導(dǎo)讀:這篇文章主要為大家介紹了如何進(jìn)行防火墻配置,需要的朋友可以參考下。
Web認(rèn)證配置
– 網(wǎng)絡(luò)拓?fù)?–
– 需求描述 –
內(nèi)網(wǎng)用戶首次訪問 Internet 時(shí)需要通過 WEB 認(rèn)證才能上網(wǎng)。且內(nèi)網(wǎng)用戶劃分為兩個(gè)用 戶組 usergroup1 和 usergroup2,其中 usergroup1 組中的用戶在通過認(rèn)證后僅能瀏覽 web 頁面, usergroup2 組中的用戶通過認(rèn)證后僅能使用使用 ftp。
– 配置步驟 –
第一步:配置 web 認(rèn)證向?qū)?/strong>
點(diǎn)擊配置/主頁/網(wǎng)絡(luò)/Web 認(rèn)證中,在右側(cè)的向?qū)帲c(diǎn)擊新建 web 認(rèn)證 首先設(shè)置參數(shù)配置
點(diǎn)擊下一步后,設(shè)置認(rèn)證用戶
也可以新建一個(gè) AAA 服務(wù)器,AAA 服務(wù)器的類型支持以下四種方式,本實(shí)驗(yàn)中我們 使用新建的 local-aaa-server 服務(wù)器,使用本地認(rèn)證的類型。
設(shè)置完認(rèn)證用戶后,點(diǎn)擊下一步策略配置
在策略配置中選擇源、目的安全域以及 DNS 安全域,一旦選擇后,可以看到下方策略 處將會(huì)創(chuàng)建三條策略。此處相對于 4.0 版本簡化了配置,不需要再手工去創(chuàng)建放行 DNS 策 略、web 認(rèn)證策略及認(rèn)證后放行的策略。最后點(diǎn)擊完成即可!
修改 Web 認(rèn)證參數(shù)設(shè)置,通過以下界面可以修改 web 認(rèn)證的部分參數(shù)
第二步:創(chuàng)建用戶及用戶組,并將用戶劃歸不同用戶組
既然要做認(rèn)證,需要在設(shè)置用戶及用戶組,在本實(shí)驗(yàn)中我們設(shè)置了usergroup1 和usergroup2 兩個(gè)用戶組。并設(shè)置了uesr1和user2兩個(gè)用戶,這兩個(gè)用戶分別歸屬于兩個(gè)組。點(diǎn)擊對象用戶/本地用戶,首先在本地服務(wù)器中選擇之前。
然后創(chuàng)建 user1 和 user2 并將 user1 將其歸屬到 usergroup1 組中,user2 將其歸屬到usergroup2 組中
第三步:創(chuàng)建角色
在對象用戶/角色中設(shè)置兩個(gè)角色,稱分別為 role-permit-web 和 role-permit-ftp
第四步:創(chuàng)建角色映射規(guī)則,將用戶組與角色相對應(yīng)
在用戶對象/角色中,創(chuàng)建一個(gè)角色映射role-map1 , 將usergroup1 用戶組和role-permit-web 做對應(yīng),將usergroup2 和role-permit-ftp 做對應(yīng)。
第五步:將角色映射規(guī)則與 AAA 服務(wù)器綁定
在用戶對象/AAA 服務(wù)器中,將角色映射 role-map1 綁定到 AAA 服務(wù)器 loca-aaa-server 上。
第六步:創(chuàng)建安全策略不同角色的用戶放行不同服務(wù)
在安全/策略中設(shè)置內(nèi)網(wǎng)到外網(wǎng)的安全策略,首先在該方向安全策略的第一條設(shè)置一個(gè)放行 DNS 服務(wù)的策略,放行該策略的目的是當(dāng)我們在 IE 欄中輸入某個(gè)網(wǎng)站名后,客戶端 PC 能夠正常對該網(wǎng)站做出解析,然后可以重定向到認(rèn)證頁面上。第二條我們針對未通過認(rèn) 證的用戶 UNKNOWN,設(shè)置認(rèn)證的策略,認(rèn)證服務(wù)器選擇創(chuàng)建的 local-aaa-server。以上兩 條策略在 web 認(rèn)證向?qū)е卸家呀?jīng)配置過。下面我們設(shè)置針對 role-permit-web 角色放行 http 的服務(wù)策略如下:
針對 role-permit-web 角色放行 http 的服務(wù)策略如下:
最后我們看下在防火墻/策略中我們設(shè)置了幾條策略,在這里我們設(shè)置了四條策略,第 一條策略我們只放行 DNS 服務(wù),第二條策略我們針對未通過認(rèn)證的用戶設(shè)置認(rèn)證的安全策 略,第三條策略和第四條策略我們針對不同角色用戶放行不同的服務(wù)。
第七步:用戶驗(yàn)證
內(nèi)網(wǎng)用戶打開 IE 后輸入某網(wǎng)站后可以看到頁面馬上重定向到認(rèn)證頁面,我們輸入user1用戶名和密碼認(rèn)證通過后,當(dāng)我們訪問某 web 時(shí)訪問成功,當(dāng)我們訪問 ftp 時(shí)看到未能打開。
在設(shè)備上查看認(rèn)證狀態(tài)
以上實(shí)驗(yàn)是通過角色映射來實(shí)現(xiàn)的控制,指導(dǎo)中只是提供這樣一種思路,如果采訪簡單 的方法可以不用設(shè)置角色,在策略中直接針對用戶組設(shè)置相應(yīng)的服務(wù)權(quán)限。
會(huì)話控制配置
– 網(wǎng)絡(luò)拓?fù)?–
– 需求描述 –
內(nèi)網(wǎng)用戶首要求針對內(nèi)網(wǎng)每 ip 限制會(huì)話數(shù)到 300 條
– 配置步驟 –
第一步:點(diǎn)擊控制/會(huì)話限制,選擇安全域 trust 及限制條件,每 IP 限制 300 條會(huì)話
關(guān)注微信公眾號:安徽思恒信息科技有限公司,了解更多技術(shù)內(nèi)容……
