Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

为 Web 身份验证和防火墙用户身份验证配置强制门户

总结 了解如何使用 J-Web 为 Web 身份验证和防火墙用户身份验证配置强制门户。

概述

What Is Captive Portal?

强制门户是一种对需要连接到网络的设备进行验证的方法。在 SRX 系列防火墙上,您可以启用强制门户,将浏览器请求重定向到登录页面,并提示您输入用户名和密码。成功身份验证后,您可以继续原始页面请求和后续的网络访问。

What Is Web Authentication?

使用 Web 身份验证方法,可以将浏览器指向启用了 Web 认证的设备上的 IP 地址。此操作将在设备上托管 Web 身份验证功能的 IP 地址上启动 HTTPS 会话。然后,设备会提示您输入用户名和密码,结果会缓存在设备上。当流量随后遇到 Web 身份验证策略时,将根据之前的 Web 身份验证结果允许或拒绝您的访问。

您也可以使用其他身份验证方法,但本文中不会介绍这些方法。但是,我们简要介绍了其中每种方法:

  • 直通身份验证 — 传递用户身份验证是一种主动身份验证形式。在此方法中,设备会提示您输入用户名和密码。如果身份验证可以验证您的身份,则允许您通过防火墙并访问请求的资源。

  • 使用 Web 重定向直通 — 当对 HTTPS 客户端请求使用此身份验证方法时,您可以使用 Web 重定向功能将请求定向到设备的内部 Web 服务器。Web 服务器向客户端系统发送重定向 HTTPS 响应,指示其重新连接到 Web 服务器进行用户身份验证。客户端请求到达的接口是发送重定向响应的接口。

What Is Firewall User Authentication?

防火墙用户是指在跨防火墙启动连接时必须提供用于身份验证的用户名和密码的网络用户。Junos OS 使管理员能够根据源 IP 地址和其他凭据,限制或允许防火墙用户访问防火墙背后的受保护资源(位于不同区域)。定义防火墙用户后,您可以创建一个策略,要求用户使用三种身份验证方法之一(Web、传递或 Web-重定向直通)之一进行身份验证。

流程

范围

下面是一个示例拓扑(请参阅 图 1),其中包括:

  • 充当客户端的防火墙用户设备。

  • 可以访问互联网的 SRX 系列防火墙。

  • 用作 HTTPS 服务器的网络设备。

图 1:示例拓扑 Sample Topology

在此示例拓扑中,您将在 SRX 系列防火墙上使用 J-Web 执行以下任务:

注意:

用于配置示例拓扑的值仅是示例。

行动

1

在 ge-0/0/3 上创建一个逻辑接口,为其分配 IP 地址 203.0.113.35,并启用 Web 身份验证。

注意:

在此示例中,防火墙用户系统 IP 地址为 203.0.113.12,与 203.0.113.0/24 位于同一子网中。

在 ge-0/0/2 上创建一个逻辑接口,并为其分配 IP 地址 192.0.2.1。

注意:

在此示例中,HTTPS 服务器 IP 地址为 192.0.2.1。

2

创建访问配置文件 (FWAUTH) 并定义本地身份验证服务。

3

配置 Web 身份验证设置以显示成功登录消息。

4

创建不信任 (UT_ZONE) 和信任 (T_ZONE) 区域,并分别分配 ge-0/0/3 和 ge-0/0/2 接口。

5

在安全策略规则 (FWAUTH-RULE) 中配置强制门户,用于 Web 身份验证和防火墙用户身份验证。

6

验证配置的值是否适用于防火墙用户:

  • 对于 Web 身份验证,您将使用 https://203.0.113.35 成功进行身份验证。

  • 对于防火墙用户身份验证,您需要使用 https://203.0.113.35 成功进行身份验证,然后重定向至 https://192.0.2.1 以访问 HTTPS 服务器。

开始之前

  • 用于配置示例拓扑的值仅是示例。您可以更改任何必要的详细信息,以匹配您的网络配置。

  • 确保此示例中使用的 SRX 系列防火墙运行 Junos OS 21.4R1 或更高版本。

  • 确保您的设备已安装允许身份验证所需的证书。在此示例中,我们使用 cert1,一种自签名证书。

步骤 1:创建逻辑接口并启用 Web 身份验证

在这一步中,您将执行以下任务:

  • 对于 SRX 系列防火墙上的 ge-0/0/3 接口:

    1. 为不信任区域创建逻辑接口。

    2. 将 IPv4 地址 203.0.113.35 分配给接口。

      注意:

      您将使用相同的 IP 地址启用强制门户。

    3. 在接口上启用 HTTPS 进行 Web 身份验证。

  • 对于 SRX 系列防火墙上的 ge-0/0/2 接口:

    1. 为信任区域创建逻辑接口。

    2. 将 IPv4 地址 192.0.2.1 分配给接口。

您在此处(在 J-Web UI 中): 网络 > 连接 > 接口

要为不信任区域创建逻辑接口并启用 Web 身份验证:

  1. 选择 ge-0/0/3,然后选择“接口”页面右上角的“创建>逻辑接口”。

    将显示“ge-0/0/3.0 添加逻辑接口”页面。

    注意:

    无法在 fxp0 接口上配置强制门户。
  2. 指定以下详细信息:

    领域

    行动

    逻辑单元号

    键入 0

    描述

    键入 UT_Zone Interface

    VLAN ID

    此字段不可编辑。

    多租户类型

    从列表中选择 None

    逻辑系统

    此字段不可编辑。

    从列表中选择 None

    在后续步骤中,我们将创建一个不信任区域 (UT_ZONE),并将 ge-0/0/3 接口分配给它。请参阅 步骤 4:创建安全区域并为区域分配接口

    协议(家族)- IPv4 地址

    IPv4 地址 /DHCP

    选中该复选框以启用 IPv4 地址/DHCP 配置。

    IPv4 地址

    选择 IPv4 地址。然后,单击 + 并输入以下详细信息:

    • IPv4 地址 — Web 身份验证类型 203.0.113.35

      注意:

      强制门户配置使用相同的 IPv4 地址。

    • 子网 — 使用向上或向下箭头选择 24

    • Web 身份验证:

      1. 单击 配置

        将显示 Web 身份验证页面。

      2. 选择 “启用 Https 专用于强制门户”。

      3. 单击 OK 保存更改。
  3. 单击 OK 保存更改。

    干得好!您在 ge-0/0/3 上创建了一个 IP 地址为 203.0.113.35(已启用 Web 身份验证)的逻辑接口。

要为信任区域创建逻辑接口,请执行以下操作:

  1. 选择 ge-0/0/2,然后选择“接口”页面右上角的“创建>逻辑接口”。

    将显示“ge-0/0/2.0 添加逻辑接口”页面。

  2. 指定以下详细信息:

    领域

    行动

    逻辑单元号

    键入 0

    描述

    键入 T_Zone Interface

    VLAN ID

    此字段不可编辑。

    多租户类型

    从列表中选择 None

    逻辑系统

    此字段不可编辑。

    从列表中选择 None

    在后续步骤中,我们将创建一个信任区域 (T_ZONE),并将 ge-0/0/2 接口分配给它。请参阅 步骤 4:创建安全区域并为区域分配接口

    VLAN ID

    此字段不可编辑。

    协议(家族)- IPv4 地址

    IPv4 地址 /DHCP

    选中该复选框以启用 IPv4 地址/DHCP 配置。

    IPv4 地址

    1. 选择 IPv4 地址

    2. 单击 +

    3. IPv4 地址 — 类型 192.0.2.1 (HTTPS 服务器)。

    4. 子网 — 使用向上或向下箭头选择 24

    5. Web 身份验证 — 保留一如二。

    6. ARP — 保留一如二。

  3. 单击 OK 保存更改。

    干得好!您在 ge-0/0/2 上为 HTTPS 服务器创建了一个 IP 地址为 192.0.2.1 的逻辑接口。

  4. 单击 “提交 ”(位于顶部横幅右侧)并选择 “提交配置” ,立即提交更改。

    将显示成功提交消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次提交所有配置更改。

步骤 2:创建访问配置文件

让我们创建一个访问配置文件来定义本地身份验证服务。您可以在 Web 身份验证设置和安全策略中使用此访问配置文件。

您在此处(在 J-Web UI 中): 安全服务 > 防火墙身份验证 > 访问配置文件

要创建访问配置文件:

  1. 单击访问配置文件页面右上角的 add 图标 (+)。

    此时将显示“创建访问配置文件”页面。

  2. 指定以下详细信息:

    领域

    行动

    名字

    键入 FWAUTH

    地址分配

    (可选)从列表中选择 None

    您可以从列表中选择地址池。您还可以通过单击“创建地址池”并提供所需值来添加新 地址池

    认证

    当地

    1. 选择 本地 以配置本地身份验证服务。

    2. 单击 + 并在“创建本地身份验证用户”页面上输入以下详细信息:

      1. 用户名 — 键入 FWClient1。这是请求访问的用户的用户名。

      2. 密码 — 键入 $ABC123

      3. XAUTH IP 地址 — 保留”

      4. 组 — 保留“保留”。

      5. 单击 OK 保存更改。

    认证顺序

    订单 1

    从列表中选择 本地

    订单 2

    默认情况下, 选择“无 ”。保留一如二。
  3. 单击 OK 保存更改。

    干得好!您创建了 FWAUTH 访问配置文件。

  4. 单击 “提交 ”(位于顶部横幅右侧)并选择 “提交配置” ,立即提交更改。

    将显示成功提交消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次提交所有配置更改。

步骤 3:配置 Web 身份验证设置

现在,我们要分配创建的访问配置文件,定义成功登录消息,然后上传徽标图像。您可以将此图像用于 Web 身份验证和强制门户。

您在此处(在 J-Web UI 中): 安全服务 > 防火墙身份验证 > 身份验证设置

要配置 Web 身份验证设置:

  1. 单击 Web 身份验证设置
  2. 请执行以下操作:

    • 默认配置文件 — 从列表中选择 FWAUTH 。安全策略使用此配置文件对用户进行身份验证。

    • 成功 - 键入 Authentication Success 为成功登录的用户显示的消息。

  3. (可选)要上传定制徽标:

    1. 单击 徽标图片上传

    2. 单击 “浏览 ”以上传徽标文件。

    3. 选择徽标图像,然后单击 OK

      注意:

      要获得良好的徽标,图像必须为 .gif 格式,分辨率必须为 172x65。

    4. 单击 Sync 以应用徽标。

      上传的图片现在将显示在强制门户登录页面或 Web 身份验证登录页面上。

  4. 单击“身份验证设置”页面右上角的“ 保存 ”以保存更改。

    祝贺!您已成功保存 Web 身份验证设置。

  5. 单击 “提交 ”(位于顶部横幅右侧)并选择 “提交配置” ,立即提交更改。

    将显示成功提交消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次提交所有配置更改。

步骤 4:创建安全区域并将接口分配给区域

您可以创建一个安全区域来定义一个或多个网络分段,通过策略来调节入站和出站流量。

现在,我们将分别创建:

  • 不信任区域 (UT_ZONE)并为其分配 ge-0/0/3 接口。

  • 一个信任区域 (T_ZONE),并将 ge-0/0/2 接口分配给它。

您在此处(在 J-Web UI 中): 安全策略和对象 > 区域/屏幕

要创建UT_ZONE(不信任区域)和T_ZONE(信任区域),并将定义的接口分配给区域:

  1. 单击区域列表页面右上角的 add 图标 (+)。

    此时将显示添加区域页面。

  2. 指定以下详细信息:

    领域

    行动

    主要

    区域名称

    • 键入 UT_ZONE 不信任区域。

    • 键入 T_ZONE 信任区域。

    区域说明

    • 键入 untrust zone UT_ZONE。

    • 键入 trust zone T_ZONE。

    区域类型

    选择 安全性

    应用程序跟踪

    保留一如二。

    源身份日志

    保留一如二。

    流量控制选项

    保留一如二。

    接口

    • 对于UT_ZONE,从“可用”列中选择 ge-0/0/3.0 ,然后单击向右箭头将其移动到“选定”列。

    • 对于T_ZONE,从“可用”列中选择 ge-0/0/2.0 ,然后单击向右箭头将其移动到“选定”列。

    领域

    操作(示例值)

    主机入站流量 - 区域

    保留一如二。

    主机入站流量 - 接口

    选定接口

    • 对于UT_ZONE,请选择 ge-0/0/3.0

    • 对于T_ZONE,请选择 ge-0/0/2.0

    可用服务

    从“可用服务”列中 选择全部 ,然后单击右箭头将其移动到“选定”列。

    可用协议

    从“可用协议”列中 选择全部 ,然后单击右箭头将其移动到“选定”列。
  3. 单击 OK 保存更改。

    干得好!已将 ge-0/0/3 接口分配给UT_ZONE,将 ge-0/0/2 分配给T_ZONE。

  4. 单击 “提交 ”(位于顶部横幅右侧)并选择 “提交配置” ,立即提交更改。

    将显示成功提交消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次提交所有配置更改。

步骤 5:在安全策略中为强制门户启用 Web 或防火墙用户身份验证

现在,我们将在安全策略规则中启用强制门户,将客户端 HTTPS 请求重定向到设备的内部 HTTPS 服务器。

您在此处(在 J-Web UI 中): 安全策略与对象 > 安全策略

要为强制门户配置安全策略规则,

  1. 单击“安全策略”页面右上角的 add (+) 图标。

    将显示内联可编辑字段。

  2. 指定以下详细信息:

    领域

    行动

    规则名称

    名字

    键入 FWAUTH-RULE

    描述

    键入 Test rule

    源区域

    +

    单击 + 以添加源区域。

    此时将显示“选择源”页面。

    选择来源

    指定以下详细信息:

    1. 区域 — 从要关联规则的列表中选择 UT_ZONE

    2. 地址 — 默认情况下, 选择“任意 ”。保留一如二。

    3. 源身份:

      • 对于 Web 身份验证,选择 “无”。

      • 对于防火墙用户身份验证,选择“ 特定”。然后,从“可用”列中选择 未经身份验证 的和 未知 的,然后单击向右箭头将这些值移动到“选定”列。

    4. 源身份源 — 选择 None

    5. 单击 OK 保存更改。

    目标区域

    +

    单击 + 以添加目标区域。

    此时将显示“选择目标”页面。

    选择目的地

    指定以下详细信息:

    1. 区域 — 从要关联规则的列表中选择 T_ZONE

    2. 地址 — 默认情况下, 选择“任意 ”。保留一如二。

    3. 动态应用程序 — 选择。

      注意:

      您无法使用 Web 身份验证配置动态应用程序。

    4. 服务 — 选择任意

    5. URL 类别 — 选择。

    6. 目标身份信息源 — 选择 None

    7. 单击 OK 保存更改。

    行动

    选择 “允许”。

    高级服务

    保留一如二。

    规则选项

    +

    单击 + 以选择规则选项。

    此时将显示“选择规则选项”页面。

    测 井

    保留一如二。

    认证

    注意:

    此配置仅用于 Web 身份验证

    指定以下详细信息:

    • 将身份验证条目推送至 JIMS — 默认情况下,此选项处于禁用状态。保留一如二。

    • 类型 — 从列表中选择 Web 身份验证

    • 客户端名称 — 键入 FWClient1

    • 单击 OK 保存更改。

    认证

    注意:

    此配置仅用于 防火墙用户身份验证

    指定以下详细信息:

    • 将身份验证条目推送至 JIMS — 默认情况下,此选项处于禁用状态。保留一如二。

    • 类型 — 从列表中选择 用户防火墙

    • 访问配置文件 — 从列表中选择 FWAUTH

    • 域 — 保留一如二。

    • Web 重定向 (http) — 默认情况下,此选项处于禁用状态。保留一如二。

    • 强制门户 — 启用将客户端 HTTPS 请求重定向到 Web 服务器进行用户身份验证。

      • 接口 — 从重定向客户端 HTTPS 请求的 Web 服务器列表中选择 ge-0/0/3.0 (203.0.113.35/24 )。与启用 Web 身份验证时配置的接口相同。

      • IP 地址 — 类型 203.0.113.35 ,用于重定向客户端 HTTPS 请求的 Web 服务器。与在 ge-0/0/3 接口上启用 Web 身份验证时配置的 IPv4 地址相同。

    • SSL 终止配置文件 — 从 SSL 终止支持服务列表中选择 SSL_termination(cert1 )。作为 SSL 代理服务器的 SRX 系列防火墙使用 SSL 终止进程终止客户端的 SSL 会话。

    • 仅身份验证浏览器 — 默认情况下,此选项处于禁用状态。保留一如二。

    • 用户代理 — 保留“保留”。

    • 单击 OK 保存更改。
  3. 完成配置后,单击行右侧的滴答符号
    注意:

    如果创建新的规则时,内联滴答和取消图标不可用,向后滑向水平条。
  4. 单击“安全策略”页面右上角的“ 保存 ”以保存更改。
  5. 单击 “提交 ”(位于顶部横幅右侧)并选择“ 提交配置”。

    将显示成功提交消息。

    祝贺!您已成功提交配置更改。您都已设置 Web 或防火墙用户身份验证策略。

步骤 6:验证 Web 身份验证和用户身份验证配置

目的

最后一步!让我们看看您的配置是否适用于防火墙用户:

行动

要验证 Web 身份验证配置:

  1. 在 Web 浏览器中键入 https://203.0.113.35

    将显示防火墙身份验证登录页面。

  2. 键入以下凭据,然后单击“ 登录”。

    • 用户名 —FWClient1

    • 密码 —$ABC123

    祝贺!您已成功通过身份验证。您还可以看到您配置的成功消息 “身份验证成功 ”。

  3. 单击 关闭

要验证防火墙用户身份验证:

  1. 在 Web 浏览器中键入 https://192.0.2.1

    您将被重定向到用于 Web 身份验证 的 https://203.0.113.35

  2. 键入以下凭据,然后单击“ 登录”。

    • 用户名 —FWClient1

    • 密码 —$ABC123

    祝贺!您已成功通过身份验证。很快,您将被重定向到 https://192.0.2.1,并且您将能够访问 HTTPS 服务器。

下一步

要继续运行,请访问瞻博网络技术库中的 J-Web for SRX 系列文档 页面。