【强叔侃墙第二季】19 IP渐欲迷人眼,认证方能辨真身---外部Portal认证

digest [复制链接]
发表于 : 2016-5-30 11:54:30 最新回复:2019-08-19 13:40:06
6465 6
强叔侃墙
强叔侃墙 官方号

关键字:外部Portal认证、Controller

上一回说到了NGFW通过“https://接口IP地址:8887”提供了内置Portal认证页面,然后NGFW通过本地认证、服务器认证方式认证用户。有的同学可能问了,那NGFW支持与外部Portal服务器联动吗?No problem NGFW支持自定义Portal页面地址,这个地址可以是本地页面地址,也可以是外部Portal服务器地址。当然使用外部Portal服务器的前提是,NGFW可以与Portal服务器正常联动、进行过配套开发,目前最常用的Portal服务器就是华为公司的Agile Controller

NGFWAgile Controller的联动过程如下:

574bb9b68cae9.png

NGFW主要起到将用户业务访问重定向到Controller 的作用,具体认证过程在Controller完成,NGFW被动获取用户上线消息。用户上线后,NGFW可以对用户进行策略控制。

用户下线也同理,Controller通知NGFW用户下线。

574bb9d86839c.png

Controller通过Portal服务器的1820端口向NGFW8001端口发送用户上下线消息,传输协议是UDP,数据通过AES1283DES算法加密。

574bb9ecefd68.png

熟悉华为交换机、AC等设备的同学可能已经发现了,NGFW的外部Portal认证过程与这些设备的认证过程不同,更简单一些。对于交换机或ACPortal服务器转发认证请求至交换机或AC,然后由交换机或ACControllerRADIUS服务器组件发起RADIUS认证请求,而防火墙没有这个过程,认证直接由Controller完成。

下边强叔将根据如下组网,结合配置帮助大家进一步理解基于Controller的外部Portal认证:

574bba12e2f57.png
1、??
重定向至Portal服务器

1)?? 创建Portal认证模板,配置Portal认证页面地址为Controller服务器的Portal页面地址。

user-manage portal-template controller

? portal-url http://10.2.2.1:8080/portal

2)?? 配置认证策略,引用Portal认证模板。用户访问HTTP业务时将被NGFW重定向至Controller服务器的Portal页面。

auth-policy

rule name test

? source-address 192.168.0.2 32

? action auth portal-template controller

3)?? 配置安全策略,具体命令略。

IP地址

源端口

目的IP地址

目的端口

协议

作用

192.168.0.2

Any

10.2.2.1

80808445(访问8080后自动跳转8445

TCP

允许用户访问Controller服务器的Portal页面。

192.168.0.2

Any

Any

53

DNS

允许解析域名的DNS报文通过,否则用户无法发起HTTP连接。

?

2、?? Controller将用户上线消息发送给NGFW

1)?? Controller上添加NGFW作为上网行为管理设备。

574bb964252c9.png

8001端口是NGFW接收用户上线消息的缺省端口。

2)?? NGFW上添加ControllerTSM服务器)。

tsm-server template controller

tsm-server ip-address 10.2.2.1

tsm-server port 8084

tsm-server encryption-mode aes128 shared-key Admin@123456432

加密模式及密钥必须与Controller上配置保持一致。

其中,8084端口用于NGFW导入Controller的用户数据时,Controller接收导入请求的端口。

3)?? NGFW上配置单点登录参数,以接收Controller的用户上线消息。

user-manage single-sign-on tsm port 8001(缺省就是UDP 8001端口)

user-manage single-sign-on tsm enable

如果修改NGFW的端口,注意Controller上同步修改上网行为管理设备的端口。

4)?? 配置安全策略,具体命令略。

IP地址

源端口

目的IP地址

目的端口

协议

作用

10.2.2.1

Any

10.2.2.2

8001

UDP

允许ControllerNGFW发送用户上线消息。

?

3、?? Controller的部门信息导入NGFW,以进行权限控制。

1)?? 配置导入策略,这里假设将Controller的部门guest导入NGFW

user-manage import-policy controller_import from tsm

?server template controller

?server basedn root\guest

destination-group /default

import-type group?????????

?time-interval 120

这里import-type设置为group,也就是只导入Controller上的部门信息。另外注意NGFW

支持将Controller的用户导入到default域。

2)? 配置安全策略,具体命令略。

IP地址

源端口

目的IP地址

目的端口

协议

作用

10.2.2.2

Any

10.2.2.1

8084

TCP

允许NGFW连接Controller导入用户组。

3)? 手动执行导入策略,然后执行display命令查看到部门guest已经导入NGFW

execute user-manage import-policy controller_import

display user-manage group

Group Name??? ???????Vsys

---------------------------------------------

/default/guest???? ?root

4、?? 配置default认证域的新用户选项

上一步中只导入了用户组,用户并不在NGFW上存储,因此每个上线用户对于NGFW来说都是新用户。配置新用户时选择“仅作为临时用户,不添加到本地用户列表中”,并指定导入策略,使用户在NGFW上与Controller对应的所属组上线。这样后续在NGFW上基于用户组配置安全策略控制用户权限。

aaa

domain default??

??service-type internet-access

??new-user add-temporary group /default auto-import controller_import

配置完成后,用户上网时将被重定向至ControllerPortal页面。

574bb9644a22c.png

用户输入密码后用户在NGFWguest用户组同步上线。

<NGFW> display user-manage online-user verbose???????????????????????????????

Current Total Number: 1???????????????????????????????????????????????????????

-----------------------------------------------------------------

?IP Address: 192.168.0.2?????????????????????????????????????????????????????????

?Login Time: 2016-05-18 11:19? Online Time: 00:01:27????????????????????????

?State: Active? TTL: 00:30:00? Left Time: 00:28:33?????????????????????????????

?Access Type: local????????????????????????????????????????????????????????????

?Authentication Mode: Single Sign-on???????????????????????????????????????????

?Access Device Type: unknown???????????????????????????????????????????????????

?<--packets: 0 bytes: 0 ?-->packets: 0 bytes: 0????????????????????????????????

User Name: test-account? Parent User Group: /default/guest?????????????????

-----------------------------------------------------------------

用户在NGFW上线后如果在用户老化时间范围内(缺省30分钟)没有流量,NGFW将使用户下线,因此需要执行user-manage online-user aging-time命令将老化时间设置的长一些,避免用户在Controller下线前就在NGFW先下线了。

至此NGFWController配合完成外部Portal认证的基本过程介绍完了,下边还有一些更深入的点强叔再交代一下。

认证成功后显示的页面:

这是由Controller上的配置决定的,可以配置为三种方式:

l? 不跳转:停留在用户认证成功提示页面。

l? 跳转到指定地址:输入固定的URL地址。

l? 继续访问原页面:继续访问重定向认证前访问的页面。

其中最后一种需要NGFW将用户访问的原始页面地址传递给Controller,过程如下。

1、? 用户向网站发起HTTP GET请求。

2、? NGFW拦截此请求,在响应消息中向客户端发送一个HTML实体,实体中包含ControllerPortal认证页面地址,以及其他参数。如下图所示红框中的url字段就是用户访问的原始页面地址。

574bb964653f6.png

3、? 用户访问Portal认证页面,地址就是红框中的地址。

4、? Controllerurl字段中提取用户认证前访问的页面,用户认证成功后继续访问这个页面,简化用户操作。

HTTPS支持重定向吗?

缺省情况下,NGFW只对80端口的HTTP访问进行重定向认证,不对HTTPS访问进行重定向认证,即不认证就可以访问HTTPS443端口)业务。可以通过如下命令在Portal认证模板中启用对HTTPS访问的重定向。

user-manage portal-template test

https enable???????????????????????????????

需要说明的是该命令仅在自定义Portal认证模板中生效,对于内置Portal认证,所有匹配认证策略的流量都必须经过认证才能通过NGFW

?

外部Portal认证是NGFW很常用的功能,商业Wi-Fi中用户连接Wi-Fi时向用户推送各类Portal也属于Portal认证的范畴,NGFW在其中的作用类似,只是触发重定向的用户操作可能不同。

?

【返回汇总贴】

本帖最后由 强叔侃墙 于 2016-05-18 11:19 编辑

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
一粟IEer
一粟IEer   发表于 2016-6-2 14:36:42 已赞(0) 赞(0)

终于把《强叔侃墙》的所有帖子都看完了,收获多多。
  • x
  • 常规:

点评 回复

water
water  精英 发表于 2016-6-2 18:29:16 已赞(0) 赞(0)

回复 3 楼

多谢支持,还希望有什么样的文档多提建议哈
  • x
  • 常规:

点评 回复

撒么
撒么  导师 发表于 2016-5-30 12:41:16 已赞(0) 赞(0)

感谢分享。

  • x
  • 常规:

点评 回复

SHS
SHS  精英 发表于 2016-6-13 13:04:49 已赞(0) 赞(0)

顶顶顶顶。

  • x
  • 常规:

点评 回复

GhostBoy
GhostBoy   发表于 2019-8-16 09:25:04 已赞(0) 赞(0)

学习
  • x
  • 常规:

点评 回复

Yep
Yep   发表于 2019-8-19 13:40:06 已赞(0) 赞(0)

多谢分享
  • x
  • 常规:

点评 回复

福建龙田网络科技
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录