Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über die Firewall-Benutzerauthentifizierung

Ein Firewall-Benutzer ist ein Netzwerkbenutzer, der zur Authentifizierung einen Benutzernamen und ein Kennwort angeben muss, wenn er eine Verbindung über die Firewall beginnt. Junos OS ermöglicht Administratoren die Einschränkung und Beschränkung des Zugriffs von Firewall-Benutzern auf geschützte Ressourcen (verschiedene Zonen) hinter einer Firewall basierend auf ihrer Quell-IP-Adresse und anderen Anmeldeinformationen.

Junos OS unterstützt auch den Administrator und point-to-Point Protocol (PPP)-Benutzertypen.

Hinweis:

Beginnend mit Junos OS Release 15.1X49-D40 und Junos OS Release 17.3R1 wird die HTTPS-basierte Authentifizierung am vSRX, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M und SRX1500 Services Gateways eingeführt.

Nach der Definition von Firewall-Benutzern können Sie eine Richtlinie erstellen, die fordert, dass sich die Benutzer über eines von drei Authentifizierungsschemata authentifizieren:

  • Pass-through authentication— Ein Host oder ein Benutzer von einer Zone versucht, auf Ressourcen in einer anderen Zone zu zugreifen. Sie müssen einen FTP-Client, einen Telnet-Client, einen HTTP-Client oder einen HTTPS-Client verwenden, um auf die IP-Adresse der geschützten Ressource zu zugreifen und sich durch die Firewall authentifizieren zu lassen. Das Gerät verwendet FTP, Telnet, HTTP oder HTTPS, um Daten zu Benutzername und Kennwort zu erfassen. Auf Grundlage dieser Authentifizierung wird nachfolgender Datenverkehr des Benutzers oder Hosts zugelassen oder abgelehnt. Wenn das Gerät einen HTTPS-Server verwendet und nach der Authentifizierung der Authentifizierung wird der nachfolgende Datenverkehr des Benutzers immer beendet, unabhängig davon, ob die Authentifizierung erfolgreich ist oder nicht.

    Hinweis:

    Beginnend mit Junos OS Release 12.1X44-D10 und Junos OS Release 17.3R1 wird Unterstützung für HTTPS-basierte Authentifizierung für High-End Services Gateways der SRX-Serie eingeführt. Sie wird auf Zweigstellengeräten der SRX-Serie nicht unterstützt. Bei Zweigstellengeräten müssen Sie HTTP-basierte Authentifizierung verwenden.
    Hinweis:

    Die Authentifizierung Junos OS Firewall-Benutzer wird ab dem 19.1R1 Veröffentlichungsversion auf allen NFX150 unterstützt.

  • Pass-through with web-redirect authentication— Diese Authentifizierungsmethode kann für HTTP- oder HTTPS-Clientanforderungen verwendet werden. Wenn Sie die Firewall-Authentifizierung so konfigurieren, dass Pass-Through-Authentifizierung für HTTP- und HTTPs-Clientanfragen verwendet wird, können Sie die Anforderungen des Benutzers über die Web-Redirect-Funktion an den internen Webserver des Geräts weiterleiten. Der Webserver sendet eine HTTP- oder HTTPS-Weiterleitungsantwort an das Clientsystem, um die Verbindung zum Webserver zur Benutzerauthentifizierung wiederherzustellen. Die Schnittstelle, an der die Anforderung des Clients eintrifft, ist die Schnittstelle, an die die Weiterleitungsantwort gesendet wird.

    Hinweis:

    Aus Sicherheitsgründen empfehlen wir Ihnen bei Sicherheitsrichtlinien, die Sie für die HTTP-Pass-Through-Authentifizierung konfigurieren, die Verwendung von Web-Redirect anstelle von Direkt-Pass-Through-Authentifizierung. Der Webbrowser kann Sicherheit bereitstellen, indem er automatisch Anmeldeinformationen für nachfolgende Anfragen an den Zielwebserver einschlingt.

    Die Verwendung dieser Funktion ermöglicht eine umfangreiche Benutzeranmeldung. Statt beispielsweise einen Popup-Eingabeaufforderung mit der Eingabe von Benutzername und Kennwort durch den Benutzer zu fordern, wird die Anmeldeseite in einem Browser angezeigt. Die Aktivierung web-redirect hat den gleichen Effekt, als ob der Benutzer die Webauthentifizierungs-IP-Adresse in einem Client-Browser eingeben würde. In diesem Sinne bietet eine nahtlose Authentifizierung; der Benutzer muss nicht die IP-Adresse der Quelle der Webauthentifizierung kennen, sondern nur die IP-Adresse der Ressource, web-redirect auf die er zu zugreifen versucht. Nach der Authentifizierung des Benutzers wird die Methode für den Datenverkehr über die IP-Adresse des Benutzers web-redirect zugelassen.

    Es wird eine Meldung angezeigt, um den Benutzer über die erfolgreiche Authentifizierung zu informieren. Nach der erfolgreichen Authentifizierung startet der Browser die ursprüngliche Ziel-URL des Benutzers, ohne die URL erneut eingeben zu müssen.

    Folgende Meldung wird angezeigt:

  • Webauthentifizierung: Benutzer versuchen über HTTP oder HTTPS eine Verbindung mit einer IP-Adresse auf dem Gerät herzustellen, die die Webauthentifizierung ermöglicht. in diesem Szenario verwenden Sie HTTP oder HTTPS nicht, um die IP-Adresse der geschützten Ressource zu erhalten. Sie werden gefragt, ob Benutzername und Passwort auf dem Gerät verifiziert wurden. Nachfolgender Datenverkehr vom Benutzer oder Host zur geschützten Ressource wird anhand dieser Authentifizierung zugelassen oder abgelehnt.

Tabelle zum Versionsverlauf
Release
Beschreibung
19.1
Die Authentifizierung Junos OS Firewall-Benutzer wird ab dem 19.1R1 Veröffentlichungsversion auf allen NFX150 unterstützt.
15.1X49-D40
Beginnend mit Junos OS Release 15.1X49-D40 und Junos OS Release 17.3R1 wird die HTTPS-basierte Authentifizierung am vSRX, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M und SRX1500 Services Gateways eingeführt.
12,1 X 44
Beginnend mit Junos OS Release 12.1X44-D10 und Junos OS Release 17.3R1 wird Unterstützung für HTTPS-basierte Authentifizierung für High-End Services Gateways der SRX-Serie eingeführt.