防火墙用户管理

最新推荐文章于 2025-02-25 14:04:57 发布
最新推荐文章于 2025-02-25 14:04:57 发布
阅读量1k 收藏 11
点赞数 31
文章标签: 网络安全 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Limit_23/article/details/140733709
版权

一、实验日期与地址

1、实验日期:2024年xx月xx日

2、实验地址:xxx

二、实验目的

1、理解认证策略;

2、理解用户管理的基本原理;

3、理解认证触发的方式;

4、熟练掌握上网用户本地认证的配置方法。

三、实验环境

华为eNSP模拟器,实验拓扑如下:

四、实验内容

1、实验规划:

设备

接口

IP地址

安全区域

FW_A

GE 1/0/0

10.3.0.1/24

trust

GE 1/0/1

10.2.0.1/24

dmz

GE 1/0/2

1.1.1.1/24

untrust

AR1

GE 0/0/0

1.1.1.2/24

untrust

PC1

Eth 0/0/1

10.3.0.130/24

trust

Client1

Eth 0/0/0

10.3.0.20/24

trust

Cloud

Eth 0/0/2

10.3.0.11/24

trust

Web-Server

Eth 0/0/0

10.2.0.11/24

dmz

Ftp-Server

Eth 0/0/0

10.2.0.22/24

dmz2、

2、配置思路:

  1. 配置基本的IP地址和所属安全区域。
  2. 创建用户组并制定相应的用户策略。
  3. 配置路由器和PC终端等其他设备的网络参数。
  4. 验证和调试。

3、配置步骤:

步骤 1 配置FW的网络基本参数

根据组网需要,在防火墙上配置接口IP地址、安全区域,完成网络基本参数配置。

# 配置FW的接口IP地址

<FW> system-view

[FW] interface g1/0/2

[FW-GigabitEthernet1/0/2] ip address 1.1.1.1 24

[FW-GigabitEthernet1/0/2] quit

[FW] interface g1/0/1

[FW-GigabitEthernet1/0/1] ip address 10.2.0.1 24

[FW-GigabitEthernet1/0/1] quit

[FW] interface g1/0/0

[FW-GigabitEthernet1/0/0] ip address 10.3.0.1 24

[FW-GigabitEthernet1/0/0] quit

# 配置FW的安全区域

[FW] firewall zone untrust

[FW-zone-untrust] add interface g1/0/2

[FW-zone-untrust] quit

[FW] firewall zone dmz

[FW-zone-dmz] add interface g1/0/1

[FW-zone-dmz] quit

[FW] firewall zone trust

[FW-zone-trust] add interface g1/0/0

[FW-zone-trust] quit

步骤 2 创建用户组和用户

为各部门员工创建相应的用户组和用户,并设置密码。

# 创建研发部对应的用户组和用户

[FW] user-manage group /default/research

[FW-usergroup-/default/research] quit

[FW] user-manage user user_01

[FW-localuser-user_0001] alias Su

[FW-localuser-user_0001] parent-group /default/research

[FW-localuser-user_0001] password Admin@123

[FW-localuser-user_0001] undo multi-ip online enable

[FW-localuser-user_0001] quit

# 创建市场部员工对应的用户组和用户

[FW] user-manage group /default/marketing

[FW-usergroup-/default/marketing] quit

[FW] user-manage user user_0002   

[FW-localuser-user_0002] alias Jack  

[FW-localuser-user_0002] parent-group /default/marketing   

[FW-localuser-user_0002] password Admin@123   

[FW-localuser-user_0002] undo multi-ip online enable

[FW-localuser-user_0002] quit

# 创建来访客户对应的用户组和用户

[FW] user-manage user guest

[FW-localuser-user_guest] parent-group /default

[FW-localuser-user_guest] password Admin@123

[FW-localuser-user_guest] quit

步骤 3 配置用户重定向

配置用户认证通过后,浏览器的界面会自动跳转到先前访问的Web页面。

[FW] user-manage redirect    //配置用户通过认证后Web浏览器跳转到最近使用的页面

步骤 4 配置认证策略

# 配置Portal认证策略

[FW] auth-policy    //进入认证视图

[FW-policy-auth] rule name policy_auth_01   

[FW-policy-auth-rule-policy_auth_01] source-zone trust  

[FW-policy-auth-rule-policy_auth_01] source-address 10.3.0.0 24

[FW-policy-auth-rule-policy_auth_01] action auth   

[FW-policy-auth-rule-policy_auth_01] quit

[FW-policy-auth] quit

步骤 5 配置认证域

使用default默认认证域,将认证域的接入控制配置为上网行为管理,允许对上网用户做基于策略的控制。

[FW] aaa   

[FW-aaa] domain default   

[FW-aaa-domain-default] service-type internetaccess

[FW-aaa-domain-default] quit

[FW-aaa] quit

步骤 6 配置安全策略

配置安全策略放行上网用户访问认证页面、DMZ区域及Internet的流量。

# 配置允许用户访问认证页面的安全策略

[FW] security-policy

[FW-policy-security] rule name policy_sec_01

[FW-policy-security-rule-policy_sec_01] source-zone trust

[FW-policy-security-rule-policy_sec_01] destination-zone local

[FW-policy-security-rule-policy_sec_01] source-address 10.3.0.0 24

[FW-policy-security-rule-policy_sec_01] service protocol tcp destination-port 8887

[FW-policy-security-rule-policy_sec_01] action permit

[FW-policy-security-rule-policy_sec_01] quit

# 配置允许用户访问外网的安全策略

[FW-policy-security] rule name policy_sec_02

[FW-policy-security-rule-policy_sec_02] source-zone trust

[FW-policy-security-rule-policy_sec_02] source-address 10.3.0.0 24

[FW-policy-security-rule-policy_sec_02] destination-zone untrust

[FW-policy-security-rule-policy_sec_02] action permit

[FW-policy-security-rule-policy_sec_02] quit

# 配置允许用户访问服务器区的安全策略

[FW-policy-security] rule name policy_sec_03

[FW-policy-security-rule-policy_sec_03] source-zone trust

[FW-policy-security-rule-policy_sec_03] source-address 10.3.0.0 24

[FW-policy-security-rule-policy_sec_03] destination-zone dmz

[FW-policy-security-rule-policy_sec_03] action permit

[FW-policy-security-rule-policy_sec_03] quit

[FW-policy-security] quit

步骤 7 验证和调试

由于是实验环境,并且在网络的UnTrust区域并没有部署相关的web服务器,所以在这里无法测试重定向以及其他web界面,下面展示直接访问认证界面的结果。

通过端口映射,将Cloud的Eth 0/0/2端口和虚拟网卡VMware Network Adapter VMnet8绑定,设置相应网段的IP地址,实现通信。使用Google浏览器输入https://10.3.0.1:8887/打开认证页面,输入用户名user_01,密码Admin@123进行认证。

测试图1 配置虚拟网卡VMware Network Adapter VMnet8的IP地址

测试图2 物理机Ping防火墙G1/0/0接口IP地址(网关)

测试图3 认证界面

测试图4 认证成功

综上,实验成功!

五、实验总结

本次实验通过配置本地Portal认证,实现了对上网用户的管理。通过一系列配置,达成了以下目标:

  1. 基本网络参数配置:在防火墙上配置了接口IP地址和安全区域,确保了网络的基本连通性和安全分区。
  2. 用户及用户组的创建:根据部门需求,成功创建了研发部、市场部和来访客户的用户组及用户,并为每个用户设置了密码和其他相关属性。
  3. 用户重定向配置:配置用户认证通过后的重定向功能,确保用户能够无缝地返回之前访问的网页。
  4. 认证策略配置:通过配置Portal认证策略,实现了对来自信任区的用户进行认证的需求。
  5. 认证域配置:使用默认认证域并配置为上网行为管理,确保了对上网用户的策略控制。
  6. 安全策略配置:配置了允许用户访问认证页面、外网以及服务器区的安全策略,确保了用户认证和上网行为的顺利进行。
05- 防火墙用户管理
qianlai22的博客
03-10 6983
1.用户认证和AAA技术原理 AAA技术 不认证: 对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。 本地认证: 将用户信息(包括本地用户用户名、密码和各种属性)配置在网络接入服务器上。本地认证的优点是速度快,可以为运营降低成本;缺点是存储信息量受设备硬件条件限制。 服务器认证: 将用户信息(包括本地用户用户名、密码和各种属性)配置在认证服务器上。AAA支持通过RADIUS(RemoteAuthentication Dial In User Service)协议或H
HCIA-SEC笔记11------防火墙用户管理
weixin_44747184的博客
11-14 682
HCIA-SEC课程之防火墙用户管理
华为防火墙用户管理
YT的博客
01-16 5717
AAA简介 AAA是指:Authentication(认证)、Authorization(授权)、Accounting(计费)。 当用户希望访问Internet访问资源时,首先使用Authentication认证技术,用户输入用户名和密码进行认证;当通过认证后,通过Authorization授权,授权不同用户访问的资源;在客户访问期间,通过Accounting计费,记录所做的操作和时长。 Auth...
华为防火墙的详细配置
风格的博客
02-25 1752
华为防火墙的详细配置涉及多个方面,包括基础网络配置、安全策略、NAT、VPN、高可用性等。
防火墙用户管理理论+实验
ChenD的学习笔记
11-23 2553
防火墙用户认证的知识点与配置实验
防火墙区域策略与用户管理
yonah1627的博客
07-13 269
LSW7交换机配置vlan,其中生产区在vlan2,办公区在vlan3.防火墙在G1/0/3上配置子接口分别实现管理
防火墙用户认证管理基础,附加用户认证策略实验
代码其实很简单
07-10 886
不绑定---用户和IP都是动态的,没有固定的用户和固定的IP;单项绑定---IP是固定的,所有用户只能通过这一个IP对某个区域进行访问;双向绑定---用户和IP都是固定的,用户和IP进行了绑定;portal认证:网页认证;免认证:认证透明化,无需进行手动登录验证,IP/MAC和用户“双向绑定”匿名认证:当你的用户的IP地址固定的时候,可以采用匿名认证;ASPF的server map技术,开放隐形通道,同时也可生成会话表,提高转发效率;状态检测技术,对于满足回包要求的数据包,无需匹配安全策略,直接通过防火墙
防火墙用户管理技术原理和应用
09-10
本文介绍了防火墙用户管理技术,主要包括AAA(认证、授权、计费)技术原理及其在防火墙中的应用。文章详细阐述了用户组织架构及分类、用户认证流程、认证策略和用户认证配置等方面的内容。重点介绍了AAA技术的实现...
防火墙用户管理.docx
09-06
防火墙用户管理.docx
HCSCA113 防火墙用户管理.pptx
10-06
HCSCA113 防火墙用户管理
HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)
小梁的博客
02-22 4685
用户 访问网络资源的主体,表示是谁在访问。 fw上的用户根据接入网络时的位置,分为上网用户和接入用户。 上网用户 内部网络中访问网络资源的主体,比如企业总部的内部员工,上网用户可以直接通过fw访问网络资源。接入用户指的是外部网络中访问网络资源的主体,比如企业的分支机构和出差员工 接入用户 需要通过ssl vqn、l2tp vqn、ipsec vqn或者pppoe方式接入到fw,然后才能访问企业总部的网络资源。 认证 fw通过认证来验证访问者的身份,fw对访问者进行认证的方式包括本地认证、服务
实验2:基于防火墙用户认证.docx
10-24
企业的网络管理员希望利用FW提供的用户管理与认证机制,将内部网络中的IP地址识别为用户,为实现基于用户的网络行为控制和网络权限分配提供基础。具体需求如下: 1. 在FW上存储用户和部门的信息,体现公司的组织结构,供策略引用。 2. 研发部员工和市场部员工访问网络资源之前必须通过FW的认证。 3. 对于来访客户,访问网络资源之前必须通过FW的认证,并且只能使用特定的用户Guest来进行认证。 4. 访问者使用会话认证的方式来触发认证过程,即访问者使用IE浏览器访问某个Web页面,FW会将IE浏览器重定向到认证页面。认证通过后,IE浏览器的界面会自动跳转到先前访问的Web页面。
华为ensp实现防火墙的区域管理用户认证
m0_63884865的博客
07-11 1245
基于该总公司内网,实现图片所在要求后文配置请以本图为准。
防火墙用户管理和入侵防御简介
Reloaded12138的博客
01-05 794
防火墙用户管理 什么是AAA AAA是认证(Authentication)、授权(Authorization)、计费(Accounting) Authentication认证:软认证(密码等)、硬认证(银行卡)、生物认证(声音指纹等) 授权(Authorization):授权用户可以使用哪些业务、授权用户管理设备 计费(Accounting):时长和流量 AAA技术 不认证:对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。 本地认证:将用户信息(包括本地用户用户名、密码和各种属性)配置在网络
防火墙管理
行走在路上的蜗牛
03-26 470
关闭防火墙 centos系统 直接关闭防火墙 systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 设置 iptables service yum -y install iptables-services 如果要修改防火墙配置,如增加防...
ENSP实现防火墙区域策略与用户管理
qosbsisnddn的博客
07-12 823
1,DMZ内的服务器,办公区仅能在办公时间(9:00-18:00)可以访问,生产区的设备全天可以访问2,生产区不允许访问互联网,办公区和游客区允许访问互联网3,办公区设备10.0.2.10不允许访问DMZ区的ftp服务器和http服务器,仅ping通10.0.3.104,办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。
云计算专业防火墙实验: 1.防火墙配置管理用户为自己的名字; 2.配置3个区域与名字相关; 3.配置策略实现能相互ping通; 4.配置策略实现防火墙能ping 通各个区域的主机。
Sconnie的博客
02-21 1217
云计算专业防火墙实验: 1.防火墙配置管理用户为自己的名字; 2.配置3个区域与名字相关; 3.配置策略实现能相互ping通; 4.配置策略实现防火墙能ping 通各个区域的主机。 拓扑图如图所示: 配置命令如下: sq: aaa manager-user sq service-type web password ci Aa123456 level 15 firewall zone name pc set priority 66 add interface g1/0/0 security-polic
防火墙安全策略用户认证综合实验
zjf6666666的博客
07-11 666
先新建一个管理员角色新建一个管理员。
防火墙安全策略及用户认证实验
m0_74256660的博客
07-09 753
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。2、再看三层,给防火墙配置IP,打开管理服务,用云访问防火墙
ensp防火墙配置
最新发布
04-02
<think>好的,用户需要查找关于华为ENSP模拟器中防火墙配置的教程和相关资料。根据提供的引用内容,我需要整理出相关的配置步骤和注意事项,并生成相关问题。首先,我需要确保回答结构清晰,分步骤说明,同时正确应用LaTeX格式,并添加引用标识。 首先,用户提到的三个引用分别涉及防火墙基础配置、WEB登录页面配置和VLAN实验配置。我需要将这些内容整合成一个连贯的教程,涵盖初始化配置、安全区域设置、安全策略、WEB登录以及VLAN配置等部分。每个步骤需要详细说明,并引用对应的来源。 接下来,需要注意用户提到的系统级指令,比如正确使用LaTeX格式,行内数学表达式用$...$,独立公式用$$...$$,但根据用户的问题内容,可能数学公式较少,但需要确保任何技术术语或命令的正确格式。例如,代码块需要用反引号包裹,并标明语言类型,如Python或命令行配置。 另外,用户要求生成相关问题,这些问题需要与ENSP防火墙配置相关,并基于提供的引用内容。例如,关于初始化步骤、安全区域的作用、WEB登录配置、VLAN配置中的优先级设置等。 需要检查引用是否正确对应到每个部分。例如,引用[1]涉及基础配置和拓扑搭建,引用[2]涉及WEB登录,引用[3]涉及VLAN和优先级设置。确保在回答的每个部分末尾添加正确的引用标识,例如在初始化配置部分末尾添加[^1],在WEB登录部分添加[^2],在VLAN配置部分添加[^3]。 同时,回答需要符合中文要求,结构清晰,分步骤说明,并且语言简洁明了。最后,生成的相关问题要覆盖用户可能感兴趣的方面,如初始化配置的步骤、安全区域的作用、WEB登录的注意事项、VLAN配置的优先级设置等,以及如何验证配置是否成功。 现在,需要组织这些内容,确保各部分逻辑连贯,引用正确,并符合格式要求。同时,避免使用Markdown格式,但根据用户提供的示例,允许使用代码块和引用标识。需要确保代码块中的命令准确无误,如防火墙的CLI命令。 最后,检查是否有遗漏的要点,如安全策略配置、接口添加至区域、优先级设置的影响等,并确保所有信息准确,基于提供的引用内容,没有添加外部信息。</think>### ENSP防火墙配置教程(华为模拟器) #### 一、基础配置与初始化 1. **设备登录** 首次登录USG6000V防火墙时,默认账户为`admin`,密码为`Admin@123`。登录后需立即修改初始密码以确保安全。 2. **接口配置** 将防火墙接口(如`G1/0/0`)添加到安全区域(如`trust`区域),并设置优先级(例如75): ```shell sys firewall zone name trust add interface GigabitEthernet1/0/0 set priority 75 quit ``` 优先级值需唯一,不可与其他区域重复。 --- #### 二、安全区域与策略配置 1. **定义安全区域** 防火墙默认包含`trust`(优先级85)、`untrust`(优先级5)、`dmz`(优先级50)区域。可自定义新区域: ```shell firewall zone name custom_zone set priority 60 # 优先级需唯一 add interface GigabitEthernet1/0/1 ``` 2. **配置安全策略** 允许`trust1`区域访问`trust2`区域的Telnet服务: ```shell security-policy rule name trust1_to_trust2 source-zone trust1 destination-zone trust2 service telnet action permit quit ``` 策略需明确源/目的区域、服务类型及动作[^3]。 --- #### 三、WEB登录配置 1. **启用HTTPS服务** 配置防火墙支持WEB管理: ```shell system-view http server enable # 启用HTTP服务(可选) https server enable # 启用HTTPS服务 ``` 2. **绑定接口与权限** 将管理接口(如`G1/0/0`)绑定至服务,并设置访问权限: ```shell http server permit interface GigabitEthernet1/0/0 https server permit interface GigabitEthernet1/0/0 ``` 通过浏览器访问`https://[防火墙IP]`即可进入WEB管理界面。 --- #### 四、VLAN配置示例 1. **创建VLAN并绑定接口** ```shell vlan batch 10 20 # 批量创建VLAN interface GigabitEthernet1/0/2 port link-type access port default vlan 10 quit ``` 2. **将VLAN接口加入安全区域** ```shell firewall zone name vlan_zone set priority 70 add interface Vlanif10 quit ``` 通过`dis security-policy all`可验证策略是否生效。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

这里是苏同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值