上网行为管理--身份认证实验

已于 2024-08-13 21:06:25 修改
阅读量752 收藏 3
点赞数 3
分类专栏: 网络安全 文章标签: 网络 web安全
于 2024-08-13 19:12:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65150735/article/details/141170675
版权

实验背景

某公司需要在企业的公司网络出口使用上网行为管理设备,以审计管理局域网的所有设备,同时,局域网内的所有设备都将通过上网行为代理上网,但是发生过访客外传一些非法信息,所以需要对外来人员进行实名认证,用户拥有自己独立的上网账号。

实验设备

Win-Ser2003一台

三层交换机一台

AAA服务器一台

网络net:cloud0一个

山石网科防火墙一台

实验拓扑

259b8389cbe3457ab750e24154e43995.png

实验目的

掌握上网行为管理设备网关部署的应用场景和方法

掌握上网行为管理设备本地和 raduis 身份认证的配置方法。

实验步骤

Win-XP

内网 Win-Ser2003 主机配置,指定主机ip为 192.168.10.1/24

网关为 192.168.10.254,dns114.114.114.114

76faf4cf334f46bc8fcb9c4a1d68fae7.png

L3-Switch

核心交换机

Switch(config)#ip routing启动路由功能

Switch(config)#interface g0/0
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#exit

Switch(config)#interface g0/1
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config-if)#exit

Switch(config)#interface g0/2  互联AAA 服务器
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.2.2.1 255.255.255.252
Switch(config-if)#exit

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2  配置上网的缺省路由,下一跳为上网行为管理接口e0/1 IP

防火墙

修改 e0/0 口属性为管理口且采用 http 管理方式,默认启动 DHCP

login: hillstone        用户名和密码都为hillstone
password:

SG-6000# conf
SG-6000(config)# interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)# showinterface    查看e0/0自动获得的IP地址,为管理IP

3385cc35c89f4396a21ac6eda83cd7dd.png

在物理主机上,通过浏览器访问管理IP,使用图形化管理:用户名密码都是 hillstone

2b536d433b1f4397a9b67e4811892f06.png

配置 e0/1接口:绑定安全区域为trust 三层安全区域(路由模式)、IP地址等

af28bbbdcf0548a1b64af1bceb6840bc.png

配置e0/0接口:修改绑定安全区域为untrust 三层安全区域(路由模式)、IP等

eec647247f8f41e78b64b672ac24250e.png

为路由模式,配置路由,包括回程路由和缺省路由

889c7adaf0d44ef1861067c5bb9c4703.png

e5bff17acce84414a70703051573a929.png

为路由模式,配置源NAT策略(即动态NAT),实现内网及AAA服务器上公网需求

d1e013f496364e309aa9b19d1172dcb9.png

778163247c12456d8816ef3729a4858f.png

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略。让内网网段可以访问公网

c04466d1fa69496ca5b35be6c6c73ac1.png

7f1f97f15f9a4938adf3827e6f6b5108.png

接下来测试内网主机可以上公网,如图

c3f2e27831dc40cdb99eb05f0958e7d9.png

本地认证

公共区域实行实名认证上网,防止外来人员随意上网,在上网行为管理上开启身份认证

采用本地 DB 认证,在设备上创建本地用户和密码,用于用户登陆时的凭证:

6f8df719fdf441c89a3375397088eba1.png

全局开启 web认证功能,认证模式指定为口令认证,最后单击应用

79beae5c68a24f65b05ba96e60b62470.png

配置安全策略,在未认证之前允许dns通过   (提问:为什么)

a4ee083fcda04af08875f51ade9c9f8b.png

配置安全策略,配置unknown角色策略,即开启web认证,截获会话进行身份认证

16cddb4d73354fe99ad7d59ea9a1063d.png

7dfc796b56144d639eafe0e1498db3e7.png

调整策略执行顺序(默认从上往下执行),如图,内网主机必须通过认证,表明才能访问公网

92da5afd1a1b427987a679f8dc286f95.png

在 AAA 服务器上测试,不需认证,可以直接访问公网

f5a424818fc34030a5b9aa1f6d8931ab.png

在内网 win-XP 主机上测试,触发认证,需输入凭证方可访问公网

ddc7d97bd15344c1adb7f82d5f109d8e.png

认证成功

0b1d7102e8194ef19261bf36095a34a1.png

查看在线用户列表

77e090bb57ed48ad9e88f3e23a99e5d5.png

至此,完成上网行为管理的本地 DB 用户名和密码认证。

外部认证

接下来,上网行为管理结合 AAA服务器完成集中身份认证功能

等待启动完成,输入用户名admin  和  密码Aaa@123456

默认服务器的ip为10.2.2.2/30,网关为10.2.2.1,可以根据需求修改

0c9f83b57be14529ba8e8fcf29159b22.png

接下来,在内网 Win-XP 主机上浏览器栏输入 https://10.2.2.2,进入可视化界面

c544e43e9ae14faca918e2bafe1a3a44.png

登录时,输入的用户名和密码,用户名acsadmin,密码zhongyuan

1086ef44adb243f6b6ce710fd31e798c.png

配置 AAA 服务器端,指定NASIP、通信 key 等

2f9b6b70fd894f1d8439713fa61a23b2.png

ddc42d2020ad48e1a42cfdb8e3797dd0.png

配置AAA服务器端,创建用户上网时,身份认证需要的用户名和密码

edc5779613404eec9b0276c92e44534f.png

da5b2b1e729b4caaa98807b056589bc3.png

接下来,配置上网行为管理,指定一台raduis AAA 服务器,关联配置如下

0bbcd456fedd40cc936ea2797226b4e4.png

f04ce8c0b88a4116ba0e6c5d14020289.png

 

1e5d82837c1340c8997df57d4d890461.png

配置上网行为管理,修改之前的web认证策略,改认证方式为 radius 认证

190f4f7b5d3a4393b93368f33c3c7eb4.png

最后,在内网 win 主机上测试,触发认证,需输入AAA服务器上创建的凭证方可访问公网

5a1f35179bd341a4b115726e9ea07a15.png

由于开启计费,在AAA服务器上查看计费情况如下:

2c399d09780a4171ab4584c26295e16f.png

实验总结

对PC实名认证,本地认证,外部认证

 

无泡汽水
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
上网行为管理学习笔记
qq_45141842的博客
08-23 1986
一、定义 控制与管理用户对互联网的使用的一个硬件平台。 二、需求背景(为什么需要上网行为管理) 主要是了满足相关的法律法规的要求,解决上网难监管,宽带滥用,网络违法,安全威胁以及信息泄露等问题。 三、部署方式 1.路由模式:功能最齐全,但是会改变原有的网络环境。 2.透明模式:无法实现路由功能,其他功能不受限制,对网络环境改变不大。 3.旁路模式:功能最受限制,除行为记录外,实现的功能类似IDS,但是它不会改变现有的网络环境,不会影响数据包的转发速度,不会造成单点故障,同时也不能实现身份认证,对URL过滤和
HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)
小梁的博客
02-22 4347
用户 访问网络资源的主体,表示是谁在访问。 fw上的用户根据接入网络时的位置,分为上网用户和接入用户。 上网用户 内部网络中访问网络资源的主体,比如企业总部的内部员工,上网用户可以直接通过fw访问网络资源。接入用户指的是外部网络中访问网络资源的主体,比如企业的分支机构和出差员工 接入用户 需要通过ssl vqn、l2tp vqn、ipsec vqn或者pppoe方式接入到fw,然后才能访问企业总部的网络资源。 认证 fw通过认证来验证访问者的身份,fw对访问者进行认证的方式包括本地认证、服务
AC上网行为管理案例
weixin_53946822的博客
11-22 1093
6、2.0网段“张三” 采用用户密码上网,限制5分钟上网时间,超出后禁止上网。3、客户不想限制与员工应用,对P2P流量以及娱乐流量限速;4、当业务流量空闲时允许突破带宽限制。5、现在每个用户最高不允许超过10m。7、3.0网段 0.1 主机限制每天。
深信服PT1-AC实验考试
m0_72019240的博客
08-14 606
深信服PT1-AC实验考试实验
计算机网络实验---验证性实验
木子Teng的博客
01-06 1511
计算机网络实验---验证性实验
上网行为安全之应用控制技术
✍千里之行,始于足下 ^,^
05-22 1589
1.应用特征识别技术 (1)需求例1 全天不允许使用QQ等聊天工具 案例网络拓扑图 数据包五元组 传统行为检测原理:传统的网络设备根据根据数据包的五元组(源IP,目的IP, 源端口,目的端口,协议)这些特征等来识别应用并进行丢弃、转发、接收、 处理等行为。 通过识别协议为UDP,端口为8000,从而识别出是QQ聊天的应用,将该类数 据包全部丢弃,实现封堵的目的 配置思路 1、 新...
05- 防火墙用户管理
qianlai22的博客
03-10 6800
1.用户认证和AAA技术原理 AAA技术 不认证: 对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。 本地认证: 将用户信息(包括本地用户的用户名、密码和各种属性)配置在网络接入服务器上。本地认证的优点是速度快,可以为运营降低成本;缺点是存储信息量受设备硬件条件限制。 服务器认证: 将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。AAA支持通过RADIUS(RemoteAuthentication Dial In User Service)协议或H
130242014048-谢添华-实验
dianyi2279的博客
09-15 260
实验报告 课程: 软件体系结构与设计 实验名称: 软件设计的网络支持环境 专业: 软件工程 学 号 130242014048 姓名: 谢添华 实验日期: 2017年 9月14 日 报告退发 (订正 、 重做) 一、实验目的...
SSM 游泳馆管理系统-毕业设计源码 42150
DZBS2000的博客
07-29 782
会员用户管理模块: (1)查看游泳馆管理系统的首页信息:游泳馆管理系统的首页信息包含了公告、新闻资讯、泳池信息、我的(我的账户、我的收藏、个人中心)等。 (2)公告:当用户点击“公告”这一菜单按钮,会显示管理员在后台发布的所有的公告信息,可以查看详情; (3)我的账户:在前台点击“我的”下面的“我的账户”可以对个人资料+密码修改+自己收藏的信息进行管控。 (4)个人中心:当用户点击右上角“我的”这个按钮,就会进入到对应的后台进行信息的管理了; (5)新闻资讯:用户可以查看新闻资讯,在查询到自己想要了解的新闻
AD实验手册及学习资料.rar
04-23
9. **与深信服其他产品集成**:深信服AD可以与其他深信服产品如防火墙、上网行为管理等无缝集成,实现全面的安全管控。 10. **学习资源**:压缩包中的"AD实验手册及学习资料"涵盖了AD的安装、配置、管理、故障排查...
深信服2022年PT2实验
06-13
实验内容包括五个场景模块:组网部署、上网场景、内网服务器访问、移动身份安全访问以及安全运营。考生需要在给定的时间内完成30道题目,确保每一步操作的截图清晰、关键信息突出,并且遵循严格的考试规则。 实验...
电信设备-一种控制方法及装置、移动通信终端.zip
09-19
此外,安全性和隐私保护也是移动通信终端不可忽视的方面,可能涉及到加密技术、身份验证机制和数据保护策略。 总的来说,"电信设备-一种控制方法及装置、移动通信终端.zip"中的内容可能会详细阐述如何通过先进的...
使用WebSocket实现一个简易的聊天室
qq_51321722的博客
08-14 205
其次,要有相关配置类以及Controller。我这里的框架是SpringBoot。首先,我们要有一个前端页面。
计算机网络面试题汇总
最新发布
Blocking The Sky
08-14 553
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。它的出现,是为了避免身份被篡改冒充的。比如Https的数字证书,就是为了避免公钥被中间人冒充篡改。数字证书构成公钥和个人等信息,经过Hash摘要算法加密,形成消息摘要;将消息摘要拿到拥有公信力的认证中心(CA),用它的私钥对消息摘要加密,形成数字签名。公钥和个人信息、数字签名共同构成数字证书。
HAProxy基本配置及参数实操
Webston的博客
08-12 910
静态#动态#以下静态和动态取决于hash_type 是否consistentfirst #使用较少static-rr #做了session 共享的web集群leastconn #数据库source#基于客户端公网IP 的会话保持Uri--------------->http #缓存服务器,CDN服务商,蓝汛、百度、阿里云、腾讯url_param--------->http #可以实现session 保持hdr #基于客户端请求报文头部做下一步处理高。
mpls vpn基础实验
wudongfang666的专栏
08-10 489
场景:异地两个站点通过mpls vpn骨干网络实现安全通讯虚拟路由转发 VRF ,相当于在设备内建立一条虚拟通道,一个vpn的实例(vrf)可以简单的理解为一台虚拟设备。拓扑图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值