今天正好学习到Juniper防火墙中的用户认证,那么今天就带大家来看看Juniper防火墙的用户认证。
Juniper防火墙的用户分类:
1、Admin User:管理员用户
2、Auth User:认证用户
3、IKE User:IKE第一阶段用户的认证
4、XAuth User:IKE1.5阶段的用户的认证
5、L2TP User:用于L2TP用户的认证
6、802.1X:用于做802.1x认证的。
Juniper防火墙的用户就分以上五种。每一种用户都是各自的用图,Admin User不能用来做Auth User的用户认证。不像cisco的用户那样,一个用户可以用于多种业务。
Juniper用户认证分为两种:
一种是基于防火墙的认证,另一种就是基于WEB的认证
这里我们今天就只介绍Auth User:认证用户的使用方法。
防火墙认证需要流量匹配策略以触发登陆会话:策略必须允许 Telnet, FTP, 或 HTTP。
一旦认证通过,匹配策略的所有流量将会通过
你可以认为防火墙认证是一种在线认证。用户必须产生与认证策略匹配的Web会话,Telnet 会话,或FTP会话。那时,用户被提示输入用户名/密码。一旦认证通过,所有被此策略允许的流量将会允许通过。
如果用户未进行认证,既使匹配策略,流量也不会被允许通过。比如,你的认证策略允许PING,一个未认证的用户尝试ping,既使地址和服务匹配,未发生认证过程,所以流量将被丢弃。这个用户接着用WEB浏览器会话通过防火墙,认证,接着进行 ping。这时,ping 将被允许。
点击“Objects>>Users>>Local”右上角的“New”按钮,来清加一个新的用户。
第一步:User Name输入用户名。
第二步:User Password:输入密码。Confirm Password:输入确认密码。
第三步:Authentication User:选中我们这个帐户的类型。因为我们这里要讲的是认证,所以我们要选择认证用户。
第四步:输入好了以后点击“OK”。
当我们点击“OK”以后就会自动的返回到这个地方,而且会显示出我们刚才建立的那个用户名。我上面的那个cisco是我以前建立的。在Type那里我们可以看看见类型是“Auth”的。
我们现在进入“Objects>>Users>>Local Groups”在这里面点击右上解的“New”我们来建立一个组,将我们的用户加入到这个组里面,以便我们等一会后面调用。
第一步:在“Group Name”后面填入组的名称。
第二步:右“Available Members”里面选中我们要加入到该组的中的用户。如我们里的“test”
第三步:在“Available Members”中选中以后,点击中间的“<<”这个按钮,我们可以看到这个用户就已经加入到“Group Members”中去了。
第四步:加入到“Group Members”以后,点击“OK”就可以了。
我们可以看见,上图就是我们建立好的组,在“Group Name”下面就是组的名称,“Group type”就是我们组的类型,“Members”下面是我们当前这咱组里面包含的用户。
现在我们用户及组都已经做好了。那么我们现在来看看如何来做后面的呢?
Juniper防火墙的认证分为三种:
第一种:基于服务器的认证。
第二种:基于WEB的认证。
第三种:基于接口的认证。
下面我们来看看这三种认证如何来配置。
选择:“Policy>>Policies”进入这里我们看见有一条默认的策略,在这里我们就将就这条默认的策略,点击“Edit”来编辑它。
现在我的PC能够正常上网。
我们可以看见能够正常上网,那么我们现在来开始做一下这个策略来实现我们的认证,只有当我们认证通过以后,我们才能够访问外网,如果认证没有通过那是不能够上网的。上面我还没有做任何认证的。
编辑我们默认的策略,点击最下面的“Advanced(高级)”功能,进入我们的高级配置。
当我们进入“高级”页面来了以后,在“Authentication”这里:
第一步:将“Authentication”后面的复选框选中,表示启用“认证”功能。
第二步:在“Authentication”后面有三个选项,就表我们三种认证方式。我们现在先来看看第一种认证的方式“Auth Server”基于服务器的认证,在这里要注意的是,我们“Auth Server”下面要选择“Local”表示本地。而在后面的“User Group”后面选中“Local-auth”这个是我们刚才建立的那个组,我们在上面也可以看见。
设置好了以后,点击“OK”。我们来看看效果。
在这里我们可以看见在“Options”下面多了一个认证的图标。
那我们现在来打开一个网页看看还能够打开不呢?
看看当我一点刷新,就弹出来一个“User Authentication”认证的窗口。叫我们输入用户名密码,这个用户名密码就是我们最初建立的那个帐户,我们现在来试试看如果不输入看能够打开网页不呢?
从上图我们可以看见,如果我点击“取消”的话就提示我们没有认证。当我们刷新的时候又会出现认证的窗口,我们现在输入我们开始建立的用户名及密码,来进行认证看看。
当我们输入用户名及密码,点击“确定”以后,我们就能够打开这个网页了。
看看是不是打开了呢?是不是起到我们认证的一个作用了。
那么我们现在在防火墙上面来看那些用户通过了认证呢?
ns5gt->
get auth table
查看认证列表
Total users in table: 1
Successful: 1, Failed: 0
Pending : 0, Others: 0
Infranet users : 0
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy
id src user group age status server T srczone dstzone
1 192.168.1.33 test auth 0 Success Local A Trust Untrust 在这里我们可以看见这个 IP 已经通过认证了。
ns5gt->
Total users in table: 1
Successful: 1, Failed: 0
Pending : 0, Others: 0
Infranet users : 0
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy
id src user group age status server T srczone dstzone
1 192.168.1.33 test auth 0 Success Local A Trust Untrust 在这里我们可以看见这个 IP 已经通过认证了。
ns5gt->
那下面我们来看看如何将这个认证给清除呢?
ns5gt->
clear auth
清除认证列表
ns5gt-> get auth table 我们再来查看一下认证列表里面没有了。那么我们现在再来打开一个网站,看看需要认证不?
No users in table.
ns5gt->
ns5gt-> get auth table 我们再来查看一下认证列表里面没有了。那么我们现在再来打开一个网站,看看需要认证不?
No users in table.
ns5gt->
我们看见并没有叫我们再一次进行认证,而在我们的认证表里面也会显示出来。
ns5gt->
get auth table
Total users in table: 1
Successful: 1, Failed: 0
Pending : 0, Others: 0
Infranet users : 0
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy
id src user group age status server T srczone dstzone
1 192.168.1.33 test auth 0 Success Local A Trust Untrust 我们看见这条只要我们要去访问外网,它就会自动加进来。表示认证通过。
ns5gt->
Total users in table: 1
Successful: 1, Failed: 0
Pending : 0, Others: 0
Infranet users : 0
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy
id src user group age status server T srczone dstzone
1 192.168.1.33 test auth 0 Success Local A Trust Untrust 我们看见这条只要我们要去访问外网,它就会自动加进来。表示认证通过。
ns5gt->
好了,这个基于服务的认证我们已经了解了,我们现在来看看基于WEB的认证又如何做呢?
WebAuth 是另一种认证方式,需要用户在流量被放行之前,通过浏览器访问一个特定、防火墙上用于认证的IP地址。与防火墙认证类似,一旦用户验证通过,匹配策略的所有流量将被允许。
还是进入我们的策略里面,编辑我们默认的那个策略,选择“高级”,进入“高级”页面。
这里我们就选择“WebAuth(Local)”然后“User Group”还是选择我们的用户组。这里设置好以后,点击“OK”。
下面我们进入“Network>>Interface”里面,选择我们的“trust”后面的“Edit”来编辑它,因为我们在做WebAuth认证的时候,我们需要提供一个IP地址来给用户进行认证,因为我这里的这款Juniper防火墙是比较低端的一个型号,所以不能编辑接口,这里就只能编辑“Trust”。
进入我们“trust”的“Edit”里面我们在下面看见一下“WebAuth”,把后面的复选框选中,后面输入一个IP地址,这里要注意,这个IP地址必须与该IP在同一个网段中,并且要是没有使用的IP地址。
WebAuth 地址设置于策略所在的源zone的接口上。地址必须与接口地址在同一网段。
看看当我们设置好了以后,打开网页我们来测试一下看看,这个网页是不是打不开了呢?
在这里也可以看见,就连我的QQ都已经掉线了。
当我们输入我们前面设置的那个用于WEB认证的那个IP地址以后,在中间提示我们输入用户名密码,在这里我们输入好用户名及密码以后,点击“Authenticate”会提示认证成功。
看见上面这页面的英文字母以后,就表示我们认证通过了。
看看当我们认证通过以后,我们能够打开任何网页的。
看看我们这种是不是方便多了呢?
下面我们来查看一下认证列表。看看下面192.168.1.34已经是认证成功了的。
ns5gt->
get auth table
Total users in table: 1
Successful: 1, Failed: 0
Pending : 0, Others: 0
Infranet users : 0
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy
id src user group age status server T srczone dstzone
1 192.168.1.34 test auth 0 Success Local W N/A N/A
ns5gt->
ns5gt-> clear auth table
Total users in table: 1
Successful: 1, Failed: 0
Pending : 0, Others: 0
Infranet users : 0
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy
id src user group age status server T srczone dstzone
1 192.168.1.34 test auth 0 Success Local W N/A N/A
ns5gt->
ns5gt-> clear auth table
当我使用“clear auth table”命令清除我们认证连接,我们再来看看能否正常使用呢?
我们可以看看,当我们清楚这个认证以后了呢?就不能打开我们的网页,这时候我们又必须重新进行认证。
这里我们再次进行认证成功。来看看能否正常使用。
看看正常了嘛!
我们来看看如何修改,当我们登录成功以后,显示的那个Banner如何修改呢?
在“Configuration>>Auth>>WebAuth”中的“WebAuth Banner Setting”设置。
我们将中间的字改成“WEB认证成功!”我们去登录一下看看我们登录成功以后的信息变了没有呢?
看看是不是变了!好了到此为止吧!下班了,回家了!
本文转自 ltyluck 51CTO博客,原文链接:http://blog.51cto.com/ltyluck/212023
