Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置强制门户进行 Web 认证和防火墙用户认证

了解如何使用 J-Web 配置强制门户以进行 Web 身份验证和防火墙用户身份验证。

概述

What Is Captive Portal?

强制门户是一种对需要连接到网络的设备进行身份验证的方法。在 SRX 系列防火墙上,您可以启用强制门户,以将 Web 浏览器请求重定向到提示您输入用户名和密码的登录页面。身份验证成功后,您可以继续进行原始页面请求和后续网络访问。

What Is Web Authentication?

使用 Web 身份验证方法,可以将浏览器指向启用了 Web 身份验证的设备上的 IP 地址。此作会在设备上托管 Web 认证功能的 IP 地址上启动 HTTPS 会话。然后,设备会提示您输入用户名和密码,并将结果缓存在设备上。当流量稍后遇到 Web 身份验证策略时,将根据之前的 Web 身份验证结果允许或拒绝您的访问。

您也可以使用其他身份验证方法,但本文档中不会介绍这些方法。但是,我们简要描述了这些方法中的每一种:

  • 直通身份验证 — 直通用户身份验证是主动身份验证的一种形式。在此方法中,设备会提示您输入用户名和密码。如果身份验证验证了您的身份,则允许您通过防火墙并访问请求的资源。

  • 使用 Web 重定向直通 - 对 HTTPS 客户端请求使用此身份验证方法时,您可以使用 Web 重定向功能将请求定向到设备的内部 Web 服务器。Web 服务器向客户端系统发送重定向 HTTPS 响应,指示其重新连接到 Web 服务器进行用户身份验证。客户端请求到达的接口是发送重定向响应的接口。

What Is Firewall User Authentication?

防火墙用户是指在通过防火墙启动连接时必须提供用户名和密码进行身份验证的网络用户。Junos OS 使管理员能够根据防火墙用户的源 IP 地址和其他凭据,限制或允许防火墙用户访问防火墙后面的受保护资源(位于不同区域中)。定义防火墙用户后,您可以创建一个策略,要求用户使用三种身份验证方法之一(Web、直通或带 Web 重定向的直通)进行身份验证。

工作流程

范围

下面是一个示例拓扑(参见 图 1),其中包括:

  • 作为客户端的防火墙用户设备。

  • 可以访问互联网的 SRX 系列防火墙。

  • 充当 HTTPS 服务器的网络设备。

图 1:示例拓扑 Firewall network diagram with SRX Series device. Untrust Zone device: IP 203.0.113.12. SRX interfaces: ge-0/0/3 IP 203.0.113.35, ge-0/0/2 IP 192.0.2.1. Trust Zone device: IP 192.0.2.1.

在此示例拓扑中,您将使用 SRX 系列防火墙上的 J-Web 执行以下任务:

注意:

用于配置示例拓扑的值只是示例。

行动

1

在 ge-0/0/3 上创建逻辑接口,为其分配 IP 地址 203.0.113.35,并启用 Web 认证。

注意:

在此示例中,防火墙用户系统 IP 地址为 203.0.113.12,与 203.0.113.0/24 位于同一子网中。

在 ge-0/0/2 上创建一个逻辑接口,并为其分配 IP 地址 192.0.2.1。

注意:

在此示例中,HTTPS 服务器 IP 地址为 192.0.2.1。

2

创建访问配置文件 (FWAUTH) 并定义本地身份验证服务。

3

配置 Web 认证设置以显示成功登录消息。

4

创建不信任 (UT_ZONE) 和信任 (T_ZONE) 区域,并分别分配 ge-0/0/3 和 ge-0/0/2 接口。

5

在安全策略规则 (FWAUTH-RULE) 中为 Web 身份验证和防火墙用户身份验证配置强制门户。

6

验证配置的值是否适用于防火墙用户:

  • 对于 Web 身份验证,您将使用 https://203.0.113.35 成功进行身份验证。

  • 对于防火墙用户身份验证,您将使用 https://203.0.113.35 成功进行身份验证,然后被重定向到 https://192.0.2.1 以访问 HTTPS 服务器。

准备工作

  • 用于配置示例拓扑的值只是示例。您可以更改任何必要的详细信息以匹配您的网络配置。

  • 确保在此示例中使用的 SRX 系列防火墙运行的是 Junos OS 21.4R1 或更高版本。

  • 确保您的设备已安装所需的证书以允许身份验证。在此示例中,我们将使用 cert1,一个自签名证书。

步骤 1:创建逻辑接口并启用 Web 身份验证

在此步骤中,您将执行以下任务:

  • 对于 SRX 系列防火墙上的 ge-0/0/3 接口:

    1. 为不信任区域创建逻辑接口。

    2. 将 IPv4 地址 203.0.113.35 分配给接口。

      注意:

      您将使用相同的 IP 地址来启用强制强制门户。

    3. 在接口上启用 HTTPS 以进行 Web 身份验证。

  • 对于 SRX 系列防火墙上的 ge-0/0/2 接口:

    1. 为信任区域创建逻辑接口。

    2. 将 IPv4 地址 192.0.2.1 分配给接口。

您现在的位置(在 J-Web UI 中): 网络 > 连接 > 接口

要为不信任区域创建逻辑接口并启用 Web 身份验证,请执行以下作:

  1. 选择“ge-0/0/3”,然后在“接口”页面右上角选择“创建>逻辑接口”。

    此时将显示 Add Logical Interface for ge-0/0/3.0 页面。

    注意:

    您无法在 fxp0 接口上配置强制门户。
  2. 指定以下详细信息:

    行动

    逻辑单元编号

    键入 0

    描述

    键入 UT_Zone Interface

    VLAN ID

    此字段不可编辑。

    多租户类型

    从列表中选择 “无 ”。

    逻辑系统

    此字段不可编辑。

    从列表中选择 “无 ”。

    在后面的步骤中,我们将创建一个不信任区域 (UT_ZONE) 并为其分配 ge-0/0/3 接口。请参阅 步骤 4:创建安全区域并为区域分配接口

    协议(家族)- IPv4 地址

    IPv4 地址/DHCP

    选中该复选框以启用 IPv4 地址/DHCP 配置。

    IPv4 地址

    选择 IPv4 地址。然后,单击 + 并输入以下详细信息:

    • IPv4 地址 - Web 身份验证的类型 203.0.113.35

      注意:

      强制门户配置使用相同的 IPv4 地址。

    • 子网 - 使用向上或向下箭头选择 24

    • Web 身份验证:

      1. 单击 配置

        此时将显示“Web 身份验证”页面。

      2. 选择 启用 专用于强制门户的 Https。

      3. 单击 “确定 ”保存更改。
    Configuration interface for adding logical interface ge-0/0/3.0 with IPv4 address 203.0.113.35/24 and HTTPS enabled.
  3. 单击“确定”保存更改。

    干得好!您已在 ge-0/0/3 上为您的系统创建了 IP 地址为 203.0.113.35(启用 Web 身份验证)的逻辑接口。

要为信任区域创建逻辑接口,请执行以下作:

  1. 选择“ge-0/0/2”,然后选择“接口”页面右上角的“创建>逻辑接口”。

    此时将显示 Add Logical Interface for ge-0/0/2.0 页面。

  2. 指定以下详细信息:

    行动

    逻辑单元编号

    键入 0

    描述

    键入 T_Zone Interface

    VLAN ID

    此字段不可编辑。

    多租户类型

    从列表中选择 “无 ”。

    逻辑系统

    此字段不可编辑。

    从列表中选择 “无 ”。

    在后面的步骤中,我们将创建一个信任区 (T_ZONE) 并为其分配 ge-0/0/2 接口。请参阅 步骤 4:创建安全区域并为区域分配接口

    VLAN ID

    此字段不可编辑。

    协议(家族)- IPv4 地址

    IPv4 地址/DHCP

    选中该复选框以启用 IPv4 地址/DHCP 配置。

    IPv4 地址

    1. 选择 IPv4 地址

    2. 单击 +

    3. IPv4 地址 - 类型 192.0.2.1 (HTTPS 服务器)。

    4. 子网 - 使用向上或向下箭头选择 24

    5. Web 身份验证 - 保留原样。

    6. ARP - 保留原样。
    Configuration interface for adding a logical interface to ge-0/0/2.0. Logical unit 0, labeled T_Zone Interface, with IPv4 address 192.0.2.1/24.

  3. 单击 “确定 ”保存更改。

    干得好!您已在 ge-0/0/2 上为 HTTPS 服务器创建了一个 IP 地址为 192.0.2.1 的逻辑接口。

  4. 单击 “提交 ”(位于顶部横幅右侧),然后选择 “提交配置” 以立即提交更改。

    将会显示 successful-commit 消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 2:创建访问配置文件

让我们创建一个访问配置文件来定义本地身份验证服务。您将在 Web 认证设置和安全策略中使用此访问配置文件。

您在这里(在 J-Web UI 中): 安全服务 > 防火墙身份验证 > 访问配置文件

要创建访问配置文件,请执行以下作:

  1. 单击“访问配置文件”页面右上角的添加图标 (+)。

    此时将显示“创建访问配置文件”页面。

  2. 指定以下详细信息:

    行动

    名字

    键入 FWAUTH

    地址分配

    (选答)从列表中选择 “无 ”。

    您可以从列表中选择一个地址池。您还可以通过单击 “创建地址池 ”并提供所需的值来添加新的地址池。

    认证

    当地

    1. 选择 “本地 ”以配置本地身份验证服务。

    2. 单击 “+ ”,然后在“创建本地身份验证用户”页面上输入以下详细信息:

      1. 用户名 - 键入 FWClient1。这是请求访问权限的用户的用户名。

      2. 密码 (Password) - 键入 $ABC123

      3. XAUTH IP 地址 - 保留原样。

      4. 组 - 保留原样。

      5. 单击 “确定 ”保存更改。

    认证顺序

    订单 1

    从列表中选择 “本地 ”。

    订单 2

    默认情况下,“ ”处于选中状态。保持原样。
    Create Access Profile interface with fields for profile name, address pool, and authentication methods. Pop-up for Local Authentication User with Username FWClient1, Password hidden, XAUTH/IP Address, and Group fields. Save or discard with OK or Cancel.
  3. 单击“确定”保存更改。

    干得好!您已创建 FWAUTH 访问配置文件。

  4. 单击“提交”(位于顶部横幅右侧),然后选择“提交配置”以立即提交更改。

    将会显示 successful-commit 消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 3:配置 Web 认证设置

现在,我们将分配创建的访问配置文件,定义成功登录消息,并上传徽标图像。您可以将此映像用于 Web 身份验证和强制门户。

您在这里(在 J-Web UI 中): 安全服务 > 防火墙身份验证 > 身份验证设置

要配置 Web 认证设置,请执行以下作:

  1. 单击 Web 身份验证设置
  2. 执行以下作:

    • 默认配置文件 - 从列表中选择 FWAUTH。安全策略使用此配置文件对用户进行身份验证。

    • 成功 - 键入Authentication Success为向成功登录的用户显示的消息。

  3. (可选)要上传自定义徽标:

    1. 点击上传徽标、图片。

    2. 单击 “浏览 ”以上传徽标文件。

    3. 选择徽标图像,然后单击 “确定”

      注意:

      对于一个好的徽标,图像必须采用 .gif 格式,分辨率必须为 172x65。

    4. 单击 “同步 ”以应用徽标。

      上传的图像现在将显示在强制门户登录页面或 Web 认证登录页面上。

    Authentication settings page with pass-through firewall options, web authentication default profile and success message fields, logo upload with browse button, sync and restore buttons, and cancel and save action buttons.
  4. 单击“身份验证设置”页面右上角的“保存”以保存更改。

    祝贺!您已成功保存 Web 认证设置。

  5. 单击“提交”(位于顶部横幅右侧),然后选择“提交配置”以立即提交更改。

    将会显示 successful-commit 消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 4:创建安全区域并为区域分配接口

您可以创建安全区域以定义一个或多个网段,这些网段通过策略管理入站和出站流量。

现在,我们将单独创建:

  • 不信任区域 (UT_ZONE) 并向其分配 ge-0/0/3 接口。

  • 信任区域 (T_ZONE) 并向其分配 ge-0/0/2 接口。

您在此处(在 J-Web UI 中): 安全策略和对象 > 区域/筛选

要创建UT_ZONE(不信任区域)和T_ZONE(信任区域)并将定义的接口分配给这些区域,请执行以下作:

  1. 单击“区域列表”页面右上角的添加图标 (+)。

    此时将显示“Add Zone”(添加区域)页面。

  2. 指定以下详细信息:

    行动

    主要

    区域名称

    • 键入 UT_ZONE 不信任区域。

    • 键入 T_ZONE 信任区域。

    区域说明

    • 键入 untrust zone UT_ZONE。

    • 键入 trust zone T_ZONE。

    区域类型

    选择 “安全”

    应用跟踪

    保持原样。

    源身份日志

    保持原样。

    流量控制选项

    保持原样。

    接口

    • 对于UT_ZONE,请从“可用”列中选择“ ge-0/0/3.0 ”,然后单击向右箭头将其移动到“已选择”列。

    • 对于T_ZONE,请从“可用”列中选择“ ge-0/0/2.0 ”,然后单击向右箭头将其移动到“已选择”列。
    Configuration screen for adding a zone in a network security device. Zone Name: UT_ZONE. Zone Description: untrust zone. Zone Type: Security. Application Tracking and Source Identity Log unchecked. Interface ge-0/0/3.0 assigned. Save and Cancel buttons available.
    Configuration interface for adding a zone in a network security device. Zone Name: T_ZONE. Zone Description: trust zone. Zone Type: Security. Application Tracking and Source Identity Log checkboxes are unselected. Selected interface: ge-0/0/2.0. Active tab: Main.

    作(示例值)

    主机入站流量 - 区域

    保持原样。

    主机入站流量 - 接口

    选定的接口

    • 对于UT_ZONE,请选择 ge-0/0/3.0

    • 对于T_ZONE,选择 ge-0/0/2.0

    可用服务

    从“可用服务”列 中选择“全部 ”,然后单击向右箭头将其移动到“已选择”列。

    可用协议

    从“可用协议”列 中全部 选择,然后单击向右箭头将其移动到“已选择”列。
    Network configuration interface for adding a zone, showing tabs, selected interface ge-0/0/3.0, all services and protocols allowed, with OK and Cancel buttons.
    Configuration interface for adding a zone in a network device. Host Inbound Traffic - Interface tab selected. Interface ge-0/0/2.0 chosen. Services and protocols set to all. Buttons: OK, Cancel.
  3. 单击“确定”保存更改。

    干得好!您已将 ge-0/0/3 接口分配给 UT_ZONE,将 ge-0/0/2 分配给 T_ZONE。

  4. 单击“提交”(位于顶部横幅右侧),然后选择“提交配置”以立即提交更改。

    将会显示 successful-commit 消息。

    您还可以选择在 安全策略中的步骤 5:为强制门户启用 Web 或防火墙用户身份验证结束时一次性提交所有配置更改。

步骤 5:在安全策略中为强制门户启用 Web 或防火墙用户身份验证

现在,我们将在安全策略规则中启用强制门户,以将客户端 HTTPS 请求重定向到设备的内部 HTTPS 服务器。

您在此处(在 J-Web UI 中): 安全策略和对象 > 安全策略

要为强制门户配置安全策略规则,请执行以下作:

  1. 单击“安全策略”页面右上角的添加图标(+)。

    此时将显示内联可编辑字段。

  2. 指定以下详细信息:

    行动

    规则名称

    名字

    键入 FWAUTH-RULE

    描述

    键入 Test rule

    源区

    +

    单击 + 添加源区域。

    此时将显示“选择源”页面。

    选择来源

    指定以下详细信息:

    1. 区域 (Zone) - 从要将规则关联到的列表中选择 UT_ZONE

    2. 地址 - 默认情况下, 任何 处于选中状态。保持原样。

    3. 源身份:

      • 对于“Web 身份验证”,请选择 “无”。

      • 对于“防火墙用户身份验证”,请选择 “特定”。然后从“可用”列中选择“ 未经过身份验证 ”和 “未知 ”,然后单击向右箭头将这些值移动到“所选”列。

    4. 源身份源 (Source identity Feed) - 选择。None

      Configuration interface for network security with dropdown for Zone, options for addresses and source identity, and lists for available and selected identities. Buttons for Cancel and OK at the bottom.

    5. 单击 “确定 ”保存更改。

    目标区域

    +

    单击 + 添加目标区域。

    此时将显示“选择目标”页面。

    选择目的地

    指定以下详细信息:

    1. 区域 (Zone) - 从要将规则关联到的列表中选择 T_ZONE

    2. 地址 - 默认情况下, 任何 处于选中状态。保持原样。

    3. 动态应用程序 - 选择 “无”

      注意:

      不能使用 Web 身份验证配置动态应用程序。

    4. 服务 - 选择 任何

    5. URL 类别 - 选择 “无”

    6. 目标身份源 - 选择。None

      Configuration interface for selecting destination parameters in a network system: zone, addresses, dynamic applications, services, URL category, destination identity feed. Options include Any, Specific, or None. Cancel and OK buttons at the bottom.

    7. 单击 “确定 ”保存更改。

    行动

    选择 “允许”

    高级服务

    保持原样。

    规则选项

    +

    单击 + 选择规则选项。

    此时将显示“选择规则选项”页面。

    伐木

    保持原样。

    认证

    注意:

    此配置仅用于 Web 身份验证

    指定以下详细信息:

    • 将身份验证条目推送到 JIMS - 默认情况下,此选项处于禁用状态。保持原样。

    • 类型 - 从列表中选择 Web 认证

    • 客户端名称 - 键入 FWClient1

    • 单击 “确定 ”保存更改。

      Configuration interface for network security. Authentication tab selected; Push auth entry to JIMS disabled. Type set to Web-authentication. Client name: FWClient1. Cancel and OK buttons highlighted.

    认证

    注意:

    此配置仅用于 防火墙用户身份验证

    指定以下详细信息:

    • 将身份验证条目推送到 JIMS - 默认情况下,此选项处于禁用状态。保持原样。

    • 类型 - 从列表中选择 用户防火墙

    • 访问配置文件 - 从列表中选择 FWAUTH

    • 域 - 保留原样。

    • Web 重定向 (http) - 默认情况下,此选项处于禁用状态。保持原样。

    • 强制门户 - 启用以将客户端 HTTPS 请求重定向到 Web 服务器以进行用户身份验证。

      • 接口 - 从重定向客户端 HTTPS 请求的 Web 服务器的列表中选择 ge-0/0/3.0 (203.0.113.35/24)。 这与启用 Web 身份验证时配置的接口相同。

      • IP 地址 - 键入 203.0.113.35 作为重定向客户端 HTTPS 请求的 Web 服务器。这与您在 ge-0/0/3 接口上启用 Web 认证时配置的 IPv4 地址相同。

    • SSL 终止配置文件 - 从 SSL 终止支持服务列表中选择 SSL_termination (cert1)。 作为 SSL 代理服务器,SRX 系列防火墙使用 SSL 终止进程终止客户端的 SSL 会话。

    • 仅身份验证浏览器 - 默认情况下,此选项处于禁用状态。保持原样。

    • 用户代理 - 保留原样。

    • 单击 “确定 ”保存更改。

      Configuration interface for setting authentication rules in a network system, highlighting the Authentication tab with options for rule type, access profile, domain, captive portal, and SSL termination profile.
  3. 完成配置后,单击行右侧的勾号图标Blue checkmark indicating verification.
    注意:

    如果创建新规则时内嵌的勾号和取消图标不可用,请向后滑动水平条。
    Security policies interface with rules like FWAuthRule, settings for zones U_ZONE and T_ZONE, and action buttons Save and Discard.
  4. 单击“安全策略”页面右上角的“保存”以保存更改。
    Security Policies configuration interface with a rule table defining traffic control between network zones UT_ZONE and T_ZONE using rule FWAUTH-RULE.
  5. 单击“提交”(位于顶部横幅右侧),然后选择“提交配置”。

    将会显示 successful-commit 消息。

    祝贺!您已成功提交配置更改。您已设置好 Web 或防火墙用户身份验证策略。

步骤 6:验证 Web 身份验证和用户身份验证配置

目的

最后一步!让我们看看您的配置是否适用于防火墙用户:

行动

要验证 Web 认证配置,请执行以下作:

  1. 输入 https://203.0.113.35 您的 Web 浏览器。

    此时将显示“防火墙身份验证登录”页面。

    Login page for Firewall Authentication by Juniper Networks with fields for username and password and a Log In button.

  2. 键入以下凭据,然后单击 “登录”。

    • 用户名—FWClient1

    • 密码—$ABC123

    祝贺!您已成功通过身份验证。您还可以看到配置的成功消息 身份验证成功

    Firewall authentication successful with a blue Close button. Footer mentions Juniper Networks, a networking company.

  3. 单击 “关闭”

要验证防火墙用户身份验证,请执行以下作:

  1. 输入 https://192.0.2.1 您的 Web 浏览器。

    您将被重定向到 https://203.0.113.35 进行 Web 身份验证。

    Firewall Authentication login page requiring username and password to access resources; Log In button; Juniper Networks logo.

  2. 键入以下凭据,然后单击 “登录”。

    • 用户名—FWClient1

    • 密码—$ABC123

    Firewall authentication success screen with a 3-second countdown for URL redirection. Juniper Networks logo at bottom.

    祝贺!您已成功通过身份验证。很快,您将被重定向到 https://192.0.2.1,您将能够访问 HTTPS 服务器。

下一步

要继续学习,请访问瞻博网络技术库中的 J-Web for SRX 系列文档 页面。