Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置强制门户进行 Web 认证和防火墙用户认证

了解如何使用 J-Web 配置强制门户以进行 Web 身份验证和防火墙用户身份验证。

概述

What Is Captive Portal?

强制门户是一种对需要连接到网络的设备进行身份验证的方法。在 SRX 系列防火墙上,您可以启用强制门户,以将 Web 浏览器请求重定向到提示您输入用户名和密码的登录页面。身份验证成功后,您可以继续进行原始页面请求和后续网络访问。

What Is Web Authentication?

使用 Web 身份验证方法,可以将浏览器指向启用了 Web 身份验证的设备上的 IP 地址。此作会在设备上托管 Web 认证功能的 IP 地址上启动 HTTPS 会话。然后,设备会提示您输入用户名和密码,并将结果缓存在设备上。当流量稍后遇到 Web 身份验证策略时,将根据之前的 Web 身份验证结果允许或拒绝您的访问。

您也可以使用其他身份验证方法,但本文档中不会介绍这些方法。但是,我们简要描述了这些方法中的每一种:

  • 直通身份验证 — 直通用户身份验证是主动身份验证的一种形式。在此方法中,设备会提示您输入用户名和密码。如果身份验证验证了您的身份,则允许您通过防火墙并访问请求的资源。

  • 使用 Web 重定向直通 - 对 HTTPS 客户端请求使用此身份验证方法时,您可以使用 Web 重定向功能将请求定向到设备的内部 Web 服务器。Web 服务器向客户端系统发送重定向 HTTPS 响应,指示其重新连接到 Web 服务器进行用户身份验证。客户端请求到达的接口是发送重定向响应的接口。

What Is Firewall User Authentication?

防火墙用户是指在通过防火墙启动连接时必须提供用户名和密码进行身份验证的网络用户。Junos OS 使管理员能够根据防火墙用户的源 IP 地址和其他凭据,限制或允许防火墙用户访问防火墙后面的受保护资源(位于不同区域中)。定义防火墙用户后,您可以创建一个策略,要求用户使用三种身份验证方法之一(Web、直通或带 Web 重定向的直通)进行身份验证。

工作流程

范围

下面是一个示例拓扑(参见 图 1),其中包括:

  • 作为客户端的防火墙用户设备。

  • 可以访问互联网的 SRX 系列防火墙。

  • 充当 HTTPS 服务器的网络设备。

图 1:示例拓扑 Network diagram showing firewall user in Untrust Zone with IP 203.0.113.12, SRX Series device bridging zones, and server in Trust Zone with IP 192.0.2.1.

在此示例拓扑中,您将使用 SRX 系列防火墙上的 J-Web 执行以下任务:

注意:

用于配置示例拓扑的值只是示例。

行动

1

在 ge-0/0/3 上创建逻辑接口,为其分配 IP 地址 203.0.113.35,并启用 Web 认证。

注意:

在此示例中,防火墙用户系统 IP 地址为 203.0.113.12,与 203.0.113.0/24 位于同一子网中。

在 ge-0/0/2 上创建一个逻辑接口,并为其分配 IP 地址 192.0.2.1。

注意:

在此示例中,HTTPS 服务器 IP 地址为 192.0.2.1。

2

创建访问配置文件 (FWAUTH) 并定义本地身份验证服务。

3

配置 Web 认证设置以显示成功登录消息。

4

创建不信任 (UT_ZONE) 和信任 (T_ZONE) 区域,并分别分配 ge-0/0/3 和 ge-0/0/2 接口。

5

在安全策略规则 (FWAUTH-RULE) 中为 Web 身份验证和防火墙用户身份验证配置强制门户。

6

验证配置的值是否适用于防火墙用户:

  • 对于 Web 身份验证,您将使用 https://203.0.113.35 成功进行身份验证。

  • 对于防火墙用户身份验证,您将使用 https://203.0.113.35 成功进行身份验证,然后被重定向到 https://192.0.2.1 以访问 HTTPS 服务器。

准备工作

  • 用于配置示例拓扑的值只是示例。您可以更改任何必要的详细信息以匹配您的网络配置。

  • 确保在此示例中使用的 SRX 系列防火墙运行的是 Junos OS 21.4R1 或更高版本。

  • 确保您的设备已安装所需的证书以允许身份验证。在此示例中,我们将使用 cert1,一个自签名证书。

步骤 1:创建逻辑接口并启用 Web 身份验证

在此步骤中,您将执行以下任务:

  • 对于 SRX 系列防火墙上的 ge-0/0/3 接口:

    1. 为不信任区域创建逻辑接口。

    2. 将 IPv4 地址 203.0.113.35 分配给接口。

      注意:

      您将使用相同的 IP 地址来启用强制强制门户。

    3. 在接口上启用 HTTPS 以进行 Web 身份验证。

  • 对于 SRX 系列防火墙上的 ge-0/0/2 接口:

    1. 为信任区域创建逻辑接口。

    2. 将 IPv4 地址 192.0.2.1 分配给接口。

您现在的位置(在 J-Web UI 中): 网络 > 连接 > 接口

要为不信任区域创建逻辑接口并启用 Web 身份验证,请执行以下作:

  1. 选择“ge-0/0/3”,然后在“接口”页面右上角选择“创建>逻辑接口”。

    此时将显示 Add Logical Interface for ge-0/0/3.0 页面。

    注意:

    您无法在 fxp0 接口上配置强制门户。
  2. 指定以下详细信息:

    行动

    逻辑单元编号

    键入 0

    描述

    键入 UT_Zone Interface

    VLAN ID

    此字段不可编辑。

    多租户类型

    从列表中选择 “无 ”。

    逻辑系统

    此字段不可编辑。

    从列表中选择 “无 ”。

    在后面的步骤中,我们将创建一个不信任区域 (UT_ZONE) 并为其分配 ge-0/0/3 接口。请参阅 步骤 4:创建安全区域并为区域分配接口

    协议(家族)- IPv4 地址

    IPv4 地址/DHCP

    选中该复选框以启用 IPv4 地址/DHCP 配置。

    IPv4 地址

    选择 IPv4 地址。然后,单击 + 并输入以下详细信息:

    • IPv4 地址 - Web 身份验证的类型 203.0.113.35

      注意:

      强制门户配置使用相同的 IPv4 地址。

    • 子网 - 使用向上或向下箭头选择 24

    • Web 身份验证:

      1. 单击 配置

        此时将显示“Web 身份验证”页面。

      2. 选择 启用 专用于强制门户的 Https。

      3. 单击 “确定 ”保存更改。
    Configuration interface for adding a logical interface to ge-0/0/3.0 with IPv4 address 203.0.113.35/24, HTTPS enabled, and description UT_Zone Interface.
  3. 单击“确定”保存更改。

    干得好!您已在 ge-0/0/3 上为您的系统创建了 IP 地址为 203.0.113.35(启用 Web 身份验证)的逻辑接口。

要为信任区域创建逻辑接口,请执行以下作:

  1. 选择“ge-0/0/2”,然后选择“接口”页面右上角的“创建>逻辑接口”。

    此时将显示 Add Logical Interface for ge-0/0/2.0 页面。

  2. 指定以下详细信息:

    行动

    逻辑单元编号

    键入 0

    描述

    键入 T_Zone Interface

    VLAN ID

    此字段不可编辑。

    多租户类型

    从列表中选择 “无 ”。

    逻辑系统

    此字段不可编辑。

    从列表中选择 “无 ”。

    在后面的步骤中,我们将创建一个信任区 (T_ZONE) 并为其分配 ge-0/0/2 接口。请参阅 步骤 4:创建安全区域并为区域分配接口

    VLAN ID

    此字段不可编辑。

    协议(家族)- IPv4 地址

    IPv4 地址/DHCP

    选中该复选框以启用 IPv4 地址/DHCP 配置。

    IPv4 地址

    1. 选择 IPv4 地址

    2. 单击 +

    3. IPv4 地址 - 类型 192.0.2.1 (HTTPS 服务器)。

    4. 子网 - 使用向上或向下箭头选择 24

    5. Web 身份验证 - 保留原样。

    6. ARP - 保留原样。
    Configuration interface for logical interface ge-0/0/2.0; IPv4 address 192.0.2.1/24 set; Logical Unit 0; Zone, Multi-tenancy, Logical System set to None; VLAN ID blank.

  3. 单击 “确定 ”保存更改。

    干得好!您已在 ge-0/0/2 上为 HTTPS 服务器创建了一个 IP 地址为 192.0.2.1 的逻辑接口。

  4. 单击 “提交 ”(位于顶部横幅右侧),然后选择 “提交配置” 以立即提交更改。

    将会显示 successful-commit 消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 2:创建访问配置文件

让我们创建一个访问配置文件来定义本地身份验证服务。您将在 Web 认证设置和安全策略中使用此访问配置文件。

您在这里(在 J-Web UI 中): 安全服务 > 防火墙身份验证 > 访问配置文件

要创建访问配置文件,请执行以下作:

  1. 单击“访问配置文件”页面右上角的添加图标 (+)。

    此时将显示“创建访问配置文件”页面。

  2. 指定以下详细信息:

    行动

    名字

    键入 FWAUTH

    地址分配

    (选答)从列表中选择 “无 ”。

    您可以从列表中选择一个地址池。您还可以通过单击 “创建地址池 ”并提供所需的值来添加新的地址池。

    认证

    当地

    1. 选择 “本地 ”以配置本地身份验证服务。

    2. 单击 “+ ”,然后在“创建本地身份验证用户”页面上输入以下详细信息:

      1. 用户名 - 键入 FWClient1。这是请求访问权限的用户的用户名。

      2. 密码 (Password) - 键入 $ABC123

      3. XAUTH IP 地址 - 保留原样。

      4. 组 - 保留原样。

      5. 单击 “确定 ”保存更改。

    认证顺序

    订单 1

    从列表中选择 “本地 ”。

    订单 2

    默认情况下,“ ”处于选中状态。保持原样。
    Software interface for creating an access profile with options for local, RADIUS, and LDAP authentication. Pop-up for local authentication user entry, username FWClient1 filled.
  3. 单击“确定”保存更改。

    干得好!您已创建 FWAUTH 访问配置文件。

  4. 单击“提交”(位于顶部横幅右侧),然后选择“提交配置”以立即提交更改。

    将会显示 successful-commit 消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 3:配置 Web 认证设置

现在,我们将分配创建的访问配置文件,定义成功登录消息,并上传徽标图像。您可以将此映像用于 Web 身份验证和强制门户。

您在这里(在 J-Web UI 中): 安全服务 > 防火墙身份验证 > 身份验证设置

要配置 Web 认证设置,请执行以下作:

  1. 单击 Web 身份验证设置
  2. 执行以下作:

    • 默认配置文件 - 从列表中选择 FWAUTH。安全策略使用此配置文件对用户进行身份验证。

    • 成功 - 键入Authentication Success为向成功登录的用户显示的消息。

  3. (可选)要上传自定义徽标:

    1. 点击上传徽标、图片。

    2. 单击 “浏览 ”以上传徽标文件。

    3. 选择徽标图像,然后单击 “确定”

      注意:

      对于一个好的徽标,图像必须采用 .gif 格式,分辨率必须为 172x65。

    4. 单击 “同步 ”以应用徽标。

      上传的图像现在将显示在强制门户登录页面或 Web 认证登录页面上。

    Authentication settings page with sections for pass-through firewall authentication configuration, web authentication profile selection, success message field, logo upload, and action buttons for save and cancel.
  4. 单击“身份验证设置”页面右上角的“保存”以保存更改。

    祝贺!您已成功保存 Web 认证设置。

  5. 单击“提交”(位于顶部横幅右侧),然后选择“提交配置”以立即提交更改。

    将会显示 successful-commit 消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 4:创建安全区域并为区域分配接口

您可以创建安全区域以定义一个或多个网段,这些网段通过策略管理入站和出站流量。

现在,我们将单独创建:

  • 不信任区域 (UT_ZONE) 并向其分配 ge-0/0/3 接口。

  • 信任区域 (T_ZONE) 并向其分配 ge-0/0/2 接口。

您在此处(在 J-Web UI 中): 安全策略和对象 > 区域/筛选

要创建UT_ZONE(不信任区域)和T_ZONE(信任区域)并将定义的接口分配给这些区域,请执行以下作:

  1. 单击“区域列表”页面右上角的添加图标 (+)。

    此时将显示“Add Zone”(添加区域)页面。

  2. 指定以下详细信息:

    行动

    主要

    区域名称

    • 键入 UT_ZONE 不信任区域。

    • 键入 T_ZONE 信任区域。

    区域说明

    • 键入 untrust zone UT_ZONE。

    • 键入 trust zone T_ZONE。

    区域类型

    选择 “安全”

    应用跟踪

    保持原样。

    源身份日志

    保持原样。

    流量控制选项

    保持原样。

    接口

    • 对于UT_ZONE,请从“可用”列中选择“ ge-0/0/3.0 ”,然后单击向右箭头将其移动到“已选择”列。

    • 对于T_ZONE,请从“可用”列中选择“ ge-0/0/2.0 ”,然后单击向右箭头将其移动到“已选择”列。
    Configuration screen for adding a zone in a network security device. Zone name is UT_ZONE. Description is untrust zone. Zone type is Security. Application tracking and source identity log are not enabled. Traffic control options include unchecked Send RST for Non Matching Session. Interface ge-0/0/3.0 is assigned to this zone.
    Configuration interface for adding a network zone with fields: Zone Name T_ZONE, Zone Description trust zone, Zone Type Security selected, and interfaces selected ge-0/0/2.0.

    作(示例值)

    主机入站流量 - 区域

    保持原样。

    主机入站流量 - 接口

    选定的接口

    • 对于UT_ZONE,请选择 ge-0/0/3.0

    • 对于T_ZONE,选择 ge-0/0/2.0

    可用服务

    从“可用服务”列 中选择“全部 ”,然后单击向右箭头将其移动到“已选择”列。

    可用协议

    从“可用协议”列 中全部 选择,然后单击向右箭头将其移动到“已选择”列。
    Network configuration interface for adding a zone in a firewall. Interface ge-0/0/3.0 selected. All services and protocols allowed.
    Configuration interface for adding a zone in a network device with tabs for different sections. Shows interface ge-0/0/2.0 with all services and protocols allowed. Includes OK and Cancel buttons.
  3. 单击“确定”保存更改。

    干得好!您已将 ge-0/0/3 接口分配给 UT_ZONE,将 ge-0/0/2 分配给 T_ZONE。

  4. 单击“提交”(位于顶部横幅右侧),然后选择“提交配置”以立即提交更改。

    将会显示 successful-commit 消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 5:在安全策略中为强制门户启用 Web 或防火墙用户身份验证

现在,我们将在安全策略规则中启用强制门户,以将客户端 HTTPS 请求重定向到设备的内部 HTTPS 服务器。

您在此处(在 J-Web UI 中): 安全策略和对象 > 安全策略

要为强制门户配置安全策略规则,请执行以下作:

  1. 单击“安全策略”页面右上角的添加图标(+)。

    此时将显示内联可编辑字段。

  2. 指定以下详细信息:

    行动

    规则名称

    名字

    键入 FWAUTH-RULE

    描述

    键入 Test rule

    源区

    +

    单击 + 添加源区域。

    此时将显示“选择源”页面。

    选择来源

    指定以下详细信息:

    1. 区域 (Zone) - 从要将规则关联到的列表中选择 UT_ZONE

    2. 地址 - 默认情况下, 任何 处于选中状态。保持原样。

    3. 源身份:

      • 对于“Web 身份验证”,请选择 “无”。

      • 对于“防火墙用户身份验证”,请选择 “特定”。然后从“可用”列中选择“ 未经过身份验证 ”和 “未知 ”,然后单击向右箭头将这些值移动到“所选”列。

    4. 源身份源 (Source identity Feed) - 选择。None

      Configuration interface for network security with options for Zone selection, source addresses, source identity, available and selected lists, and buttons to cancel or confirm settings.

    5. 单击 “确定 ”保存更改。

    目标区域

    +

    单击 + 添加目标区域。

    此时将显示“选择目标”页面。

    选择目的地

    指定以下详细信息:

    1. 区域 (Zone) - 从要将规则关联到的列表中选择 T_ZONE

    2. 地址 - 默认情况下, 任何 处于选中状态。保持原样。

    3. 动态应用程序 - 选择 “无”

      注意:

      不能使用 Web 身份验证配置动态应用程序。

    4. 服务 - 选择 任何

    5. URL 类别 - 选择 “无”

    6. 目标身份源 - 选择。None

      User interface for selecting network configuration parameters: Zone, Addresses, Applications, Services, URL category, Destination identity. Options: Any, Specific, None. Cancel and OK buttons at bottom.

    7. 单击 “确定 ”保存更改。

    行动

    选择 “允许”

    高级服务

    保持原样。

    规则选项

    +

    单击 + 选择规则选项。

    此时将显示“选择规则选项”页面。

    伐木

    保持原样。

    认证

    注意:

    此配置仅用于 Web 身份验证

    指定以下详细信息:

    • 将身份验证条目推送到 JIMS - 默认情况下,此选项处于禁用状态。保持原样。

    • 类型 - 从列表中选择 Web 认证

    • 客户端名称 - 键入 FWClient1

    • 单击 “确定 ”保存更改。

      Configuration interface for setting network security rules; Authentication tab selected with Push auth entry to JIMS toggle off, Web-authentication type, and FWClient1 client name.

    认证

    注意:

    此配置仅用于 防火墙用户身份验证

    指定以下详细信息:

    • 将身份验证条目推送到 JIMS - 默认情况下,此选项处于禁用状态。保持原样。

    • 类型 - 从列表中选择 用户防火墙

    • 访问配置文件 - 从列表中选择 FWAUTH

    • 域 - 保留原样。

    • Web 重定向 (http) - 默认情况下,此选项处于禁用状态。保持原样。

    • 强制门户 - 启用以将客户端 HTTPS 请求重定向到 Web 服务器以进行用户身份验证。

      • 接口 - 从重定向客户端 HTTPS 请求的 Web 服务器的列表中选择 ge-0/0/3.0 (203.0.113.35/24)。 这与启用 Web 身份验证时配置的接口相同。

      • IP 地址 - 键入 203.0.113.35 作为重定向客户端 HTTPS 请求的 Web 服务器。这与您在 ge-0/0/3 接口上启用 Web 认证时配置的 IPv4 地址相同。

    • SSL 终止配置文件 - 从 SSL 终止支持服务列表中选择 SSL_termination (cert1)。 作为 SSL 代理服务器,SRX 系列防火墙使用 SSL 终止进程终止客户端的 SSL 会话。

    • 仅身份验证浏览器 - 默认情况下,此选项处于禁用状态。保持原样。

    • 用户代理 - 保留原样。

    • 单击 “确定 ”保存更改。

      Configuration interface for authentication rules in a network system. Authentication tab is selected with options to push auth to IIMS, user firewall type, FWAUTH access profile, domain selection, disabled web redirect, enabled captive portal, network interface ge-0/0/3.0, IP address 203.0.113.35, SSL termination profile SSL_termination, disabled auth only browser, and user agents field. Cancel and OK buttons are available.
  3. 完成配置后,单击行右侧的勾号图标Blue checkmark indicating confirmation or verification.
    注意:

    如果创建新规则时内嵌的勾号和取消图标不可用,请向后滑动水平条。
    Security policy configuration interface showing rules FWAuthzRULE and Test rule with source zone U7_ZONE destination zone T_ZONE and dynamic application any.
  4. 单击“安全策略”页面右上角的“保存”以保存更改。
    Security Policies interface showing a rule table for traffic control. Rule: FWAUTH-RULE allows all sources to all destinations from UT_ZONE to T_ZONE.
  5. 单击“提交”(位于顶部横幅右侧),然后选择“提交配置”。

    将会显示 successful-commit 消息。

    祝贺!您已成功提交配置更改。您已设置好 Web 或防火墙用户身份验证策略。

步骤 6:验证 Web 身份验证和用户身份验证配置

目的

最后一步!让我们看看您的配置是否适用于防火墙用户:

行动

要验证 Web 认证配置,请执行以下作:

  1. 输入 https://203.0.113.35 您的 Web 浏览器。

    此时将显示“防火墙身份验证登录”页面。

    Login page for Firewall Authentication by Juniper Networks with fields for username and password on a blue background with a shield icon.

  2. 键入以下凭据,然后单击 “登录”。

    • 用户名—FWClient1

    • 密码—$ABC123

    祝贺!您已成功通过身份验证。您还可以看到配置的成功消息 身份验证成功

    Authentication success page with Close button and Juniper Networks branding.

  3. 单击 “关闭”

要验证防火墙用户身份验证,请执行以下作:

  1. 输入 https://192.0.2.1 您的 Web 浏览器。

    系统会将您重定向到 https://203.0.113.35 进行 Web 身份验证。

    Login page for Firewall Authentication by Juniper Networks prompting username and password with Log In button and Juniper Networks logo.

  2. 键入以下凭据,然后单击 “登录”。

    • 用户名—FWClient1

    • 密码—$ABC123

    Firewall authentication successful; redirecting in 3 seconds. Juniper Networks branding displayed.

    祝贺!您已成功通过身份验证。很快,您将被重定向到 https://192.0.2.1,您将能够访问 HTTPS 服务器。

下一步

要继续学习,请访问瞻博网络技术库中的 J-Web for SRX 系列文档 页面。