Juniper-SRX-基于域控认证的用户防火墙

目录

1:架构与环境说明

2:防火墙基础配置

3:Win-server部署

4:SRX-加域流量放行

5:Client相关域设置

6:Win-server联动SRX的相关设置

7:SRX-外部Server配置

8:SRX域控认证策略

9:配置访客用户认证策略

10:注意事项

1:架构与环境说明

环境说明(当前SRX版本为20.4R2.7)
Win7-client为SRX的office区域,即日常客户端办公区域
Win-Server为SRX的dmz区域,即内部服务器所在区域
ISP线路即为SRX的untrust区域

    随着如今网络安全的大范围普及,企业管理者对于网管安全也越来越重视,对于一些敏感企业而言,公司内部的网络安全极其重要,这就像我们日常的出入一些敏感场所,例如飞机场,高铁站,进出这些敏感场所必须携带身份证等类似证件,能够证明你的合法身份,而对于网络安全而言,最基本的安全就是接入认证,对于接入到该网络的终端设备进行认证,保证接入终端的合法性,避免非法终端带来的风险,基于SRX,根据下方模拟的用户需求,展开本次测试。

某公司需求
1:对于接入到该公司网络的终端,需要进行认证后才能通过该网络去访问internet资源。
2:对于公司内部员工,采用联动外部Server的方式进行域用户认证。
3:对于访客用户,采用portal的方式进行认证,认证的信息为防火墙本地。

2:防火墙基础配置

创建zone

set security zones security-zone office
set security zones security-zone dmz
set security zones security-zone untrust

接口配置

set interfaces ge-0/0/0 unit 0 family inet 192.168.59.72/24
set interfaces ge-0/0/1 unit 0 family inet address 192.168.24.1/24
set interfaces ge-0/0/2 unit 0 family inet address 192.168.20.2/24

接口加zone,进行区域划分,由于是测试,zone之间的https https等就全放行了,实际环境要要个根据需求来。

set security zones security-zone office host-inbound-traffic system-services all
set security zones security-zone office host-inbound-traffic protocols all
set security zones security-zone office interfaces ge-0/0/1.0
set security zones security-zone dmz host-inbound-traffic system-services ping
set security zones security-zone dmz interfaces ge-0/0/2.0
set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces ge-0/0/0.0

source-nat

set security nat source rule-set internet from zone office
set security nat source rule-set internet to zone untrust
set security nat source rule-set internet rule 1 match source-address 192.168.24.0/24
set security nat source rule-set internet rule 1 then source-nat interface

缺省路由 

set routing-options static route 0.0.0.0/0 next-hop 192.168.59.253

SRX的DNS

set system name-server 114.114.114.114

地址对象(个人就习惯叫地址本)
安全策略中需要调用的地址组,一种是基于全局的,即所有zone都能调用,一种是基于zone的,只能在单个zone里创建并调用。
该命令中的两个 192.168.24.0/24,前者为对象名称,后者为具体的IP地址或网段

set security address-book global address 192.168.24.0/24 192.168.24.0/24

安全策略

set security policies from-zone office to-zone untrust policy internet match source-address 192.168.24.0/24
set security policies from-zone office to-zone untrust policy internet match destination-address any
set security policies from-zone office to-zone untrust policy internet match application any
set security policies from-zone office to-zone untrust policy internet then permit

上述配置完成后,即能实现最基本的访问internet的需求。

 防火墙也已经查看到相关session

Session ID: 3593, Policy name: ADuser/4, Timeout: 1762, Valid
  In: 192.168.24.2/49227 --> 183.136.216.38/443;tcp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 11, Bytes: 1366,
  Out: 183.136.216.38/443 --> 192.168.59.76/16777;tcp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 23, Bytes: 24942,

3:Win-server部署

1:在服务器管理器中安装AD域控服务,服务地址池,选择你域控服务的IP地址,前面的开始之前和安装类型直接下一步即可。

 2:选择AD域服务,下一步的功能和AD DS也可直接跳过

 3:勾选自动重启,点击安装

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值