Web認證配置
–網絡拓撲–
–需求描述–
内網使用者首次通路 Internet 時需要通過 WEB 認證才能上網。且内網使用者劃分為兩個用 戶組 usergroup1 和 usergroup2,其中 usergroup1 組中的使用者在通過認證後僅能浏覽 web 頁面, usergroup2 組中的使用者通過認證後僅能使用使用 ftp。
–配置步驟–
第一步:配置 web 認證向導
點選配置/首頁/網絡/Web 認證中,在右側的向導處,點選建立 web 認證 首先設定參數配置
點選下一步後,設定認證使用者
也可以建立一個 AAA 伺服器,AAA 伺服器的類型支援以下四種方式,本實驗中我們 使用建立的 local-aaa-server 伺服器,使用本地認證的類型。
設定完認證使用者後,點選下一步政策配置
在政策配置中選擇源、目的安全域以及 DNS 安全域,一旦選擇後,可以看到下方政策 處将會建立三條政策。此處相對于 4.0 版本簡化了配置,不需要再手工去建立放行 DNS 策 略、web 認證政策及認證後放行的政策。最後點選完成即可!
修改 Web 認證參數設定,通過以下界面可以修改 web 認證的部分參數
第二步:建立使用者及使用者組,并将使用者劃歸不同使用者組
既然要做認證,需要在設定使用者及使用者組,在本實驗中我們設定了usergroup1 和usergroup2 兩個使用者組。并設定了uesr1和user2兩個使用者,這兩個使用者分别歸屬于兩個組。點選對象使用者/本地使用者,首先在本地伺服器中選擇之前。
然後建立 user1 和 user2 并将 user1 将其歸屬到 usergroup1 組中,user2 将其歸屬到usergroup2 組中
第三步:建立角色
在對象使用者/角色中設定兩個角色,稱分别為 role-permit-web 和 role-permit-ftp
第四步:建立角色映射規則,将使用者組與角色相對應
在使用者對象/角色中,建立一個角色映射role-map1 , 将usergroup1 使用者組和role-permit-web 做對應,将usergroup2 和role-permit-ftp 做對應。
第五步:将角色映射規則與 AAA 伺服器綁定
在使用者對象/AAA 伺服器中,将角色映射 role-map1 綁定到 AAA 伺服器 loca-aaa-server 上。
第六步:建立安全政策不同角色的使用者放行不同服務
在安全/政策中設定内網到外網的安全政策,首先在該方向安全政策的第一條設定一個放行 DNS 服務的政策,放行該政策的目的是當我們在 IE 欄中輸入某個網站名後,用戶端 PC 能夠正常對該網站做出解析,然後可以重定向到認證頁面上。第二條我們針對未通過認 證的使用者 UNKNOWN,設定認證的政策,認證伺服器選擇建立的 local-aaa-server。以上兩 條政策在 web 認證向導中都已經配置過。下面我們設定針對 role-permit-web 角色放行 http 的服務政策如下:
針對 role-permit-web 角色放行 http 的服務政策如下:
最後我們看下在防火牆/政策中我們設定了幾條政策,在這裡我們設定了四條政策,第 一條政策我們隻放行 DNS 服務,第二條政策我們針對未通過認證的使用者設定認證的安全策 略,第三條政策和第四條政策我們針對不同角色使用者放行不同的服務。
第七步:使用者驗證
内網使用者打開 IE 後輸入某網站後可以看到頁面馬上重定向到認證頁面,我們輸入user1使用者名和密碼認證通過後,當我們通路某web時通路成功,當我們通路ftp時看到未能打開。
在裝置上檢視認證狀态
以上實驗是通過角色映射來實作的控制,指導中隻是提供這樣一種思路,如果采訪簡單 的方法可以不用設定角色,在政策中直接針對使用者組設定相應的服務權限。
會話控制配置
–網絡拓撲–
–需求描述–
内網使用者首要求針對内網每ip限制會話數到300條
–配置步驟–
第一步:點選控制/會話限制,選擇安全域 trust 及限制條件,每 IP 限制 300 條會話
來源:冰