防火墙配置——Web 认证/会话控制

思恒科技

科学服务教育

产品服务社会

导读：这篇文章主要为大家介绍了如何进行神州数码防火墙配置,需要的朋友可以参考下。

Web认证配置

–网络拓扑–

–需求描述–

内网用户首次访问 Internet 时需要通过 WEB 认证才能上网。且内网用户划分为两个用 户组 usergroup1 和 usergroup2,其中 usergroup1 组中的用户在通过认证后仅能浏览 web 页面， usergroup2 组中的用户通过认证后仅能使用使用 ftp。

–配置步骤–

第一步：配置 web 认证向导

点击配置/主页/网络/Web 认证中，在右侧的向导处，点击新建 web 认证 首先设置参数配置

点击下一步后，设置认证用户

也可以新建一个 AAA 服务器，AAA 服务器的类型支持以下四种方式，本实验中我们 使用新建的 local-aaa-server 服务器，使用本地认证的类型。

设置完认证用户后，点击下一步策略配置

在策略配置中选择源、目的安全域以及 DNS 安全域，一旦选择后，可以看到下方策略 处将会创建三条策略。此处相对于 4.0 版本简化了配置，不需要再手工去创建放行 DNS 策 略、web 认证策略及认证后放行的策略。最后点击完成即可！

修改 Web 认证参数设置，通过以下界面可以修改 web 认证的部分参数

第二步：创建用户及用户组，并将用户划归不同用户组

既然要做认证，需要在设置用户及用户组，在本实验中我们设置了usergroup1 和usergroup2 两个用户组。并设置了uesr1和user2两个用户，这两个用户分别归属于两个组。点击对象用户/本地用户，首先在本地服务器中选择之前。

然后创建 user1 和 user2 并将 user1 将其归属到 usergroup1 组中，user2 将其归属到usergroup2 组中

第三步：创建角色

在对象用户/角色中设置两个角色，称分别为 role-permit-web 和 role-permit-ftp

第四步：创建角色映射规则，将用户组与角色相对应

在用户对象/角色中，创建一个角色映射role-map1 ， 将usergroup1 用户组和role-permit-web 做对应，将usergroup2 和role-permit-ftp 做对应。

第五步：将角色映射规则与 AAA 服务器绑定

在用户对象/AAA 服务器中，将角色映射 role-map1 绑定到 AAA 服务器 loca-aaa-server 上。

第六步：创建安全策略不同角色的用户放行不同服务

在安全/策略中设置内网到外网的安全策略，首先在该方向安全策略的第一条设置一个放行 DNS 服务的策略，放行该策略的目的是当我们在 IE 栏中输入某个网站名后，客户端 PC 能够正常对该网站做出解析，然后可以重定向到认证页面上。第二条我们针对未通过认 证的用户 UNKNOWN，设置认证的策略，认证服务器选择创建的 local-aaa-server。以上两 条策略在 web 认证向导中都已经配置过。下面我们设置针对 role-permit-web 角色放行 http 的服务策略如下：

针对 role-permit-web 角色放行 http 的服务策略如下：

最后我们看下在防火墙/策略中我们设置了几条策略，在这里我们设置了四条策略，第 一条策略我们只放行 DNS 服务，第二条策略我们针对未通过认证的用户设置认证的安全策 略，第三条策略和第四条策略我们针对不同角色用户放行不同的服务。

第七步：用户验证

内网用户打开 IE 后输入某网站后可以看到页面马上重定向到认证页面，我们输入user1用户名和密码认证通过后，当我们访问某web时访问成功，当我们访问ftp时看到未能打开。

在设备上查看认证状态

以上实验是通过角色映射来实现的控制，指导中只是提供这样一种思路，如果采访简单 的方法可以不用设置角色，在策略中直接针对用户组设置相应的服务权限。

会话控制配置

–网络拓扑–

–需求描述–

内网用户首要求针对内网每ip限制会话数到300条

–配置步骤–

第一步：点击控制/会话限制，选择安全域 trust 及限制条件，每 IP 限制 300 条会话

构建全方位新型教育生态链，做数字智能教育综合管理平台

打造专业数字智能个性化教育平台，做教育全产业链综合运营商