Juniper防火墙之图解用户认证
2011-08-03 09:46
239 查看
Juniper防火墙之图解用户认证
2009-10-14 00:06:10标签:Juniper 防火墙 图解 用户 认证 [推送到技术圈]
今天正好学习到Juniper防火墙中的用户认证,那么今天就带大家来看看Juniper防火墙的用户认证。 Juniper防火墙的用户分类: 1、Admin User:管理员用户 2、Auth User:认证用户 3、IKE User:IKE第一阶段用户的认证 4、XAuth User:IKE1.5阶段的用户的认证 5、L2TP User:用于L2TP用户的认证 6、802.1X:用于做802.1x认证的。 Juniper防火墙的用户就分以上五种。每一种用户都是各自的用图,Admin User不能用来做Auth User的用户认证。不像cisco的用户那样,一个用户可以用于多种业务。 Juniper用户认证分为两种: 一种是基于防火墙的认证,另一种就是基于WEB的认证 这里我们今天就只介绍Auth User:认证用户的使用方法。 防火墙认证需要流量匹配策略以触发登陆会话:策略必须允许 Telnet, FTP, 或 HTTP。 一旦认证通过,匹配策略的所有流量将会通过 你可以认为防火墙认证是一种在线认证。用户必须产生与认证策略匹配的Web会话,Telnet 会话,或FTP会话。那时,用户被提示输入用户名/密码。一旦认证通过,所有被此策略允许的流量将会允许通过。 如果用户未进行认证,既使匹配策略,流量也不会被允许通过。比如,你的认证策略允许PING,一个未认证的用户尝试ping,既使地址和服务匹 配,未发生认证过程,所以流量将被丢弃。这个用户接着用WEB浏览器会话通过防火墙,认证,接着进行 ping。这时,ping 将被允许。 点击“Objects>>Users>>Local”右上角的“New”按钮,来清加一个新的用户。 第一步:User Name输入用户名。 第二步:User Password:输入密码。Confirm Password:输入确认密码。 第三步:Authentication User:选中我们这个帐户的类型。因为我们这里要讲的是认证,所以我们要选择认证用户。 第四步:输入好了以后点击“OK”。 当我们点击“OK”以后就会自动的返回到这个地方,而且会显示出我们刚才建立的那个用户名。我上面的那个cisco是我以前建立的。在Type那里我们可以看看见类型是“Auth”的。 我们现在进入“Objects>>Users>>Local Groups”在这里面点击右上解的“New”我们来建立一个组,将我们的用户加入到这个组里面,以便我们等一会后面调用。 第一步:在“Group Name”后面填入组的名称。 第二步:右“Available Members”里面选中我们要加入到该组的中的用户。如我们里的“test” 第三步:在“Available Members”中选中以后,点击中间的“<<”这个按钮,我们可以看到这个用户就已经加入到“Group Members”中去了。 第四步:加入到“Group Members”以后,点击“OK”就可以了。 我们可以看见,上图就是我们建立好的组,在“Group Name”下面就是组的名称,“Group type”就是我们组的类型,“Members”下面是我们当前这咱组里面包含的用户。 现在我们用户及组都已经做好了。那么我们现在来看看如何来做后面的呢? Juniper防火墙的认证分为三种: 第一种:基于服务器的认证。 第二种:基于WEB的认证。 第三种:基于接口的认证。 下面我们来看看这三种认证如何来配置。 选择:“Policy>>Policies”进入这里我们看见有一条默认的策略,在这里我们就将就这条默认的策略,点击“Edit”来编辑它。 现在我的PC能够正常上网。 我们可以看见能够正常上网,那么我们现在来开始做一下这个策略来实现我们的认证,只有当我们认证通过以后,我们才能够访问外网,如果认证没有通过那是不能够上网的。上面我还没有做任何认证的。 编辑我们默认的策略,点击最下面的“Advanced(高级)”功能,进入我们的高级配置。 当我们进入“高级”页面来了以后,在“Authentication”这里: 第一步:将“Authentication”后面的复选框选中,表示启用“认证”功能。 第二步:在“Authentication”后面有三个选项,就表我们三种认证方式。我们现在先来看看第一种认证的方式“Auth Server”基于服务器的认证,在这里要注意的是,我们“Auth Server”下面要选择“Local”表示本地。而在后面的“User Group”后面选中“Local-auth”这个是我们刚才建立的那个组,我们在上面也可以看见。 设置好了以后,点击“OK”。我们来看看效果。 在这里我们可以看见在“Options”下面多了一个认证的图标。 那我们现在来打开一个网页看看还能够打开不呢? 看看当我一点刷新,就弹出来一个“User Authentication”认证的窗口。叫我们输入用户名密码,这个用户名密码就是我们最初建立的那个帐户,我们现在来试试看如果不输入看能够打开网页不呢? 从上图我们可以看见,如果我点击“取消”的话就提示我们没有认证。当我们刷新的时候又会出现认证的窗口,我们现在输入我们开始建立的用户名及密码,来进行认证看看。 当我们输入用户名及密码,点击“确定”以后,我们就能够打开这个网页了。 看看是不是打开了呢?是不是起到我们认证的一个作用了。 那么我们现在在防火墙上面来看那些用户通过了认证呢? ns5gt-> get auth table 查看认证列表 Total users in table: 1 Successful: 1, Failed: 0 Pending : 0, Others: 0 Infranet users : 0 Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy id src user group age status server T srczone dstzone 1 192.168.1.33 test auth 0 Success Local A Trust Untrust 在这里我们可以看见这个IP已经通过认证了。 ns5gt-> 那下面我们来看看如何将这个认证给清除呢? ns5gt-> clear auth 清除认证列表 ns5gt-> get auth table 我们再来查看一下认证列表里面没有了。那么我们现在再来打开一个网站,看看需要认证不? No users in table. ns5gt-> 我们看见并没有叫我们再一次进行认证,而在我们的认证表里面也会显示出来。 ns5gt-> get auth table Total users in table: 1 Successful: 1, Failed: 0 Pending : 0, Others: 0 Infranet users : 0 Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy id src user group age status server T srczone dstzone 1 192.168.1.33 test auth 0 Success Local A Trust Untrust 我们看见这条只要我们要去访问外网,它就会自动加进来。表示认证通过。 ns5gt-> 好了,这个基于服务的认证我们已经了解了,我们现在来看看基于WEB的认证又如何做呢? WebAuth 是另一种认证方式,需要用户在流量被放行之前,通过浏览器访问一个特定、防火墙上用于认证的IP地址。与防火墙认证类似,一旦用户验证通过,匹配策略的所有流量将被允许。 还是进入我们的策略里面,编辑我们默认的那个策略,选择“高级”,进入“高级”页面。 这里我们就选择“WebAuth(Local)”然后“User Group”还是选择我们的用户组。这里设置好以后,点击“OK”。 下面我们进入“Network>>Interface”里面,选择我们的“trust”后面的“Edit”来编辑 它,因为我们在做WebAuth认证的时候,我们需要提供一个IP地址来给用户进行认证,因为我这里的这款Juniper防火墙是比较低端的一个型号,所 以不能编辑接口,这里就只能编辑“Trust”。 进入我们“trust”的“Edit”里面我们在下面看见一下“WebAuth”,把后面的复选框选中,后面输入一个IP地址,这里要注意,这个IP地址必须与该IP在同一个网段中,并且要是没有使用的IP地址。 WebAuth 地址设置于策略所在的源zone的接口上。地址必须与接口地址在同一网段。 看看当我们设置好了以后,打开网页我们来测试一下看看,这个网页是不是打不开了呢? 在这里也可以看见,就连我的QQ都已经掉线了。 当我们输入我们前面设置的那个用于WEB认证的那个IP地址以后,在中间提示我们输入用户名密码,在这里我们输入好用户名及密码以后,点击“Authenticate”会提示认证成功。 看见上面这页面的英文字母以后,就表示我们认证通过了。 看看当我们认证通过以后,我们能够打开任何网页的。 看看我们这种是不是方便多了呢? 下面我们来查看一下认证列表。看看下面192.168.1.34已经是认证成功了的。 ns5gt-> get auth table Total users in table: 1 Successful: 1, Failed: 0 Pending : 0, Others: 0 Infranet users : 0 Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy id src user group age status server T srczone dstzone 1 192.168.1.34 test auth 0 Success Local W N/A N/A ns5gt-> ns5gt-> clear auth table 当我使用“clear auth table”命令清除我们认证连接,我们再来看看能否正常使用呢? 我们可以看看,当我们清楚这个认证以后了呢?就不能打开我们的网页,这时候我们又必须重新进行认证。 这里我们再次进行认证成功。来看看能否正常使用。 看看正常了嘛! 我们来看看如何修改,当我们登录成功以后,显示的那个Banner如何修改呢? 在“Configuration>>Auth>>WebAuth”中的“WebAuth Banner Setting”设置。 我们将中间的字改成“WEB认证成功!”我们去登录一下看看我们登录成功以后的信息变了没有呢? 看看是不是变了!好了到此为止吧!下班了,回家了! 本文出自 51CTO.COM技术博客 |
相关文章推荐
- Juniper防火墙之图解用户认证
- 图解HTTP第八章:确认访问用户身份的认证
- 图解HTTP读书笔记-(八 确认访问用户身份的认证)
- Juniper防火墙常用命令
- sharepoint form认证下的当前在线用户统计和当日浏览量的统计
- Mongo3.4.2用户连接认证
- Juniper SSG防火墙packet处理过程
- 如何理解Python的web框架tornado文档里面的用户认证的self.current_user?
- 建立基于PAM认证的vsftp虚拟用户登陆服务
- 牛腩购物12 :整合用户登录页 用到 asp.net 内置票据认证控件的使用(用户登录 用户权限) 用户控件ascx 设置/获取RadioButtonList 和RadioButton
- Kerberos身份认证在域用户工作站登录中的应用
- 升级认证用户 不限速下载 还送慧都十年纪念鼠标垫
- mongodb3.0.5的用户权限认证和使用可视化工具登录的一系列问题
- laravel 5.3 多用户认证
- LNMP—Nginx的用户认证