身份验证源的 IP 地址、用户名和角色,并添加到本地CLI表中。如果认证源定义了用户和组,则组可配置为角色,并通常与用户相关联。
为了符合 UAC 认证表,用户名限制为 65 个字符,角色名称限制为 64 个字符。本地认证表在 SRX1500 及以上设备上最多包含 10,240 个身份验证条目,SRX650 和以下设备上有 5120 个身份验证条目,具体取决于安装的 Junos OS 版本。本地认证表上包含 5120 个认证条目vSRX。每个认证条目可关联多达 200 个角色。最大容量基于分配给每位用户的平均 10 个角色。这是为 UAC 认证表指定的相同容量。
使用以下命令将条目添加至本地认证表中。请注意,每个条目都使用 IP 地址作为键。
user@host> request security user-identification local-authentication-table add user user-name ip-address ip-address role [role-name role-name ]
单个 CLI 中的角色选项最多接受 40 个角色。要将 40 多个角色与单个用户关联,您需要输入多个命令。添加或修改身份验证用户和角色条目时,请注意以下特征。
角色名称不能与用户名相同。
add使用具有现有 IP 地址和用户名的选项可聚合角色条目。此表可支持每个用户多达 200 个角色。add使用具有现有 IP 地址和新用户名的选项将覆盖该 IP 地址的现有用户名。角色聚合不会影响现有会话。
要更改现有条目的角色列表,您需要删除现有条目,并添加新角色列表条目。
要更改现有条目的 IP 地址,您需要删除现有条目,并添加新 IP 地址条目。
条目可以通过 IP 地址或用户名删除。
user@host> request security user-identification local-authentication-table delete (ip-address | user-name)
可通过以下命令清除本地认证表:
user@host> clear security user-identification local-authentication-table
要显示本地认证表的内容,请使用以下 show... 命令:
user@host> show security user-identification local-authentication-table all (brief | extensive)
选项 brief (默认)显示按 IP 地址顺序的表格格式的信息。用户名和角色列表将截短以适应格式。
user@host> show security user-identification local-authentication-table all
Total entries: 2 Source IP Username Roles 198.51.100.1 user1 role1 203.0.113.2 user2 role2, role3
选项 extensive 显示每个字段的全部内容。其他选项将显示限制为单个用户名、IP 地址或角色。
user@host> show security user-identification local-authentication-table all extensive
Total entries: 3 Ip-address: 198.51.100.2 Username: user1 Roles: role1 Ip-address: 203.0.113.2 Username: user1 Roles: role2 Ip-address: 192.0.2.3 Username: user3 Roles: role1, role2
UAC 身份验证表
SRX 系列设备可以用作服务Junos Pulse 接入控制实施器。在此实施中,SRX 系列设备充当第 3 层实施点,通过从访问控制服务推送的基于 IP 的资源策略控制对资源的访问。
实施为用户角色防火墙后,SRX 系列设备可以通过类似方式访问 UAC 网络,以检索用户角色。在这种情况下,所有经过身份验证的用户的用户和角色信息均从接入控制服务推送。
SRX 系列设备配置类似于实施器。要建立通信,两台设备都需要配置和密码设置才能识别另一台设备。从 SRX 系列设备,将接入控制服务作为 infranet 控制器连接。
[edit] user@host# set services unified-access-control infranet-controller ic-name address ip-address user@host# set services unified-access-control infranet-controller ic-name interface interface-name user@host# set services unified-access-control infranet-controller ic-name password password
在接入控制服务中,将 SRX 系列设备定义为新实施器。使用在 SRX 系列设备上指定的相同密码。
用户和密码在访问控制服务上如标准认证配置中定义。一个或多个角色也可与用户相关联。对用户进行验证时,将包含 IP 地址、用户名和相关角色的条目添加到接入控制服务的 UAC 认证表中。
当两台设备之间的连接初始化时,UAC 认证表从接入控制服务推送到 SRX 系列设备。只要在接入控制服务上添加、删除或更新了条目,更新的 UAC 认证表就会推送到 SRX 系列设备。
对于用户角色防火墙实施,接入控制服务不需要资源访问策略。SRX 系列设备上的策略配置中提供了访问行为。如果在接入控制服务上定义了资源访问策略,则它们被推送到 SRX 系列设备,但除非特定的防火墙策略在策略的操作字段中实施 UAC 策略,否则不会使用。
以下 show services 命令显示 SRX 系列设备上 UAC 认证表的内容,确认此表已成功从接入控制服务推送:
user@host> show services unified-access-control authentication-table extended
Id Source IP Username Age Role name 3 192.0.2.1 april 60 Users 6 192.0.2.2 june 60 Employeees Total: 2
SRX 系列设备将监控连接并检测与接入控制服务的通信是否丢失。根据 UAC 配置,SRX 系列设备会等待已配置的间隔响应,然后再发出其他请求。如果收到响应,则接入控制服务被视为正常工作。如果指定的超时期后未收到响应,则通信被视为丢失,并且会应用超时操作。以下 UAC 命令语法配置间隔、超时和超时操作:
user@host# set services unified-access-control interval seconds user@host# set services unified-access-control timeout seconds user@host# set services unified-access-control timeout-action (close | no-change | open)
在断开连接期间,如果尝试对断开连接的设备进行用户和角色查找,则无论超时操作如何,都会返回故障代码。如果无法访问所有身份验证源,则关键字 unknown-user 与 IP 地址相关联。恢复策略查找时,将未知用户作为源身份的策略与流量匹配。通过为未知用户实施特定策略,您可以创建一种处理身份验证丢失源的方法。
防火墙身份验证表
防火墙认证要求用户先向 SRX 防火墙进行身份验证,然后才能访问区域和设备。收到信息流时,系统会提示用户输入用户名和密码,并针对指定的有效用户配置文件进行验证。根据设备配置,防火墙身份验证可验证 telnet、HTTP、HTTPS(SRX5800、SRX5600 和 SRX5400 设备)和 FTP 流量是否在本地或由 RADIUS、LDAP 或 SecureID 身份验证服务器进行验证。
如果在设备上使用防火墙认证,则认证流程还可提供用户角色防火墙匹配标准所需的用户名和角色信息。在这种情况下,信息在称为防火墙认证表的 UIT 中收集并维护。层次结构中的一个或多个访问 edit access 策略定义了用于防火墙身份验证的身份验证方法。
防火墙认证表必须作为认证源启用,用于检索用户角色信息。选项 priority 指定了检查所有 UIT 的顺序。
user@host# set security user-identification authentication-source firewall-authentication priority priority
在给定区域对的防火墙策略中firewall-authenticationpermit,为操作指定的服务将启动匹配信息流身份验证。认证user-firewall类型会为经过认证的用户生成 UIT 条目。在 选项中指定access-profile的名称标识要用于认证有效用户的配置文件。
[edit security policies from-zone zone to-zone zone policy policy-name] user@host# set match source-identity unauthenticated-user user@host# set then permit firewall-authentication user-firewall access-profile profile-name
UIT 表条目包含映射到已认证用户和用户关联组的流量的 IP 地址。用户不再活动时,将从表中移除条目。由于在流量和经过身份验证的用户发生变化时,不断添加和删除条目,因此防火墙认证表被视为动态的。
当同一区域对中的策略将 source-identity 字段指定为匹配标准的一部分时,所有启用的 UIT 将搜索对应于信息流 IP 地址的条目。如果发现,将检索关联的用户名和组进行源身份匹配。(用户认证组名称被视为源身份匹配的角色名称。)
使用用户和角色配置策略
不管在 SRX 系列设备上还是接入控制服务上定义,所有用户和角色均在 SRX 系列设备的用户角色文件中保持。要显示可用于调配的所有用户和角色,请使用以下 show security... 命令。
以下显示中不包含防火墙认证表中的用户名和角色。
要显示可用于配置的所有角色,请使用
show security user-identification role-provision all命令。请注意,所有 UIT 的角色都列出在一起。要显示可用于调配的所有用户,请使用
show security user-identification user-provision all命令。要显示可用于配置的所有用户和角色,请使用
show security user-identification source-identity-provision all命令。
提交策略配置后,将检查用户角色文件,以确定在策略中指定的所有用户和角色是否可用于配置。如果未找到用户或角色,警告将标识缺少的用户或角色,以便稍后可以定义。
即使尚未定义用户或角色,也承诺该策略。
另请参阅
通过防火墙身份验证获取用户名和角色信息
用户角色防火墙策略可与防火墙认证集成,以对用户进行身份验证以及检索用户名和角色信息。此信息映射到信息流的 IP 地址,存储在防火墙认证表中,用于用户角色防火墙策略实施。
以下CLI语句配置用户角色防火墙实施防火墙身份验证。
为强制门户重定向配置用户角色防火墙
要自动将未身份验证的用户重定向到访问控制服务,请使用 UAC 强制门户功能。以下语法定义了强制门户的配置文件:
set services unified-access-control captive-portal profile-name redirect-traffic [unauthenticated | all] set services unified-access-control captive-portal profile-name redirect-url host-url
用于认证加密的 Kerberos 协议仅通过服务主名称 (SPN) 标识访问控制服务。协议不接受 IP 地址。因此,重定向 URL 的格式必须为
service://hostname/options
在此实施中,服务为 HTTP,主机名是接入控制服务的 FQDN。主机名之后指定的选项将附加信息传递给接入控制服务,将用户返回原始目标、SRX 系列设备或发起重定向的策略。您可以使用以下关键字和变量对配置选项:
| ?target=%dest-url% | 指定用户试图访问的受保护资源。 |
| &enforcer=%enforcer-id% | 指定由访问控制服务配置为实施器时分配给 SRX 系列设备的 ID。 |
| &policy=%策略 id% | 指定重定向流量的安全策略的加密策略 ID。 |
以下语句定义了名为 auth-redirect 的强制门户的配置文件。强制门户会将未身份验证的用户重定向到接入控制服务的 URL,以便进行身份验证。成功通过身份验证后,流量将返回 SRX 系列设备。
[edit] user@host# set services unified-access-control captive-portal auth-redirect redirect-traffic unauthenticated user@host# set services unified-access-control captive-portal auth-redirect redirect-url "http://ic6000.example.com/?target=%dest-url%&enforcer=%enforcer-id%&policy=%policy-id%"
定义的强制门户配置文件作为 UAC 配置的一部分显示。
[edit] user@host#show services
unified-access-control {
captive-portal auth-redirect {
redirect-traffic unauthenticated;
redirect-url "http://ic6000.example.com/?target=%dest-url%&enforcer=%enforcer-id%&policy=%policy-id%";
}
}
定义配置文件后,当匹配特定标准时,策略可以将强制门户应用为应用程序服务。只要用户角色未经身份验证,身份验证重定向强制门户就会将流量从信任区域转移至不信任区域。以下示例定义策略 P1,将 auth-redirect 强制门户配置文件应用于来自信任方到不信任的任何 HTTP 流量:
[edit] user@host# set security policies from-zone trust to-zone untrust policy P1 match application http user@host# set security policies from-zone trust to-zone untrust policy P1 match source-identity unauthenticated-user user@host# set security policies from-zone trust to-zone untrust policy P1 then permit application-services uac-policy captive-portal auth-redirect
示例:在 SRX 系列设备上配置用户角色防火墙
以下示例在 SRX 系列设备上配置用户角色防火墙。防火墙根据活动、经过身份验证的用户或者其关联角色控制从信任区域到不信任区域的访问。用户角色防火墙策略设定以下限制:
只有经过身份验证的用户才能从信任区域到不信任区域。
未经身份验证的用户将重定向至接入控制服务进行认证。
区域环境中从 IP 192.0.2.0 到 IP 203.0.113.0 的流量受到限制。仅允许具有 dev-abc、http-juniper-accessibl 或 ftp 可访问角色的用户的流量。允许的流量由 AppFW 规则进一步评估。
识别为 junos:FACEBOOK-ACCESS、junos:GOOGLE-TALK 或 junos:MEEBO 应用程序流量的允许流量被拒绝。
允许任何其他应用程序使用允许的流量。
允许从信任区域到不信任区域的其他所有流量。
要求
开始之前,请确保已配置和Junos OS版本 12.1 或更高版本的 SRX 系列设备。
此示例中的用户和角色信息与流量的 IP 地址相关联,由接入控制服务提供。有关配置接入控制服务器的说明,请参阅 从 Active Directory 身份验证服务器获取用户角色信息 。
概述
表 4 概括显示了满足此示例要求的防火墙。用户角色防火墙由四个策略组成。
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
用户角色-fw1 |
信任 |
不可信 |
任何 |
任何 |
未经认证的用户 |
http |
许可证 |
UAC 强制门户 |
用户角色-fw2 |
信任 |
不可信 |
192.0.2.0 |
203.0.113.0 |
dev-abc http-juniper-accessibl ftp-accessible |
http |
许可证 |
AppFW 规则集 RS1 |
用户角色-fw3 |
信任 |
不可信 |
192.0.2.0 |
203.0.113.0 |
任何 |
http |
否认 |
|
用户角色-fw4 |
信任 |
不可信 |
任何 |
任何 |
任何 |
http |
许可证 |
|
source-identity由于为此防火墙中至少一个策略指定字段,因此必须先检索用户和角色信息,然后才能执行策略查找。流量源 IP 与 UIT 中的条目进行比较。如果找到源 IP 地址authenticated,则此用户关联的关键字、用户名和任何角色将存储好,稍后用于策略查找。如果在 UIT unauthenticated-user 中未找到 IP 地址的匹配条目,将存储该关键字用于策略查找。
检索用户名、角色和关键字后,策略查找将开始。传入信息流的特征将比较至每个策略的匹配标准。如果找到匹配项,将执行该策略中指定的操作。
策略匹配是终端事件,匹配后不会检查策略。策略序列影响为匹配信息流要采取的措施。此示例将按以下顺序应用策略:
| 用户角色-fw1 | 将 UAC 强制门户服务应用于将 HTTP 流量与未经过身份验证的用户关键字匹配,然后重定向至访问控制服务进行认证。还必须配置 UAC 配置文件,以识别强制门户规格。 |
| 用户角色-fw2 | 将 AppFW 规则集应用于地址 192.0.2.0 到地址 203.0.113.0 的所有 HTTP 流量,该地址具有匹配的用户名或角色。应用程序防火墙必须配置为定义规则集。 |
| 用户角色-fw3 | 拒绝从地址 192.0.2.0 到此区域对的 203.0.113.0 地址的剩余所有 HTTP 信息流。 |
| 用户角色-fw4 | 允许此区域对的剩余所有 HTTP 流量。 |
配置
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户指南 中的 在 配置模式下CLI编辑器 。
为未经过身份验证的用户配置重定向
逐步过程
当 IP 地址未在 UIT 中列出时,未身份验证的用户关键字用于策略查找。策略可以将流量重定向到 UAC 强制门户进行认证,而非拒绝对此流量的访问。
在面向"任意"用户的策略之前,针对未经过身份验证的用户放置重定向策略非常重要,这样 UAC 认证才不会受针对经过身份验证的用户的策略的影子。
要配置从 SRX 系列设备到接入控制服务的重定向:
在配置模式下,为强制门户 acs-device 配置 UAC 配置文件。
[edit] user@host# set services unified-access-control captive-portal acs-device redirect-traffic unauthenticated-user
配置接入控制服务的重定向 URL 或强制门户的默认 URL。
[edit] user@host# set services unified-access-control captive-portal acs-device redirect-url “https://%ic-url%/?target=%dest-url%&enforcer=%enforcer-id%”
此策略指定了访问控制服务用于将用户引导回认证的默认目标和实施器变量。这样可以确保系统规格变更不会影响配置结果。
注意:当 命令行中包含 变量(
?target=如 )时,您必须用引号将 URL 和变量括起来。配置用户角色防火墙策略,在源身份未经过身份验证的用户时,将 HTTP 流量从区域信任重定向至不信任区域。强制门户配置文件名称指定为与此策略匹配的信息流要采取的措施。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 match source-identity unauthenticated-user user@host# set security policies from-zone trust to-zone untrust policy user-role-fw1 then permit application-services uac-policy captive-portal acs-device
如果完成策略配置,请提交更改。
[edit] user@host# commit
结果
在配置模式下,输入 和 命令以确认 show services 您的 show security policies 配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit]user@host#show services unified-access-control { captive-portal acs-device { redirect-traffic unauthenticated; redirect-url “https://%ic-ip%/?target=%dest-url%&enforcer=%enforcer-id%”
user@host# show security policies
from-zone trust to-zone untrust {
policy user-role-fw1 {
match {
source-address any;
destination-address any;
application http;
source-identity unauthenticated-user
}
then {
permit {
application-services {
uac-policy {
captive-portal acs-device;
}
}
}
}
}
}
使用应用程序防火墙创建用户角色策略
逐步过程
此策略会基于用户和角色以及应用程序限制从 IP192.0.2.0 到 IP 203.0.113.0 的流量。配置定义了应用程序规则集,并应用于匹配用户角色信息流。
配置 AppFW 规则集 rs1。以下规则集拒绝 junos:FACEBOOK-ACCESS、junos:GOOGLE-TALK 或 junos:MEEBO 应用程序流量。它将默认设置(允许)应用于其余信息流。
[edit security application-firewall rule-sets rs1] user@host# set rule r1 match dynamic-application [junos:FACEBOOK-ACCESS junos:GOOGLE-TALK junos:MEEBO] user@host# set rule r1 then deny user@host# set default-rule permit
配置策略以将 rs1 应用程序防火墙规则集应用于从 IP 192.0.2.0 到 IP 203.0.113.0(使用 dev-abc、http-mgmt 可访问或 ftp 可访问的用户角色)的流量。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match source-address 192.0.2.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match destination-address 203.0.113.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 match source-identity [dev-abc http-mgmt-accessible ftp-accessible] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw2 then permit application-services application-firewall rule-set rs1
如果完成配置策略,请提交更改。
[edit] user@host# commit
结果
验证 AppFW 规则集配置是否正确。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit]user@host#show security application-firewall rule-sets rs1 { rule r1 { match { dynamic-application [junos:FACEBOOK-ACCESS junos:GOOGLE-TALK junos:MEEBO] } then { deny; } } default-rule { permit; } }
基于用户和角色创建剩余安全策略
逐步过程
以下过程为其余信息流配置策略。
配置策略以拒绝来源和目标地址相同但使用的用户和角色标准(在用户-角色-fw2 策略中指定的标准)的流量。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match source-address 192.0.2.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match destination-address 203.0.113.0 user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 match source-identity any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw3 then deny
配置安全策略以允许从区域信任到区域不信任的所有其他 HTTP 流量。
[edit] user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match source-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match application http user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 match source-identity any user@host# set security policies from-zone trust to-zone untrust policy user-role-fw4 then permit
结果
验证用户角色防火墙策略的内容和顺序。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit]user@host#show security policies ... from-zone trust to-zone untrust { policy user-role-fw1 { match { source-address any; destination-address any; application http; source-identity unauthenticated-user } then { permit { application-services { uac-policy { captive-portal acs-device; } } } } } } from-zone trust to-zone untrust { policy user-role-fw2 { match { source-address 192.0.2.0; destination-address 203.0.113.0; application http; source-identity [dev-abc http-juniper-accessible ftp-accessible] } then { permit { application-services { application-firewall { rule-set rs1 } } } } } } from-zone trust to-zone untrust { policy user-role-fw3 { match { source-address 192.0.2.0; destination-address 203.0.113.0; application http; source-identity any } then { deny } } } from-zone trust to-zone untrust { policy user-role-fw4 { match { source-address any; destination-address any; application http; source-identity any } then { permit } } }
使用 UAC 配置资源策略
使用用户角色防火墙功能时,接入控制服务不需要资源策略。但是,如果存在资源策略,则它们被推送到连接的 SRX 系列设备。您可通过在策略配置中应用 UAC 应用程序服务来创建使用这些资源策略的策略。 表 5 显示了专门使用 UAC 资源策略的三个防火墙策略:
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
P1 |
区区 1 |
区区 2 |
任何 |
192.0.2.1 |
任何 |
http |
许可证 |
UTM |
P2 |
区区 1 |
区区 2 |
任何 |
net2 |
任何 |
http |
许可证 |
IDP |
P3 |
区区 1 |
区区 2 |
任何 |
任何 |
任何 |
任何 |
许可证 |
UAC |
从区域 1 到区域 2 的流量的策略不会启动用户和角色检索,因为每个策略的源身份字段中都会指定任何。此示例允许到 IP 地址 192.0.2.1 的流量,但必须满足指定应用程序服务的处理要求,在这种情况下,UTM。net2 的信息流由标准处理要求IDP和处理。UAC 处理要求允许并处理剩余的任何信息流。
此防火墙策略的配置如下所示:
[edit]user@host#show security policies from-zone zone1 to-zone zone2 { policy P1 { match { source-address any; destination-address 192.0.2.1; source-identity any; application http; } then { permit { application-services { idp; } } } } } from-zone zone1 to-zone zone2 { policy P2 { match { source-address any; destination-address net2; source-identity any; application http; } then { permit { application-services { utm; } } } } } from-zone zone1 to-zone zone2 { policy P3 { match { source-address any; destination-address any; source-identity any; application any; } then { permit { application-services { uac-policy; } } } } }
在此样本配置中,P1 和 P2 中的操作字段将分别应用为 IDP 和 UTM 配置的任何要求。通过指定 uac-policy 选项,推送到 SRX 系列设备的资源策略将确定是否可访问目标。
用户角色防火墙可以实施用户角色策略和从接入控制服务推送的资源策略。 表 6 显示了三个区区对的策略。
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|
P1 |
区区 1 |
区区 2 |
任何 |
任何 |
未身份验证的用户 |
任何 |
许可证 |
UAC 强制门户 |
P2 |
区区 1 |
区区 2 |
任何 |
192.0.2.1 |
角色 2 |
http |
许可证 |
IDP |
P3 |
区区 1 |
区区 2 |
任何 |
net2 |
认证用户 |
http |
许可证 |
UTM |
P4 |
区区 1 |
区区 2 |
任何 |
任何 |
任何 |
任何 |
许可证 |
|
P5 |
区区 1 |
区区 3 |
任何 |
任何 |
任何 |
任何 |
许可证 |
UAC |
P6 |
区区 2 |
区区 3 |
任何 |
任何 |
任何 |
任何 |
许可证 |
UAC |
从区域 1 到区域 2 的流量受四个用户角色策略之一的影响。第一种策略使用 UAC 强制门户将未经身份验证的用户重定向到接入控制服务进行认证。
从区域 1 到区域 3 以及从区域 2 到区域 3 的流量访问由从接入控制服务推送的资源策略控制。