防火墙用户管理实验详解

创作时间:

作者:

@小白创作中心

防火墙用户管理实验详解

引用

CSDN

https://blog.csdn.net/Limit_23/article/details/140733709

防火墙用户管理是网络安全中的重要环节，通过合理的用户认证和权限管理，可以有效保障网络的安全性和可用性。本文将通过一个具体的实验案例，详细介绍防火墙用户管理的配置过程。

实验环境

本次实验使用华为eNSP模拟器，实验拓扑如下：

实验内容

1. 配置基本网络参数

首先需要在防火墙上配置接口IP地址和安全区域，以确保网络的基本连通性和安全分区。

# 配置FW的接口IP地址
<FW> system-view
[FW] interface g1/0/2
[FW-GigabitEthernet1/0/2] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/2] quit
[FW] interface g1/0/1
[FW-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/1] quit
[FW] interface g1/0/0
[FW-GigabitEthernet1/0/0] ip address 10.3.0.1 24
[FW-GigabitEthernet1/0/0] quit

# 配置FW的安全区域
[FW] firewall zone untrust
[FW-zone-untrust] add interface g1/0/2
[FW-zone-untrust] quit
[FW] firewall zone dmz
[FW-zone-dmz] add interface g1/0/1
[FW-zone-dmz] quit
[FW] firewall zone trust
[FW-zone-trust] add interface g1/0/0
[FW-zone-trust] quit

2. 创建用户组和用户

根据部门需求，创建相应的用户组和用户，并设置密码和其他相关属性。

# 创建研发部对应的用户组和用户
[FW] user-manage group /default/research
[FW-usergroup-/default/research] quit
[FW] user-manage user user_01
[FW-localuser-user_0001] alias Su
[FW-localuser-user_0001] parent-group /default/research
[FW-localuser-user_0001] password Admin@123
[FW-localuser-user_0001] undo multi-ip online enable
[FW-localuser-user_0001] quit

# 创建市场部员工对应的用户组和用户
[FW] user-manage group /default/marketing
[FW-usergroup-/default/marketing] quit
[FW] user-manage user user_0002
[FW-localuser-user_0002] alias Jack
[FW-localuser-user_0002] parent-group /default/marketing
[FW-localuser-user_0002] password Admin@123
[FW-localuser-user_0002] undo multi-ip online enable
[FW-localuser-user_0002] quit

# 创建来访客户对应的用户组和用户
[FW] user-manage user guest
[FW-localuser-user_guest] parent-group /default
[FW-localuser-user_guest] password Admin@123
[FW-localuser-user_guest] quit

3. 配置用户重定向

配置用户认证通过后，浏览器的界面会自动跳转到先前访问的Web页面。

[FW] user-manage redirect

4. 配置认证策略

配置Portal认证策略，实现对来自信任区的用户进行认证。

# 配置Portal认证策略
[FW] auth-policy
[FW-policy-auth] rule name policy_auth_01
[FW-policy-auth-rule-policy_auth_01] source-zone trust
[FW-policy-auth-rule-policy_auth_01] source-address 10.3.0.0 24
[FW-policy-auth-rule-policy_auth_01] action auth
[FW-policy-auth-rule-policy_auth_01] quit
[FW-policy-auth] quit

5. 配置认证域

使用默认认证域并配置为上网行为管理，确保了对上网用户的策略控制。

[FW] aaa
[FW-aaa] domain default
[FW-aaa-domain-default] service-type internetaccess
[FW-aaa-domain-default] quit
[FW-aaa] quit

6. 配置安全策略

配置安全策略放行上网用户访问认证页面、DMZ区域及Internet的流量。

# 配置允许用户访问认证页面的安全策略
[FW] security-policy
[FW-policy-security] rule name policy_sec_01
[FW-policy-security-rule-policy_sec_01] source-zone trust
[FW-policy-security-rule-policy_sec_01] destination-zone local
[FW-policy-security-rule-policy_sec_01] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_01] service protocol tcp destination-port 8887
[FW-policy-security-rule-policy_sec_01] action permit
[FW-policy-security-rule-policy_sec_01] quit

# 配置允许用户访问外网的安全策略
[FW-policy-security] rule name policy_sec_02
[FW-policy-security-rule-policy_sec_02] source-zone trust
[FW-policy-security-rule-policy_sec_02] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_02] destination-zone untrust
[FW-policy-security-rule-policy_sec_02] action permit
[FW-policy-security-rule-policy_sec_02] quit

# 配置允许用户访问服务器区的安全策略
[FW-policy-security] rule name policy_sec_03
[FW-policy-security-rule-policy_sec_03] source-zone trust
[FW-policy-security-rule-policy_sec_03] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_03] destination-zone dmz
[FW-policy-security-rule-policy_sec_03] action permit
[FW-policy-security-rule-policy_sec_03] quit
[FW-policy-security] quit

7. 验证和调试

通过端口映射，将Cloud的Eth 0/0/2端口和虚拟网卡VMware Network Adapter VMnet8绑定，设置相应网段的IP地址，实现通信。使用Google浏览器输入https://10.3.0.1:8887/打开认证页面，输入用户名user_01，密码Admin@123进行认证。