Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren von Authentifizierungsmethoden für Benutzer der SRX-Firewall

Erfahren Sie, wie Sie Pass-Through- und Captive Portal-Authentifizierung konfigurieren.

Beispiel: Konfigurieren der Passthrough-Authentifizierung

In diesem Beispiel wird gezeigt, wie die Passthrough-Authentifizierung zur Authentifizierung von Firewallbenutzern konfiguriert wird. Ein Firewall-Benutzer ist ein Netzwerkbenutzer, der einen Benutzernamen und ein Passwort angeben muss, wenn er eine Verbindung über die Firewall hinweg initiiert.

Mit der Passthrough-Authentifizierung können Administratoren der SRX-Serie Benutzer, die versuchen, auf eine Ressource in einer anderen Zone zuzugreifen, über FTP, Telnet, HTTP oder HTTPS einschränken. Wenn der Datenverkehr mit einer Sicherheitsrichtlinie übereinstimmt, deren Aktion die Pass-Through-Authentifizierung ist, muss der Benutzer Anmeldeinformationen angeben.

Für HTTPS beträgt die Standardgröße des HTTPS-Zertifikatschlüssels 2048 Bit, um die Sicherheit zu gewährleisten. Wenn Sie keine Zertifikatsgröße angeben, wird die Standardgröße angenommen.

Anforderungen

Bevor Sie beginnen, definieren Sie Firewall-Benutzer. Siehe Übersicht über die Firewall-Benutzerauthentifizierung.

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Firewall der SRX-Serie

  • Firewall-Benutzersystem

  • Paket-Zielsystem

Überblick

Der Pass-Through-Authentifizierungsprozess wird ausgelöst, wenn ein Client, der als Firewallbenutzer bezeichnet wird, versucht, eine FTP-, Telnet- oder HTTP-Sitzung zu initiieren, um auf eine Ressource in einer anderen Zone zuzugreifen. Die Firewall der SRX-Serie fungiert als Proxy für einen FTP-, Telnet-, HTTP- oder HTTPS-Server, sodass sie den Firewall-Benutzer authentifizieren kann, bevor dem Benutzer Zugriff auf den tatsächlichen FTP-, Telnet- oder HTTP-Server hinter der Firewall gewährt wird.

Wenn der Datenverkehr, der aus einer von einem Firewall-Benutzer gesendeten Verbindungsanfrage generiert wird, bidirektional mit einer Sicherheitsrichtlinienregel übereinstimmt und diese Regel die Pass-Through-Firewall-Authentifizierung als Aktion ihrer then Klausel angibt, verlangt die Firewall der SRX-Serie, dass sich der Firewall-Benutzer bei einem Junos OS-Proxyserver authentifiziert.

Wenn die Authentifizierung erfolgreich ist, wird nachfolgender Datenverkehr von derselben Quell-IP-Adresse automatisch durch die Firewall der SRX-Serie gelassen, wenn der Datenverkehr mit den Sicherheitsrichtlinien-Tupeln übereinstimmt.

Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: Konfigurieren der Passthrough-Firewall-Authentifizierung Configuration interface for setting up a Local Gateway on a network device, showing options like NAT, external IP 192.0.2.12/28, tunnel interface st0.0, authentication, and SSL VPN profiles.
Hinweis:

Obwohl die Topologie die Verwendung eines externen Servers anzeigt, wird dies in der Konfiguration nicht behandelt. Es würde den Rahmen dieses Beispiels sprengen.

Konfiguration

Vorgehensweise

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die Passthrough-Authentifizierung:

  1. Konfigurieren Sie zwei Schnittstellen und weisen Sie ihnen IP-Adressen zu.

    Hinweis:

    In diesem Beispiel ist es optional, den Schnittstellen zwei Adressen zuzuweisen.

  2. Erstellen Sie das FWAUTH-Zugriffsprofil für den Benutzer FWClient1, geben Sie das Kennwort des Benutzers an, und definieren Sie ein Erfolgsbanner für Telnet-Sitzungen.

  3. Konfigurieren Sie Sicherheitszonen.

    Hinweis:

    In diesem Beispiel ist es optional, eine zweite Schnittstelle für eine Sicherheitszone zu konfigurieren.

  4. Weisen Sie den Sicherheitszonen die Sicherheitsrichtlinie P1 zu.

  5. Verwenden Sie Telnet, um den Benutzer der Firewall FWClient1 bei host2 zu authentifizieren.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie diese Befehle eingeben.

  • show interfaces

  • show access

  • show security zones

  • show security policies

Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Der Kürze halber enthält die Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte ersetzt (...).

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie Commit aus dem Konfigurationsmodus ein.

Verifizierung

Führen Sie die folgende Aufgabe aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen der Firewall-Benutzerauthentifizierung und Überwachung von Benutzern und IP-Adressen in der Authentifizierungstabelle

Zweck

Zeigen Sie den Benutzerverlauf der Firewall-Authentifizierung an und überprüfen Sie die Anzahl der Firewall-Benutzer, die sich erfolgreich authentifiziert haben, und die Anzahl der Firewall-Benutzer, die sich nicht anmelden konnten.

Aktion

Geben Sie im Betriebsmodus die folgenden show Befehle ein:

Beispiel: Konfigurieren des HTTPS-Datenverkehrs zum Auslösen der Passthrough-Authentifizierung

In diesem Beispiel wird gezeigt, wie der HTTPS-Datenverkehr so konfiguriert wird, dass die Passthrough-Authentifizierung ausgelöst wird. HTTPS ist sicherer als HTTP, daher ist es immer beliebter geworden und wird weiter verbreitet.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Firewall der SRX-Serie

  • Zwei PCs mit Linux und Open SSL. Ein PC fungiert als Client und ein anderer als HTTPS-Server. Die beiden PCs werden zum Erstellen von Schlüsseldateien und zum Senden von Datenverkehr verwendet.

  • Junos OS Version 12.1X44-D10 oder höher für SRX5400-, SRX5600- und SRX5800-Firewalls und Junos OS Version 15.1X49-D40 oder höher für Virtuelle Firewall vSRX-, SRX300-, SRX320-, SRX340-, SRX345-, SRX380-, SRX550M- und SRX1500-Firewalls.

Hinweis:

Ab Junos OS Version 12.1X44-D10 und Junos OS Version 17.3R1 wird die HTTPS-basierte Authentifizierung auf den Firewalls SRX5400, SRX5600 und SRX5800 eingeführt.

Ab Junos OS Version 15.1X49-D40 und Junos OS Version 17.3R1 wird HTTPS-basierte Authentifizierung auf Virtuelle Firewall vSRX-, SRX300-, SRX320-, SRX340-, SRX345-, SRX380-, SRX550M- und SRX1500-Firewalls eingeführt.

Bevor Sie beginnen:

Eine Firewall der SRX-Serie muss den HTTPS-Datenverkehr dekodieren, um eine Pass-Through-Authentifizierung auszulösen. Anschließend erstellt und installiert der SSL-Beendigungsproxy eine private Schlüsseldatei und eine Zertifizierungsdatei. In der folgenden Liste werden die Schritte zum Erstellen und Installieren einer privaten Schlüsseldatei und einer Zertifizierungsschlüsseldatei beschrieben.

Hinweis:

Wenn Sie eine offizielle .crt-Datei und eine .key-Datei haben, können Sie die Dateien direkt hochladen und auf der SRX-Serie Firewall installieren. Wenn Sie nicht über eine CRT-Datei und keine .key-Datei verfügen, befolgen Sie die Anweisungen zum Erstellen und Installieren der Dateien. Die in Schritt 1 und Schritt 2 angegebenen Anweisungen müssen auf einem PC ausgeführt werden, auf dem Linux und OpenSSL installiert sind. Die in Schritt 3 und Schritt 4 angegebenen Anweisungen müssen im Betriebsmodus ausgeführt werden.

So erstellen und installieren Sie eine private Schlüsseldatei und eine Zertifizierungsdatei:

  1. Erstellen Sie auf einem PC die .key Datei.

  2. Erstellen Sie auf einem PC die CRT-Datei .

  3. Laden Sie die .key- und CRT-Dateien in eine SRX-Serie Firewall hoch und installieren Sie die Dateien auf dem Gerät, indem Sie den folgenden Befehl aus dem Betriebsmodus ausführen:

Überblick

Die Firewall-Authentifizierung initiiert eine sichere Verbindung, die über zwei Geräte hinweg hergestellt wird. Ein Netzwerkbenutzer muss einen Benutzernamen und ein Kennwort für die Authentifizierung angeben, wenn er eine Verbindung über die Firewall hinweg initiiert. Die Firewall-Authentifizierung unterstützt HTTPS-Datenverkehr für die Pass-Through-Authentifizierung. HTTPS kann den Datenverkehr mit HTTP-Firewall-Authentifizierung zwischen Benutzern und der Firewall der SRX-Serie sichern.

HTTPS ist die sichere Version von HTTP, dem Protokoll, über das Daten zwischen dem Benutzer und dem Gerät, mit dem der Benutzer verbunden ist, gesendet werden. Die gesamte Kommunikation zwischen dem Benutzer und den angeschlossenen Geräten ist verschlüsselt. HTTPS wird häufig verwendet, um streng vertrauliche Online-Transaktionen wie Online-Banking und Online-Shopping-Bestellformulare zu schützen.

In diesem Beispiel wird HTTPS-Datenverkehr verwendet, um die Pass-Through-Authentifizierung auszulösen, da HTTPS sicherer ist als HTTP. Damit der HTTPS-Datenverkehr die Passthrough-Authentifizierung auslöst, müssen Sie zuerst das SSL-Beendigungsprofil konfigurieren.

Abbildung 2 zeigt ein Beispiel für die Pass-Through-Authentifizierung mit HTTPS-Datenverkehr. In diesem Beispiel versucht ein Host oder ein Benutzer aus einer nicht vertrauenswürdigen Zone, auf Ressourcen in der vertrauenswürdigen Zone zuzugreifen. Die Firewall der SRX-Serie verwendet HTTPS, um die Benutzernamen- und Kennwortinformationen zu erfassen. Nachfolgender Datenverkehr vom Host oder Benutzer wird basierend auf dem Ergebnis dieser Authentifizierung zugelassen oder abgelehnt.

Abbildung 2: Pass-Through-Authentifizierung mit HTTPS-Datenverkehr Network topology with zones and NAT using a Juniper SRX device. Untrust zone IP 192.0.2.12, trust zone IP 203.0.113.1. NAT translates 203.0.113.1 to 10.1.1.1-10.1.1.14, and 1.1.1.100 to 10.1.1.200.

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .

Vorgehensweise

Schritt-für-Schritt-Anleitung

So konfigurieren Sie den HTTPS-Datenverkehr so, dass er die Passthrough-Authentifizierung auslöst:

  1. Konfigurieren Sie Schnittstellen und weisen Sie IP-Adressen zu.

  2. Konfigurieren Sie Sicherheitsrichtlinien, um von der Firewall authentifizierten Datenverkehr von Zone "vertrauenswürdig" zu Zone "nicht vertrauenswürdig" zuzulassen.

  3. Geben Sie eine Richtlinienaktion an, die ausgeführt werden soll, wenn ein Paket die Kriterien erfüllt.

  4. Konfigurieren Sie Sicherheitszonen und weisen Sie Schnittstellen zu.

  5. Konfigurieren Sie Anwendungsdienste für Zonen.

  6. Erstellen Sie ein Zugriffsprofil, konfigurieren Sie den Client als Firewall-Benutzer und legen Sie das Kennwort fest.

  7. Konfigurieren Sie den Firewalltyp und den Standardprofilnamen, in dem die Authentifizierungseinstellungen definiert sind.

  8. Konfigurieren Sie das SSL-Beendigungsprofil und geben Sie einen lokalen Zertifikatsbezeichnernamen ein.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , show security policies, show security zones, show accessund show services ssl termination . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Konfiguration überprüfen

Zweck

Überprüfen Sie, ob die Konfiguration korrekt ist.

Aktion

Geben Sie im Betriebsmodus den show security firewall-authentication users Befehl für die Kennung 1 ein.

Bedeutung

Der show security firewall-authentication users Befehl zeigt die Benutzerinformationen für die Firewall-Authentifizierung für den angegebenen Bezeichner an. Wenn in der Ausgabe im Feld Authentifizierungsmethode Pass-through mit HTTPS und im Feld Authentifizierungsstatus Erfolg angezeigt wird, ist Ihre Konfiguration korrekt.

Beispiel: Captive Portal-Authentifizierung konfigurieren

In diesem Beispiel wird gezeigt, wie Sie die Captive Portal-Authentifizierung aktivieren und eine Richtlinie einrichten, die einem Benutzer Zugriff gewährt, wenn der Datenverkehr auf eine Richtlinie trifft, für die die Captive Portal-Authentifizierung aktiviert ist.

Anforderungen

Bevor Sie beginnen:

Überblick

Um die Web-Authentifizierung zu aktivieren, müssen Sie die IP-Adresse des Geräts angeben, auf dem die HTTP-Sitzung gehostet wird. Diese Einstellungen werden verwendet, wenn der Firewall-Benutzer, der auf eine geschützte Ressource zugreift, durch direkten Zugriff auf den Webserver oder durch Web-Authentifizierung authentifiziert werden möchte. Die folgenden Anweisungen zeigen, wie Sie eine Richtlinie einrichten, die den Zugriff auf den Benutzer FWClient1 zulässt, wenn der Datenverkehr auf eine Richtlinie trifft, für die die Web-Authentifizierung aktiviert ist (Policy-W). (Siehe Abbildung 3.) In diesem Beispiel hat sich FWClient1 bereits über die Web Authentifizierung-Anmeldeseite authentifiziert.

Der Benutzer der Firewall FWClient1 führt die folgenden Schritte aus, um authentifiziert zu werden:

  1. Verweist den Browser auf die Web-Authentifizierung-IP (198.51.100.63/24), um zuerst authentifiziert zu werden

  2. Startet Datenverkehr für den Zugriff auf Ressourcen, die in der Richtlinie policy-W angegeben sind

Abbildung 3: Beispiel für Web Authentication Example eine Webauthentifizierung

Wenn Sie das Gerät wie in diesen Anweisungen beschrieben konfigurieren und sich der Benutzer erfolgreich authentifiziert hat, wird der in Abbildung 4 dargestellte Bildschirm angezeigt.

Abbildung 4: Erfolgsbanner Web Authentication Success Banner für Webauthentifizierung

Konfiguration

Vorgehensweise

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die Web-Authentifizierung:

  1. Konfigurieren Sie zwei Schnittstellen und weisen Sie ihnen IP-Adressen zu.

    Hinweis:

    In diesem Beispiel ist es optional, den Schnittstellen zwei Adressen zuzuweisen.

  2. Erstellen Sie das WEBAUTH-Zugriffsprofil für den Benutzer FWClient1, geben Sie das Kennwort des Benutzers an und definieren Sie ein Erfolgsbanner.

  3. Konfigurieren Sie Sicherheitszonen.

    Hinweis:

    In diesem Beispiel ist es optional, eine zweite Schnittstelle für eine Sicherheitszone zu konfigurieren.

  4. Weisen Sie den Sicherheitszonen die Sicherheitsrichtlinie P1 zu.

  5. Aktivieren Sie den HTTP-Prozess (Daemon) auf Ihrem Gerät.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben:

  • show interfaces

  • show access

  • show security zones

  • show security policies

  • show system services

Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Der Kürze halber enthält diese show Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte ersetzt (...).

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Führen Sie die folgende Aufgabe aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen der Firewall-Benutzerauthentifizierung und Überwachung von Benutzern und IP-Adressen in der Authentifizierungstabelle

Zweck

Zeigen Sie den Benutzerverlauf der Firewall-Authentifizierung an und überprüfen Sie die Anzahl der Firewall-Benutzer, die sich erfolgreich authentifiziert haben, und der Firewall-Benutzer, die sich nicht anmelden konnten.

Aktion

Geben Sie im Betriebsmodus die folgenden show Befehle ein:

Siehe auch

Beispiel: Konfigurieren des HTTPS-Datenverkehrs zum Auslösen der Captive Portal-Authentifizierung

Dieses Beispiel zeigt, wie der HTTPS-Datenverkehr so konfiguriert wird, dass die Captive Portal-Authentifizierung ausgelöst wird. HTTPS wird häufig für die Captive Portal-Authentifizierung verwendet, da es sicherer als HTTP ist.

Anforderungen

Bevor Sie beginnen:

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Firewall der SRX-Serie

  • Zwei PCs mit installiertem Linux und Open SSL. Ein PC fungiert als Client und ein anderer als HTTPS-Server. Die beiden PCs werden zum Erstellen von Schlüsseldateien und zum Senden von Datenverkehr verwendet.

  • Junos OS Version 12.1X44-D10 oder höher für SRX5400-, SRX5600- und SRX5800 Geräte und Junos OS Version 15.1X49-D40 oder höher für Virtuelle Firewall vSRX-, SRX300-, SRX320-, SRX340-, SRX345-, SRX380-, SRX550M- und SRX1500-Services-Gateways.

Eine Firewall der SRX-Serie muss den HTTPS-Datenverkehr dekodieren, um eine Web-Authentifizierung auszulösen. In der folgenden Liste werden die Schritte zum Erstellen und Installieren einer privaten Schlüsseldatei und einer Zertifizierungsschlüsseldatei beschrieben.

Hinweis:

Wenn Sie eine offizielle .crt Datei und .key Datei haben, können Sie die Dateien direkt hochladen und auf der Firewall der SRX-Serie installieren. Wenn Sie nicht über eine Datei und .key Datei .crt verfügen, befolgen Sie die Schritte zum Erstellen und Installieren der Dateien. Die in Schritt 1 und Schritt 2 angegebenen Anweisungen müssen auf einem PC ausgeführt werden, auf dem Linux und OpenSSL installiert sind. Die in Schritt 3 und Schritt 4 angegebenen Anweisungen müssen im Betriebsmodus ausgeführt werden.

  1. Erstellen Sie auf dem PC die .key Datei.

  2. Erstellen Sie auf dem PC die .crt Datei.

  3. Laden Sie von der Firewall der SRX-Serie die .key .crt und-Dateien hoch und installieren Sie die Dateien mit dem folgenden Befehl auf dem Gerät:

Überblick

Die Firewall-Authentifizierung initiiert eine sichere Verbindung, die über zwei Geräte hinweg hergestellt wird. Ein Netzwerkbenutzer muss einen Benutzernamen und ein Kennwort für die Authentifizierung angeben, wenn er eine Verbindung über die Firewall hinweg initiiert. Die Firewall-Authentifizierung unterstützt HTTPS-Datenverkehr für die Pass-Through-Authentifizierung. HTTPS kann den Datenverkehr mit HTTP-Firewall-Authentifizierung zwischen Benutzern und der Firewall der SRX-Serie sichern.

HTTPS ist die sichere Version von HTTP, dem Protokoll, über das Daten zwischen dem Benutzer und dem Gerät, mit dem der Benutzer verbunden ist, gesendet werden. Die gesamte Kommunikation zwischen dem Benutzer und den angeschlossenen Geräten ist verschlüsselt. HTTPS wird häufig verwendet, um streng vertrauliche Online-Transaktionen wie Online-Banking und Online-Shopping-Bestellformulare zu schützen.

In diesem Beispiel wird HTTPS-Datenverkehr verwendet, um die Web-Authentifizierung auszulösen, da HTTPS sicherer ist als HTTP.

Der Benutzer verwendet HTTPS, um auf eine IP-Adresse auf dem Gerät zuzugreifen, die für die Web-Authentifizierung aktiviert ist. In diesem Szenario verwendet der Benutzer HTTPS nicht, um auf die IP-Adresse der geschützten Ressource zuzugreifen. Der Benutzer wird zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert, die vom Gerät überprüft werden. Nachfolgender Datenverkehr vom Benutzer oder Host zur geschützten Ressource wird basierend auf den Ergebnissen dieser Web-Authentifizierung zugelassen oder verweigert.

Wenn Sie die Aktivierung auf einer Schnittstelle durchführen web-authentication https , müssen Sie diese konfigurieren web-management https , um zu verhindern, dass das Gerät einen Commit-Fehler generiert.

Abbildung 5 zeigt ein Beispiel für die Web-Authentifizierung mit HTTPS-Datenverkehr.

Abbildung 5: Webauthentifizierung mit HTTPS-Datenverkehr Network diagram: Two PCs connected via SRX Series device, PC1 uses IP 203.0.113.18/24, PC2 uses IP 192.0.2.5/24, illustrating basic network configuration.

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .

Vorgehensweise

Schritt-für-Schritt-Anleitung

So konfigurieren Sie den HTTPS-Datenverkehr zum Auslösen der Web-Authentifizierung:

  1. Aktivieren der Webverwaltungsunterstützung für HTTPS-Datenverkehr.

  2. Konfigurieren Sie Schnittstellen und weisen Sie IP-Adressen zu. Aktivieren Sie die Web-Authentifizierung an der ge-0/0/0-Schnittstelle.

  3. Konfigurieren Sie Sicherheitsrichtlinien, um von der Firewall authentifizierten Datenverkehr von Zone "vertrauenswürdig" zu Zone "nicht vertrauenswürdig" zuzulassen.

  4. Erstellen Sie ein Zugriffsprofil, konfigurieren Sie den Client als Firewall-Benutzer, und legen Sie das Kennwort fest.

  5. Konfigurieren Sie den Typ der Firewall-Authentifizierung-Einstellungen.

  6. Geben Sie eine Richtlinienaktion an, die ausgeführt werden soll, wenn ein Paket die Kriterien erfüllt.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show system servicesBefehle , show interfaces, show security policiesund show access . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Konfiguration überprüfen

Zweck

Überprüfen Sie, ob die Konfiguration korrekt ist.

Aktion

Geben Sie im Betriebsmodus den show security firewall-authentication users identifier identifier Befehl ein.

Beispielausgabe
Bedeutung

Der show security firewall-authentication users identifier identifier Befehl zeigt die Benutzerinformationen zur Firewall-Authentifizierung anhand der Kennungs-ID des Benutzers an. Wenn der Parameter "Authentifizierung-Methode" "Web-Authentifizierung" und der Parameter "Authentifizierung-Status" "Erfolg" in der Ausgabe anzeigt, ist die Konfiguration korrekt.

Captive Portal für nicht authentifizierte Browser konfigurieren

Erfahren Sie, wie Sie das Captive Portal für nicht authentifizierte Browser konfigurieren.

Im Folgenden finden Sie einige Beispiele dafür, wie Sie Sicherheitsrichtlinien für die Verwendung der Firewall-Authentifizierung auth-only-browser und auth-user-agent konfigurieren können.

For Pass-Through Authentication

Konfiguriert eine Sicherheitsrichtlinie für die Passthrough-Authentifizierung, die den Parameter auth-only-browser verwendet.

Konfiguriert eine Sicherheitsrichtlinie für die Passthrough-Authentifizierung, die den Parameter auth-user-agent ohne auth-only-browser verwendet.

Konfiguriert eine Sicherheitsrichtlinie für die Passthrough-Authentifizierung, die den Nur-Authentifizierungs-Authentifizierungsordner auth-user-agent mit dem Parameter auth-user-agent verwendet.

For User Firewall Authentication

Konfiguriert eine Sicherheitsrichtlinie für die Benutzer-Firewall-Authentifizierung, die den Parameter auth-only-browser verwendet.

Konfiguriert eine Sicherheitsrichtlinie für die Benutzer-Firewall-Authentifizierung, die den Parameter auth-user-agent ohne auth-only-browser verwendet.

Konfiguriert eine Sicherheitsrichtlinie für die Benutzer-Firewall-Authentifizierung, die auth-only-browser mit dem Parameter auth-user-agent verwendet.

Siehe auch

Beispiel: Konfigurieren einer einheitlichen Richtlinie

Lesen Sie dieses Beispiel, um zu verstehen, wie Sie Pass-Through-Authentifizierung und Captive Portal-Authentifizierung in einer einheitlichen Richtlinie konfigurieren, um Benutzern den Zugriff auf Netzwerkressourcen zu beschränken oder zuzulassen.

Überblick

Mit der Firewall-Benutzer-Authentifizierung können Sie Benutzer authentifizieren, bevor sie hinter einer Firewall auf Netzwerkressourcen zugreifen können. Wenn Sie die Firewall-Benutzer-Authentifizierung aktiviert haben, muss ein Benutzer einen Benutzernamen und ein Kennwort für die Authentifizierung angeben, wenn er eine Verbindung über die Firewall hinweg initiiert.

Ab Junos OS Version 21.2R1 unterstützen wir die Firewall-Benutzer-Authentifizierung mit einheitlichen Richtlinien. Unterstützung ist sowohl für die Pass-Through-Authentifizierung als auch für die Captive Portal-Authentifizierung verfügbar.

Topologie

Abbildung 6 zeigt die in diesem Beispiel verwendete Topologie.
Abbildung 6: Topologie: Konfiguration der Firewall-Benutzerauthentifizierung mit einheitlicher Richtlinie Network setup with Juniper SRX firewall managing traffic between Untrust Zone 10.1.1.1 and Trust Zone 10.1.2.1. Includes firewall users, client, server, and local database for authentication.

Wie in der Topologie gezeigt, müssen Firewall-Benutzer in der nicht vertrauenswürdigen Zone auf einen externen Server (IP-Adresse 10.1.2.1) in der vertrauenswürdigen Zone zugreifen. Der Benutzer authentifiziert sich beim Sicherheitsgerät, bevor er auf den Server zugreift. Das Gerät fragt eine lokale Datenbank ab, um das Ergebnis der Authentifizierung zu ermitteln. Nach erfolgreicher Authentifizierung lässt das Sicherheitsgerät nachfolgenden Datenverkehr von derselben Quell-IP-Adresse zu, bis die Sitzung des Benutzers abläuft und geschlossen wird.

In diesem Beispiel konfigurieren Sie die folgenden Funktionen auf der Firewall der SRX-Serie:

  1. Konfigurieren Sie eine lokale Benutzerdatenbank für das Sicherheitsgerät in einem Zugriffsprofil. Fügen Sie dem Profil einen oder mehrere Clients hinzu, die Endbenutzer darstellen. Der Clientname steht für den Benutzernamen. Geben Sie das Kennwort für jeden Benutzer im Nur-Text-Format ein.

  2. Verknüpfen Sie das Zugriffsprofil mit Pass-Through- oder Web-Firewall-Authentifizierungsmethoden. Legen Sie ein benutzerdefiniertes Banner für die Anzeige für den Endbenutzer fest.
  3. Konfigurieren Sie die Sicherheitsrichtlinie, um den Datenverkehr zuzulassen oder einzuschränken, und wenden Sie die Firewall-Benutzer Authentifizierung auf den zulässigen Datenverkehr an.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Eine Firewall der SRX-Serie oder eine virtuelle Firewall vSRX
  • Junos OS Version 21.2R1

Bevor Sie beginnen:

Konfiguration von Benutzern der SRX-Firewall mit traditioneller Richtlinie und einheitlicher Richtlinie

In diesem Beispiel konfigurieren wir die Passthrough-Authentifizierung sowohl mit der traditionellen Sicherheitsrichtlinie als auch mit der einheitlichen Richtlinie. Die Konfiguration umfasst das Einrichten von Sicherheitszonen und Schnittstellen, das Erstellen von Zugriffsprofilen und das Definieren von Sicherheitsrichtlinien, wie in der folgenden Tabelle dargestellt:
Tabelle 1: Details zu den Sicherheitsrichtlinien
Szenarios Richtlinien-Workflow Wenn der Benutzer ein Sitzungsergebnis initiiert
Authentifizierung mit herkömmlichen Sicherheitsrichtlinien und unbekanntem Benutzer Richtlinie P1
  • Übereinstimmungskriterien: source-identity -unknown/unauthenticated users
  1. Das Gerät sucht in der Benutzeridentifikationstabelle (UIT) nach der Quellidentität des Benutzers.
  2. Die Richtlinie betrachtet den Benutzer als nicht authentifizierten Benutzer, wenn die Quellidentität nicht verfügbar ist.
  3. Die Richtlinie fängt den HTTP- oder HTTPS-Datenverkehr des Benutzers ab und löst eine Aufforderung zur Firewall-Authentifizierung aus.
  4. Nach erfolgreicher Authentifizierung lässt die Richtlinie den Datenverkehr basierend auf den konfigurierten Richtlinienregeln zu oder lehnt ihn ab.
  5. Das Gerät erstellt einen Authentifizierungseintrag in der Benutzeridentifikationstabelle, indem es die IP-Adresse und den Benutzernamen eingibt.
 Erlaubt einem nicht authentifizierten Benutzer nach erfolgreicher Firewall-Benutzer-Authentifizierung.
Authentifizierung mit einheitlichen Richtlinien und einem authentifizierten Benutzer Richtlinie P2
  • Übereinstimmungskriterien: source-identity - authenticated-users
  • dynamic-application - junos:GOOGLE
  1. Das Gerät ruft Benutzer- und Rolleninformationen aus der Benutzeridentifikationstabelle (UIT) ab, sofern verfügbar.
  2. Die Sicherheitsrichtlinie klassifiziert den Benutzer als authentifizierten Benutzer.
  3. Nach erfolgreicher Authentifizierung lässt die Richtlinie den Datenverkehr basierend auf den konfigurierten Richtlinienregeln zu oder lehnt ihn ab.
Erlaubt einen authentifizierten Benutzer ohne Firewall-Benutzer-Authentifizierung.
Authentifizierung mit einheitlichen Richtlinien Richtlinie P3
  • dynamic-application -junos:YAHOO
  1. Das Gerät durchsucht das Authentifizierungsprofil PROFILE-1, um das Authentifizierungsergebnis zu ermitteln.
  2. Nach erfolgreicher Authentifizierung lässt die Richtlinie den Datenverkehr basierend auf den konfigurierten Richtlinienregeln zu oder lehnt ihn ab.
Ermöglicht Datenverkehr mit Firewall-Benutzer-Authentifizierung.

Informationen zum Umleiten des Datenverkehrs von einem nicht authentifizierten Benutzer zur Authentifizierung an ein UAC-Captive Portal finden Sie unter Beispiel: Konfigurieren einer Benutzerrollen-Firewall auf einem Gerät der SRX-Serie.

CLI-Schnellkonfiguration

Um dieses Beispiel schnell auf Ihrer Firewall der SRX-Serie zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in eine Textdatei ein. Entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein.

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie Schnittstellen.

  2. Erstellen Sie Sicherheitszonen und weisen Sie die Schnittstellen zu.

  3. Richten Sie ein Zugriffsprofil ein und fügen Sie Benutzerdetails hinzu.

    Wir haben zwei Benutzer CLIENT-1 und CLIENT-2 mit Passwörtern hinzugefügt und diese Benutzer der Client-Gruppe GROUP-1 zugewiesen.

  4. Konfigurieren Sie die Authentifizierungsmethoden und weisen Sie das Zugriffsprofil zu.

  5. Konfigurieren Sie ein SSL-Beendigungsprofil.

  6. Konfigurieren Sie eine Sicherheitsrichtlinie, um nicht authentifizierte Benutzer mit Firewall-Benutzer-Authentifizierung zuzulassen.

  7. Konfigurieren Sie eine Sicherheitsrichtlinie, um authentifizierte Benutzer ohne Firewall-Benutzer-Authentifizierung zuzulassen.

  8. Konfigurieren Sie eine Sicherheitsrichtlinie, um den Datenverkehr mit Firewall-Benutzer-Authentifizierung zuzulassen.

  9. Fügen Sie einer lokalen Authentifizierungstabelle einen Eintrag hinzu. Beachten Sie, dass jeder Eintrag eine IP-Adresse enthalten muss.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

[edit ] [edit] [edit]

[edit]

Wenn Sie mit der Konfiguration der Funktion auf Ihrem Gerät fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfen, ob die Firewall-Benutzerauthentifizierung funktioniert

Um zu überprüfen, ob der Firewall-Benutzer Authentifizierung funktioniert, öffnen Sie einen Webbrowser auf dem Clientcomputer. Greifen Sie auf den Server zu, indem Sie die Server-IP-Adresse 10.1.2.1 eingeben. Das System fordert Sie zur Eingabe der Anmelde- und Kennwortdetails auf, wie in Abbildung 7 gezeigt.

Abbildung 7: Pass-Through-Authentifizierungsaufforderung Authentication dialog box requesting username and password with Cancel and OK buttons.

Nach erfolgreicher Eingabe der Anmeldeinformationen können Sie auf den Server zugreifen.

Konfiguration der Pass-Through-Authentifizierung mit einheitlichen Richtlinien

In diesem Beispiel konfigurieren wir die Pass-Through-Authentifizierung mit einer einheitlichen Richtlinie. Die Konfiguration umfasst die Einrichtung von Sicherheitszonen und Schnittstellen, die Erstellung von Zugriffsprofilen und die Definition einer einheitlichen Richtlinie. In der einheitlichen Richtlinie definieren wir die dynamische Anwendung für Übereinstimmungskriterien als any.

CLI-Schnellkonfiguration

Um dieses Beispiel schnell auf Ihrer Firewall der SRX-Serie zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie dann in die CLI auf der Hierarchieebene [edit] ein.

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie Schnittstellen.

  2. Sicherheitszonen definieren und Schnittstellen zuweisen.

  3. Richten Sie ein Zugriffsprofil ein und fügen Sie Benutzerdetails hinzu.

    Wir haben zwei Benutzer CLIENT-1 und CLIENT-2 mit Passwörtern hinzugefügt und die Benutzer der Client-Gruppe GROUP-1 zugewiesen.

  4. Konfigurieren Sie die Authentifizierungsmethoden und weisen Sie das Zugriffsprofil zu.

  5. Konfigurieren Sie ein SSL-Beendigungsprofil.

  6. Konfigurieren Sie eine Sicherheitsrichtlinie mit dynamischer Anwendung als any.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

[edit]

[edit]

[edit]

[edit]

Wenn Sie mit der Konfiguration der Funktion auf Ihrem Gerät fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfen der Funktion der Passthrough-Authentifizierung

Um zu überprüfen, ob der Firewall-Benutzer Authentifizierung funktioniert, öffnen Sie einen Webbrowser auf dem Clientcomputer. Greifen Sie auf den Server zu, indem Sie die Server-IP-Adresse 10.1.2.1 eingeben. Das System fordert Sie zur Eingabe von Anmelde- und Kennwortdetails auf, wie in Abbildung 8 dargestellt.

Abbildung 8: Pass-Through-Authentifizierungsaufforderung Authentication dialog box requesting username and password with Cancel and OK buttons.

Nach erfolgreicher Eingabe der Anmeldeinformationen können Sie auf den Server zugreifen.

Konfiguration der Captive Portal-Authentifizierung mit einheitlicher Richtlinie

In diesem Beispiel konfigurieren wir die Captive Portal-Authentifizierung mit einer einheitlichen Richtlinie. Die Konfiguration umfasst die Einrichtung von Sicherheitszonen und Schnittstellen, die Erstellung von Zugriffsprofilen und die Definition einer einheitlichen Richtlinie. Für die Captive Portal-Authentifizierung definieren wir ein Erfolgsbanner für HTTP-Sitzungen.

CLI-Schnellkonfiguration

Um dieses Beispiel schnell auf Ihrer Firewall der SRX-Serie zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie dann in die CLI auf der Hierarchieebene [edit] ein.

Schritt-für-Schritt-Anleitung

  1. Erstellen Sie Schnittstellen.

    Verwenden Sie eine sekundäre IP-Adresse für die Web-Authentifizierung. In diesem Beispiel verwenden wir 10.1.1.253/24 für die Web-Authentifizierung. Beachten Sie, dass die sekundäre IP-Adresse dasselbe Subnetz wie die primäre IP-Adresse verwenden muss.

  2. Erstellen Sie Sicherheitszonen und weisen Sie Schnittstellen zu.

  3. Aktivieren Sie die Schnittstelle für die Web-Authentifizierung.

  4. Richten Sie ein Zugriffsprofil ein und fügen Sie Benutzerdetails hinzu.

    Wir haben zwei Benutzer CLIENT-1 und CLIENT-2 mit Passwörtern hinzugefügt und die Benutzer der Client-Gruppe GROUP-1 zugewiesen.

  5. Konfigurieren von Web-Authentifizierungs-Eigenschaften

  6. Erstellen Sie eine Sicherheitsrichtlinie mit dynamischer Anwendung.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

[edit]

[edit]

[edit]

[edit]

[edit]

Wenn Sie mit der Konfiguration der Funktion auf Ihrem Gerät fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfen, ob die Webauthentifizierung funktioniert

Um zu überprüfen, ob die Web-Authentifizierung funktioniert, öffnen Sie einen Webbrowser auf dem Clientcomputer. Greifen Sie zunächst über einen Webbrowser auf das Sicherheitsgerät zu. Verwenden Sie die IP-Adresse 10.1.1.253, die wir für die Web-Authentifizierung konfiguriert haben. Das Gerät fordert Sie zur Eingabe eines Benutzernamens und eines Kennworts auf, wie in Abbildung 9 dargestellt.

Abbildung 9: Web-Authentifizierungsaufforderung Login page for firewall authentication with shield icon and text Firewall Authentication associated with Juniper Networks.

Nach erfolgreicher Authentifizierung zeigt das System das konfigurierte Banner wie in Abbildung 10 gezeigt an, und Sie können auf den Server zugreifen.

Abbildung 10: Web-Authentifizierungsbanner Firewall Authentication page for Juniper Networks with Welcome to Juniper HTTP Session and a Close button.

Verifizierung

Überwachung von Firewall-Benutzern

Zweck

Zeigen Sie den Benutzerverlauf der Firewall-Authentifizierung an, um die Details des Firewall-Benutzers zu überprüfen.

Aktion

Geben Sie im Betriebsmodus die folgenden show-Befehle ein:

Bedeutung

Die Befehlsausgabe enthält Details wie angemeldete Benutzer, verwendete Authentifizierungsmethode, angewendetes Profil, Anmeldeversuche usw.

Überprüfen der Details zur Verwendung von Sicherheitsrichtlinien

Zweck

Zeigt den Nutzensatz von Sicherheitsrichtlinien entsprechend der Anzahl der erhaltenen Treffer an.

Aktion

Geben Sie im Betriebsmodus die folgenden show-Befehle ein:

Bedeutung

Die Befehlsausgabe enthält Details zu den Sicherheitsrichtlinien, die auf den Datenverkehr angewendet werden.

Beispiel: Konfigurieren externer Authentifizierungsserver

In diesem Beispiel wird gezeigt, wie ein Gerät für die externe Authentifizierung konfiguriert wird.

Anforderungen

Bevor Sie beginnen, erstellen Sie eine Benutzergruppe für die Authentifizierung.

Überblick

Sie können mehrere Benutzerkonten zu einer Benutzergruppe zusammenfassen, die Sie auf der lokalen Datenbank oder auf einem RADIUS-, LDAP- oder SecurID-Server speichern können. Wenn Sie in einer Richtlinie auf eine Benutzergruppe für die Authentifizierung und einen externen Authentifizierungsserver verweisen, löst der mit der Richtlinie übereinstimmende Datenverkehr eine Authentifizierung aus.

Dieses Beispiel zeigt, wie das Zugriffsprofil Profile-1 für die externe Authentifizierung konfiguriert ist. Im Zugriffsprofil sind zwei RADIUS-Server und ein LDAP-Server konfiguriert. Die Reihenfolge der Authentifizierung gibt jedoch nur den RADIUS-Server an, d. h., wenn die Authentifizierung des RADIUS-Servers fehlschlägt, kann sich der Firewallbenutzer nicht authentifizieren. Auf die lokale Datenbank wird nicht zugegriffen.

Hinweis:

Wenn die Firewallclients vom RADIUS-Server authentifiziert werden, sollte der vom RADIUS-Server zurückgegebene VSA für die Gruppenmitgliedschaft Alpha-, Beta- oder Gamma-Clientgruppen in der RADIUS-Serverkonfiguration oder im Zugriffsprofil Profil-1 enthalten. Zugriffsprofile speichern Benutzernamen und Kennwörter von Benutzern oder verweisen auf externe Authentifizierungsserver, auf denen diese Informationen gespeichert werden.

Konfiguration

Vorgehensweise

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie ein Gerät für die externe Authentifizierung:

  1. Geben Sie den RADIUS-Server für die externe Authentifizierung an.

  2. Konfigurieren Sie Client1-4-Firewall-Benutzer und weisen Sie den Client-1-Firewall-Benutzer und den Client-2-Firewall-Benutzer Client-Gruppen zu.

  3. Konfigurieren Sie Clientgruppen in den Sitzungsoptionen.

  4. Konfigurieren Sie die IP-Adresse für den LDAP-Server und die Serveroptionen.

  5. Konfigurieren Sie die IP-Adressen für die beiden RADIUS-Server.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show access profile Profile-1 Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Führen Sie die folgende Aufgabe aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Fehlerbehebung mit Protokollen

Zweck

Verwenden Sie diese Protokolle, um Probleme zu identifizieren.

Aktion

Geben Sie im Betriebsmodus den show log messages Befehl und den show log dcd Befehl ein.

Beispiel: Konfigurieren von Clientgruppen

Dieses Beispiel zeigt, wie ein lokaler Benutzer für Clientgruppen in einem Profil konfiguriert wird.

Anforderungen

Bevor Sie beginnen, erstellen Sie ein Zugriffsprofil.

Überblick

Eine Clientgruppe ist eine Liste von Gruppen, denen der Client angehört. Wie beim Client-Leerlauf-Timeout wird eine Clientgruppe nur verwendet, wenn der externe Authentifizierungsserver keinen Wert in seiner Antwort zurückgibt (z. B. geben LDAP-Server solche Informationen nicht zurück).

In diesem Beispiel wird gezeigt, wie ein lokaler Benutzer namens Client-1 für die Clientgruppen G1, G2 und G3 in einem Profil namens Manager konfiguriert wird. In diesem Beispiel werden Clientgruppen für einen Client konfiguriert. Wenn für den Mandanten keine Mandantengruppe definiert ist, wird die Mandantengruppe unter der access profile session-options Hierarchie verwendet.

Konfiguration

Vorgehensweise

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie einen lokalen Benutzer für Clientgruppen in einem Profil:

  1. Konfigurieren Sie die Firewall-Benutzerprofil-Manager und weisen Sie ihm Client-Gruppen zu.

  2. Konfigurieren Sie Clientgruppen in den Sitzungsoptionen.

Ergebnisse

Bestätigen Sie Ihre Konfiguration, indem Sie den Befehl aus dem show access profile Managers Konfigurationsmodus eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Führen Sie die folgende Aufgabe aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Fehlerbehebung mit Protokollen

Zweck

Verwenden Sie diese Protokolle, um Probleme zu identifizieren.

Aktion

Geben Sie im Betriebsmodus den show log messages Befehl und den show log dcd Befehl ein.

Beispiel: Banner anpassen

In diesem Beispiel wird gezeigt, wie Sie den Bannertext anpassen, der im Browser angezeigt wird.

Anforderungen

Bevor Sie beginnen, erstellen Sie ein Zugriffsprofil.

Überblick

Ein Banner ist eine Nachricht, die je nach Art der Anmeldung an verschiedenen Stellen auf einem Monitor angezeigt wird. In diesem Beispiel wird gezeigt, wie Sie das im Browser angezeigte Banner ändern, um anzuzeigen, dass sich ein Benutzer nach erfolgreicher Anmeldung über Web Authentifizierung erfolgreich authentifiziert hat. Die neue Meldung lautet "Web-Authentifizierung ist erfolgreich". Wenn die Authentifizierung fehlschlägt, lautet die neue Meldung "Authentifizierung fehlgeschlagen".

Konfiguration

Vorgehensweise

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So passen Sie den Bannertext an, der im Browser angezeigt wird:

  1. Geben Sie den Bannertext für die fehlgeschlagene Passthrough-Authentifizierung über FTP an.

  2. Geben Sie den Bannertext für eine erfolgreiche Web-Authentifizierung an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show access firewall-authentication Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Beispiel: Konfigurieren der gegenseitigen TLS-Authentifizierung (mTLS) für SRX Captive Portal

Erfahren Sie, wie Sie die gegenseitige TLS-Authentifizierung (mTLS) konfigurieren.

Verwenden Sie dieses Beispiel, um die gegenseitige mTLS-Authentifizierung (Transportschicht Sicherheit) in Ihrer Firewall zu konfigurieren und zu überprüfen. In diesem Beispiel verwenden wir Firewall , um uns auf eine Firewall der SRX-Serie von Juniper Networks® oder eine virtuelle Firewall vSRX von Juniper Networks® (vSRX3.0) zu beziehen. Mit dieser Konfiguration kann sich ein Benutzer ohne Kennwort authentifizieren. Die Benutzer-Authentifizierung erfolgt durch Validierung der Client/Server-Zertifikate mit Hilfe eines öffentlich-privaten Schlüsselpaares.

Um mTLS wie in diesem Beispiel gezeigt zu konfigurieren, muss ein Administrator die folgenden Zertifikate generieren:

  • CA-Zertifikat: Führen Sie das CA-Zertifikat in Ihrer Firewall und Ihrem Client-Browser aus.

  • Serverzertifikat: Generieren Sie ein Serverzertifikat auf Ihrer Firewall mithilfe des domain1.com mTLS-Servers. Signieren Sie das Serverzertifikat mit einem CA-Zertifikat, das auf Ihrer Firewall konfiguriert ist.

  • Clientzertifikat: Generieren Sie ein Clientzertifikat in Ihrem Clientbrowser und signieren Sie das Clientzertifikat mit einem auf Ihrer Firewall konfigurierten CA-Zertifikat.

Tipp:
Tabelle 2: Geschätzte Timer

Lesezeit

Weniger als eine Stunde.

Konfigurationszeit

Weniger als eine Stunde.

Beispiele für Voraussetzungen

Tabelle 3: Anforderungen

Hardware-Anforderungen

® Juniper Networks SRX-Serie Firewall oder Juniper Networks® Virtuelle Firewall vSRX (vSRX3.0)

Anforderungen an die Software

Junos OS Version 23.4R1 oder höher

Bevor Sie beginnen

Tabelle 4: Los geht's

Vorteile

Mit der mTLS-Authentifizierung können Sie:

  • Stellen Sie eine passwortlose Anmeldung für eine sichere Verbindung zwischen einem Benutzer und einem Server sicher.

  • Bieten Sie eine zusätzliche Sicherheitsebene für Benutzer, die sich beim Netzwerk oder bei den Anwendungen eines Unternehmens anmelden.

  • Überprüfen Sie die Verbindung zwischen der Firewall und allen Benutzergeräten, die keinen Anmeldevorgang durchlaufen.

  • Stellen Sie sicher, dass API-Anfragen von legitimen Benutzern stammen, und blockieren Sie bösartige API-Anfragen.

Mehr erfahren

 Identitätsbewusste Firewall

Mehr erfahren

 Firewall-Benutzerauthentifizierung

Funktionsübersicht

Dieser Abschnitt enthält eine Zusammenfassung der Konfigurationskomponenten in diesem Beispiel.

Tabelle 5: Konfigurations- und Verifizierungsdetails

Eingesetzte Technologien

Um die mTLS-Authentifizierung einzurichten, müssen Sie Folgendes konfigurieren:

  • Sicherheitszone: Konfigurieren Sie zwei Sicherheitszonen, um den Datenverkehr zu trennen.

    • untrust

    • trust

  • Sicherheit Richtlinie: Konfigurieren Sie die Sicherheitsrichtlinien p1 und p2 lassen Sie nicht authentifizierte bzw. authentifizierte Benutzer zu. Verwenden Sie diese Richtlinien, um Datenverkehr aus der untrust Zone in die trust Zone auszuwählen und zu verschieben.

  • Zugriffsprofil: Konfigurieren Sie das Zugriffsprofil profile1 und fügen Sie Details zu Benutzer1 hinzu. Ordnen Sie den Benutzer den Client-Gruppen group1 zu und group2zu.

  • mTLS-Profil: Konfigurieren Sie das mTLS-Profil ma2 zur Authentifizierung des Clients und des Servers.

Primäre Verifizierungsaufgaben

Überprüfen Sie die mTLS-Authentifizierung.

Überblick über die Topologie

In diesem Beispiel stellt ein Client über eine Firewall eine Verbindung zu einem Server her. Bei der mTLS-Authentifizierung überprüfen der Client und der Server das Zertifikat des jeweils anderen, indem sie Informationen über eine verschlüsselte TLS-Verbindung austauschen.

Die Firewall leitet nicht authentifizierte Clients an domain1.com um, wenn sie eine Verbindung zum Server herstellen. Dieser Prozess vermeidet Zertifikatsfehler, da das CA Zertifikat und das Serverzertifikat für domain1.com auf der Firewall vorinstalliert sind. Das CA-Zertifikat ist im Browser des Clients vorinstalliert.

Verwenden Sie die mTLS-Authentifizierung, um die manuelle Eingabe von Benutzeranmeldeinformationen für die Captive Portal-Authentifizierung zu umgehen. Stellen Sie sicher, dass ein gültiger Benutzer für das LDAP-Profil (Lightweight Directory Access Protocol) konfiguriert ist, um Benutzerinformationen und Autorisierungen aus Active Directory abzurufen. Wenn die Firewall-Authentifizierung in der Richtlinie angewendet wird, ist eine JIMS-Konfiguration erforderlich.

Tabelle 6: In dieser Konfiguration verwendete Geräte, Rollen und Funktionen

Hostname

Rolle

Funktion

Auftraggeber

Service-Anforderer

Initiiert eine Sitzung mit dem Server über die Firewall der SRX-Serie.

Firewall der SRX-Serie

Firewall

Verschlüsselt und entschlüsselt Pakete für den Client.

Server

Server

Reagiert auf eine Client-Anfrage.

Active Directory

Identitätsquelle

Active Directory als Identitätsquelle definiert die Integration SRX-Serie Firewall, Virtuelle Firewall vSRX, Juniper Networks® Container-Firewall cSRX oder Juniper Networks® NFX-Serie Netzwerkserviceplattform mit Microsoft Windows Active Directory. Weitere Informationen finden Sie unter Active Directory als Identitätsquelle.

JIMS

Windows-Dienstanwendung

® Juniper Identity Management Service (JIMS) ist eine Windows-Dienstanwendung zum Sammeln und Verwalten von Benutzer-, Geräte- und Gruppeninformationen aus Active Directory-Domänen. Weitere Informationen finden Sie unter JIMS mit der Firewall der SRX-Serie.

Abbildung der Topologie

Abbildung 11: Gegenseitige TLS-Authentifizierung Network diagram showing a client in the Untrust zone with IP 192.168.2.1/24 connected to an SRX Series Firewall, which separates the Untrust and Trust zones. Server in the Trust zone has IP 10.1.1.1/24. Active Directory and JIMS Server are also part of the setup for identity management. (mTLS)

Schritt-für-Schritt-Konfiguration des Testobjekts (Device-Under-Test, DUT)

Hinweis:

Vollständige Beispielkonfigurationen auf dem Prüfling finden Sie unter:

  1. Konfigurieren Sie die erforderlichen Schnittstellen.

  2. Konfigurieren Sie die Sicherheitszonen und weisen Sie den Zonen Schnittstellen zu.

  3. Konfigurieren Sie ein Zugriffsprofil.

  4. Konfigurieren Sie eine Sicherheitsrichtlinie, um nicht authentifizierte Benutzer mit Firewall-Benutzer-Authentifizierung zuzulassen.

  5. Konfigurieren Sie eine Sicherheitsrichtlinie, um authentifizierte Benutzer ohne Firewall-Benutzer-Authentifizierung zuzulassen.

  6. Konfigurieren Sie ein CA-Profil.

  7. Konfigurieren Sie ein mTLS-Profil.

  8. Konfigurieren Sie web-management das Starten von mTLS auf der Firewall, auf der Sie das domain1.com Serverzertifikat ausführen.

  9. (Optional) Konfigurieren Sie eine Zertifikatsperrliste (Certificate Revocation List, CRL) für die Zertifikatüberprüfung. mTLS unterstützt die CRL-Validierung des eingehenden Zertifikats. Siehe Zertifikatsperrung.

Anhang 1: set Befehle auf allen Geräten

Generieren von Schlüsselzertifikaten für Client und Server

Verifizierung

Dieser Abschnitt enthält eine Liste von show Befehlen, mit denen Sie das Feature in diesem Beispiel überprüfen können.

Überprüfen der mTLS-Authentifizierung

Zweck

Überprüfen Sie die mTLS-Authentifizierung.

Aktion

Geben Sie im Betriebsmodus den show services user-identification debug-counters | match MTLS Befehl ein, um den Status der mTLS-Authentifizierung anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt:

  • Sie haben die mTLS-Authentifizierung erfolgreich konfiguriert.

  • Die Benutzer-Firewall hat die mTLS-Authentifizierung erfolgreich verarbeitet.

Siehe auch

Konfigurieren Sie ein benutzerdefiniertes Logo und Bannerbotschaften

Erfahren Sie, wie Firewall-Administratoren ein benutzerdefiniertes Logo festlegen und Anmelde- und Abmeldebannermeldungen konfigurieren können, die während der Pass-Through- und Captive Portal-Authentifizierung angezeigt werden.

Führen Sie die folgenden Schritte aus, um ein benutzerdefiniertes Logo festzulegen und Login-Success-, Login-Fail- und Logout-Bannermeldungen zu konfigurieren, die während der Captive Portal-Authentifizierung angezeigt werden.

Das Captive Portal zeigt standardmäßig die Schaltfläche "Abmelden" an, ohne dass eine zusätzliche Konfiguration durch Firewall-Administratoren erforderlich ist. Nach der Anmeldung können sich Firewall-Benutzer über die im Captive Portal angezeigte Schaltfläche zum Abmelden abmelden.

  1. Legen Sie ein benutzerdefiniertes Logo fest, das während folgender Ereignisse angezeigt wird:

    • Captive Portal-Authentifizierung.

      Beispiel:

  2. Konfigurieren von benutzerdefinierten Bannermeldungen für erfolgreiche und fehlgeschlagene Anmeldungen, die während

    • Pass-Through-Authentifizierung.

    • Captive Portal-Authentifizierung.

      Beispiel:

  3. Konfigurieren Sie Anmeldebannermeldungen, die während der Passthrough-Authentifizierung angezeigt werden.

    Beispiel:

  4. Konfigurieren Sie Abmeldebannermeldungen, die während der Captive Portal-Authentifizierung angezeigt werden.

    Beispiel:

  5. Bestätigen Sie die Konfiguration.

Siehe auch