Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar métodos de autenticación de usuario

La autenticación PassThrough y la autenticación web son los dos métodos de autenticación para autenticar a los usuarios.

Descripción de la autenticación PassThrough

La autenticación de usuario PassThrough es una forma de autenticación activa; Se solicita al usuario que escriba un nombre de usuario y una contraseña cuando se invoca la autenticación PassThrough. Si se valida la identidad del usuario, se le permite pasar a través del firewall y obtener acceso a los recursos solicitados.

Cuando un usuario intenta iniciar una solicitud de conexión HTTP, HTTPS, FTP o Telnet que tiene una directiva que requiere autenticación, el dispositivo intercepta la solicitud y le pide que escriba un nombre de usuario y una contraseña. En función de la configuración, el dispositivo valida el nombre de usuario y la contraseña comparándolos con los almacenados en la base de datos local o en un servidor de autenticación externo.

Si se utiliza un servidor de autenticación externo, después de recopilar las credenciales del usuario, éstas se procesan mediante la autenticación de usuario de firewall. Se admiten los siguientes servidores de autenticación externos:

  • Autenticación y autorización de RADIUS (compatible con los servidores Juniper Steel-Belted Radius)

    Puede utilizar un servidor RADIUS externo si, además de la autenticación, desea obtener información de autorización sobre el derecho de acceso del usuario (lo que el usuario puede hacer en la red).

  • Solo autenticación LDAP (compatible con LDAP versión 3, compatible con Windows AD)

  • Solo autenticación SecurID (usa un servidor de autenticación externo RSA SecurID)

Un usuario de firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. Puede juntar varias cuentas de usuario para formar un grupo de usuarios, que puede almacenar en la base de datos local o en un servidor RADIUS, LDAP o SecurID. Cuando se hace referencia a un grupo de usuarios de autenticación y a un servidor de autenticación externo en una directiva, el tráfico que coincide con la directiva desencadena una comprobación de autenticación.

Nota:

Utilice family inet para asignar una dirección IPv4. Utilice family inet6 para asignar una dirección IPv6. Se puede configurar una interfaz con una dirección IPv4 y una dirección IPv6. En aras de la brevedad, estos ejemplos utilizan únicamente direcciones IPv4.

Figura 1: Búsqueda de políticas para un usuario Policy Lookup for a User

Los pasos de la figura 1 son los siguientes:

  1. Un usuario cliente envía un paquete FTP, HTTP, HTTPS o Telnet a 198.51.100.9.

  2. El dispositivo intercepta el paquete, observa que su política requiere autenticación desde la base de datos local o desde un servidor de autenticación externo, y almacena el paquete en búfer.

  3. El dispositivo solicita al usuario información de inicio de sesión a través de FTP, HTTP, HTTPS o Telnet.

  4. El usuario responde con un nombre de usuario y una contraseña.

  5. El dispositivo comprueba si hay una cuenta de usuario de autenticación en su base de datos local o envía la información de inicio de sesión al servidor de autenticación externo como se especifica en la política.

  6. Al encontrar una coincidencia válida (o recibir notificación de dicha coincidencia del servidor de autenticación externo), el dispositivo informa al usuario de que el inicio de sesión se ha realizado correctamente.

  7. Para el tráfico HTTP, HTTPS o Telnet, el dispositivo reenvía el paquete desde su búfer a su dirección IP de destino, 198.51.100.9/24. Sin embargo, para el tráfico FTP, después de una autenticación correcta, el dispositivo cierra la sesión y el usuario debe volver a conectarse al servidor FTP en la dirección IP 198.51.100.9/24.

Nota:

Por motivos de seguridad, se recomienda usar la redirección web en lugar de la autenticación directa de paso a través en las directivas de seguridad que configure para la autenticación paso a través de HTTP. El navegador web puede proporcionar seguridad al incluir automáticamente credenciales para solicitudes posteriores al servidor web de destino.

Después de que el dispositivo autentica a un usuario en una dirección IP de origen determinada, posteriormente permite el tráfico (como se especifica en la política que requiere autenticación a través del paso a través) de cualquier otro usuario en esa misma dirección. Este podría ser el caso si el usuario origina tráfico desde detrás de un dispositivo NAT que cambia todas las direcciones de origen originales a una única dirección traducida.

El método de autenticación de usuario de paso a través se recomienda en situaciones en las que la seguridad tiene una prioridad mayor que la conveniencia. Este método de autenticación solo se aplica a las sesiones de sesión y secundarias que coincidan con la directiva que lo desencadenó. Puede aplicar este método en vínculos orientados a Internet, si se usa con precaución.

Ejemplo: configuración de la autenticación PassThrough

En este ejemplo se muestra cómo configurar la autenticación PassThrough para autenticar a los usuarios del firewall. Un usuario de firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña al iniciar una conexión a través del firewall.

La autenticación PassThrough permite a los administradores de la serie SRX restringir a los usuarios que intentan acceder a un recurso en otra zona mediante FTP, Telnet, HTTP o HTTPS. Si el tráfico coincide con una política de seguridad cuya acción es la autenticación pass-through, el usuario debe proporcionar información de inicio de sesión.

Para HTTPS, para garantizar la seguridad, el tamaño predeterminado de la clave de certificado HTTPS es de 2048 bits. Si no especifica un tamaño de certificado, se asume el tamaño predeterminado.

Requisitos

Antes de comenzar, defina los usuarios del firewall. Consulte Descripción general de la autenticación de usuario del firewall.

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Firewall serie SRX

  • Sistema del usuario del firewall

  • Sistema de destino de paquetes

Visión general

El proceso de autenticación PassThrough se activa cuando un cliente, denominado usuario de firewall, intenta iniciar una sesión FTP, Telnet o HTTP para tener acceso a un recurso de otra zona. El firewall de la serie SRX actúa como proxy para un servidor FTP, Telnet, HTTP o HTTPS para que pueda autenticar al usuario del firewall antes de permitir que el usuario tenga acceso al servidor FTP, Telnet o HTTP real detrás del firewall.

Si el tráfico generado a partir de una solicitud de conexión enviada por un usuario de firewall coincide con una regla de política de seguridad bidireccionalmente y esa regla especifica la autenticación de firewall de paso a través como la acción de su then cláusula, el firewall de la serie SRX requiere que el usuario del firewall se autentique en un servidor proxy de Junos OS.

Si la autenticación se realiza correctamente, el tráfico posterior desde la misma dirección IP de origen puede pasar automáticamente a través del firewall de la serie SRX si el tráfico coincide con las tuplas de la política de seguridad.

La figura 2 muestra la topología utilizada en este ejemplo.

Figura 2: Configuración de la autenticación Configuring Pass-Through Firewall Authentication de firewall de paso a través
Nota:

Aunque la topología muestra el uso de un servidor externo, no está cubierta en la configuración. Está fuera del alcance de este ejemplo.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar la autenticación Pass-Through:

  1. Configure dos interfaces y asígneles direcciones IP.

    Nota:

    Para este ejemplo, es opcional asignar dos direcciones a las interfaces.

  2. Cree el perfil de acceso FWAUTH para el usuario FWClient1, especifique la contraseña del usuario y defina una pancarta de éxito para las sesiones de Telnet.

  3. Configure zonas de seguridad.

    Nota:

    En este ejemplo, es opcional configurar una segunda interfaz para una zona de seguridad.

  4. Asigne la política de seguridad P1 a las zonas de seguridad.

  5. Utilice Telnet para autenticar al usuario del firewall FWClient1 en host2.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo estos comandos.

  • show interfaces

  • show access

  • show security zones

  • show security policies

Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para abreviar, el resultado solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).

Cuando haya terminado de configurar el dispositivo, escriba confirmar desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Comprobación de la autenticación de usuarios del firewall y supervisión de usuarios y direcciones IP en la tabla de autenticación

Propósito

Muestre el historial de usuarios de autenticación de firewall y compruebe el número de usuarios de firewall que se autenticaron correctamente y el número de usuarios de firewall que no pudieron iniciar sesión.

Acción

Desde el modo operativo, ingrese estos show comandos:

Ejemplo: configurar el tráfico HTTPS para activar la autenticación PassThrough

En este ejemplo se muestra cómo configurar el tráfico HTTPS para desencadenar la autenticación PassThrough. HTTPS es más seguro que HTTP, por lo que se ha vuelto más popular y se usa más ampliamente.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Firewall serie SRX

  • Dos PC con Linux y Open SSL. Un PC actúa como cliente y otro como servidor HTTPS. Los dos PC se utilizan para crear archivos clave y enviar tráfico.

  • Junos OS versión 12.1X44-D10 o posterior para dispositivos SRX5400, SRX5600 y SRX5800 y Junos OS versión 15.1X49-D40 o posterior para firewall virtual vSRX, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M y puertas de enlace de servicios SRX1500.

Nota:

A partir de Junos OS versión 12.1X44-D10 y Junos OS versión 17.3R1, la autenticación basada en HTTPS se introduce en dispositivos SRX5400, SRX5600 y SRX5800.

A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la autenticación basada en HTTPS se introduce en vSRX Virtual Firewall, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M y SRX1500 Services Gateways.

Antes de empezar:

Un firewall de la serie SRX tiene que descodificar el tráfico HTTPS para activar la autenticación PassThrough A continuación, el proxy de terminación SSL crea e instala un archivo de clave privada y un archivo de certificación. En la lista siguiente se describen los pasos para crear e instalar un archivo de clave privada y un archivo de clave de certificación.

Nota:

Si tiene un archivo .crt oficial y un archivo .key , puede cargar e instalar directamente los archivos en el firewall de la serie SRX. Si no tiene un archivo .crt y .key archivo, siga el procedimiento para crear e instalar los archivos. Las instrucciones especificadas en los pasos 1 y 2 deben ejecutarse en un PC con Linux y OpenSSL instalados. Las instrucciones especificadas en los pasos 3 y 4 deben ejecutarse en modo operativo.

Para crear e instalar un archivo de clave privada y un archivo de certificación:

  1. En un PC, cree el archivo .key .

  2. En un PC, cree el archivo .crt .

  3. Cargue los archivos .key y .crt en un firewall de la serie SRX e instale los archivos en el dispositivo mediante el siguiente comando desde el modo operativo:

Visión general

La autenticación de firewall inicia una conexión segura que se establecerá a través de dos dispositivos. Un usuario de red debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. La autenticación de firewall admite tráfico HTTPS para la autenticación PassThrough. HTTPS puede proteger el tráfico de autenticación de firewall HTTP entre los usuarios y el firewall de la serie SRX.

HTTPS es la versión segura de HTTP, el protocolo a través del cual se envían datos entre el usuario y el dispositivo al que está conectado el usuario. Todas las comunicaciones entre el usuario y los dispositivos conectados están encriptadas. HTTPS se usa a menudo para proteger transacciones en línea altamente confidenciales, como la banca en línea y los formularios de pedidos de compras en línea.

En este ejemplo, el tráfico HTTPS se usa para activar la autenticación PassThrough porque HTTPS es más seguro que HTTP. Para que el tráfico HTTPS active la autenticación PassThrough, primero debe configurar el perfil de terminación SSL.

En la figura 3 se muestra un ejemplo de autenticación PassThrough mediante tráfico HTTPS. En este ejemplo, un host o un usuario de una zona que no es de confianza intenta tener acceso a los recursos de la zona de confianza. El firewall de la serie SRX utiliza HTTPS para recopilar la información de nombre de usuario y contraseña. El tráfico posterior del host o usuario se permite o deniega en función del resultado de esta autenticación.

Figura 3: Autenticación PassThrough mediante tráfico Pass-Through Authentication Using HTTPS Traffic HTTPS

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.

Procedimiento

Procedimiento paso a paso

Para configurar el tráfico HTTPS para activar la autenticación PassThrough:

  1. Configure interfaces y asigne direcciones IP.

  2. Configure políticas de seguridad para permitir el tráfico autenticado por firewall de la zona de confianza a la zona de no confianza.

  3. Especifique una acción de directiva que se va a realizar cuando un paquete coincide con los criterios.

  4. Configure zonas de seguridad y asigne interfaces.

  5. Configure los servicios de aplicación por zonas.

  6. Cree un perfil de acceso, configure el cliente como usuario de firewall y establezca la contraseña.

  7. Configure el tipo de firewall y el nombre de perfil predeterminado donde se definen las opciones de autenticación.

  8. Configure el perfil de terminación SSL e introduzca un nombre de identificador de certificado local.

Resultados

Desde el modo de configuración, escriba los comandos , show security policies, show accessshow security zones, y show services ssl termination para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificación de la configuración

Propósito

Compruebe que la configuración es correcta.

Acción

Desde el modo operativo, escriba el comando para el show security firewall-authentication users identificador 1.

Significado

El show security firewall-authentication users comando muestra la información del usuario de autenticación del firewall para el identificador especificado. Si el resultado muestra PassThrough mediante HTTPS en el campo Método de autenticación y Correcto en el campo Estado de autenticación, la configuración es correcta.

Descripción de la autenticación web

La autenticación web es una alternativa a la autenticación de usuario de paso a través. En lugar de señalar al recurso al que desea conectarse desde el explorador cliente, apunte el explorador a una dirección IP del dispositivo que esté habilitada para la autenticación Web. Esto inicia una sesión HTTP en la dirección IP que aloja la función de autenticación web en el dispositivo. Luego, el dispositivo le pedirá su nombre de usuario y contraseña y almacena en caché el resultado en el dispositivo. Más adelante, cuando el tráfico encuentre una directiva de autenticación web, se le permitirá o denegará el acceso según los resultados anteriores de la autenticación web, como se muestra en la figura 4.

Nota:

Utilice family inet para asignar una dirección IPv4. Utilice family inet6 para asignar una dirección IPv6. Se puede configurar una interfaz con una dirección IPv4 y una dirección IPv6. En aras de la brevedad, estos ejemplos utilizan únicamente direcciones IPv4.

Figura 4: Ejemplo Web Authentication Example de autenticación web

Siga estas directrices de autenticación web:

  • Puede dejar el servidor de autenticación web predeterminado como base de datos local o puede elegir un servidor de autenticación externo para el rol. El perfil de autenticación web predeterminado determina si el usuario se autentica mediante la base de datos local o el servidor de autenticación externo. Un perfil de acceso almacena los nombres de usuario y contraseñas de los usuarios o apunta a servidores de autenticación externos donde se almacena dicha información.

  • La dirección de autenticación web debe estar en la misma subred que la interfaz que desea usar para hospedarla. Por ejemplo, si desea que los usuarios de autenticación se conecten mediante la autenticación web a través de ethernet3, que tiene la dirección IP 203.0.113.1/24, puede asignar a la autenticación web una dirección IP en la subred 203.0.113.0/24.

  • Puede colocar una dirección de autenticación web en la misma subred que la dirección IP de cualquier interfaz física o interfaz de seguridad virtual (VSI). (Para obtener información acerca de los diferentes tipos de interfaces, consulte Información general sobre zonas de seguridad.)

  • Puede colocar direcciones de autenticación web en varias interfaces.

  • Después de que un dispositivo autentica a un usuario en una dirección IP de origen determinada, posteriormente permite el tráfico (como se especifica en la política que requiere autenticación a través de la autenticación Web) desde cualquier otro usuario en esa misma dirección. Este podría ser el caso si el usuario origina tráfico desde detrás de un dispositivo NAT que cambia todas las direcciones de origen originales a una única dirección traducida.

  • Con la autenticación web habilitada, cualquier tráfico HTTP a la dirección IP obtendrá la página de inicio de sesión de autenticación web en lugar de la página de inicio de sesión de administrador. Al deshabilitar esta opción, se mostrará la página de inicio de sesión del administrador (suponiendo que [system services web-management HTTP] esté habilitada.

  • Le recomendamos que tenga una dirección IP principal o preferida independiente, si se utiliza una dirección para la autenticación Web.

Nota:

El método de autenticación web se recomienda en situaciones en las que los dispositivos cliente están inmediatamente adyacentes a la puerta de enlace de seguridad y existe una alta seguridad de que los dispositivos cliente no son hosts multiusuario. Este método de autenticación se aplica mejor a vínculos inalámbricos y DMZ, o vínculos de salas de conferencias.

Ejemplo: configuración de la autenticación web

En este ejemplo se muestra cómo habilitar la autenticación web y configurar una directiva que permita el acceso a un usuario cuando el tráfico encuentre una directiva que tenga habilitada la autenticación web.

Requisitos

Antes de empezar:

Visión general

Para habilitar la autenticación web, debe especificar la dirección IP del dispositivo que aloja la sesión HTTP. Esta configuración se utiliza si el usuario del firewall que accede a un recurso protegido desea autenticarse accediendo directamente al servidor web o mediante autenticación web. Las siguientes instrucciones muestran cómo configurar una directiva que permite el acceso al usuario FWClient1 cuando el tráfico encuentra una directiva que tiene habilitada la autenticación web (Policy-W). (Consulte la figura 5.) En este ejemplo, FWClient1 ya se autenticó a través de la página de inicio de sesión de autenticación web.

El usuario del firewall FWClient1 hace lo siguiente para autenticarse:

  1. Apunta el navegador a la IP de autenticación web (198.51.100.63/24) para autenticarse primero

  2. Inicia el tráfico para acceder a los recursos especificados por la directiva Policy-W

Figura 5: Ejemplo Web Authentication Example de autenticación web

Cuando configure el dispositivo como se describe en estas instrucciones y el usuario se autentique correctamente, aparecerá la pantalla ilustrada en la figura 6 .

Figura 6: Banner Web Authentication Success Banner de éxito de la autenticación web

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar la autenticación web:

  1. Configure dos interfaces y asígneles direcciones IP.

    Nota:

    Para este ejemplo, es opcional asignar dos direcciones a las interfaces.

  2. Cree el perfil de acceso WEBAUTH para el usuario FWClient1, especifique la contraseña del usuario y defina un banner de éxito.

  3. Configure zonas de seguridad.

    Nota:

    En este ejemplo, es opcional configurar una segunda interfaz para una zona de seguridad.

  4. Asigne la política de seguridad P1 a las zonas de seguridad.

  5. Active el proceso HTTP (demonio) en su dispositivo.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo estos comandos:

  • show interfaces

  • show access

  • show security zones

  • show security policies

  • show system services

Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para mayor brevedad, este show resultado incluye solo la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Comprobación de la autenticación de usuarios del firewall y supervisión de usuarios y direcciones IP en la tabla de autenticación

Propósito

Muestre el historial de usuarios de autenticación de firewall y compruebe el número de usuarios de firewall que se autenticaron correctamente y de usuarios de firewall que no pudieron iniciar sesión.

Acción

Desde el modo operativo, ingrese estos show comandos:

Ejemplo: configurar el tráfico HTTPS para activar la autenticación web

En este ejemplo se muestra cómo configurar el tráfico HTTPS para activar la autenticación web. HTTPS se usa ampliamente para la autenticación web porque es más seguro que HTTP.

Requisitos

Antes de empezar:

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Firewall serie SRX

  • Dos PCs con Linux y Open SSL instalados. Un PC actúa como cliente y otro como servidor HTTPS. Los dos PC se utilizan para crear archivos clave y enviar tráfico.

  • Junos OS versión 12.1X44-D10 o posterior para dispositivos SRX5400, SRX5600 y SRX5800 y Junos OS versión 15.1X49-D40 o posterior para firewall virtual vSRX, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M y puertas de enlace de servicios SRX1500.

Un firewall de la serie SRX tiene que descodificar el tráfico HTTPS para activar la autenticación web. En la lista siguiente se describen los pasos para crear e instalar un archivo de clave privada y un archivo de clave de certificación.

Nota:

Si tiene un archivo oficial .crt .key, puede cargar e instalar directamente los archivos en el firewall de la serie SRX. Si no tiene un archivo y .key un .crt archivo, siga el procedimiento para crear e instalar los archivos. Las instrucciones especificadas en los pasos 1 y 2 deben ejecutarse en un PC que tenga instalado Linux y OpenSSL. Las instrucciones especificadas en los pasos 3 y 4 deben ejecutarse en modo operativo.

  1. Desde el PC, cree el .key archivo.

  2. Desde el PC, cree el .crt archivo.

  3. Desde el firewall de la serie SRX, cargue los .key archivos y .crt e instálelos en el dispositivo mediante el siguiente comando:

Visión general

La autenticación de firewall inicia una conexión segura que se establecerá a través de dos dispositivos. Un usuario de red debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. La autenticación de firewall admite tráfico HTTPS para la autenticación PassThrough. HTTPS puede proteger el tráfico de autenticación de firewall HTTP entre los usuarios y el firewall de la serie SRX.

HTTPS es la versión segura de HTTP, el protocolo a través del cual se envían datos entre el usuario y el dispositivo al que está conectado el usuario. Todas las comunicaciones entre el usuario y los dispositivos conectados están encriptadas. HTTPS se usa a menudo para proteger transacciones en línea altamente confidenciales, como la banca en línea y los formularios de pedidos de compras en línea.

En este ejemplo, el tráfico HTTPS se usa para activar la autenticación web porque HTTPS es más seguro que HTTP.

El usuario utiliza HTTPS para tener acceso a una dirección IP en el dispositivo que está habilitada para la autenticación web. En este escenario, el usuario no utiliza HTTPS para tener acceso a la dirección IP del recurso protegido. Se solicita al usuario un nombre de usuario y una contraseña, que son verificados por el dispositivo. El tráfico posterior del usuario o host al recurso protegido se permite o se deniega en función de los resultados de esta autenticación web.

La figura 7 muestra un ejemplo de autenticación web mediante tráfico HTTPS.

Figura 7: Autenticación web mediante tráfico Web Authentication Using HTTPS Traffic HTTPS

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.

Procedimiento

Procedimiento paso a paso

Para configurar el tráfico HTTPS para activar la autenticación web:

  1. Habilite la compatibilidad de administración web para el tráfico HTTPS.

  2. Configure interfaces y asigne direcciones IP. Habilite la autenticación web en la interfaz ge-0/0/0.

  3. Configure políticas de seguridad para permitir el tráfico autenticado por firewall de la zona de confianza a la zona de no confianza.

  4. Cree un perfil de acceso, configure el cliente como usuario de firewall y establezca la contraseña.

  5. Configure el tipo de opciones de autenticación de firewall.

  6. Especifique una acción de directiva que se va a realizar cuando un paquete coincide con los criterios.

Resultados

Desde el modo de configuración, escriba los comandos , show interfacesshow security policies, y show access para confirmar la show system servicesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificación de la configuración

Propósito

Compruebe que la configuración es correcta.

Acción

Desde el modo operativo, ingrese el show security firewall-authentication users identifier identifier comando.

Salida de muestra
Significado

El show security firewall-authentication users identifier identifier comando muestra la información del usuario de autenticación del firewall utilizando el identificador del usuario. Si el parámetro de método de autenticación muestra autenticación web y el parámetro de estado de autenticación muestra que la salida se realiza correctamente, la configuración es correcta.