Web认证配置举例
本节介绍一个Web认证的典型配置实例。
该实例对通过设备上网的用户进行控制:仅允许user1通过Web认证后上网,其它流量全部拒绝。认证服务器为本地服务器local。
请按照以下步骤进行配置:
第一步:配置用户。
- 访问“用户
用户”,进入用户列表页面。
- 在<AAA服务器>下拉菜单中选择local,然后点击<用户列表>中的『新建用户』按钮,进入新建用户页面。具体配置信息如下:
- 名称:user1
- 密码:123456
- 确认:123456
- 点击『确定』按钮保存所做配置并返回主配置页面。
- 在<AAA服务器>下拉菜单中选择local,并点击<所有用户组>,系统页面右侧显示指定本地服务器中的所有用户组列表页面。
- 点击『新建用户组』按钮,进入新建用户组页面,为本地服务器local创建用户组。具体配置信息如下:
- 名称:usergroup1
- 组成员:在<可用成员>列表中选中user1,点击右箭头按钮将其添加到右侧<组成员>列表中
- 点击『确定』按钮。
第二步:创建角色,并配置角色映射规则。
- 访问“用户角色”,进入角色列表页面。
- 点击<角色列表>中的『新角色』按钮,进入新角色配置页面。在<角色名称>文本框中输入role1。
- 点击『确定』按钮,返回角色列表页面。
- 点击<角色列表>中的『新角色映射』按钮,进入新角色映射配置页面。具体配置信息如下:
- 角色映射名称:role-mapping1
- 类型:用户组
- 用户组:usergroup1
- 角色:role1
- 点击『确定』按钮。
第三步:配置本地认证服务器的角色映射规则。
- 访问“用户AAA服务器”,进入AAA服务器列表页面。
- 在<AAA服务器列表>栏中,点击AAA服务器local相应的『编辑』按钮,进入AAA服务器配置页面。
- 在<角色映射规则>下拉菜单中选择role-mapping1。
- 点击『确定』按钮。
第四步:配置接口与安全域。
- 访问“网络接口”,进入接口列表页面。
- 点击接口列表中ethernet0/0相对应的『编辑』按钮,进入接口基本配置页面。具体配置信息如下:
- 接口名:ethernet0/0
- 安全域类型:三层安全域
- 安全域:从下拉菜单中选择“trust”
- IP类型:静态IP
- IP/网络掩码:192.168.1.1/16
- 点击『确定』按钮保存所做配置并返回主配置页面。
- 点击接口列表中ethernet0/1相对应的『编辑』按钮,进入接口基本配置页面。具体配置信息如下:
- 接口名:ethernet0/1
- 安全域类型:三层安全域
- 安全域:从下拉菜单中选择“untrust”
- IP类型:静态IP
- IP/网络掩码:66.1.200.1/16
- 点击『确定』按钮保存所做配置。
第五步:开启设备的HTTP Web认证功能并且通过策略规则触发Web认证功能。
- 访问“网络Web认证”,进入Web认证配置页面。具体配置信息如下:
- 点击『确定』按钮保存所做配置。
- 访问“防火墙策略”,进入策略列表页面。
- 在策略列表<源安全域>下拉菜单中选中“trust”,<目的安全域>下拉菜单中选中“untrust”,并点击『新建』按钮,主窗口显示策略基本配置选项。具体配置信息如下:
- 源安全域:trust
- 源地址:ethernet0/0
- 目的安全域:untrust
- 目的地址:Any
- 服务簿:Any
- 行为:Web认证
- Web认证:local
- 点击『确定』按钮返回策略列表页面。系统分配该策略条目的ID为1。
- 点击该策略条目相应的『编辑』按钮,进入策略高级配置(ID=1)页面。在<角色>下拉菜单中选择UNKNOWN。
- 点击『确定』按钮返回策略列表页面。
第六步:配置允许访问的策略规则。
- 访问“防火墙策略”,进入策略列表页面。
- 在策略列表<源安全域>下拉菜单中选中“trust”,<目的安全域>下拉菜单中选中“untrust”,并点击『新建』按钮,主窗口显示策略基本配置选项。具体配置信息如下:
- 源安全域:trust
- 源地址:ethernet0/0
- 目的安全域:untrust
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮返回策略列表页面。系统分配该策略条目的ID为2。
- 点击该策略条目相应的『编辑』按钮,进入策略高级配置(ID=2)页面。在<角色>下拉菜单中选择role1。
- 点击『确定』按钮。
以上配置完成后,系统会对所有来自192.168.1.1/16网段的HTTP请求(有可达路由的外部地址)进行Web认证,只有在认证页面输入用户名和密码分别为user1和123456,才可以访问网络。