华为防火墙对用户做Portal认证,数据报文交互如下:
- 华为防火墙只能对用户发起的标准的http流量触发认证,如果我们访问的http://X.X.X.X:8080或 https://X.X.X.X 这样是不能触发认证的。防火墙会代理要访问的服务器(不管该地址是否存在)和终端用户建立TCP三次握手),当用户发送http get 请求后,FW 回复重定向报文,让客户端访问认证页面地址(首次的TCP连接断开)。客户端重新发起对认证页面地址的访问。
- 若我们直接发起为非80端口的TCP连接,防火墙是不予回应的,这也是为什么非标准HTTP流量不能触发认证的原因。
- 虽然FW会产生访问X.X.X.X地址的虚假会话,但是实际上该数据报文是客户端与防火墙的TCP三次握手交互。对应的业务流区域策略还是要放行的,否则不会产生会话,也就不弹认证页面。
- 我们通常会使用域名来访问网站,所以安全策略首先应该放行出方向的DNS流量,其实是出方向的业务流量,再者还有客户端对Local区域的访问,因为客户端最终访问的认证业务地址在FW上。