Juniper防火墙之图解用户认证
生活随笔
收集整理的這篇文章主要介紹了
Juniper防火墙之图解用户认证
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
今天正好學習到Juniper防火墻中的用戶認證,那么今天就帶大家來看看Juniper防火墻的用戶認證。 Juniper防火墻的用戶分類: 1、Admin User:管理員用戶 2、Auth User:認證用戶 3、IKE User:IKE第一階段用戶的認證 4、XAuth User:IKE1.5階段的用戶的認證 5、L2TP User:用于L2TP用戶的認證 6、802.1X:用于做802.1x認證的。 Juniper防火墻的用戶就分以上五種。每一種用戶都是各自的用圖,Admin User不能用來做Auth User的用戶認證。不像cisco的用戶那樣,一個用戶可以用于多種業務。 Juniper用戶認證分為兩種: 一種是基于防火墻的認證,另一種就是基于WEB的認證 這里我們今天就只介紹Auth User:認證用戶的使用方法。 防火墻認證需要流量匹配策略以觸發登陸會話:策略必須允許 Telnet, FTP, 或 HTTP。 一旦認證通過,匹配策略的所有流量將會通過 你可以認為防火墻認證是一種在線認證。用戶必須產生與認證策略匹配的Web會話,Telnet 會話,或FTP會話。那時,用戶被提示輸入用戶名/密碼。一旦認證通過,所有被此策略允許的流量將會允許通過。 如果用戶未進行認證,既使匹配策略,流量也不會被允許通過。比如,你的認證策略允許PING,一個未認證的用戶嘗試ping,既使地址和服務匹配,未發生認證過程,所以流量將被丟棄。這個用戶接著用WEB瀏覽器會話通過防火墻,認證,接著進行 ping。這時,ping 將被允許。 點擊“Objects>>Users>>Local”右上角的“New”按鈕,來清加一個新的用戶。 第一步:User Name輸入用戶名。 第二步:User Password:輸入密碼。Confirm Password:輸入確認密碼。 第三步:Authentication User:選中我們這個帳戶的類型。因為我們這里要講的是認證,所以我們要選擇認證用戶。 第四步:輸入好了以后點擊“OK”。 當我們點擊“OK”以后就會自動的返回到這個地方,而且會顯示出我們剛才建立的那個用戶名。我上面的那個cisco是我以前建立的。在Type那里我們可以看看見類型是“Auth”的。 我們現在進入“Objects>>Users>>Local Groups”在這里面點擊右上解的“New”我們來建立一個組,將我們的用戶加入到這個組里面,以便我們等一會后面調用。 第一步:在“Group Name”后面填入組的名稱。 第二步:右“Available Members”里面選中我們要加入到該組的中的用戶。如我們里的“test” 第三步:在“Available Members”中選中以后,點擊中間的“<<”這個按鈕,我們可以看到這個用戶就已經加入到“Group Members”中去了。 第四步:加入到“Group Members”以后,點擊“OK”就可以了。 我們可以看見,上圖就是我們建立好的組,在“Group Name”下面就是組的名稱,“Group type”就是我們組的類型,“Members”下面是我們當前這咱組里面包含的用戶。 現在我們用戶及組都已經做好了。那么我們現在來看看如何來做后面的呢? Juniper防火墻的認證分為三種: 第一種:基于服務器的認證。 第二種:基于WEB的認證。 第三種:基于接口的認證。 下面我們來看看這三種認證如何來配置。 選擇:“Policy>>Policies”進入這里我們看見有一條默認的策略,在這里我們就將就這條默認的策略,點擊“Edit”來編輯它。 現在我的PC能夠正常上網。 我們可以看見能夠正常上網,那么我們現在來開始做一下這個策略來實現我們的認證,只有當我們認證通過以后,我們才能夠訪問外網,如果認證沒有通過那是不能夠上網的。上面我還沒有做任何認證的。 編輯我們默認的策略,點擊最下面的“Advanced(高級)”功能,進入我們的高級配置。 當我們進入“高級”頁面來了以后,在“Authentication”這里: 第一步:將“Authentication”后面的復選框選中,表示啟用“認證”功能。 第二步:在“Authentication”后面有三個選項,就表我們三種認證方式。我們現在先來看看第一種認證的方式“Auth Server”基于服務器的認證,在這里要注意的是,我們“Auth Server”下面要選擇“Local”表示本地。而在后面的“User Group”后面選中“Local-auth”這個是我們剛才建立的那個組,我們在上面也可以看見。 設置好了以后,點擊“OK”。我們來看看效果。 在這里我們可以看見在“Options”下面多了一個認證的圖標。 那我們現在來打開一個網頁看看還能夠打開不呢? 看看當我一點刷新,就彈出來一個“User Authentication”認證的窗口。叫我們輸入用戶名密碼,這個用戶名密碼就是我們最初建立的那個帳戶,我們現在來試試看如果不輸入看能夠打開網頁不呢? 從上圖我們可以看見,如果我點擊“取消”的話就提示我們沒有認證。當我們刷新的時候又會出現認證的窗口,我們現在輸入我們開始建立的用戶名及密碼,來進行認證看看。 當我們輸入用戶名及密碼,點擊“確定”以后,我們就能夠打開這個網頁了。 看看是不是打開了呢?是不是起到我們認證的一個作用了。 那么我們現在在防火墻上面來看那些用戶通過了認證呢? ns5gt->?get auth table???查看認證列表?
Total users in table:???? 1?
? Successful:???? 1, Failed:???? 0?
? Pending?? :???? 0, Others:???? 0?
? Infranet users :???? 0?
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy?
? id src???????????? user?????? group??? age status?? server? T srczone? dstzone?
1??? 192.168.1.33??? test?????? auth???? 0?? Success? Local?? A Trust??? Untrust????在這里我們可以看見這個IP已經通過認證了。?
ns5gt-> 那下面我們來看看如何將這個認證給清除呢? ns5gt->?clear auth?清除認證列表?
ns5gt->?get auth table?????我們再來查看一下認證列表里面沒有了。那么我們現在再來打開一個網站,看看需要認證不??
No users in table.?
ns5gt-> 我們看見并沒有叫我們再一次進行認證,而在我們的認證表里面也會顯示出來。 ns5gt->?get auth table?
Total users in table:???? 1?
? Successful:???? 1, Failed:???? 0?
? Pending?? :???? 0, Others:???? 0?
? Infranet users :???? 0?
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy?
? id src???????????? user?????? group??? age status?? server? T srczone? dstzone?
1??? 192.168.1.33??? test?????? auth???? 0?? Success? Local?? A Trust??? Untrust?我們看見這條只要我們要去訪問外網,它就會自動加進來。表示認證通過。?
ns5gt-> 好了,這個基于服務的認證我們已經了解了,我們現在來看看基于WEB的認證又如何做呢? WebAuth 是另一種認證方式,需要用戶在流量被放行之前,通過瀏覽器訪問一個特定、防火墻上用于認證的IP地址。與防火墻認證類似,一旦用戶驗證通過,匹配策略的所有流量將被允許。 還是進入我們的策略里面,編輯我們默認的那個策略,選擇“高級”,進入“高級”頁面。 這里我們就選擇“WebAuth(Local)”然后“User Group”還是選擇我們的用戶組。這里設置好以后,點擊“OK”。 下面我們進入“Network>>Interface”里面,選擇我們的“trust”后面的“Edit”來編輯它,因為我們在做WebAuth認證的時候,我們需要提供一個IP地址來給用戶進行認證,因為我這里的這款Juniper防火墻是比較低端的一個型號,所以不能編輯接口,這里就只能編輯“Trust”。 進入我們“trust”的“Edit”里面我們在下面看見一下“WebAuth”,把后面的復選框選中,后面輸入一個IP地址,這里要注意,這個IP地址必須與該IP在同一個網段中,并且要是沒有使用的IP地址。 WebAuth 地址設置于策略所在的源zone的接口上。地址必須與接口地址在同一網段。 看看當我們設置好了以后,打開網頁我們來測試一下看看,這個網頁是不是打不開了呢? 在這里也可以看見,就連我的QQ都已經掉線了。 當我們輸入我們前面設置的那個用于WEB認證的那個IP地址以后,在中間提示我們輸入用戶名密碼,在這里我們輸入好用戶名及密碼以后,點擊“Authenticate”會提示認證成功。 看見上面這頁面的英文字母以后,就表示我們認證通過了。 看看當我們認證通過以后,我們能夠打開任何網頁的。 看看我們這種是不是方便多了呢? 下面我們來查看一下認證列表。看看下面192.168.1.34已經是認證成功了的。 ns5gt->?get auth table?
Total users in table:???? 1?
? Successful:???? 1, Failed:???? 0?
? Pending?? :???? 0, Others:???? 0?
? Infranet users :???? 0?
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy?
? id src???????????? user?????? group??? age status?? server? T srczone? dstzone?
1??? 192.168.1.34??? test?????? auth???? 0?? Success? Local?? W N/A????? N/A?
ns5gt->?
ns5gt->?clear auth table 當我使用“clear auth table”命令清除我們認證連接,我們再來看看能否正常使用呢? 我們可以看看,當我們清楚這個認證以后了呢?就不能打開我們的網頁,這時候我們又必須重新進行認證。 這里我們再次進行認證成功。來看看能否正常使用。 看看正常了嘛! 我們來看看如何修改,當我們登錄成功以后,顯示的那個Banner如何修改呢? 在“Configuration>>Auth>>WebAuth”中的“WebAuth Banner Setting”設置。 我們將中間的字改成“WEB認證成功!”我們去登錄一下看看我們登錄成功以后的信息變了沒有呢? 看看是不是變了!好了到此為止吧!下班了,回家了!
本文轉自 ltyluck 51CTO博客,原文鏈接:http://blog.51cto.com/ltyluck/212023
Total users in table:???? 1?
? Successful:???? 1, Failed:???? 0?
? Pending?? :???? 0, Others:???? 0?
? Infranet users :???? 0?
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy?
? id src???????????? user?????? group??? age status?? server? T srczone? dstzone?
1??? 192.168.1.33??? test?????? auth???? 0?? Success? Local?? A Trust??? Untrust????在這里我們可以看見這個IP已經通過認證了。?
ns5gt-> 那下面我們來看看如何將這個認證給清除呢? ns5gt->?clear auth?清除認證列表?
ns5gt->?get auth table?????我們再來查看一下認證列表里面沒有了。那么我們現在再來打開一個網站,看看需要認證不??
No users in table.?
ns5gt-> 我們看見并沒有叫我們再一次進行認證,而在我們的認證表里面也會顯示出來。 ns5gt->?get auth table?
Total users in table:???? 1?
? Successful:???? 1, Failed:???? 0?
? Pending?? :???? 0, Others:???? 0?
? Infranet users :???? 0?
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy?
? id src???????????? user?????? group??? age status?? server? T srczone? dstzone?
1??? 192.168.1.33??? test?????? auth???? 0?? Success? Local?? A Trust??? Untrust?我們看見這條只要我們要去訪問外網,它就會自動加進來。表示認證通過。?
ns5gt-> 好了,這個基于服務的認證我們已經了解了,我們現在來看看基于WEB的認證又如何做呢? WebAuth 是另一種認證方式,需要用戶在流量被放行之前,通過瀏覽器訪問一個特定、防火墻上用于認證的IP地址。與防火墻認證類似,一旦用戶驗證通過,匹配策略的所有流量將被允許。 還是進入我們的策略里面,編輯我們默認的那個策略,選擇“高級”,進入“高級”頁面。 這里我們就選擇“WebAuth(Local)”然后“User Group”還是選擇我們的用戶組。這里設置好以后,點擊“OK”。 下面我們進入“Network>>Interface”里面,選擇我們的“trust”后面的“Edit”來編輯它,因為我們在做WebAuth認證的時候,我們需要提供一個IP地址來給用戶進行認證,因為我這里的這款Juniper防火墻是比較低端的一個型號,所以不能編輯接口,這里就只能編輯“Trust”。 進入我們“trust”的“Edit”里面我們在下面看見一下“WebAuth”,把后面的復選框選中,后面輸入一個IP地址,這里要注意,這個IP地址必須與該IP在同一個網段中,并且要是沒有使用的IP地址。 WebAuth 地址設置于策略所在的源zone的接口上。地址必須與接口地址在同一網段。 看看當我們設置好了以后,打開網頁我們來測試一下看看,這個網頁是不是打不開了呢? 在這里也可以看見,就連我的QQ都已經掉線了。 當我們輸入我們前面設置的那個用于WEB認證的那個IP地址以后,在中間提示我們輸入用戶名密碼,在這里我們輸入好用戶名及密碼以后,點擊“Authenticate”會提示認證成功。 看見上面這頁面的英文字母以后,就表示我們認證通過了。 看看當我們認證通過以后,我們能夠打開任何網頁的。 看看我們這種是不是方便多了呢? 下面我們來查看一下認證列表。看看下面192.168.1.34已經是認證成功了的。 ns5gt->?get auth table?
Total users in table:???? 1?
? Successful:???? 1, Failed:???? 0?
? Pending?? :???? 0, Others:???? 0?
? Infranet users :???? 0?
Col T: D = Default, W = WebAuth, I = Infranet, A = Auth server in policy?
? id src???????????? user?????? group??? age status?? server? T srczone? dstzone?
1??? 192.168.1.34??? test?????? auth???? 0?? Success? Local?? W N/A????? N/A?
ns5gt->?
ns5gt->?clear auth table 當我使用“clear auth table”命令清除我們認證連接,我們再來看看能否正常使用呢? 我們可以看看,當我們清楚這個認證以后了呢?就不能打開我們的網頁,這時候我們又必須重新進行認證。 這里我們再次進行認證成功。來看看能否正常使用。 看看正常了嘛! 我們來看看如何修改,當我們登錄成功以后,顯示的那個Banner如何修改呢? 在“Configuration>>Auth>>WebAuth”中的“WebAuth Banner Setting”設置。 我們將中間的字改成“WEB認證成功!”我們去登錄一下看看我們登錄成功以后的信息變了沒有呢? 看看是不是變了!好了到此為止吧!下班了,回家了!
本文轉自 ltyluck 51CTO博客,原文鏈接:http://blog.51cto.com/ltyluck/212023
總結
以上是生活随笔為你收集整理的Juniper防火墙之图解用户认证的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: uniapp城市列表_uni-app:
- 下一篇: vsphere5.0环境中win2000