一、实验日期与地址
1、实验日期:2024年xx月xx日
2、实验地址:xxx
二、实验目的
1、理解认证策略;
2、理解用户管理的基本原理;
3、理解认证触发的方式;
4、熟练掌握上网用户本地认证的配置方法。
三、实验环境
华为eNSP模拟器,实验拓扑如下:
四、实验内容
1、实验规划:
设备 | 接口 | IP地址 | 安全区域 |
FW_A | GE 1/0/0 | 10.3.0.1/24 | trust |
GE 1/0/1 | 10.2.0.1/24 | dmz | |
GE 1/0/2 | 1.1.1.1/24 | untrust | |
AR1 | GE 0/0/0 | 1.1.1.2/24 | untrust |
PC1 | Eth 0/0/1 | 10.3.0.130/24 | trust |
Client1 | Eth 0/0/0 | 10.3.0.20/24 | trust |
Cloud | Eth 0/0/2 | 10.3.0.11/24 | trust |
Web-Server | Eth 0/0/0 | 10.2.0.11/24 | dmz |
Ftp-Server | Eth 0/0/0 | 10.2.0.22/24 | dmz2、 |
2、配置思路:
- 配置基本的IP地址和所属安全区域。
- 创建用户组并制定相应的用户策略。
- 配置路由器和PC终端等其他设备的网络参数。
- 验证和调试。
3、配置步骤:
步骤 1 配置FW的网络基本参数
根据组网需要,在防火墙上配置接口IP地址、安全区域,完成网络基本参数配置。
# 配置FW的接口IP地址
<FW> system-view
[FW] interface g1/0/2
[FW-GigabitEthernet1/0/2] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/2] quit
[FW] interface g1/0/1
[FW-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/1] quit
[FW] interface g1/0/0
[FW-GigabitEthernet1/0/0] ip address 10.3.0.1 24
[FW-GigabitEthernet1/0/0] quit
# 配置FW的安全区域
[FW] firewall zone untrust
[FW-zone-untrust] add interface g1/0/2
[FW-zone-untrust] quit
[FW] firewall zone dmz
[FW-zone-dmz] add interface g1/0/1
[FW-zone-dmz] quit
[FW] firewall zone trust
[FW-zone-trust] add interface g1/0/0
[FW-zone-trust] quit
步骤 2 创建用户组和用户
为各部门员工创建相应的用户组和用户,并设置密码。
# 创建研发部对应的用户组和用户
[FW] user-manage group /default/research
[FW-usergroup-/default/research] quit
[FW] user-manage user user_01
[FW-localuser-user_0001] alias Su
[FW-localuser-user_0001] parent-group /default/research
[FW-localuser-user_0001] password Admin@123
[FW-localuser-user_0001] undo multi-ip online enable
[FW-localuser-user_0001] quit
# 创建市场部员工对应的用户组和用户
[FW] user-manage group /default/marketing
[FW-usergroup-/default/marketing] quit
[FW] user-manage user user_0002
[FW-localuser-user_0002] alias Jack
[FW-localuser-user_0002] parent-group /default/marketing
[FW-localuser-user_0002] password Admin@123
[FW-localuser-user_0002] undo multi-ip online enable
[FW-localuser-user_0002] quit
# 创建来访客户对应的用户组和用户
[FW] user-manage user guest
[FW-localuser-user_guest] parent-group /default
[FW-localuser-user_guest] password Admin@123
[FW-localuser-user_guest] quit
步骤 3 配置用户重定向
配置用户认证通过后,浏览器的界面会自动跳转到先前访问的Web页面。
[FW] user-manage redirect //配置用户通过认证后Web浏览器跳转到最近使用的页面
步骤 4 配置认证策略
# 配置Portal认证策略
[FW] auth-policy //进入认证视图
[FW-policy-auth] rule name policy_auth_01
[FW-policy-auth-rule-policy_auth_01] source-zone trust
[FW-policy-auth-rule-policy_auth_01] source-address 10.3.0.0 24
[FW-policy-auth-rule-policy_auth_01] action auth
[FW-policy-auth-rule-policy_auth_01] quit
[FW-policy-auth] quit
步骤 5 配置认证域
使用default默认认证域,将认证域的接入控制配置为上网行为管理,允许对上网用户做基于策略的控制。
[FW] aaa
[FW-aaa] domain default
[FW-aaa-domain-default] service-type internetaccess
[FW-aaa-domain-default] quit
[FW-aaa] quit
步骤 6 配置安全策略
配置安全策略放行上网用户访问认证页面、DMZ区域及Internet的流量。
# 配置允许用户访问认证页面的安全策略
[FW] security-policy
[FW-policy-security] rule name policy_sec_01
[FW-policy-security-rule-policy_sec_01] source-zone trust
[FW-policy-security-rule-policy_sec_01] destination-zone local
[FW-policy-security-rule-policy_sec_01] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_01] service protocol tcp destination-port 8887
[FW-policy-security-rule-policy_sec_01] action permit
[FW-policy-security-rule-policy_sec_01] quit
# 配置允许用户访问外网的安全策略
[FW-policy-security] rule name policy_sec_02
[FW-policy-security-rule-policy_sec_02] source-zone trust
[FW-policy-security-rule-policy_sec_02] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_02] destination-zone untrust
[FW-policy-security-rule-policy_sec_02] action permit
[FW-policy-security-rule-policy_sec_02] quit
# 配置允许用户访问服务器区的安全策略
[FW-policy-security] rule name policy_sec_03
[FW-policy-security-rule-policy_sec_03] source-zone trust
[FW-policy-security-rule-policy_sec_03] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_03] destination-zone dmz
[FW-policy-security-rule-policy_sec_03] action permit
[FW-policy-security-rule-policy_sec_03] quit
[FW-policy-security] quit
步骤 7 验证和调试
由于是实验环境,并且在网络的UnTrust区域并没有部署相关的web服务器,所以在这里无法测试重定向以及其他web界面,下面展示直接访问认证界面的结果。
通过端口映射,将Cloud的Eth 0/0/2端口和虚拟网卡VMware Network Adapter VMnet8绑定,设置相应网段的IP地址,实现通信。使用Google浏览器输入https://10.3.0.1:8887/打开认证页面,输入用户名user_01,密码Admin@123进行认证。
测试图1 配置虚拟网卡VMware Network Adapter VMnet8的IP地址
测试图2 物理机Ping防火墙G1/0/0接口IP地址(网关)
测试图3 认证界面
测试图4 认证成功
综上,实验成功!
五、实验总结
本次实验通过配置本地Portal认证,实现了对上网用户的管理。通过一系列配置,达成了以下目标:
- 基本网络参数配置:在防火墙上配置了接口IP地址和安全区域,确保了网络的基本连通性和安全分区。
- 用户及用户组的创建:根据部门需求,成功创建了研发部、市场部和来访客户的用户组及用户,并为每个用户设置了密码和其他相关属性。
- 用户重定向配置:配置用户认证通过后的重定向功能,确保用户能够无缝地返回之前访问的网页。
- 认证策略配置:通过配置Portal认证策略,实现了对来自信任区的用户进行认证的需求。
- 认证域配置:使用默认认证域并配置为上网行为管理,确保了对上网用户的策略控制。
- 安全策略配置:配置了允许用户访问认证页面、外网以及服务器区的安全策略,确保了用户认证和上网行为的顺利进行。