防火墙配置——Web 认证 /会话控制 _防火墙配置

文章插图

导读：这篇文章主要为大家介绍了如何进行防火墙配置,需要的朋友可以参考下。

Web认证配置
– 网络拓扑 –

文章插图

– 需求描述 –
内网用户首次访问 Internet 时需要通过 WEB 认证才能上网。且内网用户划分为两个用户组 usergroup1 和 usergroup2,其中 usergroup1 组中的用户在通过认证后仅能浏览 web 页面，usergroup2 组中的用户通过认证后仅能使用使用 ftp 。
【防火墙配置——Web 认证 /会话控制】– 配置步骤 –
第一步：配置 web 认证向导
点击配置/主页/网络/Web 认证中，在右侧的向导处，点击新建 web 认证首先设置参数配置

文章插图

点击下一步后，设置认证用户

文章插图

也可以新建一个 AAA 服务器，AAA 服务器的类型支持以下四种方式，本实验中我们使用新建的 local-aaa-server 服务器，使用本地认证的类型。

文章插图

设置完认证用户后，点击下一步策略配置

文章插图

在策略配置中选择源、目的安全域以及 DNS 安全域，一旦选择后，可以看到下方策略处将会创建三条策略。此处相对于 4.0 版本简化了配置，不需要再手工去创建放行 DNS 策略、web 认证策略及认证后放行的策略。最后点击完成即可！
修改 Web 认证参数设置，通过以下界面可以修改 web 认证的部分参数

文章插图

第二步：创建用户及用户组，并将用户划归不同用户组
既然要做认证，需要在设置用户及用户组，在本实验中我们设置了usergroup1 和usergroup2 两个用户组。并设置了uesr1和user2两个用户，这两个用户分别归属于两个组。点击对象用户/本地用户，首先在本地服务器中选择之前。

文章插图

然后创建 user1 和 user2 并将 user1 将其归属到 usergroup1 组中，user2 将其归属到usergroup2 组中

文章插图

第三步：创建角色
在对象用户/角色中设置两个角色，称分别为 role-permit-web 和 role-permit-ftp

文章插图

第四步：创建角色映射规则，将用户组与角色相对应
在用户对象/角色中，创建一个角色映射role-map1 ，将usergroup1 用户组和role-permit-web 做对应，将usergroup2 和role-permit-ftp 做对应。

文章插图

第五步：将角色映射规则与 AAA 服务器绑定
在用户对象/AAA 服务器中，将角色映射 role-map1 绑定到 AAA 服务器 loca-aaa-server 上。

文章插图

第六步：创建安全策略不同角色的用户放行不同服务
在安全/策略中设置内网到外网的安全策略，首先在该方向安全策略的第一条设置一个放行 DNS 服务的策略，放行该策略的目的是当我们在 IE 栏中输入某个网站名后，客户端 PC 能够正常对该网站做出解析，然后可以重定向到认证页面上。第二条我们针对未通过认证的用户 UNKNOWN，设置认证的策略，认证服务器选择创建的 local-aaa-server 。以上两条策略在 web 认证向导中都已经配置过。下面我们设置针对 role-permit-web 角色放行 http 的服务策略如下：