防火墙配置——Web 认证/会话控制

思恒科技

科学服务教育

产品服务社会

导读:这篇文章主要为大家介绍了如何进行神州数码防火墙配置,需要的朋友可以参考下。

Web认证配置

–网络拓扑–

–需求描述–

内网用户首次访问 Internet 时需要通过 WEB 认证才能上网。且内网用户划分为两个用 户组 usergroup1 和 usergroup2,其中 usergroup1 组中的用户在通过认证后仅能浏览 web 页面, usergroup2 组中的用户通过认证后仅能使用使用 ftp。

–配置步骤–

第一步:配置 web 认证向导

点击配置/主页/网络/Web 认证中,在右侧的向导处,点击新建 web 认证 首先设置参数配置

点击下一步后,设置认证用户

也可以新建一个 AAA 服务器,AAA 服务器的类型支持以下四种方式,本实验中我们 使用新建的 local-aaa-server 服务器,使用本地认证的类型。

设置完认证用户后,点击下一步策略配置

在策略配置中选择源、目的安全域以及 DNS 安全域,一旦选择后,可以看到下方策略 处将会创建三条策略。此处相对于 4.0 版本简化了配置,不需要再手工去创建放行 DNS 策 略、web 认证策略及认证后放行的策略。最后点击完成即可!

修改 Web 认证参数设置,通过以下界面可以修改 web 认证的部分参数

第二步:创建用户及用户组,并将用户划归不同用户组

既然要做认证,需要在设置用户及用户组,在本实验中我们设置了usergroup1 和usergroup2 两个用户组。并设置了uesr1和user2两个用户,这两个用户分别归属于两个组。点击对象用户/本地用户,首先在本地服务器中选择之前。

然后创建 user1 和 user2 并将 user1 将其归属到 usergroup1 组中,user2 将其归属到usergroup2 组中

第三步:创建角色

在对象用户/角色中设置两个角色,称分别为 role-permit-web 和 role-permit-ftp

第四步:创建角色映射规则,将用户组与角色相对应

在用户对象/角色中,创建一个角色映射role-map1 , 将usergroup1 用户组和role-permit-web 做对应,将usergroup2 和role-permit-ftp 做对应。

第五步:将角色映射规则与 AAA 服务器绑定

在用户对象/AAA 服务器中,将角色映射 role-map1 绑定到 AAA 服务器 loca-aaa-server 上。

第六步:创建安全策略不同角色的用户放行不同服务

在安全/策略中设置内网到外网的安全策略,首先在该方向安全策略的第一条设置一个放行 DNS 服务的策略,放行该策略的目的是当我们在 IE 栏中输入某个网站名后,客户端 PC 能够正常对该网站做出解析,然后可以重定向到认证页面上。第二条我们针对未通过认 证的用户 UNKNOWN,设置认证的策略,认证服务器选择创建的 local-aaa-server。以上两 条策略在 web 认证向导中都已经配置过。下面我们设置针对 role-permit-web 角色放行 http 的服务策略如下:

针对 role-permit-web 角色放行 http 的服务策略如下:

最后我们看下在防火墙/策略中我们设置了几条策略,在这里我们设置了四条策略,第 一条策略我们只放行 DNS 服务,第二条策略我们针对未通过认证的用户设置认证的安全策 略,第三条策略和第四条策略我们针对不同角色用户放行不同的服务。

第七步:用户验证

内网用户打开 IE 后输入某网站后可以看到页面马上重定向到认证页面,我们输入user1用户名和密码认证通过后,当我们访问某web时访问成功,当我们访问ftp时看到未能打开。

在设备上查看认证状态

以上实验是通过角色映射来实现的控制,指导中只是提供这样一种思路,如果采访简单 的方法可以不用设置角色,在策略中直接针对用户组设置相应的服务权限。

会话控制配置

–网络拓扑–

–需求描述–

内网用户首要求针对内网每ip限制会话数到300条

–配置步骤–

第一步:点击控制/会话限制,选择安全域 trust 及限制条件,每 IP 限制 300 条会话

构建全方位新型教育生态链,做数字智能教育综合管理平台

打造专业数字智能个性化教育平台,做教育全产业链综合运营商

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190421A0A4SF00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券