Juniper防火墙之图解用户认证

今天正好学习到Juniper防火墙中的用户认证,那么今天就带大家来看看Juniper防火墙的用户认证。

Juniper防火墙的用户分类:

1、Admin User:管理员用户

2、Auth User:认证用户

3、IKE User:IKE第一阶段用户的认证

4、XAuth User:IKE1.5阶段的用户的认证

5、L2TP User:用于L2TP用户的认证

6、802.1X:用于做802.1x认证的。

Juniper防火墙的用户就分以上五种。每一种用户都是各自的用图,Admin User不能用来做Auth User的用户认证。不像cisco的用户那样,一个用户可以用于多种业务。

Juniper用户认证分为两种:

一种是基于防火墙的认证,另一种就是基于WEB的认证

这里我们今天就只介绍Auth User:认证用户的使用方法。

防火墙认证需要流量匹配策略以触发登陆会话:策略必须允许 Telnet, FTP, 或 HTTP。

一旦认证通过,匹配策略的所有流量将会通过

Juniper防火墙之图解用户认证

你可以认为防火墙认证是一种在线认证。用户必须产生与认证策略匹配的Web会话,Telnet 会话,或FTP会话。那时,用户被提示输入用户名/密码。一旦认证通过,所有被此策略允许的流量将会允许通过。

如果用户未进行认证,既使匹配策略,流量也不会被允许通过。比如,你的认证策略允许PING,一个未认证的用户尝试ping,既使地址和服务匹配,未发生认证过程,所以流量将被丢弃。这个用户接着用WEB浏览器会话通过防火墙,认证,接着进行 ping。这时,ping 将被允许。

点击“Objects>>Users>>Local”右上角的“New”按钮,来清加一个新的用户。

Juniper防火墙之图解用户认证

第一步:User Name输入用户名。

第二步:User Password:输入密码。Confirm Password:输入确认密码。

第三步:Authentication User:选中我们这个帐户的类型。因为我们这里要讲的是认证,所以我们要选择认证用户。

第四步:输入好了以后点击“OK”。

Juniper防火墙之图解用户认证

当我们点击“OK”以后就会自动的返回到这个地方,而且会显示出我们刚才建立的那个用户名。我上面的那个cisco是我以前建立的。在Type那里我们可以看看见类型是“Auth”的。

我们现在进入“Objects>>Users>>Local Groups”在这里面点击右上解的“New”我们来建立一个组,将我们的用户加入到这个组里面,以便我们等一会后面调用。

Juniper防火墙之图解用户认证

第一步:在“Group Name”后面填入组的名称。

第二步:右“Available Members”里面选中我们要加入到该组的中的用户。如我们里的“test”

第三步:在“Available Members”中选中以后,点击中间的“<<”这个按钮,我们可以看到这个用户就已经加入到“Group Members”中去了。

第四步:加入到“Group Members”以后,点击“OK”就可以了。

Juniper防火墙之图解用户认证

我们可以看见,上图就是我们建立好的组,在“Group Name”下面就是组的名称,“Group type”就是我们组的类型,“Members”下面是我们当前这咱组里面包含的用户。

现在我们用户及组都已经做好了。那么我们现在来看看如何来做后面的呢?

Juniper防火墙的认证分为三种:

第一种:基于服务器的认证。

第二种:基于WEB的认证。

第三种:基于接口的认证。

下面我们来看看这三种认证如何来配置。

选择:“Policy>>Policies”进入这里我们看见有一条默认的策略,在这里我们就将就这条默认的策略,点击“Edit”来编辑它。

Juniper防火墙之图解用户认证

现在我的PC能够正常上网。

Juniper防火墙之图解用户认证

我们可以看见能够正常上网,那么我们现在来开始做一下这个策略来实现我们的认证,只有当我们认证通过以后,我们才能够访问外网,如果认证没有通过那是不能够上网的。上面我还没有做任何认证的。

Juniper防火墙之图解用户认证

编辑我们默认的策略,点击最下面的“Advanced(高级)”功能,进入我们的高级配置。

Juniper防火墙之图解用户认证

当我们进入“高级”页面来了以后,在“Authentication”这里:

第一步:将“Authentication”后面的复选框选中,表示启用“认证”功能。

第二步:在“Authentication”后面有三个选项,就表我们三种认证方式。我们现在先来看看第一种认证的方式“Auth Server”基于服务器的认证,在这里要注意的是,我们“Auth Server”下面要选择“Local”表示本地。而在后面的“User Group”后面选中“Local-auth”这个是我们刚才建立的那个组,我们在上面也可以看见。

设置好了以后,点击“OK”。我们来看看效果。

Juniper防火墙之图解用户认证

在这里我们可以看见在“Options”下面多了一个认证的图标。

那我们现在来打开一个网页看看还能够打开不呢?

Juniper防火墙之图解用户认证

看看当我一点刷新,就弹出来一个“User Authentication”认证的窗口。叫我们输入用户名密码,这个用户名密码就是我们最初建立的那个帐户,我们现在来试试看如果不输入看能够打开网页不呢?

Juniper防火墙之图解用户认证

从上图我们可以看见,如果我点击“取消”的话就提示我们没有认证。当我们刷新的时候又会出现认证的窗口,我们现在输入我们开始建立的用户名及密码,来进行认证看看。

Juniper防火墙之图解用户认证

当我们输入用户名及密码,点击“确定”以后,我们就能够打开这个网页了。

Juniper防火墙之图解用户认证

看看是不是打开了呢?是不是起到我们认证的一个作用了。

那么我们现在在防火墙上面来看那些用户通过了认证呢?

ns5gt-> get auth table   查看认证列表

Total users in table:     1

Successful:     1, Failed:     0

Pending   :     0, Others:     0

Infranet users :     0

Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy

id src             user       group    age status   server  T srczone  dstzone

1    192.168.1.33    test       auth     0   Success  Local   A Trust    Untrust    在这里我们可以看见这个IP已经通过认证了。

ns5gt->

那下面我们来看看如何将这个认证给清除呢?

ns5gt-> clear auth 清除认证列表

ns5gt-> get auth table     我们再来查看一下认证列表里面没有了。那么我们现在再来打开一个网站,看看需要认证不?

No users in table.

ns5gt->

Juniper防火墙之图解用户认证

我们看见并没有叫我们再一次进行认证,而在我们的认证表里面也会显示出来。

ns5gt-> get auth table

Total users in table:     1

Successful:     1, Failed:     0

Pending   :     0, Others:     0

Infranet users :     0

Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy

id src             user       group    age status   server  T srczone  dstzone

1    192.168.1.33    test       auth     0   Success  Local   A Trust    Untrust 我们看见这条只要我们要去访问外网,它就会自动加进来。表示认证通过。

ns5gt->

好了,这个基于服务的认证我们已经了解了,我们现在来看看基于WEB的认证又如何做呢?

Juniper防火墙之图解用户认证

WebAuth 是另一种认证方式,需要用户在流量被放行之前,通过浏览器访问一个特定、防火墙上用于认证的IP地址。与防火墙认证类似,一旦用户验证通过,匹配策略的所有流量将被允许。

还是进入我们的策略里面,编辑我们默认的那个策略,选择“高级”,进入“高级”页面。

Juniper防火墙之图解用户认证

这里我们就选择“WebAuth(Local)”然后“User Group”还是选择我们的用户组。这里设置好以后,点击“OK”。

下面我们进入“Network>>Interface”里面,选择我们的“trust”后面的“Edit”来编辑它,因为我们在做WebAuth认证的时候,我们需要提供一个IP地址来给用户进行认证,因为我这里的这款Juniper防火墙是比较低端的一个型号,所以不能编辑接口,这里就只能编辑“Trust”。

Juniper防火墙之图解用户认证

Juniper防火墙之图解用户认证

进入我们“trust”的“Edit”里面我们在下面看见一下“WebAuth”,把后面的复选框选中,后面输入一个IP地址,这里要注意,这个IP地址必须与该IP在同一个网段中,并且要是没有使用的IP地址。

WebAuth 地址设置于策略所在的源zone的接口上。地址必须与接口地址在同一网段。

Juniper防火墙之图解用户认证

看看当我们设置好了以后,打开网页我们来测试一下看看,这个网页是不是打不开了呢?

在这里也可以看见,就连我的QQ都已经掉线了。

Juniper防火墙之图解用户认证

当我们输入我们前面设置的那个用于WEB认证的那个IP地址以后,在中间提示我们输入用户名密码,在这里我们输入好用户名及密码以后,点击“Authenticate”会提示认证成功。

Juniper防火墙之图解用户认证

看见上面这页面的英文字母以后,就表示我们认证通过了。

Juniper防火墙之图解用户认证

看看当我们认证通过以后,我们能够打开任何网页的。

看看我们这种是不是方便多了呢?

下面我们来查看一下认证列表。看看下面192.168.1.34已经是认证成功了的。

ns5gt-> get auth table

Total users in table:     1

Successful:     1, Failed:     0

Pending   :     0, Others:     0

Infranet users :     0

Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy

id src             user       group    age status   server  T srczone  dstzone

1    192.168.1.34    test       auth     0   Success  Local   W N/A      N/A

ns5gt->

ns5gt-> clear auth table

当我使用“clear auth table”命令清除我们认证连接,我们再来看看能否正常使用呢?

Juniper防火墙之图解用户认证

我们可以看看,当我们清楚这个认证以后了呢?就不能打开我们的网页,这时候我们又必须重新进行认证。

Juniper防火墙之图解用户认证

这里我们再次进行认证成功。来看看能否正常使用。

Juniper防火墙之图解用户认证

看看正常了嘛!

我们来看看如何修改,当我们登录成功以后,显示的那个Banner如何修改呢?

在“Configuration>>Auth>>WebAuth”中的“WebAuth Banner Setting”设置。

Juniper防火墙之图解用户认证

我们将中间的字改成“WEB认证成功!”我们去登录一下看看我们登录成功以后的信息变了没有呢?

Juniper防火墙之图解用户认证

看看是不是变了!好了到此为止吧!下班了,回家了!

本文转自 ltyluck 51CTO博客,原文链接:http://blog.51cto.com/ltyluck/212023

上一篇:Linux中防火墙了解
下一篇:Centos7系列(四)防火墙永久区域与富规则