Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置强制网络门户以进行 Web 身份验证和防火墙用户身份验证

总结 了解如何使用 J-Web 配置强制门户以进行 Web 身份验证和防火墙用户身份验证。

概述

What Is Captive Portal?

强制网络门户是一种对需要连接到网络的设备进行身份验证的方法。在 SRX 系列防火墙上,您可以启用强制门户以将 Web 浏览器请求重定向到提示您输入用户名和密码的登录页面。身份验证成功后,您可以继续执行原始页面请求和后续网络访问。

What Is Web Authentication?

使用 Web 身份验证方法,可以将浏览器指向已启用 Web 身份验证的设备上的 IP 地址。此操作将在设备上托管 Web 身份验证功能的 IP 地址上启动 HTTPS 会话。然后,设备会提示您输入用户名和密码,结果将缓存在设备上。当流量稍后遇到 Web 身份验证策略时,将根据之前的 Web 身份验证结果允许或拒绝您的访问。

您也可以使用其他身份验证方法,但我们不会在本文档中介绍这些方法。但是,我们简要描述了每种方法:

  • 直通身份验证 — 直通用户身份验证是主动身份验证的一种形式。在此方法中,设备会提示您输入用户名和密码。如果身份验证验证了您的身份,则可以通过防火墙并访问请求的资源。

  • 通过 Web 重定向直通 - 对 HTTPS 客户端请求使用此身份验证方法时,您可以使用 Web 重定向功能将请求定向到设备的内部 Web 服务器。Web 服务器向客户端系统发送重定向 HTTPS 响应,指示它重新连接到 Web 服务器进行用户身份验证。客户端请求到达的接口是发送重定向响应的接口。

What Is Firewall User Authentication?

防火墙用户是在跨防火墙启动连接时必须提供用户名和密码进行身份验证的网络用户。Junos OS 使管理员能够根据源 IP 地址和其他凭据,限制或允许防火墙用户访问防火墙后面的受保护资源(位于不同区域中)。定义防火墙用户后,您可以创建一个策略,要求用户使用三种身份验证方法(Web、直通或带 Web 重定向的直通)之一进行身份验证。

流程

范围

下面是一个示例拓扑(参见 图 1),其中包括:

  • 充当客户端的防火墙用户设备。

  • 可以访问互联网的 SRX 系列防火墙。

  • 充当 HTTPS 服务器的网络设备。

图 1:示例拓扑 Sample Topology

在此示例拓扑中,您将使用 SRX 系列防火墙上的 J-Web 执行以下任务:

注意:

用于配置示例拓扑的值只是示例。

行动

1

在 ge-0/0/3 上创建一个逻辑接口,为其分配 IP 地址 203.0.113.35,然后启用 Web 身份验证。

注意:

在此示例中,防火墙用户系统 IP 地址为 203.0.113.12,与 203.0.113.0/24 位于同一子网中。

在 ge-0/0/2 上创建一个逻辑接口,并为其分配 IP 地址 192.0.2.1。

注意:

在此示例中,HTTPS 服务器 IP 地址为 192.0.2.1。

2

创建访问配置文件 (FWAUTH) 并定义本地身份验证服务。

3

配置 Web 身份验证设置以显示成功的登录消息。

4

创建不信任 (UT_ZONE) 和信任 (T_ZONE) 区域,并分别分配 ge-0/0/3 和 ge-0/0/2 接口。

5

在安全策略规则 (FWAUTH-RULE) 中为 Web 身份验证和防火墙用户身份验证配置强制门户。

6

验证配置的值是否适用于防火墙用户:

  • 对于 Web 身份验证,您将使用 https://203.0.113.35 成功进行身份验证。

  • 对于防火墙用户身份验证,您将使用 https://203.0.113.35 成功进行身份验证,然后被重定向到用于访问 HTTPS 服务器的 https://192.0.2.1。

开始之前

  • 用于配置示例拓扑的值只是示例。您可以更改任何必要的详细信息以匹配您的网络配置。

  • 确保此示例中使用的 SRX 系列防火墙运行的是 Junos OS 21.4R1 或更高版本。

  • 确保您的设备已安装允许身份验证所需的证书。在此示例中,我们将使用 cert1,一种自签名证书。

步骤 1:创建逻辑接口并启用 Web 身份验证

在此步骤中,您将执行以下任务:

  • 对于 SRX 系列防火墙上的 ge-0/0/3 接口:

    1. 为不信任区域创建逻辑接口。

    2. 将 IPv4 地址 203.0.113.35 分配给接口。

      注意:

      您将使用相同的 IP 地址来启用强制网络门户。

    3. 在接口上启用 HTTPS 以进行 Web 身份验证。

  • 对于 SRX 系列防火墙上的 ge-0/0/2 接口:

    1. 为信任区域创建逻辑接口。

    2. 将 IPv4 地址 192.0.2.1 分配给接口。

您在此处(在 J-Web UI 中): 网络>连接>接口

要为不信任区域创建逻辑接口并启用 Web 身份验证,请执行以下操作:

  1. 选择 ge-0/0/3,然后选择接口页面右上角>创建逻辑接口

    此时将显示为 ge-0/0/3.0 添加逻辑接口页面。

    注意:

    您无法在 fxp0 接口上配置强制网络门户。

  2. 指定以下详细信息:

    领域

    行动

    逻辑单元编号

    类型 0.

    描述

    类型 UT_Zone Interface.

    虚拟帧 ID

    此字段不可编辑。

    多租户类型

    从列表中选择 “无 ”。

    逻辑系统

    此字段不可编辑。

    从列表中选择 “无 ”。

    在后面的步骤中,我们将创建一个不信任区域 (UT_ZONE) 并为其分配 ge-0/0/3 接口。请参阅 步骤 4:创建安全区域并将接口分配给区域

    协议(系列) - IPv4 地址

    IPv4 地址/DHCP

    选中该复选框以启用 IPv4 地址/DHCP 配置。

    IPv4 地址

    选择 IPv4 地址。然后,单击 + 并输入以下详细信息:

    • IPv4 地址 — 用于 Web 身份验证的类型 203.0.113.35

      注意:

      强制网络门户配置使用相同的 IPv4 地址。

    • 子网 - 使用向上或向下箭头进行选择 24

    • Web 身份验证:

      1. 单击 配置

        此时将显示“Web 身份验证”页。

      2. 选择启用专用于强制网络门户的 Https

      3. 单击 “确定 ”保存更改。

  3. 单击 “确定 ”保存更改。

    干得好!您已在 ge-0/0/3 上为系统创建了一个 IP 地址为 203.0.113.35(已启用 Web 身份验证)的逻辑接口。

要为信任区域创建逻辑接口,请执行以下操作:

  1. 选择 ge-0/0/2,然后选择接口页面右上角>创建逻辑接口

    此时将显示为 ge-0/0/2.0 添加逻辑接口页面。

  2. 指定以下详细信息:

    领域

    行动

    逻辑单元编号

    类型 0.

    描述

    类型 T_Zone Interface.

    虚拟帧 ID

    此字段不可编辑。

    多租户类型

    从列表中选择 “无 ”。

    逻辑系统

    此字段不可编辑。

    从列表中选择 “无 ”。

    在后面的步骤中,我们将创建一个信任区域 (T_ZONE) 并为其分配 ge-0/0/2 接口。请参阅 步骤 4:创建安全区域并将接口分配给区域

    虚拟帧 ID

    此字段不可编辑。

    协议(系列) - IPv4 地址

    IPv4 地址/DHCP

    选中该复选框以启用 IPv4 地址/DHCP 配置。

    IPv4 地址

    1. 选择 IPv4 地址

    2. 单击 +

    3. IPv4 地址 - 类型 192.0.2.1 (HTTPS 服务器)。

    4. 子网 - 使用向上或向下箭头进行选择 24

    5. Web 身份验证 - 保留原样。

    6. ARP — 保留原样。

  3. 单击 “确定 ”保存更改。

    干得好!您已在 ge-0/0/2 上为 HTTPS 服务器创建了一个 IP 地址为 192.0.2.1 的逻辑接口。

  4. 单击 “提交 ”(位于顶部横幅的右侧),然后选择 “提交配置 ”以立即提交更改。

    此时将显示成功提交消息。

    您还可以选择在 安全策略中的步骤 5:为强制网络门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 2:创建访问配置文件

让我们创建一个访问配置文件来定义本地身份验证服务。您将在 Web 身份验证设置和安全策略中使用此访问配置文件。

您在此处(在 J-Web UI 中): 安全服务 > 防火墙身份验证 > 访问配置文件

要创建访问配置文件:

  1. 单击“访问配置文件”页面右上角的添加图标 (+)。

    此时将显示“创建访问配置文件”页面。

  2. 指定以下详细信息:

    领域

    行动

    名字

    类型 FWAUTH.

    地址分配

    (可选)从列表中选择 “无 ”。

    您可以从列表中选择地址池。您还可以通过单击 创建地址池 并提供所需的值来添加新地址池。

    认证

    当地

    1. 选择“ 本地 ”以配置本地身份验证服务。

    2. 单击 + 并在“创建本地身份验证用户”页上输入以下详细信息:

      1. 用户名 - 键入 FWClient1。这是请求访问的用户的用户名。

      2. 密码 - 键入 $ABC123

      3. XAUTH IP 地址 — 保留原样。

      4. 组 - 保留原样。

      5. 单击 “确定 ”保存更改。

    身份验证顺序

    订单 1

    从列表中选择本地。

    订单 2

    默认情况下,选择 “无”。 保持原样。

  3. 单击 “确定 ”保存更改。

    干得好!你已创建 FWAUTH 访问配置文件。

  4. 单击 “提交 ”(位于顶部横幅的右侧),然后选择 “提交配置 ”以立即提交更改。

    此时将显示成功提交消息。

    您还可以选择在 安全策略中的步骤 5:为强制网络门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 3:配置 Web 身份验证设置

现在,我们将分配创建的访问配置文件,定义成功登录消息,并上传徽标图像。您可以将此映像用于 Web 身份验证和强制门户。

您在此处(在 J-Web UI 中): 安全服务 > 防火墙身份验证 > 身份验证设置

要配置 Web 身份验证设置,请执行以下操作:

  1. 单击“ Web 身份验证设置”。
  2. 执行以下操作:
    • 默认配置文件 - 从列表中选择 FWAUTH 。安全策略使用此配置文件对用户进行身份验证。

    • 成功 - 键入 Authentication Success 为要向成功登录的用户显示的消息。

  3. (可选)要上传自定义徽标,请执行以下操作:
    1. 点击 徽标图片上传

    2. 单击 浏览 以上传徽标文件。

    3. 选择徽标图像,然后单击“确定”。

      注意:

      对于一个好的徽标,图像必须采用 .gif 格式,分辨率必须为 172x65。

    4. 单击 同步 以应用徽标。

      上传的图像现在将显示在强制网络门户登录页面或 Web 认证登录页面上。

  4. 单击“身份验证设置”页面右上角的 “保存 ”以保存更改。

    祝贺!您已成功保存 Web 身份验证设置。

  5. 单击 “提交 ”(位于顶部横幅的右侧),然后选择 “提交配置 ”以立即提交更改。

    此时将显示成功提交消息。

    您还可以选择在 安全策略中的步骤 5:为强制网络门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 4:创建安全区域并将接口分配给区域

您可以创建安全区域来定义一个或多个网段,这些网段通过策略调节入站和出站流量。

现在,我们将分别创建:

  • 不信任区域 (UT_ZONE) 并为其分配 ge-0/0/3 接口。

  • 信任区域 (T_ZONE) 并为其分配 ge-0/0/2 接口。

您在此处(在 J-Web UI 中): 安全策略和对象 > 区域/屏幕

要创建 UT_ZONE(不信任区域)和T_ZONE(信任区域),并将定义的接口分配给区域,请执行以下操作:

  1. 单击“区域列表”页面右上角的添加图标 (+)。

    此时将显示“添加区域”页面。

  2. 指定以下详细信息:

    领域

    行动

    主要

    区域名称

    • 键入 UT_ZONE 不信任区域。

    • 键入 T_ZONE 信任区域。

    区域描述

    • 键入 untrust zone UT_ZONE。

    • 键入 trust zone T_ZONE。

    区域类型

    选择 “安全性”。

    应用程序跟踪

    保持原样。

    源标识日志

    保持原样。

    流量控制选项

    保持原样。

    接口

    • 对于UT_ZONE,请从“可用”列中选择 ge-0/0/3.0 ,然后单击向右箭头将其移动到“所选”列。

    • 对于T_ZONE,请从“可用”列中选择 ge-0/0/2.0 ,然后单击向右箭头将其移动到“所选”列。

    领域

    操作(示例值)

    主机入站流量 - 区域

    保持原样。

    主机入站流量 - 接口

    选定的接口

    • 对于UT_ZONE,请选择 ge-0/0/3.0

    • 对于T_ZONE,请选择 ge-0/0/2.0

    可用服务

    从“可用服务”列中选择 “全部 ”,然后单击向右箭头将其移动到“所选”列。

    可用协议

    从“可用协议”列中选择 全部 ,然后单击向右箭头将其移动到“所选”列。

  3. 单击 “确定 ”保存更改。

    干得好!您已将 ge-0/0/3 接口分配给 UT_ZONE,将 ge-0/0/2 分配给 T_ZONE。

  4. 单击 “提交 ”(位于顶部横幅的右侧),然后选择 “提交配置 ”以立即提交更改。

    此时将显示成功提交消息。

    您还可以选择在 安全策略中的步骤 5:为强制网络门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 5:在安全策略中为强制门户启用 Web 或防火墙用户身份验证

现在,我们将在安全策略规则中启用强制门户,以将客户端 HTTPS 请求重定向到设备的内部 HTTPS 服务器。

您在这里(在 J-Web UI 中): 安全策略和对象 > 安全策略

要为强制网络门户配置安全策略规则:

  1. 单击“安全策略”页面右上角的添加图标 (+)。

    将显示内联可编辑字段。

  2. 指定以下详细信息:

    领域

    行动

    规则名称

    名字

    类型 FWAUTH-RULE.

    描述

    类型 Test rule.

    源区域

    +

    单击 + 添加源区域。

    此时将显示“选择源”页面。

    选择来源

    指定以下详细信息:

    1. 区域 - 从列表中选择 与规则关联的UT_ZONE。

    2. 地址 - 默认情况下, 选择“任何”。 保持原样。

    3. 源标识:

      • 对于“Web 身份验证”,请选择 “无”。

      • 对于防火墙用户身份验证,请选择 “特定”。然后从“可用”列中选择“ 未经身份验证未知 ”,然后单击向右箭头将这些值移动到“已选择”列。

    4. 源标识馈送 - 选择 None

    5. 单击 “确定 ”保存更改。

    目标区域

    +

    单击 + 以添加目标区域。

    此时将显示“选择目标”页面。

    选择目的地

    指定以下详细信息:

    1. 区域 - 从要与规则关联的列表中选择 T_ZONE

    2. 地址 - 默认情况下, 选择“任何”。 保持原样。

    3. 动态应用程序 - 选择

      注意:

      不能使用 Web 身份验证配置动态应用程序。

    4. 服务 - 选择 任何

    5. URL 类别 - 选择

    6. 目标标识源 - 选择 None

    7. 单击 “确定 ”保存更改。

    行动

    选择 “允许”。

    高级服务

    保持原样。

    规则选项

    +

    单击 + 选择规则选项。

    此时将显示“选择规则选项”页。

    测 井

    保持原样。

    认证

    注意:

    此配置仅用于 Web 身份验证

    指定以下详细信息:

    • 将身份验证条目推送到 JIMS - 默认情况下,此选项处于禁用状态。保持原样。

    • 类型 - 从列表中选择 Web 身份验证

    • 客户端名称 - 键入 FWClient1

    • 单击 “确定 ”保存更改。

    认证

    注意:

    此配置仅用于 防火墙用户身份验证

    指定以下详细信息:

    • 将身份验证条目推送到 JIMS - 默认情况下,此选项处于禁用状态。保持原样。

    • 类型 - 从列表中选择 用户防火墙

    • 访问配置文件 - 从列表中选择 FWAUTH

    • 域 - 保留原样。

    • Web 重定向 (http) - 默认情况下,此选项处于禁用状态。保持原样。

    • 强制门户 - 启用此选项可将客户端 HTTPS 请求重定向到 Web 服务器以进行用户身份验证。

      • 接口 — 从重定向客户端 HTTPS 请求的 Web 服务器的列表中选择 ge-0/0/3.0 (203.0.113.35/24)。 此接口与您在启用 Web 身份验证时配置的接口相同。

      • IP 地址 — 为重定向客户端 HTTPS 请求的 Web 服务器键入 203.0.113.35 。此 IPv4 地址与您在 ge-0/0/3 接口上启用 Web 身份验证时配置的 IPv4 地址相同。

    • SSL 终止配置文件 — 从列表中选择 SSL 终止支持服务的 SSL_termination (cert1)。 作为 SSL 代理服务器,SRX 系列防火墙使用 SSL 终止进程终止客户端的 SSL 会话。

    • 仅身份验证浏览器 - 默认情况下,此选项处于禁用状态。保持原样。

    • 用户代理 - 保留原样。

    • 单击 “确定 ”保存更改。

  3. 完成配置后,单击行右侧的勾号图标
    注意:

    如果在创建新规则时内联勾号和取消图标不可用,请向后滑动水平条。

  4. 单击安全策略页面右上角的 保存 以保存更改。
  5. 单击 提交 (位于顶部横幅的右侧),然后选择 提交配置

    此时将显示成功提交消息。

    祝贺!您已成功提交配置更改。您已设置 Web 或防火墙用户身份验证策略。

步骤 6:验证 Web 身份验证和用户身份验证配置

目的

最后一步!让我们看看您的配置是否适用于防火墙用户:

行动

要验证 Web 身份验证配置,请执行以下操作:

  1. 键入 https://203.0.113.35 您的 Web 浏览器。

    此时将显示“防火墙身份验证”登录页面。

  2. 键入以下凭据,然后单击“ 登录”。

    • 用户名—FWClient1

    • 密码—$ABC123

    祝贺!您已成功通过身份验证。您还可以看到您配置的成功消息 身份验证成功

  3. 单击 “关闭”。

要验证防火墙用户身份验证,请执行以下操作:

  1. 键入 https://192.0.2.1 您的 Web 浏览器。

    您将被重定向到进行 Web 身份验证 的 https://203.0.113.35

  2. 键入以下凭据,然后单击“ 登录”。

    • 用户名—FWClient1

    • 密码—$ABC123

    祝贺!您已成功通过身份验证。很快,您将被重定向到 https://192.0.2.1,您将能够访问HTTPS服务器。

下一步是什么

要继续学习,请访问瞻博网络技术库中的 J-Web for SRX 系列文档 页面。