CLI举例:基于用户接入方式和终端设备类型的安全策略

news2024/12/24 3:21:42

组网需求

如图1所示,某企业在网络边界处部署了FW作为安全网关,连接内部网络与Internet。具体情况如下:

  • 内部网络中已经部署了Agile Controller身份验证机制,Agile Controller服务器上存储了用户信息。
  • 内部网络中的用户可以使用不同的接入方式(如通过有线或无线接入、通过Portal页面或支持802.1x认证的客户端接入)和不同的终端设备类型(如使用PC、手机等接入)接入认证。

本例中的Agile Controller简称Controller。

图1 配置安全策略组网图
 

企业的网络管理员希望利用FW提供的用户管理与认证机制,将内部网络中的IP地址识别为不同接入方式和不同终端设备类型的用户,并通过配置安全策略,实现基于用户接入方式和终端设备类型的访问控制。具体需求如下:

  • 内部网络中的用户访问业务时无需提前访问Agile Controller的Portal认证页面进行认证,直接访问HTTP业务即可重定向到Agile Controller的Portal认证页面。
  • 内部网络中的用户使用Agile Controller帐号和密码认证通过后,无需再进行认证就可以访问网络资源。
  • 仅允许有线连接下使用电脑通过Portal页面接入的内网用户访问外网。

配置思路

完成用户与认证相关配置:

  1. 在Agile Controller服务器上添加FW,并在FW上配置Agile Controller服务器,使FW能与Agile Controller服务器进行通信。
  2. 在FW上配置服务器导入策略,将Agile Controller服务器上的用户信息导入到FW。
  3. 配置用户访问HTTP业务时重定向认证页面的URL为Agile Controller的Portal认证页面地址。
  4. 配置认证策略,对用户访问Internet进行认证。
  5. 在FW上配置Agile Controller单点登录参数。
  6. 配置认证域中的新用户选项,新用户通过认证后作为临时用户上线到指定用户组中。
  7. 由于FW部署在用户和Agile Controller服务器之间,用户的认证报文经过FW。为实现单点登录功能,需要配置认证策略,对目的地址为Agile Controller服务器的报文不进行认证处理;同时配置安全策略,确保FW和Agile Controller服务器之间能正常通信。
  8. 配置安全策略,确保用户、Agile Controller服务器和FW之间通信正常。

完成基于接入方式和终端设备类型的管控的相关配置:

  1. 配置从Agile Controller服务器导入终端设备到FW。
  2. 配置安全策略,允许接入方式为“有线Portal”,终端类型属于终端设备组“pc”的内网用户访问外网。

数据规划

项目

数据

说明

Agile Controller服务器

在FW上配置Agile Controller服务器,即FW与Agile Controller服务器通信时使用的一系列参数。

此处设置的参数必须与Agile Controller服务器的参数保持一致。

服务器导入策略

从Agile Controller服务器上将用户导入到FW中。

新用户所属组

新用户通过认证后作为临时用户上线到指定用户组default中。

通过Agile Controller认证的用户对于FW来说都是新用户。

Agile Controller认证页面Portal地址

http://10.2.0.50:8080/portal

该地址与Agile Controller服务器的配置必须保持一致。

Agile Controller单点登录

在FW上配置单点登录参数,接收Agile Controller服务器发送的用户登录/注销信息。

导入终端设备

  • 服务器名称:auth_server_tsm
  • 当终端设备类型存在时,覆盖本地记录

只能导入通过Agile Controller单点登录的设备。

安全策略1

  • 名称:policy_sec_tsm
  • 源安全区域:trust
  • 目的安全区域:dmz
  • 源地址/地区:10.3.0.0/24
  • 目的地址/地区:10.2.0.50/32
  • 动作:允许

用于用户到Agile Controller服务器进行认证。

安全策略2

  • 名称:policy_sec_tsm_1
  • 源安全区域:local
  • 目的安全区域:dmz
  • 动作:允许

用于Agile Controller服务器与FW的交互。

安全策略3

  • 名称:policy_sec_tsm_2
  • 源安全区域:dmz
  • 目的安全区域:local
  • 动作:允许

用于Agile Controller服务器与FW的交互。

安全策略4

  • 名称:policy_sec_dns
  • 源安全区域:trust
  • 目的安全区域:untrust
  • 源地址/地区:10.3.0.0/24
  • 服务:DNS
  • 动作:允许

用于允许解析HTTP业务URL地址的DNS报文通过。

安全策略5

  • 名称:policy_sec_user
  • 源安全区域:trust
  • 目的安全区域:untrust
  • 源地址/地区:10.3.0.0/24
  • 接入方式:有线Portal
  • 终端设备:PC
  • 动作:允许

用于允许有线连接下使用电脑通过Portal页面接入的内网用户访问外网。

操作步骤
  1. 在FW上配置接口IP地址和安全区域,完成网络基本参数配置。

    # 配置接口IP地址。
    
    <FW> system-view
    [FW] interface GigabitEthernet 1/0/1
    [FW-GigabitEthernet 1/0/1] ip address 1.1.1.1 24
    [FW-GigabitEthernet 1/0/1] quit
    [FW] interface GigabitEthernet 1/0/2
    [FW-GigabitEthernet 1/0/2] ip address 10.2.0.1 24
    [FW-GigabitEthernet 1/0/2] quit
    [FW] interface GigabitEthernet 1/0/3
    [FW-GigabitEthernet 1/0/3] ip address 10.3.0.1 24
    [FW-GigabitEthernet 1/0/3] quit
    # 配置接口加入相应安全区域。
    
    [FW] firewall zone trust
    [FW-zone-trust] add interface GigabitEthernet 1/0/3
    [FW-zone-trust] quit
    [FW] firewall zone dmz
    [FW-zone-dmz] add interface GigabitEthernet 1/0/2 
    [FW-zone-dmz] quit
    [FW] firewall zone untrust
    [FW-zone-untrust] add interface GigabitEthernet 1/0/1
    [FW-zone-untrust] quit

  2. 配置安全策略,确保用户、Agile Controller服务器和FW之间通信正常。
    配置用户所在安全区域Trust到Agile Controller服务器所在安全区域DMZ的安全策略,用于用户到Agile Controller服务器进行认证。
    
    
    [FW] security-policy
    [FW-policy-security] rule name policy_sec_tsm
    [FW-policy-security-rule-policy_sec_tsm] source-zone trust
    [FW-policy-security-rule-policy_sec_tsm] source-address 10.3.0.0 24
    [FW-policy-security-rule-policy_sec_tsm] destination-zone dmz
    [FW-policy-security-rule-policy_sec_tsm] destination-address 10.2.0.50 32
    [FW-policy-security-rule-policy_sec_tsm] action permit
    [FW-policy-security-rule-policy_sec_tsm] quit
    如果认证页面URL是域名形式,并且DMZ安全区域存在用于解析认证页面域名的DNS服务器,则注意开放Trust到DMZ的DNS服务。
    
    
    
    配置Agile Controller服务器所在安全区域DMZ到Local域的安全策略,用于Agile Controller服务器与FW的交互。
    
    
    [FW-policy-security] rule name policy_sec_tsm_1
    [FW-policy-security-rule-policy_sec_tsm_1] source-zone local
    [FW-policy-security-rule-policy_sec_tsm_1] destination-zone dmz
    [FW-policy-security-rule-policy_sec_tsm_1] action permit
    [FW-policy-security-rule-policy_sec_tsm_1] quit
    [FW-policy-security] rule name policy_sec_tsm_2
    [FW-policy-security-rule-policy_sec_tsm_2] source-zone dmz
    [FW-policy-security-rule-policy_sec_tsm_2] destination-zone local
    [FW-policy-security-rule-policy_sec_tsm_2] action permit
    [FW-policy-security-rule-policy_sec_tsm_2] quit
    
    
    配置用户所在安全区域Trust到Internet所在安全区域Untrust的安全策略,允许解析HTTP业务URL地址的DNS报文通过。
    
    
    [FW-policy-security] rule name policy_sec_dns
    [FW-policy-security-rule-policy_sec_dns] source-zone trust
    [FW-policy-security-rule-policy_sec_dns] source-address 10.3.0.0 24
    [FW-policy-security-rule-policy_sec_dns] destination-zone untrust
    [FW-policy-security-rule-policy_sec_dns] service dns
    [FW-policy-security-rule-policy_sec_dns] action permit
    [FW-policy-security-rule-policy_sec_dns] quit
    [FW-policy-security] quit
    注意开放Trust到Untrust的DNS服务,允许解析HTTP业务域名的DNS报文通过。

  3. 在Agile Controller服务器上添加FW。

    因Agile Controller会随版本更新,本举例中的Agile Controller配置仅供参考,实际配置请参见Agile Controller的配置手册。

    选择“系统 > 服务器配置 > 上网行为管理设备配置”,单击“增加”,按如下参数配置。完成后单击“确定”。

    当FW工作在双机热备场景下,需要在Agile Controller服务器上进行两次“上网行为管理设备配置”,此处的“IP地址”需要分别配置为与Agile Controller服务器连接的主备设备接口的实IP地址。

  4. 在FW上配置Agile Controller服务器。

    此处设置的参数必须与Agile Controller服务器上的参数保持一致。一般情况下Agile Controller的服务器端口是8084。

    [FW] tsm-server template auth_server_tsm 
    [FW-tsm-auth_server_tsm] tsm-server ip-address 10.2.0.50
    [FW-tsm-auth_server_tsm] tsm-server port 8084
    [FW-tsm-auth_server_tsm] tsm-server encryption-mode aes128 shared-key Admin@123
    [FW-tsm-auth_server_tsm] test tsm-server template auth_server_tsm
    [FW-tsm-auth_server_tsm] quit

  5. 在FW上配置服务器导入策略。

    [FW] user-manage import-policy policy_import from tsm
    [FW-import-policy_import] server template auth_server_tsm
    [FW-import-policy_import] server basedn root  
    [FW-import-policy_import] destination-group /default 
    [FW-import-policy_import] import-type user   
    [FW-import-policy_import] import-override enable 
    [FW-import-policy_import] time-interval 120

  6. 执行导入策略将用户导入FW。

    [FW] execute user-manage import-policy policy_import

  7. 配置Portal认证页面。

    [FW] user-manage portal-template portal
    [FW-portal-template-portal] portal-url http://10.2.0.50:8080/portal
    Portal URL需要与Controller实际使用的认证页面保持一致。

  8. 配置用户访问Internet的认证策略认证动作为Portal认证,使用户访问HTTP业务的流量触发认证。配置用户访问Agile Controller服务器的认证策略动作为不认证,使用户认证报文能经过FW到达Agile Controller服务器。

    [FW] auth-policy
    [FW-policy-auth] rule name auth_policy_tsm
    [FW-policy-auth-rule-auth_policy_tsm] source-zone trust
    [FW-policy-auth-rule-auth_policy_tsm] destination-zone dmz 
    [FW-policy-auth-rule-auth_policy_tsm] source-address 10.3.0.0 24
    [FW-policy-auth-rule-auth_policy_tsm] destination-address 10.2.0.50 32
    [FW-policy-auth-rule-auth_policy_tsm] action none
    [FW-policy-auth-rule-auth_policy_tsm] quit
    [FW-policy-auth] rule name auth_policy_service
    [FW-policy-auth-rule-auth_policy_service] source-zone trust
    [FW-policy-auth-rule-auth_policy_service] destination-zone untrust
    [FW-policy-auth-rule-auth_policy_service] source-address 10.3.0.0 24
    [FW-policy-auth-rule-auth_policy_service] action auth portal-template portal

  9. 在FW上配置单点登录参数。

    [FW] user-manage single-sign-on tsm
    [FW-sso-tsm] enable

  10. 配置认证域中的新用户选项。

    [FW] aaa
    [FW-aaa] domain default
    [FW-aaa-domain-default] service-type internetaccess
    [FW-aaa-domain-default] new-user add-temporary group /default
    [FW-aaa-domain-default] quit
    [FW-aaa] quit

  11. 在Agile Controller服务器上开启终端设备识别功能。

    选择“资源 > 终端 > 参数配置”,在“终端设备识别”选中“启用”。

  12. 配置从Agile Controller服务器导入终端设备,以便在安全策略中引用。

    [FW] update device-category tsm-server template auth_server_tsm import-overwrite

    只能导入通过Agile Controller单点登录的设备。

  13. 配置安全策略,允许接入方式为“有线Portal”,终端类型属于终端设备组“pc”的内网用户访问外网。

     
    [FW] security-policy
    [FW-policy-security] rule name policy_sec_user
    [FW-policy-security-rule-policy_sec_user] source-zone trust
    [FW-policy-security-rule-policy_sec_user] destination-zone untrust
    [FW-policy-security-rule-policy_sec_user] source-address 10.3.0.0 24
    [FW-policy-security-rule-policy_sec_user] access-authentication wired-portal
    [FW-policy-security-rule-policy_sec_user] device-classification device-group pc
    [FW-policy-security-rule-policy_sec_user] action permit
    [FW-policy-security-rule-policy_sec_user] quit

结果验证
  • 在FW上执行命令display user-manage user可以查看到用户信息。
  • 在FW上执行命令display user-manage online-user可以查看到在线用户的信息。
  • 内网用户有线连接下使用电脑通过浏览器访问外网,通过Portal页面认证成功后可以访问外网。其他条件下均无法访问外网,如下表所示。
    表1 内网用户访问外网结果验证

    设备

    有线802.1x

    无线802.1x

    有线Portal

    无线Portal

    电脑

    N

    N

    Y

    N

    其他终端设备类型

    N

    N

    N

    N

    • “Y”代表可以访问外网,“N”代表不能访问外网。
    • 有线802.1x代表有线连接下通过支持802.1x认证的客户端接入;无线802.1x代表无线连接下通过支持802.1x认证的客户端接入;有线Portal代表有线连接下通过Portal页面接入;无线Portal代表无线连接下通过Portal页面接入。

配置脚本
#
 sysname FW
# 
 user-manage single-sign-on tsm
  enable
 user-manage portal-template portal 0
  portal-url http://10.2.0.50:8080/portal
#
tsm-server template auth_server_tsm 
 tsm-server encryption-mode aes128 shared-key %$%$|5<h@/062'gA|%:9CO.2/JA8%$%$
 tsm-server ip-address 10.2.0.50
#                                                                               
interface GigabitEthernet1/0/1                                                  
 ip address 1.1.1.1 255.255.255.0                                        
#                                                                               
interface GigabitEthernet1/0/2                                                  
 ip address 10.2.0.1 255.255.255.0                                        
#                                                                               
interface GigabitEthernet1/0/3                                                  
 ip address 10.3.0.1 255.255.255.0                                        
#                                                                               
firewall zone trust                                                             
 add interface GigabitEthernet1/0/3                                             
#                                                                               
firewall zone untrust                                                           
 add interface GigabitEthernet1/0/1                                             
#                                                                               
firewall zone dmz                                                           
 add interface GigabitEthernet1/0/2          
#                                                                               
security-policy
 rule name policy_sec_tsm  
  source-zone trust 
  destination-zone dmz
  source-address 10.3.0.0 24
  destination-address 10.2.0.50 32
  action permit
 rule name policy_sec_dns  
  source-zone trust 
  destination-zone untrust
  source-address 10.3.0.0 24
  service dns
  action permit
 rule name policy_sec_tsm_1
  source-zone local
  destination-zone dmz
  action permit 
 rule name policy_sec_tsm_2
  source-zone dmz
  destination-zone local
  action permit 
 rule name policy_sec_user
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 24
  access-authentication wired-portal
  device-classification device-group pc
  action permit 
#
auth-policy
 rule name auth_policy_tsm
  source-zone trust
  destination-zone dmz 
  source-address 10.3.0.0 24
  destination-address 10.2.0.50 32
  action none
 rule name auth_policy_service
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 24
  action auth portal-template portal
#
 user-manage import-policy policy_import from tsm    
 server template auth_server_tsm         
 server basedn root  
 destination-group /default 
 import-type user   
 import-override enable 
 time-interval 120
# 
aaa
 domain default   
  service-type internetaccess
  new-user add-temporary group /default

# 以下配置为一次性操作,不保存在配置文件中
 execute user-manage import-policy policy_import
 update device-category tsm-server template auth_server_tsm import-overwrite 
 test tsm-server template auth_server_tsm

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1630319.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

网络攻击日益猖獗,安全防护刻不容缓

“正在排队登录”、“账号登录异常”、“断线重连”......伴随着社交软件用户的一声声抱怨&#xff0c;某知名社交软件的服务器在更新上线2小时后&#xff0c;遭遇DDoS攻击&#xff0c;导致用户无法正常登录。在紧急维护几小时后&#xff0c;这款软件才恢复正常登录的情况。 这…

65、二分-在排序数组中查找元素的第一个和最后一个位置

思路&#xff1a; 寻找数组中的目标值第一个和最后一个&#xff0c;如果不存在哪儿就是返回-1。 第一种方式直接线性遍历&#xff0c;找到目标值记录当前下标。继续寻找下一个不等于目标值&#xff0c;说明下一个目标值的下标就是结尾。直接返回。 第二种方式通过使用二分法…

双系统下删除ubuntu

絮絮叨叨 由于我在安装Ubuntu的时候没有自定义安装位置&#xff0c;而是使用与window共存的方式让Ubuntu自己选择安装位置&#xff0c;导致卸载时我不知道去格式化哪个分区&#xff0c;查阅多方资料后无果&#xff0c;后在大佬帮助下找到解决方案 解决步骤 1、 插上Ubuntu安…

【Python】控制语句

1、运用python的控制语句if elif else 2、回顾输入输出函数的使用 3、使用random函数得到随机数 4、运用python的循环语句 5、熟悉了埃筛法找素数 6、练习了数组和参数传递 1、从键盘接收整数的一百分制成绩(0~100),要求输出其对应的成绩等级A~E。其中,90分(包含)以上为A,…

数组和指针经典笔试题讲解下

目录 创作不易&#xff0c;如对您帮助&#xff0c;还望一键三连&#xff0c;谢谢&#xff01;&#xff01;&#xff01; 题目一&#xff1a; 题目二&#xff1a; 题目三&#xff1a; 题目四&#xff1a; 题目五&#xff1a; 题目六&#xff1a; 题目七&#xff1a; 创作…

应急行业的智能安全帽(高端)

前面介绍了低端、中端安全帽&#xff0c;接着再讲讲高端安全帽。做高端安全帽的企业非常少&#xff0c;估计一只手都数的出来。确实也和智能安全帽这个领域体量有关系&#xff0c;并且他有一个新的“劲敌”——智能眼镜从其他领域瓜分原属于他的市场&#xff0c;这些都是题外话…

3DTiles特性与内容解析

一篇19年整理的比较老的笔记了。更多精彩内容尽在数字孪生平台。 瓦片种类 3DTiles瓦片有多种类型&#xff1a; b3dm(Batched 3D Model&#xff0c;批量3D模型) b3dm瓦片存储了多个个体&#xff0c;b3dm中的glb代表的实际对象应该具有相同的种类但是可能数据内容不同。b3dm…

【综述】DSP处理器芯片

文章目录 TI DSP C2000系列 TMS320F28003X 典型应用 开发工具链 参考资料 TI DSP TI C2000系列 控制领域 TI C5000系列 通信领域 TI C6000系列 图像领域 C2000系列 第三代集成了C28浮点DSP内核&#xff0c;采用了65nm工艺&#xff08;上一代180nm&#xff09; 第四代正在…

后端端口也可以直接在浏览器访问

比如在浏览器输入http://localhost:8078/hello/helloword访问的是后端的 RestController RequestMapping("/hello") public class HelloWord {RequestMapping("/helloword")public String helloWord(){return "hello word";} }浏览器将会返回

震惊!某省图书馆竟然可以注册后直接访问知网并下载文章?

四川省图书馆 使用说明 1.点击进入https://portal.sclib.org/interlibSSO/main/main.jsp 显示如下&#xff1a; 2.关注四川省图书馆公众号并注册 3.点击馆外登录并使用刚注册的用户名密码登录 显示如下&#xff1a; 4.登录成功后跳转至首页并点击cnki即可正常使用

YES-3000D数显压力试验机技术方案书

一、简介 本机采用主机与液压系统集于一体的结构形式&#xff0c;结构紧凑&#xff0c;小巧玲珑。采用电机带动丝杠调整压缩空间&#xff0c;液压加荷、电子测力&#xff0c;具有加荷数率显示&#xff0c;峰值保持等功能&#xff0c;并配有微型打印机。 二、 液压系统 油箱内…

K8S 部署和访问 Kubernetes 仪表板(Dashboard)

文章目录 部署 Dashboard UI浏览器访问登陆系统 Dashboard 是基于网页的 Kubernetes 用户界面。 你可以使用 Dashboard 将容器应用部署到 Kubernetes 集群中&#xff0c;也可以对容器应用排错&#xff0c;还能管理集群资源。 你可以使用 Dashboard 获取运行在集群中的应用的概览…

Spring Boot项目中的ASCII艺术字

佛祖保佑&#xff1a; ${spring-boot.formatted-version} ———————————————————————————————————————————————————————————————————— // _ooOoo_ …

深入理解分布式事务② ---->分布式事务基础(MySQL 的 4 种事务隔离级别【读未提交、读已提交、可重复读、串行化】的最佳实践演示)详解

目录 深入理解分布式事务② ----&#xff1e;分布式事务基础&#xff08;MySQL 的 4 种事务隔离级别【读未提交、读已提交、可重复读、串行化】的最佳实践演示&#xff09;详解1、MySQL 事务基础1-1&#xff1a;MySQL 中 4 种事务隔离级别的区别1-2&#xff1a;MySQL 中 4 种事…

SpringCloud系列(10)--Eureka集群原理及搭建

前言&#xff1a;当注册中心只有一个&#xff0c;而且当这个注册中心宕机了&#xff0c;就会导致整个服务环境不可用&#xff0c;所以我们需要搭建Eureka注册中心集群来实现负载均衡故障容错 Eureka架构原理图 1、Eureka集群原理 2、创建Eureka Server端服务注册中心模块 (1)在…

音频智能切换器JR-AR42-A

憬锐JR-AR42-A音频自动智能切换器(四切一)&#xff0c;具备四路模拟卡侬立体声音频输入&#xff0c;两路模拟卡侬立体声音频输出&#xff0c;其中输入第1路和输出第1路为断电直通通道。具有输入音频信号幅度判别&#xff0c;可设置门限电平和切换延时时间&#xff0c;可以根据需…

ParkUnpark

Park&Unpark 文章目录 Park&UnparkPark&Unpark基本使用特点 park&unpark原理 Park&Unpark基本使用 它们是 LockSupport 类中的方法 // 暂停当前线程 LockSupport.park(); // 恢复某个线程的运行 LockSupport.unpark(暂停线程对象)先 park 再 unpark Sl…

软考之零碎片段记录(二十七)+复习巩固(十三、十四)

学习 1. 案例题 涉及到更新的。肯能会是数据流的终点E, P, D 数据流转。可能是 P->EP->D(数据更新)P->P(信息处理)D->P(提取数据信息) 2. 案例2 补充关系图时会提示不增加新的实体。则增加关联关系 3. 案例3 用例图 extend用于拓展&#xff0c;当一个用例…

2024最新AIBotPro开源码AI Web 应用支持GPT-4全模型

2024最新AIBotPro开源码AI Web 应用支持GPT-4全模型&#xff0c; 支持AI绘画/插件联网/自定义插件/AI知识库等等。 内有详细的图文搭建教程

小龙虾优化算法(Crayfish Optimization Algorithm,COA)

小龙虾优化算法&#xff08;Crayfish Optimization Algorithm&#xff0c;COA&#xff09; 前言一、小龙虾优化算法的实现1.初始化阶段2.定义温度和小龙虾的觅食量3.避暑阶段&#xff08;探索阶段&#xff09;4.竞争阶段&#xff08;开发阶段&#xff09;5.觅食阶段&#xff08…