导读:这篇文章主要为大家介绍了如何进行防火墙配置,需要的朋友可以参考下。
Web认证配置
– 网络拓扑 –
– 需求描述 –
内网用户首次访问 Internet 时需要通过 WEB 认证才能上网。且内网用户划分为两个用 户组 usergroup1 和 usergroup2,其中 usergroup1 组中的用户在通过认证后仅能浏览 web 页面, usergroup2 组中的用户通过认证后仅能使用使用 ftp。
– 配置步骤 –
第一步:配置 web 认证向导
点击配置/主页/网络/Web 认证中,在右侧的向导处,点击新建 web 认证 首先设置参数配置
点击下一步后,设置认证用户
也可以新建一个 AAA 服务器,AAA 服务器的类型支持以下四种方式,本实验中我们 使用新建的 local-aaa-server 服务器,使用本地认证的类型。
设置完认证用户后,点击下一步策略配置
在策略配置中选择源、目的安全域以及 DNS 安全域,一旦选择后,可以看到下方策略 处将会创建三条策略。此处相对于 4.0 版本简化了配置,不需要再手工去创建放行 DNS 策 略、web 认证策略及认证后放行的策略。最后点击完成即可!
修改 Web 认证参数设置,通过以下界面可以修改 web 认证的部分参数
第二步:创建用户及用户组,并将用户划归不同用户组
既然要做认证,需要在设置用户及用户组,在本实验中我们设置了usergroup1 和usergroup2 两个用户组。并设置了uesr1和user2两个用户,这两个用户分别归属于两个组。点击对象用户/本地用户,首先在本地服务器中选择之前。
然后创建 user1 和 user2 并将 user1 将其归属到 usergroup1 组中,user2 将其归属到usergroup2 组中
第三步:创建角色
在对象用户/角色中设置两个角色,称分别为 role-permit-web 和 role-permit-ftp
第四步:创建角色映射规则,将用户组与角色相对应
在用户对象/角色中,创建一个角色映射role-map1 , 将usergroup1 用户组和role-permit-web 做对应,将usergroup2 和role-permit-ftp 做对应。
第五步:将角色映射规则与 AAA 服务器绑定
在用户对象/AAA 服务器中,将角色映射 role-map1 绑定到 AAA 服务器 loca-aaa-server 上。
第六步:创建安全策略不同角色的用户放行不同服务
在安全/策略中设置内网到外网的安全策略,首先在该方向安全策略的第一条设置一个放行 DNS 服务的策略,放行该策略的目的是当我们在 IE 栏中输入某个网站名后,客户端 PC 能够正常对该网站做出解析,然后可以重定向到认证页面上。第二条我们针对未通过认 证的用户 UNKNOWN,设置认证的策略,认证服务器选择创建的 local-aaa-server。以上两 条策略在 web 认证向导中都已经配置过。下面我们设置针对 role-permit-web 角色放行 http 的服务策略如下:
针对 role-permit-web 角色放行 http 的服务策略如下:
最后我们看下在防火墙/策略中我们设置了几条策略,在这里我们设置了四条策略,第 一条策略我们只放行 DNS 服务,第二条策略我们针对未通过认证的用户设置认证的安全策 略,第三条策略和第四条策略我们针对不同角色用户放行不同的服务。
第七步:用户验证
内网用户打开 IE 后输入某网站后可以看到页面马上重定向到认证页面,我们输入user1用户名和密码认证通过后,当我们访问某 web 时访问成功,当我们访问 ftp 时看到未能打开。
在设备上查看认证状态
以上实验是通过角色映射来实现的控制,指导中只是提供这样一种思路,如果采访简单 的方法可以不用设置角色,在策略中直接针对用户组设置相应的服务权限。
会话控制配置
– 网络拓扑 –
– 需求描述 –
内网用户首要求针对内网每 ip 限制会话数到 300 条
– 配置步骤 –
第一步:点击控制/会话限制,选择安全域 trust 及限制条件,每 IP 限制 300 条会话