今天正好学习到Juniper防火墙中的用户认证，那么今天就带大家来看看Juniper防火墙的用户认证。

Juniper防火墙的用户分类：

1、Admin User：管理员用户

2、Auth User：认证用户

3、IKE User：IKE第一阶段用户的认证

4、XAuth User：IKE1.5阶段的用户的认证

5、L2TP User：用于L2TP用户的认证

6、802.1X：用于做802.1x认证的。

Juniper防火墙的用户就分以上五种。每一种用户都是各自的用图，Admin User不能用来做Auth User的用户认证。不像cisco的用户那样，一个用户可以用于多种业务。

Juniper用户认证分为两种：

一种是基于防火墙的认证，另一种就是基于WEB的认证

这里我们今天就只介绍Auth User：认证用户的使用方法。

防火墙认证需要流量匹配策略以触发登陆会话：策略必须允许 Telnet, FTP, 或 HTTP。

一旦认证通过，匹配策略的所有流量将会通过

你可以认为防火墙认证是一种在线认证。用户必须产生与认证策略匹配的Web会话，Telnet 会话，或FTP会话。那时，用户被提示输入用户名/密码。一旦认证通过，所有被此策略允许的流量将会允许通过。

如果用户未进行认证，既使匹配策略，流量也不会被允许通过。比如，你的认证策略允许PING，一个未认证的用户尝试ping，既使地址和服务匹配，未发生认证过程，所以流量将被丢弃。这个用户接着用WEB浏览器会话通过防火墙，认证，接着进行 ping。这时，ping 将被允许。

点击“Objects>>Users>>Local”右上角的“New”按钮，来清加一个新的用户。

第一步：User Name输入用户名。

第二步：User Password：输入密码。Confirm Password：输入确认密码。

第三步：Authentication User：选中我们这个帐户的类型。因为我们这里要讲的是认证，所以我们要选择认证用户。

第四步：输入好了以后点击“OK”。

当我们点击“OK”以后就会自动的返回到这个地方，而且会显示出我们刚才建立的那个用户名。我上面的那个cisco是我以前建立的。在Type那里我们可以看看见类型是“Auth”的。

我们现在进入“Objects>>Users>>Local Groups”在这里面点击右上解的“New”我们来建立一个组，将我们的用户加入到这个组里面，以便我们等一会后面调用。

第一步：在“Group Name”后面填入组的名称。

第二步：右“Available Members”里面选中我们要加入到该组的中的用户。如我们里的“test”

第三步：在“Available Members”中选中以后，点击中间的“<<”这个按钮，我们可以看到这个用户就已经加入到“Group Members”中去了。

第四步：加入到“Group Members”以后，点击“OK”就可以了。

我们可以看见，上图就是我们建立好的组，在“Group Name”下面就是组的名称，“Group type”就是我们组的类型，“Members”下面是我们当前这咱组里面包含的用户。

现在我们用户及组都已经做好了。那么我们现在来看看如何来做后面的呢？

Juniper防火墙的认证分为三种：

第一种：基于服务器的认证。

第二种：基于WEB的认证。

第三种：基于接口的认证。

下面我们来看看这三种认证如何来配置。

选择：“Policy>>Policies”进入这里我们看见有一条默认的策略，在这里我们就将就这条默认的策略，点击“Edit”来编辑它。

现在我的PC能够正常上网。

我们可以看见能够正常上网，那么我们现在来开始做一下这个策略来实现我们的认证，只有当我们认证通过以后，我们才能够访问外网，如果认证没有通过那是不能够上网的。上面我还没有做任何认证的。

编辑我们默认的策略，点击最下面的“Advanced（高级）”功能，进入我们的高级配置。

当我们进入“高级”页面来了以后，在“Authentication”这里：

第一步：将“Authentication”后面的复选框选中，表示启用“认证”功能。

第二步：在“Authentication”后面有三个选项，就表我们三种认证方式。我们现在先来看看第一种认证的方式“Auth Server”基于服务器的认证，在这里要注意的是，我们“Auth Server”下面要选择“Local”表示本地。而在后面的“User Group”后面选中“Local-auth”这个是我们刚才建立的那个组，我们在上面也可以看见。

设置好了以后，点击“OK”。我们来看看效果。

在这里我们可以看见在“Options”下面多了一个认证的图标。

那我们现在来打开一个网页看看还能够打开不呢？

看看当我一点刷新，就弹出来一个“User Authentication”认证的窗口。叫我们输入用户名密码，这个用户名密码就是我们最初建立的那个帐户，我们现在来试试看如果不输入看能够打开网页不呢？

从上图我们可以看见，如果我点击“取消”的话就提示我们没有认证。当我们刷新的时候又会出现认证的窗口，我们现在输入我们开始建立的用户名及密码，来进行认证看看。

当我们输入用户名及密码，点击“确定”以后，我们就能够打开这个网页了。

看看是不是打开了呢？是不是起到我们认证的一个作用了。

那么我们现在在防火墙上面来看那些用户通过了认证呢？

ns5gt-> get auth table   查看认证列表

Total users in table:     1

Successful:     1, Failed:     0

Pending   :     0, Others:     0

Infranet users :     0

Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy

id src             user       group    age status   server  T srczone  dstzone

1    192.168.1.33    test       auth     0   Success  Local   A Trust    Untrust    在这里我们可以看见这个IP已经通过认证了。

ns5gt->

那下面我们来看看如何将这个认证给清除呢？

ns5gt-> clear auth 清除认证列表

ns5gt-> get auth table     我们再来查看一下认证列表里面没有了。那么我们现在再来打开一个网站，看看需要认证不？

No users in table.

ns5gt->

我们看见并没有叫我们再一次进行认证，而在我们的认证表里面也会显示出来。

ns5gt-> get auth table

Total users in table:     1

Successful:     1, Failed:     0

Pending   :     0, Others:     0

Infranet users :     0

Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy

id src             user       group    age status   server  T srczone  dstzone

1    192.168.1.33    test       auth     0   Success  Local   A Trust    Untrust 我们看见这条只要我们要去访问外网，它就会自动加进来。表示认证通过。

ns5gt->

好了，这个基于服务的认证我们已经了解了，我们现在来看看基于WEB的认证又如何做呢？

WebAuth 是另一种认证方式，需要用户在流量被放行之前，通过浏览器访问一个特定、防火墙上用于认证的IP地址。与防火墙认证类似，一旦用户验证通过，匹配策略的所有流量将被允许。

还是进入我们的策略里面，编辑我们默认的那个策略，选择“高级”，进入“高级”页面。

这里我们就选择“WebAuth（Local）”然后“User Group”还是选择我们的用户组。这里设置好以后，点击“OK”。

下面我们进入“Network>>Interface”里面，选择我们的“trust”后面的“Edit”来编辑它，因为我们在做WebAuth认证的时候，我们需要提供一个IP地址来给用户进行认证，因为我这里的这款Juniper防火墙是比较低端的一个型号，所以不能编辑接口，这里就只能编辑“Trust”。

进入我们“trust”的“Edit”里面我们在下面看见一下“WebAuth”，把后面的复选框选中，后面输入一个IP地址，这里要注意，这个IP地址必须与该IP在同一个网段中，并且要是没有使用的IP地址。

WebAuth 地址设置于策略所在的源zone的接口上。地址必须与接口地址在同一网段。

看看当我们设置好了以后，打开网页我们来测试一下看看，这个网页是不是打不开了呢？

在这里也可以看见，就连我的QQ都已经掉线了。

当我们输入我们前面设置的那个用于WEB认证的那个IP地址以后，在中间提示我们输入用户名密码，在这里我们输入好用户名及密码以后，点击“Authenticate”会提示认证成功。

看见上面这页面的英文字母以后，就表示我们认证通过了。

看看当我们认证通过以后，我们能够打开任何网页的。

看看我们这种是不是方便多了呢？

下面我们来查看一下认证列表。看看下面192.168.1.34已经是认证成功了的。

ns5gt-> get auth table

Total users in table:     1

Successful:     1, Failed:     0

Pending   :     0, Others:     0

Infranet users :     0

Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy

id src             user       group    age status   server  T srczone  dstzone

1    192.168.1.34    test       auth     0   Success  Local   W N/A      N/A

ns5gt->

ns5gt-> clear auth table

当我使用“clear auth table”命令清除我们认证连接，我们再来看看能否正常使用呢？

我们可以看看，当我们清楚这个认证以后了呢？就不能打开我们的网页，这时候我们又必须重新进行认证。

这里我们再次进行认证成功。来看看能否正常使用。

看看正常了嘛！

我们来看看如何修改，当我们登录成功以后，显示的那个Banner如何修改呢？

在“Configuration>>Auth>>WebAuth”中的“WebAuth Banner Setting”设置。

我们将中间的字改成“WEB认证成功！”我们去登录一下看看我们登录成功以后的信息变了没有呢？

看看是不是变了！好了到此为止吧！下班了，回家了！

本文转自 ltyluck 51CTO博客，原文链接:http://blog.51cto.com/ltyluck/212023