AUF DIESER SEITE
Beispiel: Konfigurieren von Active Directory als Identitätsquelle auf einer Firewall der SRX-Serie
Beispiel: Konfigurieren der Funktion "Geräteidentitätsauthentifizierung"
Konfigurieren von Active Directory als Identitätsquelle auf der Firewall
Konfigurieren von Active Directory als Identitätsquelle auf NFX-Geräten
Konfigurieren von Active Directory als Identitätsquelle
Erfahren Sie, wie Sie Active Directory als Identitätsquelle auf Ihrer Firewall der SRX-Serie konfigurieren.
Beispiel: Konfigurieren von Active Directory als Identitätsquelle auf einer Firewall der SRX-Serie
In diesem Beispiel wird gezeigt, wie das Feature für die integrierte Benutzerfirewall implementiert wird, indem eine Windows Active Directory-Domäne, eine LDAP-Basis, nicht authentifizierte Benutzer, die an das Captive Portal weitergeleitet werden sollen, und eine Sicherheitsrichtlinie basierend auf einer Quellidentität konfiguriert werden. Alle Konfigurationen in diesem Beispiel für das Captive Portal erfolgen über die Transportschicht Security (TLS).
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Eine Firewall der SRX-Serie
-
Junos OS Version 12.1X47-D10 oder höher für Firewalls der SRX-Serie
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.
Überblick
In einem typischen Szenario für die integrierte Benutzer-Firewall-Funktion möchten Domänen- und Nicht-Domänenbenutzer über eine Firewall der SRX-Serie auf das Internet zugreifen. Die Firewall der SRX-Serie liest und analysiert das Ereignisprotokoll der in der Domäne konfigurierten Domänencontroller. So erkennt die Firewall der SRX-Serie Domänenbenutzer auf einem Active Directory-Domänencontroller. Die Active Directory-Domäne generiert eine Authentifizierungstabelle als Active Directory-Authentifizierungsquelle für die integrierte Benutzerfirewall. Die Firewall der SRX-Serie verwendet diese Informationen, um die Richtlinie durchzusetzen und eine benutzer- oder gruppenbasierte Zugriffssteuerung zu erreichen.
Für jeden Nicht-Domänenbenutzer oder Domänenbenutzer auf einem Nicht-Domänengerät kann der Netzwerkadministrator ein Captive Portal angeben, um den Benutzer zur Übermittlung an die Firewall-Authentifizierung zu zwingen (wenn die Firewall der SRX-Serie das Captive Portal für den Datenverkehrstyp unterstützt). Beispiel: HTTP). Nachdem der Benutzer einen Namen und ein Kennwort eingegeben und die Firewall-Authentifizierung bestanden hat, erhält die Firewall der SRX-Serie die Benutzer-zu-Gruppen-Zuordnungsinformationen zur Firewall-Authentifizierung vom LDAP-Server und kann die Firewall-Richtlinienkontrolle des Benutzers gegenüber dem Benutzer entsprechend durchsetzen.
Ab Junos OS Version 17.4R1 können Sie zusätzlich zu IPv4-Adressen IPv6-Adressen für Active Directory-Domänencontroller verwenden. Um diese Unterstützung zu veranschaulichen, wird in diesem Beispiel 2001:db8:0:1:2a0:a502:0:1da als Adresse für den Domänencontroller verwendet.
Sie können die primäre Gruppe nicht verwenden, unabhängig davon, ob es sich um den Standardnamen "Domänenbenutzer" oder einen anderen Namen handelt, falls Sie ihn geändert haben, in Konfigurationen mit integrierten Benutzer-Firewalls.
Wenn ein neuer Benutzer in Active Directory (AD) erstellt wird, wird der Benutzer der globalen Sicherheitsgruppe Primäre Gruppe hinzugefügt, bei der es sich standardmäßig um Domänenbenutzer handelt. Die primäre Gruppe ist weniger spezifisch als andere Gruppen, die in AD erstellt werden, da alle Benutzer zu ihr gehören. Außerdem kann es sehr groß werden.
Konfiguration
- Verfahren
- (Optional) Konfiguration von PKI und SSL Forward Proxy zur Authentifizierung von Benutzern
- Befund
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] ein und wechseln Sie commit dann aus dem Konfigurationsmodus.
set services user-identification active-directory-access domain example.net user-group-mapping ldap base DC=example,DC=net user administrator password $ABC123 set services user-identification active-directory-access domain example.net user administrator password $ABC123 set services user-identification active-directory-access domain example.net domain-controller ad1 address 2001:db8:0:1:2a0:a502:0:1da set access profile profile1 authentication-order ldap set access profile profile1 authentication-order password set access profile profile1 ldap-options base-distinguished-name CN=Users,DC=example,DC=net set access profile profile1 ldap-options search search-filter sAMAccountName= set access profile profile1 ldap-options search admin-search distinguished-name CN=Administrator,CN=Users,DC=example,DC=net set access profile profile1 ldap-options search admin-search password $ABC123 set access profile profile1 ldap-server 192.0.2.3 set access profile profile1 ldap-server 192.0.2.3 tls-type start-tls set access profile profile1 ldap-server 192.0.2.3 tls-peer-name peername set access profile profile1 ldap-server 192.0.2.3 tls-timeout 3 set access profile profile1 ldap-server 192.0.2.3 tls-min-version v1.2 set access profile profile1 ldap-server 192.0.2.3 no-tls-certificate-check set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain example.net set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application any set security policies from-zone trust to-zone untrust policy p2 match source-identity “example.net\user1” set security policies from-zone trust to-zone untrust policy p2 then permit set security user-identification authentication-source active-directory-authentication-table priority 125
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Führen Sie die Schritte in diesem Abschnitt aus, um eine Windows Active Directory-Domäne einzurichten, das Captive Portal zu konfigurieren und eine andere Sicherheitsrichtlinie zu konfigurieren.
Nach der Konfiguration konsultiert die Firewall der SRX-Serie beim Eintreffen von Datenverkehr den Firewall-Prozess des Benutzers, der wiederum die Active Directory-Authentifizierungsquelle konsultiert, um festzustellen, ob die Quelle in seiner Authentifizierungstabelle enthalten ist. Wenn die Benutzer-Firewall auf einen Authentifizierungseintrag stößt, prüft die Firewall der SRX-Serie die in Schritt 4 konfigurierte Richtlinie auf weitere Maßnahmen. Wenn die Benutzer-Firewall keinen Authentifizierungseintrag erreicht, prüft die Firewall der SRX-Serie die in Schritt 3 konfigurierte Richtlinie, um den Benutzer zum Ausführen des Captive Portals zu zwingen.
Konfigurieren Sie den definierten Namen der LDAP-Basis.
[edit services user-identification] user@host# set active-directory-access domain example.net user-group-mapping ldap base DC=example,DC=net user administrator password $ABC123
Konfigurieren Sie einen Domänennamen, den Benutzernamen und das Kennwort der Domäne sowie den Namen und die IP-Adresse des Domänencontrollers in der Domäne.
[edit services user-identification] user@host# set active-directory-access domain example.net user administrator password $ABC123 user@host# set active-directory-access domain example.net domain-controller ad1 address 2001:db8:0:1:2a0:a502:0:1da
-
Konfigurieren Sie ein Zugriffsprofil und legen Sie die Authentifizierungsreihenfolge und die LDAP-Optionen fest.
[edit access profile profile1] user@host# set authentication-order ldap user@host# set authentication-order password user@host# set ldap-options base-distinguished-name CN=Users,DC=example,DC=net user@host# set ldap-options search search-filter sAMAccountName= user@host# set ldap-options search admin-search distinguished-name CN=Administrator,CN=Users,DC=example,DC=net user@host# set ldap-options search admin-search password $ABC123 user@host# set ldap-server 192.0.2.3 user@host# set ldap-server 192.0.2.3 tls-type start-tls user@host# set ldap-server 192.0.2.3 tls-peer-name peername user@host# set ldap-server 192.0.2.3 tls-timeout 3 user@host# set ldap-server 192.0.2.3 tls-min-version v1.2 user@host# set ldap-server 192.0.2.3 no-tls-certificate-check
Wenn die
no-tls-certificate-checkOption konfiguriert ist, ignoriert die Firewall der SRX-Serie die Validierung des Zertifikats des Servers und akzeptiert das Zertifikat ohne Prüfung. Konfigurieren Sie eine Richtlinie für die Quellidentitäten "unauthenticated-user" und "unknown-user", und aktivieren Sie das Captive Portal für die Firewallauthentifizierung. Die Konfiguration der Quellidentität ist erforderlich, falls keine Authentifizierungsquellen konfiguriert sind, wird die Verbindung getrennt.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user user@host# set then permit firewall-authentication user-firewall access-profile profile1 user@host#set then permit firewall-authentication user-firewall domain example.net
Konfigurieren Sie eine zweite Richtlinie, um einen bestimmten Benutzer zu aktivieren.
[edit security policies from-zone trust to-zone untrust policy p2] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity “example.net\user1” user@host# set then permit
Wenn Sie eine Quellidentität in einer Richtlinienanweisung angeben, stellen Sie dem Gruppennamen oder Benutzernamen den Domänennamen und einen umgekehrten Schrägstrich voran. Schließen Sie die Kombination in Anführungszeichen ein.
Legen Sie die Active Directory-Authentifizierungstabelle als Authentifizierungsquelle für den Informationsabruf der integrierten Benutzerfirewall fest, und geben Sie die Reihenfolge an, in der Benutzerinformationstabellen überprüft werden.
[edit security] user@host#
set user-identification authentication-source active-directory-authentication-table priority 125Sie müssen die Active Directory-Authentifizierungstabelle als Authentifizierungsquelle für den Informationsabruf der integrierten Benutzer-Firewall festlegen und die Reihenfolge angeben, in der Benutzerinformationstabellen mit dem Befehl
set security user-identification authentication-source active-directory-authentication-table priority valueüberprüft werden.Der Standardwert dieser Option ist 125. Die Standardpriorität für alle Authentifizierungsquellen lautet wie folgt:
Lokale Authentifizierung: 100
Integrierte Benutzer-Firewall: 125
Benutzerrollen Firewall: 150
UAC (Unified Access Control): 200
Das Feld
prioritygibt die Quellen für die Active Directory-Authentifizierungstabelle an. Der Wertesatz bestimmt die Reihenfolge für die Suche in verschiedenen unterstützten Authentifizierungstabellen, um eine Benutzerrolle abzurufen. Beachten Sie, dass dies die einzigen derzeit unterstützten Werte sind. Sie können einen beliebigen Wert zwischen 0 und 65.535 eingeben. Die Standardpriorität der Active Directory-Authentifizierungstabelle ist 125. Das bedeutet, dass auch wenn Sie keinen Prioritätswert angeben, die Active Directory-Authentifizierungstabelle ab der Sequenz des Wertes 125 (integrierte Benutzer-Firewall) durchsucht wird.Jeder Authentifizierungstabelle wird ein eindeutiger Prioritätswert zugewiesen. Je niedriger der Wert, desto höher ist die Priorität. So wird z.B. eine Tabelle mit der Priorität 120 vor einer Tabelle mit der Priorität 200 durchsucht. Wenn Sie den Prioritätswert einer Tabelle auf 0 festlegen, wird die Tabelle deaktiviert und der Prioritätswert aus der Suchsequenz entfernt.
Weitere Informationen finden Sie unter Grundlegendes zu Active Directory-Authentifizierungstabellen .
(Optional) Konfiguration von PKI und SSL Forward Proxy zur Authentifizierung von Benutzern
Schritt-für-Schritt-Anleitung
Optional können Sie für Nicht-Domänenbenutzer die Public Key-Infrastruktur (PKI) konfigurieren, um die Integrität, Vertraulichkeit und Authentizität des Datenverkehrs zu überprüfen. PKI umfasst digitale Zertifikate, die von der Zertifizierungsstelle (Certificate Authority, CA) ausgestellt werden, Gültigkeits- und Ablaufdaten von Zertifikaten, Details zum Zertifikatbesitzer und -aussteller sowie Sicherheitsrichtlinien.
Für alle Nicht-Domänenbenutzer oder Domänenbenutzer auf einem Nicht-Domänencomputer gibt der Administrator ein Captive Portal an, um den Benutzer zur Firewall-Authentifizierung zu zwingen (wenn die Firewall der SRX-Serie das Captive Portal für den Datenverkehrstyp unterstützt). Nachdem der Benutzer einen Namen und ein Kennwort eingegeben und die Firewall-Authentifizierung bestanden hat, ruft die Firewall der SRX-Serie Benutzer-/Gruppeninformationen zur Firewall-Authentifizierung ab und kann die Firewall-Richtlinie des Benutzers durchsetzen, um den Benutzer entsprechend zu steuern. Wenn die IP-Adresse oder Benutzerinformationen nicht im Ereignisprotokoll verfügbar sind, kann sich der Benutzer zusätzlich zum Captive Portal erneut beim Windows-PC anmelden, um einen Ereignisprotokolleintrag zu generieren. Anschließend generiert das System den Authentifizierungseintrag des Benutzers entsprechend.
Damit die Firewall der SRX-Serie die Benutzer über HTTPs authentifizieren kann, muss der SSL-Weiterleitungsproxy konfiguriert und aktiviert werden. Sie müssen ein lokales Zertifikat generieren, ein SSL-Beendigungsprofil und ein SSL-Proxyprofil hinzufügen und in der Sicherheitsrichtlinie auf das SSL-Proxyprofil verweisen. Wenn der SSL-Weiterleitungsproxy nicht aktiviert ist, kann die Firewall der SRX-Serie Benutzer, die HTTPS verwenden, nicht authentifizieren, aber für Benutzer, die HTTP, FPT und Telnet verwenden, kann die Authentifizierung wie erwartet durchgeführt werden.
Führen Sie die folgenden Schritte aus, um PKI zu generieren und den SSL-Forward-Proxy zu aktivieren:
Generieren Sie ein PKI-Schlüsselpaar aus öffentlichem/privatem Schlüssel für ein lokales digitales Zertifikat.
user@host# request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa
Generieren Sie manuell ein selbstsigniertes Zertifikat für den angegebenen definierten Namen.
user@host# request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.mycompany.net subject "CN=www.mycompany.com,OU=IT,O=MY COMPANY,L=Sunnyvale,ST=CA,C=US" email security-admin@mycompany.net
Definieren Sie das Zugriffsprofil, das für SSL-Terminierungsdienste verwendet werden soll. Diese Option ist nur auf SRX5400-, SRX5600- und SRX5800 Geräten verfügbar.
user@host# set services ssl termination profile for_userfw server-certificate ssl-inspect-ca
Konfigurieren Sie das geladene Zertifikat als root-ca im SSL-Proxyprofil. Diese Option ist nur auf SRX5400-, SRX5600- und SRX5800 Geräten verfügbar.
user@host# set services ssl proxy profile ssl-inspect-profile root-ca ssl-inspect-ca
Geben Sie die
ignore-server-auth-failureOption an, wenn Sie nicht die gesamte Zertifizierungsstellenliste importieren und keine verworfenen Sitzungen wünschen. Diese Option ist nur auf SRX5400-, SRX5600- und SRX5800 Geräten verfügbar.user@host# set services ssl proxy profile ssl-inspect-profile actions ignore-server-auth-failure
Fügen Sie ein SSL-Beendigungsprofil zu Sicherheitsrichtlinien hinzu. Diese Option ist nur auf SRX5400-, SRX5600- und SRX5800 Geräten verfügbar.
user@host# set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile for_userfw
Befund
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihrer integrierten Benutzer-Firewall, indem Sie den show services user-identification active-directory-access Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show services user-identification active-directory-access
domain example.net {
user {
administrator;
password "$ABC123"; ## SECRET-DATA
}
domain-controller ad1 {
address 2001:db8:0:1:2a0:a502:0:1da;
}
user-group-mapping {
ldap {
base DC=example,DC=net;
user {
administrator;
password "$ABC123"; ## SECRET-DATA
}
}
}
}
Bestätigen Sie im Konfigurationsmodus Ihre Richtlinienkonfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
source-identity [ unauthenticated-user unknown-user ];
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile profile1;
domain example.net;
}
}
}
}
}
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity “example.net\user1”;
}
then {
permit;
}
}
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihres Zugriffsprofils, indem Sie den show access profile profile1 Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show access profile profile1
authentication-order [ ldap password ];
ldap-options {
base-distinguished-name CN=Users,DC=example,DC=net;
search {
search-filter sAMAccountName=;
admin-search {
distinguished-name CN=Administrator,CN=Users,DC=example,DC=net;
password "$ABC123"; ## SECRET-DATA
}
}
}
ldap-server {
192.0.2.3 {
tls-type start-tls;
tls-timeout 3;
tls-min-version v1.2;
no-tls-certificate-check;
tls-peer-name peername;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Konnektivität mit einem Domänencontroller
- Überprüfen des LDAP-Servers
- Überprüfen von Authentifizierungstabelleneinträgen
- Überprüfen der IP-zu-Benutzer-Zuordnung
- Überprüfen der Anzahl der IP-Sonden
- Überprüfen von Abfragen der Benutzer-zu-Gruppen-Zuordnung
Überprüfen der Konnektivität mit einem Domänencontroller
Zweck
Stellen Sie sicher, dass mindestens ein Domänencontroller konfiguriert und verbunden ist.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access domain-controller status Befehl ein.
Bedeutung
Es wird angezeigt, dass der Domänencontroller verbunden oder getrennt ist.
Überprüfen des LDAP-Servers
Zweck
Stellen Sie sicher, dass der LDAP-Server Informationen zur Benutzer-zu-Gruppen-Zuordnung bereitstellt.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access user-group-mapping status Befehl ein.
Bedeutung
Die Adresse, die Portnummer und der Status des LDAP-Servers werden angezeigt.
Überprüfen von Authentifizierungstabelleneinträgen
Zweck
Sehen Sie, zu welchen Gruppen Benutzer gehören und welche Benutzer, Gruppen und IP-Adressen sich in einer Domäne befinden.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access active-directory-authentication-table all Befehl ein.
Bedeutung
Die IP-Adressen, Benutzernamen und Gruppen werden für jede Domäne angezeigt.
Überprüfen der IP-zu-Benutzer-Zuordnung
Zweck
Stellen Sie sicher, dass das Ereignisprotokoll gescannt wird.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access statistics ip-user-mapping Befehl ein.
Bedeutung
Die Anzahl der Abfragen und fehlgeschlagenen Abfragen wird angezeigt.
Überprüfen der Anzahl der IP-Sonden
Zweck
Stellen Sie sicher, dass IP-Tests durchgeführt werden.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access statistics ip-user-probe Befehl ein.
Bedeutung
Die Anzahl der IP-Tests und fehlgeschlagenen IP-Tests wird angezeigt.
Überprüfen von Abfragen der Benutzer-zu-Gruppen-Zuordnung
Zweck
Stellen Sie sicher, dass Benutzer-zu-Gruppen-Zuordnungen abgefragt werden.
Aktion
Geben Sie im Betriebsmodus den show services user-identification active-directory-access statistics user-group-mapping Befehl ein.
Bedeutung
Die Anzahl der Abfragen und fehlgeschlagenen Abfragen wird angezeigt.
Beispiel: Konfigurieren Sie Active Directory als Identitätsquelle auf Firewalls der SRX-Serie, um Web-Redirect für nicht authentifizierte und unbekannte Benutzer zu verwenden
In diesem Beispiel wird gezeigt, wie die Web-Umleitung für nicht authentifizierte Benutzer und unbekannte Benutzer verwendet wird, um über http auf die Authentifizierungsseite umzuleiten.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Junos OS Version 15.1X49-D70 oder höher für Firewalls der SRX-Serie
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.
Überblick
Das fwauth-Zugriffsprofil leitet Anforderungen von Pass-Through-Datenverkehr an HTTP-Webauth (im JWEB-httpd-Server) weiter web-redirect . Sobald die Authentifizierung erfolgreich war, erstellt fwauth eine Firewall-Authentifizierung für die Benutzer-Firewall.
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein, und wechseln Sie commit dann aus dem Konfigurationsmodus.
set system services web-management http set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication http set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 web-redirect set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain ad03.net
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die integrierte Benutzer-Firewall für die Verwendung von Web-Redirect für nicht authentifizierte Benutzer, die Zugriff auf HTTP-basierte Ressourcen anfordern:
Aktivieren Sie die Webverwaltungsunterstützung für HTTP-Datenverkehr.
[edit system services] user@host# set system services web-management http
Konfigurieren von Schnittstellen und Zuweisen von IP-Adressen. Aktivieren Sie die Webauthentifizierung auf der ge-0/0/1-Schnittstelle.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication http
Konfigurieren Sie Sicherheitsrichtlinien, die einen nicht authentifizierten Benutzer oder einen unbekannten Benutzer als Quellidentität angeben.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user
Ab Junos OS 17.4 R1 können Sie bei der Konfiguration von Quelladressen zusätzlich zu IPv4-Adressen IPv6-Adressen zuweisen. Um die IPv6-Quelladresse, das Problem
anyoderany-IPv6den Befehl auf der Hierarchieebene [Sicherheitsrichtlinien von der Zonenvertrauensstellung bis zur Zonen-Vertrauenswürdigkeitsrichtlinie bearbeiten-Richtlinienname entspricht Quelladresse] zu konfigurieren.Konfigurieren Sie eine Sicherheitsrichtlinie, die die Firewall-Authentifizierung einer Benutzer-Firewall mit
web-redirectals Aktion zulässt und ein vorkonfiguriertes Zugriffsprofil für den Benutzer angibt.[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall access-profile profile1 web-redirect
Konfigurieren Sie eine Sicherheitsrichtlinie, die den Domänennamen angibt.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall domain ad03.net
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system services Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show system services
web-management {
http {
port 123;
}
}
Bestätigen Sie im Konfigurationsmodus Ihre integrierte Benutzer-Firewall-Konfiguration, indem Sie den show interfaces Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.0/24 {
web-authentication http;
}
}
}
}
Bestätigen Sie im Konfigurationsmodus Ihre integrierte Benutzer-Firewall-Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
source-identity unauthenticated-user;
source-identity unknown-user;
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile profile1;
web-redirect;
domain ad03.net;
}
}
}
}
}
}
Bestätigen Sie im Konfigurationsmodus Ihre Richtlinienkonfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen Sie die Konfiguration.
Zweck
Überprüfen Sie, ob die Konfiguration korrekt ist.
Aktion
Geben Sie im Betriebsmodus den show security policies Befehl ein.
Beispielausgabe
user@host> show security policies
Default policy: permit-all
From zone: PCzone, To zone: Tunnelzone
Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-ftp, junos-tftp, junos-dns-tcp, junos-dns-udp
Action: permit
Bedeutung
Zeigen Sie die Sicherheitsrichtlinie an, die die Firewall-Authentifizierung einer Benutzer-Firewall mit web-redirect als Aktion zulässt.
Beispiel: Konfigurieren Sie Active Directory als Identitätsquelle auf Firewalls der SRX-Serie, um Web-Redirect-to-HTTPS zur Authentifizierung nicht authentifizierter und unbekannter Benutzer zu verwenden
In diesem Beispiel wird gezeigt, wie web-redirect-to-https für nicht authentifizierte und unbekannte Benutzer, die versuchen, auf eine HTTPS-Site zuzugreifen, verwendet wird, damit sie sich über den internen Webbauth-Server der Firewall der SRX-Serie authentifizieren können.
Sie können auch web-redirect-https verwenden, um Benutzer zu authentifizieren, die versuchen, auf eine HTTP-Site zuzugreifen, obwohl dies in diesem Beispiel nicht gezeigt wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Junos OS Version 15.1X49-D70 oder höher für Firewalls der SRX-Serie
Überblick
Mit der Funktion web-redirect-https können Sie unbekannte und nicht authentifizierte Benutzer, die versuchen, auf HTTP- oder HTTPS-Ressourcen zuzugreifen, sicher authentifizieren, indem Sie den Browser des Benutzers zur Authentifizierung an den internen HTTPS-Webbauth-Server des Services Gateways der SRX-Serie umleiten. Das heißt, der webauth-Server sendet eine HTTPS-Antwort an das Clientsystem und leitet seinen Browser um, um für die Benutzerauthentifizierung eine Verbindung mit dem webauth-Server herzustellen. Die Schnittstelle, auf der die Anforderung des Clients eintrifft, ist die Schnittstelle, an die die Umleitungsantwort gesendet wird. HTTPS sichert in diesem Fall den Authentifizierungsprozess, nicht den Datenverkehr des Benutzers.
Nachdem der Benutzer authentifiziert wurde, wird eine Meldung angezeigt, um den Benutzer über die erfolgreiche Authentifizierung zu informieren. Der Browser wird umgeleitet, um die ursprüngliche Ziel-URL des Benutzers zu starten, unabhängig davon, ob es sich um eine HTTP- oder HTTPS-Website handelt, ohne dass der Benutzer diese URL erneut eingeben muss. Die folgende Meldung wird angezeigt:
Redirecting to the original url, please wait.
Wenn die Zielressource des Benutzers eine HTTPS-URL ist, muss die Konfiguration ein SSL-Beendigungsprofil enthalten, auf das in der entsprechenden Sicherheitsrichtlinie verwiesen wird, damit dieser Prozess erfolgreich ist. Ein SSL-Beendigungsprofil ist nicht erforderlich, wenn das Ziel eine HTTP-URL ist.
Die Verwendung dieser Funktion ermöglicht eine umfassendere Benutzeranmeldung. Anstelle einer Popup-Aufforderung, in der der Benutzer aufgefordert wird, seinen Benutzernamen und sein Kennwort einzugeben, wird den Benutzern beispielsweise die Anmeldeseite in einem Browser angezeigt. Die Verwendung von web-redirect-https hat die gleiche Wirkung, wie wenn der Benutzer die IP-Adresse der Webauthentifizierung in einen Clientbrowser eingibt. In diesem Sinne bietet web-redirect-https eine nahtlose Authentifizierungserfahrung. Der Benutzer muss nicht die IP-Adresse der Webauthentifizierungsquelle kennen, sondern nur die IP-Adresse der Ressource, auf die er zugreifen möchte.
Bei einer integrierten Benutzer-Firewall enthält die Konfigurationsanweisung für die Sicherheitsrichtlinie das Tupel source-identity, mit dem Sie eine Kategorie von Benutzern angeben können, für die die Sicherheitsrichtlinie gilt, in diesem Fall nicht authentifizierte und unbekannte Benutzer. Wenn Sie "any" als Wert des Quelladresstupels angeben, kann der Quellidentitätstupelwert die Übereinstimmung steuern.
Aus Sicherheitsgründen wird empfohlen, für die Authentifizierung das web-redirect-https anstelle des Web-Redirects zu verwenden, das ebenfalls unterstützt wird. Die Web-Redirect-Authentifizierungsfunktion verwendet HTTP für den Authentifizierungsprozess, in diesem Fall werden die Authentifizierungsinformationen im Klartext gesendet und sind daher lesbar.
In diesem Beispiel wird davon ausgegangen, dass der Benutzer versucht, auf eine HTTPS-Ressource wie https://mymailsite.com zuzugreifen.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein, und wechseln Sie commit dann aus dem Konfigurationsmodus.
set system services web-management https pki-local-certificate my-test-cert set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication https set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain mydomain.net set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 web-redirect-to-https set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile my-ssl-profile set services ssl termination profile my-ssl-profile server-certificate my-test-cert set access profile profile1 ldap-server 198.51.100.0/24 tls-type start-tls set access profile profile1 ldap-server 198.51.100.0/24 tls-peer-name peer1 set access profile profile1 ldap-server 198.51.100.0/24 tls-timeout 3 set access profile profile1 ldap-server 198.51.100.0/24 tls-min-version v1.1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Geben Sie die folgende Anweisung ein, um web-redirect-to-https für nicht authentifizierte Benutzer oder unbekannte Benutzer zu konfigurieren, die Zugriff auf HTTPS-basierte Ressourcen anfordern.
Aktivieren Sie die Webverwaltungsunterstützung für HTTPS-Datenverkehr.
[edit system services] user@host# set system services web-management https pki-local-certificate my-test-cert
Beachten Sie, dass dieses Beispiel für HTTPS-Benutzerdatenverkehr gilt, aber die Web-Redirect-to-HTTPS-Authentifizierung wird auch für authentifizierte Benutzer unterstützt, deren Datenverkehr zu einer HTTP-URL-Site führt, obwohl dieses spezielle Szenario hier nicht gezeigt wird. In diesem Fall ist kein SSL-Beendigungsprofil erforderlich.
Konfigurieren von Schnittstellen und Zuweisen von IP-Adressen. Aktivieren Sie die Webauthentifizierung auf der ge-0/0/1-Schnittstelle.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication https
Konfigurieren Sie eine Sicherheitsrichtlinie, die "unauthenticated-user" und "unknown-user" als Tupelwerte für die Quellidentität angibt.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user
Ab Junos OS 17.4 R1 können Sie bei der Konfiguration von Quelladressen zusätzlich zu IPv4-Adressen IPv6-Adressen zuweisen. Um die IPv6-Quelladresse, das Problem
anyoderany-IPv6den Befehl auf der Hierarchieebene [Sicherheitsrichtlinien von der Zonenvertrauensstellung bis zur Zonen-Vertrauenswürdigkeitsrichtlinie bearbeiten-Richtlinienname entspricht Quelladresse] zu konfigurieren.Konfigurieren Sie die Sicherheitsrichtlinie so, dass die Firewall-Authentifizierung einer Benutzer-Firewall mit
web-redirect-to-httpsals Aktion zugelassen wird und die ein vorkonfiguriertes Zugriffsprofil für den Benutzer angibt.[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall access-profile profile1 web-redirect-to-https
Konfigurieren Sie den Domänennamen für die Sicherheitsrichtlinie.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall domain mydomain.net
Konfigurieren Sie die Sicherheitsrichtlinie so, dass sie auf das zu verwendende SSL-Beendigungsprofil verweist.
Wenn Sie über ein vorhandenes geeignetes SSL-Beendigungsprofil verfügen, das die für Ihre Implementierung erforderlichen Dienste bereitstellt, können Sie es verwenden. Führen Sie andernfalls Schritt 7 aus, um eine zu erstellen.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall ssl-termination-profile my-ssl-profile
Geben Sie das Profil an, das für SSL-Terminierungsdienste verwendet werden soll.
[edit services] user@host# set ssl termination profile my-ssl-profile server-certificate my-cert-type
Definieren Sie den TLS-Typ, um LDAP über StartTLS zu konfigurieren.
[edit access] user@host# set profile profile1 ldap-server 198.51.100.0/24 tls-type start-tls
Konfigurieren Sie den Peer-Hostnamen, der authentifiziert werden soll.
[edit access] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-peer-name peer1
Geben Sie den Timeoutwert für den TLS-Handshake an. Sie können zwischen 3 und 90 Sekunden eingeben.
[edit access] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-timeout 3
Geben Sie die TLS-Version (v1.1 und v1.2 werden unterstützt) als minimale Protokollversion an, die in Verbindungen aktiviert ist.
[edit ] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-min-version v1.1
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system services Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show system services
web-management {
https {
pki-local-certificate my-test-cert;
}
Bestätigen Sie im Konfigurationsmodus Ihre integrierte Benutzer-Firewall-Konfiguration, indem Sie den show services ssl Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show services ssl
termination {
profile my-ssl-profile {
server-certificate my-cert-type;
}
}
Bestätigen Sie im Konfigurationsmodus Ihre integrierte Benutzer-Firewall-Konfiguration, indem Sie den show interfaces Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.0/24 {
web-authentication {
https;
}
}
}
}
Bestätigen Sie im Konfigurationsmodus Ihre integrierte Benutzer-Firewall-Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
source-identity unauthenticated-user;
source-identity unknown-user;
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile profile1;
web-redirect-to-https;
domain mydomain.net;
ssl-termination-profile my-ssl-profile;
}
}
}
}
}
Bestätigen Sie im Konfigurationsmodus die Konfiguration Ihres Zugriffsprofils, indem Sie den show access profile profile1 Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show access profile profile1
ldap-server {
198.51.100.0/24 {
tls-type start-tls;
tls-timeout 3;
tls-min-version v1.1;
tls-peer-name peer1;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Beispiel: Konfigurieren der Funktion "Geräteidentitätsauthentifizierung"
In diesem Beispiel wird gezeigt, wie die Authentifizierungsfunktion für die Geräteidentität so konfiguriert wird, dass der Zugriff auf Netzwerkressourcen basierend auf der Identität eines authentifizierten Geräts und nicht seines Benutzers gesteuert wird. In diesem Beispiel wird Microsoft Active Directory als Authentifizierungsquelle verwendet. Es wird beschrieben, wie ein Geräteidentitätsprofil konfiguriert wird, das ein Gerät oder eine Gruppe von Geräten charakterisiert, und wie in einer Sicherheitsrichtlinie auf dieses Profil verwiesen wird. Wenn ein Gerät mit der Geräteidentität und den Parametern der Sicherheitsrichtlinie übereinstimmt, wird die Aktion der Sicherheitsrichtlinie auf den Datenverkehr angewendet, der von diesem Gerät ausgeht.
Aus verschiedenen Gründen kann es sinnvoll sein, die Identität eines Geräts für die Ressourcenzugriffssteuerung zu verwenden. Beispielsweise kennen Sie möglicherweise die Identität des Benutzers nicht. Außerdem verfügen einige Unternehmen möglicherweise über ältere Switches, die 802.1 nicht unterstützen, oder sie verfügen nicht über ein NAC-System (Network Access Control). Die Funktion zur Authentifizierung der Geräteidentität wurde entwickelt, um eine Lösung für diese und ähnliche Situationen zu bieten, indem sie es Ihnen ermöglicht, den Netzwerkzugriff basierend auf der Geräteidentität zu steuern. Sie können den Zugriff für eine Gruppe von Geräten steuern, die der Geräteidentitätsspezifikation entsprechen, oder für ein einzelnes Gerät.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Services Gateway-Gerät der SRX-Serie mit Junos OS Version 15.1X49-D70 oder höher.
Microsoft Active Directory mit einem Domänencontroller und dem LDAP-Server (Lightweight Directory Access Protocol)
Der Active Directory-Domänencontroller verfügt über eine Hochleistungskonfiguration von 4 Kernen und 8 Gigabyte Arbeitsspeicher.
Anmerkung:Die SRX-Serie ermittelt die IP-Adresse eines Geräts durch Lesen des Ereignisprotokolls des Domänencontrollers. Der Prozess, der das Ereignisprotokoll liest, verbraucht CPU-Ressourcen des Domänencontrollers, was zu einer hohen CPU-Auslastung führen kann. Aus diesem Grund sollte der Active Directory-Domänencontroller über eine leistungsstarke Konfiguration von mindestens 4 Kernen und 8 Gigabyte Arbeitsspeicher verfügen.
Ein Server im internen Unternehmensnetzwerk.
Überblick
Beginnend mit Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 bietet die SRX-Serie Unterstützung für die Steuerung des Zugriffs auf Netzwerkressourcen basierend auf der Identität eines Geräts, das von Active Directory oder einem Netzwerkzugriffssteuerungssystem (NAC) eines Drittanbieters authentifiziert wurde. In diesem Beispiel wird Active Directory als Authentifizierungsquelle verwendet.
Sie müssen die Authentifizierungsquelle konfigurieren, damit diese Funktion funktioniert.
In diesem Beispiel werden die folgenden Konfigurationsteile behandelt:
Zonen und ihre Schnittstellen
Sie müssen die Zonen konfigurieren, zu denen die in der Sicherheitsrichtlinie angegebenen Quell- und Zielentitäten gehören. Wenn Sie sie nicht konfigurieren, ist die Sicherheitsrichtlinie, die auf das Geräteidentitätsprofil verweist, ungültig.
Ein Geräteidentitätsprofil
Sie konfigurieren das Geräteidentitätsprofil unabhängig von der Sicherheitsrichtlinie. Sie verweisen in einer Sicherheitsrichtlinie darauf. Ein Geräteidentitätsprofil gibt eine Geräteidentität an, die von einem oder mehreren Geräten abgeglichen werden kann. Für Active Directory können Sie nur das Attribut device-identity im Profil angeben.
In diesem Beispiel lautet die Angabe des Geräteidentitätsattributs company-computers.
Anmerkung:Das Geräteidentitätsprofil wird wie
end-user-profilein der CLI bezeichnet.Eine Sicherheitsrichtlinie
Sie konfigurieren eine Sicherheitsrichtlinie, deren Aktion auf Datenverkehr angewendet wird, der von einem beliebigen Gerät ausgeht, das mit den Attributen des Geräteidentitätsprofils und den übrigen Parametern der Sicherheitsrichtlinie übereinstimmt.
Anmerkung:Sie geben den Namen des Geräteidentitätsprofils im Feld der Sicherheitsrichtlinie
source-end-user-profilean.Quelle der Authentifizierung
Sie konfigurieren die Authentifizierungsquelle, die zur Authentifizierung des Geräts verwendet werden soll. In diesem Beispiel wird Active Directory als Authentifizierungsquelle für die Geräteidentität verwendet.
Wenn Active Directory die Authentifizierungsquelle ist, ruft die SRX-Serie Identitätsinformationen für ein authentifiziertes Gerät ab, indem sie das Ereignisprotokoll der Active Directory-Domäne liest. Das Gerät fragt dann die LDAP-Schnittstelle von Active Directory ab, um die Gruppen zu identifizieren, zu denen das Gerät gehört, und verwendet die IP-Adresse des Geräts für die Abfrage.
Zu diesem Zweck implementiert das Gerät einen WMI-Client (Windows Management Instrumentation) mit verteilten Microsoft COM/Microsoft RPC-Stapeln und einem Authentifizierungsmechanismus für die Kommunikation mit dem Windows Active Directory-Controller in der Active Directory-Domäne. Es ist der wmic-Daemon des Geräts, der Geräteinformationen aus dem Ereignisprotokoll der Active Directory-Domäne extrahiert.
Der wmic-Daemon überwacht auch das Active Directory-Ereignisprotokoll auf Änderungen, indem er dieselbe WMI-DCOM-Schnittstelle verwendet. Wenn Änderungen auftreten, passt das Gerät seine Authentifizierungstabelle für die lokale Geräteidentität an, um diese Änderungen widerzuspiegeln.
Ab Junos OS Version 17.4R1 können Sie Active Directory-Domänencontrollern und dem LDAP-Server IPv6-Adressen zuweisen. Vor Junos OS Version 17.4R1 konnten Sie nur IPv4-Adressen zuweisen.
Topologie
In diesem Beispiel möchten Benutzer, die zur Zone "marketing-zone" gehören, auf Ressourcen auf den internen Unternehmensservern zugreifen. Die Zugriffssteuerung basiert auf der Identität des Geräts. In diesem Beispiel wird "company-computers" als Geräteidentität angegeben. Daher wird die Sicherheitsrichtlinienaktion nur auf Geräte angewendet, die dieser Spezifikation entsprechen und die Kriterien der Sicherheitsrichtlinie erfüllen. Es ist das Gerät, dem der Zugriff auf die Serverressourcen entweder gewährt oder verweigert wird. Der Zugriff wird nicht auf der Grundlage der Benutzeridentifizierung gesteuert.
Es wurden zwei Zonen der SRX-Serie eingerichtet: eine für die Netzwerkgeräte (Marketing-Zone) und eine für die internen Server (Server-Zone). Die Firewall-Schnittstelle ge-0/0/3.1 der SRX-Serie mit der IP-Adresse 192.0.2.18/24 wird der Marketingzone zugewiesen. Die Firewall-Schnittstelle ge-0/0/3.2 der SRX-Serie mit der IP-Adresse 192.0.2.14/24 wird der Zone servers-zone zugewiesen.
In diesem Beispiel wird die folgende Aktivität behandelt:
-
Die Firewall der SRX-Serie stellt über die WMI DCOM-Schnittstelle eine Verbindung mit dem Active Directory-Domänencontroller her, um Informationen über Geräte abzurufen, die von Active Directory authentifiziert wurden.
Wenn sich ein Benutzer beim Netzwerk anmeldet und authentifiziert wird, werden Informationen über das Gerät des Benutzers in das Ereignisprotokoll geschrieben.
Die SRX-Serie extrahiert die Geräteinformationen aus dem Ereignisprotokoll des Active Directory-Domänencontrollers.
Die SRX-Serie verwendet die extrahierten Informationen, um vom Active Directory-LDAP-Server eine Liste der Gruppen abzurufen, zu denen das Gerät gehört.
Die SRX-Serie erstellt eine Authentifizierungstabelle für die lokale Geräteidentität und speichert die Geräteidentitätsinformationen, die sie vom Domänencontroller und dem LDAP-Server in der Tabelle erhalten hat.
-
Wenn Datenverkehr von einem Gerät bei der Firewall der SRX-Serie eintrifft, prüft die SRX-Serie die Authentifizierungstabelle der Geräteidentität auf einen übereinstimmenden Eintrag für das Gerät, das den Datenverkehr ausgegeben hat.
Wenn die SRX-Serie einen passenden Eintrag für das Gerät findet, das Zugriff anfordert, prüft sie die Sicherheitsrichtlinientabelle auf eine Sicherheitsrichtlinie, deren
source-end-user-profileFeld ein Geräteidentitätsprofil mit einer Geräteidentitätsspezifikation angibt, die mit der des Geräts übereinstimmt, das den Zugriff anfordert.Die entsprechende Sicherheitsrichtlinie wird auf den vom Gerät ausgehenden Datenverkehr angewendet.
Abbildung 1 zeigt die Topologie für dieses Beispiel.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um die Geräteidentitätsfunktion in einer Active Directory-Umgebung zu konfigurieren:
- CLI Schnellkonfiguration
- Konfigurieren der Funktion zur Authentifizierung der Geräteidentität der integrierten Benutzer-Firewall in einer Active Directory-Umgebung
- Befund
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] ein und wechseln Sie commit dann aus dem Konfigurationsmodus.
set interfaces ge-0/0/3.1 family inet address 192.0.2.18/24 set interfaces ge-0/0/3.2 family inet address 192.0.2.14/24 set security zones security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all set security zones security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all set security zones security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all set security zones security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all set services user-identification device-information authentication-source active-directory set services user-identification device-information end-user-profile profile-name marketing-west-coast domain-name example.net set services user-identification device-information end-user-profile profile-name marketing-west-coast attribute device-identity string company-computers set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-address any destination-address any set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match application any set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-end-user-profile marketing-west-coast set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access then permit set services user-identification active-directory-access domain example.net user user1 password pswd set services user-identification active-directory-access domain example.net domain-controller dc-example address 203.0.113.0 set services user-identification active-directory-access domain example.net ip-user-mapping discovery-method wmi event-log-scanning-interval 30 set services user-identification active-directory-access domain example.net ip-user-mapping discovery-method wmi initial-event-log-timespan 1 set services user-identification active-directory-access domain example.net user-group-mapping ldap authentication-algorithm simple set services user-identification active-directory-access domain example.net user-group-mapping ldap address 198.51.100.9 port 389 set services user-identification active-directory-access domain example.net user-group-mapping ldap base dc=example,dc=net set services user-identification active-directory-access authentication-entry-timeout 100 set services user-identification active-directory-access wmi-timeout 60
Konfigurieren der Funktion zur Authentifizierung der Geräteidentität der integrierten Benutzer-Firewall in einer Active Directory-Umgebung
Schritt-für-Schritt-Anleitung
Dieses Verfahren umfasst die Konfigurationsanweisungen, die erforderlich sind, um die Firewall der SRX-Serie so zu konfigurieren, dass sie die Funktion zur Authentifizierung der Geräteidentität in einer Active Directory-Umgebung unterstützt.
Konfigurieren Sie die Schnittstellen, die für die Marketing-Zone und die Server-Zone verwendet werden sollen.
[edit interfaces] user@host# set ge-0/0/3.1 family inet address 192.0.2.18/24 user@host# set ge-0/0/3.2 family inet address 192.0.2.14/24
Konfigurieren Sie die Marketing-Zone und die Server-Zone und weisen Sie ihnen Schnittstellen zu.
[edit security zones] user@host# set security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all user@host# set security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all user@host# set security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all user@host# set security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all
Konfigurieren Sie die Authentifizierungsquelle so, dass Microsoft Active Directory angegeben wird. Sie müssen die Authentifizierungsquelle angeben, damit die Geräteidentitätsfunktion funktioniert. Dies ist ein erforderlicher Wert.
[edit services user-identification] user@host# set device-information authentication-source active-directory
Konfigurieren Sie die Geräteidentitätsspezifikation für das Geräteidentitätsprofil, das auch als bezeichnet wird
end-user-profile.[edit services user-identification] user@host# set device-information end-user-profile profile-name marketing-west-coast domain-name example.net user@host#set device-information end-user-profile profile-name marketing-west-coast attribute device-identity string company-computers
Konfigurieren Sie eine Sicherheitsrichtlinie mit dem Namen mark-server-access, die auf das Geräteidentitätsprofil mit dem Namen marketing-west-coast verweist. Die Sicherheitsrichtlinie erlaubt jedem Gerät, das zur Marketingzonenzone gehört (und der Spezifikation des Geräteidentitätsprofils entspricht), Zugriff auf die Ressourcen des Zielservers.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-address any destination-address any user@host# set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-end-user-profile marketing-west-coast user@host# set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match application any user@host# set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access then permit
-
Konfigurieren Sie die Firewall der SRX-Serie für die Kommunikation mit Active Directory und für die Verwendung des LDAP-Dienstes.
Um die Gruppeninformationen zu erhalten, die für die Implementierung der Authentifizierungsfunktion für Geräteidentität erforderlich sind, verwendet die Firewall der SRX-Serie das Lightweight Directory Access Protocol (LDAP). Die SRX-Serie fungiert als LDAP-Client, der mit einem LDAP-Server kommuniziert. In der Regel fungiert der Active Directory-Domänencontroller als LDAP-Server. Das LDAP-Modul im Gerät fragt standardmäßig das Active Directory im Domänencontroller ab.
[edit services user-identification] user@host# set active-directory-access domain example.net user user1 password pswd user@host# set active-directory-access domain example.net domain-controller dc-example address 203.0.113.0 user@host# set active-directory-access domain example.net ip-user-mapping discovery-method wmi event-log-scanning-interval 30 user@host# set active-directory-access domain example.net ip-user-mapping discovery-method wmi initial-event-log-timespan 1 user@host set active-directory-access domain example.net user-group-mapping ldap address 198.51.100.9 port 389 user@host# set active-directory-access domain example.net user-group-mapping ldap base dc=example,dc=net user@host# set active-directory-access domain example.net user-group-mapping ldap authentication-algorithm simple user@host# set active-directory-access authentication-entry-timeout 100 user@host# set active-directory-access wmi-timeout 60
Befund
Wechseln Sie show interfaces in den Konfigurationsmodus.
user@host#show interfaces
ge-0/0/3 {
unit 1 {
family inet {
address 192.0.2.18/24;
}
}
unit 2 {
family inet {
address 192.0.2.14/24;
}
}
}
Wechseln Sie show security zones in den Konfigurationsmodus.
user@host#show security zones
security-zone marketing-zone {
interfaces {
ge-0/0/3.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone servers-zone {
interfaces {
ge-0/0/3.2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
Wechseln Sie show services user-identification device-information end-user-profile in den Konfigurationsmodus.
user@host#show services user-identification device-information end-user-profile
domain-name example.net
attribute device-identity {
string company-computers;
}
Wechseln Sie show services user-identification device-information authentication-source in den Konfigurationsmodus.
user@host#show services user-identification device-information authentication-source active-directory;
Wechseln Sie show security policies in den Konfigurationsmodus.
user@host#show security policies
from-zone marketing-zone to-zone servers-zone {
policy mark-server-access {
match {
source-address any;
destination-address any;
application any;
source-end-user-profile {
marketing-west-coast;
}
}
then {
permit;
}
}
}
Wechseln Sie show services user-identification active-directory-access in den Konfigurationsmodus.
user@host#show services user-identification active-directory-access
domain example-net {
user {
user1;
password $ABC123; ## SECRET-DATA
}
ip-user-mapping {
discovery-method {
wmi {
event-log-scanning-interval 30;
initial-event-log-timespan 1;
}
}
}
user-group-mapping {
ldap {
base dc=example,DC=net;
address 198.51.100.9 {
port 389;
}
}
}
}
Wechseln Sie show services user-identification active-directory-access domain example-net in den Konfigurationsmodus.
user@host#show services user-identification active-directory-access domain example-net
user {
user1;
password $ABC123 ## SECRET-DATA
}
domain-controller dc-example {
address 203.0.113.0;
}
Verifizierung
Überprüfen des Inhalts der Authentifizierungstabelle für die Geräteidentität
Zweck
Stellen Sie sicher, dass die Authentifizierungstabelle für die Geräteidentität die erwarteten Einträge und deren Gruppen enthält.
Aktion
In diesem Fall enthält die Authentifizierungstabelle für die Geräteidentität drei Einträge. Der folgende Befehl zeigt umfangreiche Informationen zu allen drei Einträgen an.
Geben Sie den Befehl im Betriebsmodus ein show services user-identification device-information table all extensive , um den Inhalt der Tabelle anzuzeigen.
Beispielausgabe
Befehlsname
Domain: example.net
Total entries: 3
Source IP: 192.0.2.19
Device ID: example-dev1
Device-Groups: device_group1,
device_group2,device_group3,
device_group4, device_group5
device-identity: company-computers
Location1: us1
Referred by: mark-server-access
Source IP: 192.0.2.22
Device ID: example-dev2
Device-Groups: device_group06,
device_group7, device_group8,
device_group9, device_group10
device-identity: company-computers
Location1: us1
Referred by: mark-server-access
Source IP: 192.0.2.19
Device ID: example-dev3
Device-Groups: device_group1, device_group2,
device_group3, device_group4, device_group5
device-identity: company-computers
Location1: us1
Referred by: mark-server-access
Bedeutung
Die Tabelle sollte Einträge mit Informationen für alle authentifizierten Geräte und die Gruppen, denen sie angehören, enthalten.
Beispiel: Konfigurieren von Benutzeridentitätsinformationen für das Sitzungsprotokoll basierend auf der Quellzone
In diesem Beispiel wird gezeigt, wie die zonenbasierte Benutzeridentitätsfunktion der integrierten Benutzerfirewall konfiguriert wird, die das System anweist, Benutzeridentitätsinformationen basierend auf der in der Sicherheitsrichtlinie konfigurierten Quellzone (from-zone) zu protokollieren. Das Feature "Zonenbasierte Benutzeridentität" erweitert den Kreis der Benutzer, deren Identitätsinformationen in das Protokoll geschrieben werden, um alle Benutzer einzubeziehen, die der Zone angehören, deren Datenverkehr der Sicherheitsrichtlinie entspricht.
Anforderungen
Diese Funktion wird ab Junos OS 15.1X49-D60 und Junos OS Version 17.3R1 unterstützt. Sie können diese Funktion auf jeder der derzeit unterstützten Firewalls der SRX-Serie konfigurieren und ausführen, beginnend mit Junos OS 15.1X49-D60.
Überblick
In diesem Beispiel wird gezeigt, wie die integrierte Benutzerfirewall so konfiguriert wird, dass Benutzeridentitätsinformationen im Sitzungsprotokoll basierend auf der Quellzone in der Sicherheitsrichtlinie protokolliert werden. Damit dies geschehen kann, muss die als Quellzone angegebene Zone für die Protokollierung der Quellidentität konfiguriert werden. Für die zonenbasierte Protokollierung der Benutzeridentität müssen die Aktionen der Sicherheitsrichtlinie die Ereignisse zum Erstellen von Sitzungen (session-init) und zum Schließen von Sitzungen (session-close) umfassen.
Wenn alle Bedingungen erfüllt sind, wird der Name des Benutzers zu Beginn der Sitzung (oder Sitzungsinitialisierung) und zu Beginn des Schließens der Sitzung (oder des Herunterfahrens der Sitzung) in das Protokoll geschrieben. Beachten Sie, dass, wenn eine Sicherheitsrichtlinie dem Benutzer den Zugriff auf die Ressource verweigert, ein Eintrag in das Protokoll geschrieben wird, der den Benutzer nach Namen identifiziert, d. h., wenn das Schließen der Sitzung konfiguriert ist.
Wenn Sie das Feature für die zonenbasierte Benutzeridentität verwenden, ist es die Quellzone (von-Zone) in der Sicherheitsrichtlinie, die das Protokollierungsereignis für die Benutzeridentität initiiert.
Vor der Einführung dieser Funktion war es erforderlich, das Quellidentitättupel (source-identity) in eine Sicherheitsrichtlinie aufzunehmen, um das System anzuweisen, Benutzeridentitätsinformationen in das Protokoll zu schreiben, d. h. den Benutzernamen oder den Gruppennamen. Die Benutzeridentität wurde in das Protokoll geschrieben, wenn das Quellidentitätstupel in einer der Richtlinien in einem Zonenpaar konfiguriert war, das dem Datenverkehr des Benutzers entsprach, und das Protokoll zum Schließen der Sitzung konfiguriert wurde.
Das Quellidentitätsfeature ist jedoch spezifisch für einen einzelnen Benutzer oder eine Gruppe von Benutzern und schränkt die Anwendung der Sicherheitsrichtlinie in dieser Hinsicht ein.
Es ist der Benutzername, der in der lokalen Active Directory-Tabelle gespeichert ist, die das System in das Protokoll schreibt, wenn die Quellzone der Richtlinie für die Protokollierung der Benutzeridentität konfiguriert ist. Die Firewall der SRX-Serie hat die Benutzeridentitätsinformationen zuvor durch Lesen des Ereignisprotokolls des Domänencontrollers abgerufen. Die Firewall der SRX-Serie speicherte diese Informationen in ihrer Active Directory-Tabelle.
Sie können das Quellidentitätstupel in einer Sicherheitsrichtlinie verwenden, die auch eine Zone als Quellzone angibt, die für die Protokollierung der Benutzeridentität konfiguriert wurde. Da die integrierte Benutzerfirewall die Namen der Gruppen, denen ein Benutzer angehört, nur dann von Microsoft-Domänencontrollern erfasst, wenn die integrierte Benutzerfirewall auf das Quellidentitättupel angewiesen ist, enthält das Protokoll nur den Namen des Benutzers, der Zugriff anfordert, und nicht die Gruppen, denen der Benutzer angehört, wenn Sie die zonenbasierte Protokollierung der Benutzeridentität verwenden, ohne auch die Quellidentität zu konfigurieren.
Nachdem Sie eine Zone für die Unterstützung der Quellidentitätsprotokollierung konfiguriert haben, kann die Zone als Von-Zonenspezifikation in jeder Sicherheitsrichtlinie wiederverwendet werden, für die Benutzeridentitätsinformationen protokolliert werden sollen.
Zusammenfassend lässt sich sagen, dass der Name des Benutzers in das Protokoll geschrieben wird, wenn:
Der Benutzer gehört zu der Zone, die für die Protokollierung der Quellidentität konfiguriert ist.
Der Benutzer Gibt eine Ressourcenzugriffsanforderung aus, deren generierter Datenverkehr mit einer Sicherheitsrichtlinie übereinstimmt, deren Quellzonentupel (from-zone) eine qualifizierende Zone angibt.
Die Sicherheitsrichtlinie umfasst als Teil ihrer Aktionen die Ereignisse Sitzungsinitialisierung (session-init) und Sitzungsende (session-close).
Zu den Vorteilen der Quellidentitätsprotokollfunktion gehört die Möglichkeit:
Decken Sie eine breite Palette von Benutzern in einer einzigen Spezifikation ab, d. h. alle Benutzer, die zu einer Zone gehören, die für die Protokollierung der Quellidentität konfiguriert ist.
Verwenden Sie weiterhin einen Adressbereich für die Quelladresse in einer Sicherheitsrichtlinie, ohne dass die Protokollierung der Benutzeridentität verloren geht.
Verwenden Sie eine Zone, die für die Protokollierung der Quellidentität konfiguriert ist, in mehr als einer Sicherheitsrichtlinie wieder.
Da die Konfiguration unabhängig von der Sicherheitsrichtlinie erfolgt, können Sie die Zone in einer oder mehreren Richtlinien als Quellzone angeben.
Die Benutzeridentität wird nicht protokolliert, wenn Sie eine Zone angeben, die für die zonenbasierte Protokollierung der Benutzeridentität als Zielzone und nicht als Quellzone konfiguriert ist.
Damit diese Funktion funktioniert, müssen Sie die folgenden Informationen konfigurieren:
Die Protokollanweisung für die Quellidentität, die für eine Zone konfiguriert ist, die in der beabsichtigten Sicherheitsrichtlinie als Quellzone (from-zone) verwendet wird.
Eine Sicherheitsrichtlinie, die Folgendes festlegt:
Eine qualifizierende Zone als Quellzone.
Die Ereignisse session-init und session-close als Teil ihrer Aktionen.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um die Quellidentitätsprotokollierungsfunktion zu konfigurieren:
- CLI Schnellkonfiguration
- Konfigurieren einer Zone zur Unterstützung der Quellenidentitätsprotokollierung und deren Verwendung in einer Sicherheitsrichtlinie
- Befund
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone trust source-identity-log set security policies from-zone trust to-zone untrust policy appfw-policy1 match source-address any destination-address any application junos-ftp set security policies from-zone trust to-zone untrust policy appfw-policy1 then permit set security policies from-zone trust to-zone untrust policy appfw-policy1 then log session-init set security policies from-zone trust to-zone untrust policy appfw-policy1 then log session-close
Konfigurieren einer Zone zur Unterstützung der Quellenidentitätsprotokollierung und deren Verwendung in einer Sicherheitsrichtlinie
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Konfigurieren Sie die Protokollierung der Quellidentität für die Vertrauenszone. Wenn diese Zone als Quellzone in einer Sicherheitsrichtlinie verwendet wird, schreibt das System die Benutzeridentitätsinformationen für alle Benutzer, für die die Sicherheitsrichtlinie gilt, in das Sitzungsprotokoll.
[edit security] user@host# set zones security-zone trust source-identity-log
Konfigurieren Sie eine Sicherheitsrichtlinie mit dem Namen appfw-policy1, die die Zonenvertrauensstellung als Begriff für die Quellzone angibt. Die Protokollierung der Quellidentität wird auf jeden Benutzer angewendet, dessen Datenverkehr mit den Tupeln der Sicherheitsrichtlinie übereinstimmt.
Diese Sicherheitsrichtlinie ermöglicht dem Benutzer den Zugriff auf den junos-ftp-Dienst. Wenn die Sitzung für den Benutzer eingerichtet wird, wird die Identität des Benutzers protokolliert. Sie wird auch am Ende der Sitzung protokolliert.
[edit security] user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 match source-address any destination-address any application junos-ftp user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then permit
Konfigurieren Sie die Aktionen der Sicherheitsrichtlinie appfw-policy1 so, dass die Protokollierung der Ereignisse "Sitzungsinitiierung" und "Schließen der Sitzung" eingeschlossen wird.
Anmerkung:Sie müssen die Sicherheitsrichtlinie so konfigurieren, dass Sitzungsinitiierungs- und Sitzungsschließungsereignisse protokolliert werden, damit die Protokollfunktion der Quellidentität wirksam wird. Die Informationen zur Benutzeridentität werden in Verbindung mit diesen Ereignissen in das Protokoll geschrieben.
[edit security] user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then log session-init user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then log session-close
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security zones Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Verifizierung
In diesem Abschnitt wird das Sitzungsprotokoll angezeigt, das für die Benutzersitzung generiert wurde. Die Protokollausgabe:
Zeigt den Benutzernamen user1 an, der zu Beginn des Öffnens der Sitzung und dann erneut zu Beginn des Schließens der Sitzung angezeigt wird.
Die Sicherheitsrichtlinienkonfiguration, die dazu geführt hat, dass der Benutzername in das Protokoll geschrieben wurde, gibt die Zonenvertrauensstellung als Quellzone an. Die Zonenvertrauensstellung wurde für die Protokollierung der Quellidentität konfiguriert.
Enthält Informationen, die aus dem Anforderungsdatenverkehr des Benutzers, den Richtlinienübereinstimmungskriterien und der NAT-Einrichtung abgerufen werden.
Enthält Identitätsinformationen über den Benutzer, die aus der Active Directory-Datenbank abgerufen werden. Zu diesen Informationen gehört der Rollenparameter für "MyCompany/Administrator", der die Gruppen anzeigt, denen der Benutzer angehört.
In diesem Szenario hat der Benutzer den Zugriff auf den Junos-FTP-Dienst von Juniper Networks angefordert, der ebenfalls im Protokoll aufgezeichnet wird. In Tabelle 1 sind die Teile des Protokolls aufgeführt, die für die Konfiguration der Quellidentitätsprotokollfunktion spezifisch sind:
Sitzungserstellung
Dies ist die Sitzungsinitiierung, mit der der erste Abschnitt des Protokolls beginnt, in dem die Sitzungseinrichtungsinformationen aufgezeichnet werden. Der Name des Benutzers, user1, wird zu Beginn der Aufzeichnung des Sitzungserstellungsprotokolls angezeigt. |
Benutzer1 RT_FLOW_SESSION_CREATE |
Auf die Sitzungserstellung folgen Standardinformationen, die die Sitzung basierend auf dem Datenverkehr des Benutzers definieren, der den Tupeln der Sicherheitsrichtlinie entspricht. |
|
Quelladresse, den Quellport, die Zieladresse, den Zielport. |
source-address="198.51.100.13/24" source-port="635" destination-address="198.51.100.10/24" destination-port="51" |
Anwendungsservice Dies ist der Anwendungsdienst, auf den der Benutzer Zugriff angefordert hat und den die Sicherheitsrichtlinie zulässt. |
service-name="junos-ftp" |
Quellzone, Zielzone Weiter unten im Protokoll befinden sich die Zonenspezifikationen, die Vertrauensstellung als Quellzone und nicht vertrauenswürdig als Zielzone wie definiert anzeigen. |
source-zone-name="vertrauen" destination-zone-name="nicht vertrauenswürdig" |
Sitzung schließen Dies ist die Initiierung des Schließens der Sitzung, mit der der zweite Teil des Protokolldatensatzes beginnt, der das Herunterfahren und Schließen der Sitzung abdeckt. Der Name des Benutzers, user1, wird am Anfang des Sitzungsabschlussdatensatzes angezeigt. |
Benutzer1 RT_FLOW – RT_FLOW_SESSION_CLOSE |
Überprüfen Sie, ob die Benutzeridentitätsinformationen protokolliert wurden
Zweck
Beachten Sie, dass die integrierte Benutzerfirewall Gruppen, die als Quellidentität konfiguriert sind, nur von Microsoft-Domänencontrollern sammelt. Wenn Sie die zonenbasierte Benutzeridentitätsfunktion verwenden, ohne die Quellidentität zu konfigurieren, enthält das Protokoll nur den Namen des Benutzers, d. h., es werden keine Gruppeninformationen aufgezeichnet. In diesem Fall wird im Abschnitt "roles=" des Protokolls "N/A" angezeigt. Im folgenden Beispiel wird davon ausgegangen, dass das Quellidentitätstupel verwendet wurde, und der Abschnitt "roles=" zeigt eine lange Liste der Gruppen an, denen der Benutzer "Administrator" angehört.
Aktion
Zeigen Sie die Protokollinformationen an.
Beispielausgabe
Befehlsname
<14>1 2015-01-19T15:03:40.482+08:00 user1 RT_FLOW - RT_FLOW_SESSION_CREATE [user@host2636 192.0.2.123 source-address=”198.51.100.13“ source-port=”635” destination-address=”198.51.100.10” destination-port=”51” service-name=”junos-ftp” nat-source-address=”203.0.113.10” nat-source-port=”12349” nat-destination-address ="198.51.100.13" nat-destination-port="3522" nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="appfw-policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-22="12245" username="MyCompany/Administrator " roles="administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins" packet-incoming-interface="ge-0/0/0.1" application="UNKNOWN" nested-application="UNKNOWN" encrypted="UNKNOWN"] session created 192.0.2.1/21 junos-ftp 10.1.1.12/32898->10.3.1.10/21 junos-ftp 10.1.1.1/547798->10.1.2.10/21 None None 6 appfw-policy1 trust untrust 20000025 MyCompany/Administrator (administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Ownersexample-team, Domain Admins) ge-0/0/0.0 UNKNOWN UNKNOWN UNKNOWN <14>1 2015-01-19T15:03:59.427+08:00 user1 RT_FLOW - RT_FLOW_SESSION_CLOSE [user@host2636 192.0.2.123 reason="idle Timeout” source-address=”198.51.100.13“ source-port=”635”" destination-address=”198.51.100.10” destination-port=”51" service-name="junos-ftp" nat-source-address="203.0.113.10" nat-source-port="12349" nat-destination-address ="198.51.100.13" "nat-destination-port="3522" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="appfw-policy1" source-zone-name="trust" destination-zone-name="untrust"session-id-32="20000025" packets-from-client="3" bytes-from-client="180" packets-from-server="0" bytes-from-server="0" elapsed-time="19" application="INCONCLUSIVE" nested-application="INCONCLUSIVE" username=" J “MyCompany /Administrator” roles="administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins" packet-incoming-interface="ge-0/0/0.1" encrypted="UNKNOWN"] session closed idle Timeout: 111.1.1.10/1234>10.1.1.11/21 junos-ftp 10.1.1.12/32898->10.3.1.10/21 1 None None 6 appfw-policy1 trust untrust 20000025 3(180) 0(0) 19 INCONCLUSIVE INCONCLUSIVE MyCompany/Administrator (administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins) ge-0/0/0.1 UNKNOWN
Konfigurieren von Active Directory als Identitätsquelle auf der Firewall
In Tabelle 2 werden die Schritte zum Konfigurieren von Active Directory als Identitätsquelle in Ihrer Firewall beschrieben.
| Konfigurationsschritt |
Befehl |
|---|---|
| Schritt 1: Authentifizierungstabelle konfigurieren Sie können die Active Directory-Authentifizierungstabelle konfigurieren. Sie können die Prioritätsoption konfigurieren. |
Authentifizierungstabelle
Priorität der Authentifizierungstabelle
|
| Schritt 2: Konfigurieren der Zeitüberschreitung Sie können einen gültigen Authentifizierungseintrag und ein Zeitlimit für ungültige Authentifizierungseinträge für Einträge in der Authentifizierungstabelle konfigurieren. Das Standardintervall Sie können Timeoutinformationen für Authentifizierungstabelleneinträge anzeigen. |
Gültige Authentifizierungseinträge
Ungültige Authentifizierungseinträge
Anzeigen von Timeout-Informationen
|
| Schritt 3: Konfigurieren der Überprüfung und Statistik des Windows-Ereignisprotokolls Sie können überprüfen, ob die Authentifizierungstabelle IP-Adresse und Benutzerinformationen erhält. Sie können Statistiken zum Lesen des Ereignisprotokolls anzeigen. Sie können die Firewallauthentifizierung als Sicherung in WMIC konfigurieren |
Überprüfung des Windows-Ereignisprotokolls
Statistiken des Windows-Ereignisprotokolls
Firewall-Authentifizierung als Backup für WMIC
|
| Schritt 4: Konfigurieren der Domänen-PC-Überprüfung Die Sondierung auf Anforderung ist standardmäßig aktiviert. Sie können die On-Demand-Sondierung deaktivieren. Wenn die Sondierung auf Anforderung deaktiviert ist, ist die manuelle Sondierung verfügbar. Sie können den Timeoutwert für den Test konfigurieren. Die Standardzeitüberschreitung beträgt 10 Sekunden. Sie können Probestatistiken anzeigen. |
Deaktivieren der Sondierung auf Anforderung
Manuelles Sondieren aktivieren
Timeoutwert für Test
Anzeigen von Sondenstatistiken
|
| Schritt 5: Konfigurieren des LDAP-Serverstatus und der Statistiken Sie können den LDAP-Verbindungsstatus überprüfen. Sie können die Anzahl der Abfragen sehen, die an den LDAP-Server gestellt wurden. |
LDAP-Serverstatus
LDAP-Serverstatistiken
|
Konfigurieren von Active Directory als Identitätsquelle auf NFX-Geräten
In einem typischen Szenario für die integrierte Benutzer-Firewall möchten Domänenbenutzer über ein NFX-Gerät auf das Internet zugreifen. Das Gerät liest und analysiert das Ereignisprotokoll der in der Domäne konfigurierten Domänencontroller. Auf diese Weise erkennt das Gerät Domänenbenutzer auf einem Active Directory-Domänencontroller. Die Active Directory-Domäne generiert eine Authentifizierungstabelle als Active Directory-Authentifizierungsquelle für die integrierte Benutzerfirewall. Das Gerät verwendet diese Informationen, um die Richtlinie durchzusetzen und eine benutzer- oder gruppenbasierte Zugriffssteuerung zu erreichen.
Wenn ein neuer Benutzer in Active Directory (AD) erstellt wird, wird der Benutzer der globalen Sicherheitsgruppe Primäre Gruppe hinzugefügt, bei der es sich standardmäßig um Domänenbenutzer handelt. Die primäre Gruppe ist weniger spezifisch als andere Gruppen, die in AD erstellt werden, da alle Benutzer zu ihr gehören. Außerdem kann es sehr groß werden.
Sie können die primäre Gruppe nicht verwenden, unabhängig davon, ob es sich um den Standardnamen "Domänenbenutzer" oder einen anderen Namen handelt, falls Sie ihn geändert haben, in Konfigurationen mit integrierten Benutzer-Firewalls.
So richten Sie eine Windows Active Directory-Domäne ein und konfigurieren eine andere Sicherheitsrichtlinie:
So überprüfen Sie, ob die Konfiguration ordnungsgemäß funktioniert:
Vergewissern Sie sich, dass mindestens ein Domänencontroller konfiguriert und verbunden ist, indem Sie den show services user-identification active-directory-access domain-controller status Befehl eingeben.
Vergewissern Sie sich, dass der LDAP-Server Informationen zur Benutzer-zu-Gruppen-Zuordnung bereitstellt, indem Sie den show services user-identification active-directory-access user-group-mapping status Befehl eingeben.
Überprüfen Sie die Einträge in der Authentifizierungstabelle, indem Sie den show services user-identification active-directory-access active-directory-authentication-table all Befehl eingeben. Die IP-Adressen, Benutzernamen und Gruppen werden für jede Domäne angezeigt.
Überprüfen der IP-zu-Benutzer-Zuordnung durch Eingabe des show services user-identification active-directory-access statistics ip-user-mapping Befehls. Die Anzahl der Abfragen und fehlgeschlagenen Abfragen wird angezeigt.
Vergewissern Sie sich, dass IP-Tests durchgeführt werden, indem Sie den show services user-identification active-directory-access statistics ip-user-probe Befehl eingeben.
Vergewissern Sie sich, dass Benutzer-zu-Gruppen-Zuordnungen abgefragt werden, indem Sie den show services user-identification active-directory-access statistics user-group-mapping Befehl eingeben.