防火墙接入方案(防火墙上网用户本地认证)

Hello~~~

现在是ICT项目分享时刻,这次给大家分享一个技术。

话说前些日子做了个项目,有着四十号人左右的公司,想要让员工上网的时候都需要拨号上网。

在公司上个网还不让上了??还要拨个号?? 当然,这并不是客户不让员工上网,而是出口带宽只有50M的专线,然后别看只有40人左右,里面好多人会私自接一个无线路由器,又使用手机连接进网络中,刷刷小视频之类的,人多了就特别影响办公效率。所以人家是想方便管理、合理利用带宽资源啦。

所以,要想办法啦,看了下,客户的设备(华为USG6308E)支持好多上网用户访问网络资源的认证方式,比如:内置Portal认证(可本地认证、可服务器认证)、自定义Portal认证,AD单点登录,TSM单点登录,RADIUS单点登录,短信认证等认证。

是不是有些朋友都不知道Portal认证是啥? 看到这些认证表示:

防火墙接入方案(防火墙上网用户本地认证)(1)

经过对比,感觉本地portal认证可能比较适合目前客户的需求,就不需要像现在一台台电脑挨着去配置地址(客户使用的是静态地址)。

简单描述一下,就是要上网的的用户会先跳转到一个认证页面,输入账号密码后,即可上网。是不是跟外面商场、汽车站、火车站等公共场合的很像。没错,就是一样的!当然,我们这次做的比较简单。

说了这么多,要不我们讲讲怎么做?

大致拓扑如下:

防火墙接入方案(防火墙上网用户本地认证)(2)

首先,当然是登录防火墙配置界面啦,以下是WEB界面的配置,总共分四个大体步骤来配置:

1、创建用户认证策略,配置匹配条件与认证动作。

新建认证策略,源安全区域是内网trust区域,目的是外网unstrust区域,源地址可指定内网需要做认证的网段,目的地址可为any,认证动作选择portal认证。

防火墙接入方案(防火墙上网用户本地认证)(3)

2、配置default认证域,将接入控制设置为“上网行为管理”。

防火墙接入方案(防火墙上网用户本地认证)(4)

3、添加用户配置登录名和密码;可添加单个用户,也可先添加用户组及批量添加用户。

防火墙接入方案(防火墙上网用户本地认证)(5)

防火墙接入方案(防火墙上网用户本地认证)(6)

防火墙接入方案(防火墙上网用户本地认证)(7)

4、配置安全策略,允许用户访问认证页面。

配置用户访问认证页面的安全策略:trust-local,配置各类策略以及审计等策略时,引用用户/用户组。服务栏要新建自定义服务,例如(TCP/8887)

防火墙接入方案(防火墙上网用户本地认证)(8)

以上配置做好,验证结果,用户联网使用浏览器访问网站,将会重新定向到认证页面,输入用户名密码通过认证后,就可访问外网网站啦。

用户访问非HTTP类业务,比如FTP服务器时,需要先主动访问防火墙接口地址加端口号,通过认证后即可访问。

在防火墙上对象-用户-在线用户,可以查看在线用户信息。

到这里,我们的上网用户本地认证就已经配置好了,是不是很简单呢?

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页