华为S3700-28TP-SI-AC交换机配置外部portal认证的问题
2个问题啊
vlan20的ip是19216811 路由器的ip也是19216811 这个已经冲突了。将vlan20的ip修改成19216812
做条默认路由ip rou 0000 0000 19216811
在路由器上做静态路由 目的网段19216820 掩码2552552550 下一跳19216812 这样才能互通
2 是将电脑的dns地址做free-rule 放通。才能打开网页跳转到portal页面
天威诚信的TA(Trust Access)可以实现服务器和用户端的双向认证,原理如下
在网站服务器端,通过部署服务器证书,使用户在登录网站的时候可以通过明显的浏览器地址栏右侧的显示框看到网站域名被验证通过的信息,并且可以通过点击验证网站的真实信息;同时利用服务器证书的密码机制将网站服务器与访问者浏览器之间传输的信息进行全程加密。
在访问者用户端,将捆绑了用户信息的数字证书存储于高度安全的天威盾中,在用户访问应用服务器时,服务端要求用户端出示身份证书,并验证用户真实身份,确认是经过授权的用户后才允许访问网站敏感信息。
追求高强度信息安全的用户,如提供信息检索、网络购物、电子支付、网络社区、网络游戏、网络视频等的网络服务提供商,均可以通过使用TA(Trust Access)在服务器端部署服务器证书,在用户端使用个人证书来完成受访网站及访问者之间的双向认证,保证访问链接行为是经过双方授权的,最大程度的保护传输数据的安全和用户隐私信息的安全,有效避免假冒网站及虚假用户的冒充及骗取行为。
您好,我来为您解答:
第一个是wiwiz,这个是比较广泛的,可以和我路由器的wifidog对接,但是wiwiz大家都知道,不交钱的话根本没法实现运营一个收费wifi。
第二个是一个非常不错的openfreewifi,是一个免费的三方认证系统,是一个商家wifi营销适合使用的。(目前发现这个最好用,但是没法实现计费认证)
还有一个就是使用协成的源码,虽然能用,但是源码基本没用,现在 网络上面到处都是协成的源码,但是全部都是阉割版,基本没用。
如果我的回答没能帮助您,请继续追问。
用户是指访问网络资源的主提,表示“谁”在进行访问,是网络访问行为的重要标识。
用户分类:
上网用户
内部网络中访问网络资源的主体,如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。
接入用户
外部网络中访问网络资源的主体,如企业的分支机构员工和出差员工。接入用户需要先通过SSL ***、L2TP ***、IPSec ***或PPPoE方式接入到FW,然后才能访问企业总部的网络资源。
管理用户
认证分类:
防火墙通过认证来验证访问者的身份,防火墙对访问正进行的认证方式有:
本地认证
访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW,FW上存储了密码,验证过程在FW上进行,该方式称为本地认证。
服务器认证(Radius,LDAP等)
访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW,FW上没有存储密码,FW将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行,该方式称为服务器认证。
RADIUS(Remote Authentication Dial In User Service)、HWTACACS(HuaWei Terminal Access Controller Access Control System)、AD、LDAP(Lightweight Directory Access Protocol)认证服务器,并在认证服务器上存储了用户/组和密码等信息。对于RADIUS、HWTACACS服务器,管理员需要根据现有的组织结构,在FW上手动创建或者使用文件批量导入相应的用户/组。对于AD或LDAP服务器,管理员可以将AD或LDAP服务器中的用户信息导入到FW上,以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。
单点登录
访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三方认证服务器将访问者的身份信息发送给FW。FW只记录访问者的身份信息不参与认证过程,该方式称为单点登录(Single Sign-On)。
短信认证
访问者通过Portal认证页面获取短信验证码,然后输入短信验证码即通过认证。FW通过校验短信验证码认证访问者。
认证的目的:
在FW上部署用户管理与认证,将网络流量的IP地址识别为用户,为网络行为控制和网络权限分配提供了基于用户的管理维度,实现精细化的管理:
基于用户进行策略的可视化制定,提高策略的易用性。基于用户进行威胁、流量的报表查看和统计分析,实现对用户网络访问行为的追踪审计。解决了IP地址动态变化带来的策略控制问题,即以不变的用户应对变化的IP地址。上网用户访问网络的认证方式:
免认证:
FW通过识别IP/MAC和用户的双向绑定关系,确定访问者的身份。进行免认证的访问者只能使用特定的IP/MAC地址来访问网络资源。
会话认证:
当用户访问HTTP业务时,FW向用户推送认证页面,触发身份认证。
一般指的都是本地认证) ----内置Portal认证
先发起HTTP/HTTPS业务访问-------防火墙推送重定向认证页面-----------客户输入用户名和密码----------认证成功,如果设置跳转到最近的页面,就跳转。如果没有设置跳转,就不跳转
事前认证
当用户访问非HTTP业务时,只能主动访问认证页面进行身份认证。
单点认证
AD单点登录:企业已经部署了AD(Active Directory)身份验证机制,AD服务器上存储了用户/组和密码等信息。管理员可以将AD服务器上的组织结构和账号信息导入到FW。对于AD服务器上新创建的用户信息,还可以按照一定的时间间隔定时导入。以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。
认证时,由AD服务器对访问者进行认证,并将认证信息发送至FW,使FW能够获取用户与IP地址的对应关系。访问者通过AD服务器的认证后,就可以直接访问网络资源,无需再由FW进行认证,这种认证方式也称为“AD单点登录”。
Agile Controller单点登录
RADIUS单点登录
RADIUS认证原理:
图:旁路模式下RADIUS单点登录示意图
RADIUS单点登录交互过程如下:
访问者向接入设备NAS发起认证请求。
NAS设备转发认证请求到RADIUS服务器,RADIUS服务器对用户账号和密码进行校验,并将认证通过的结果返回给NAS设备。NAS设备向RADIUS服务器发送计费开始报文,标识用户上线。
FW解析计费开始报文获取用户和IP地址的对应关系,同时在本地生成在线用户信息。不同部署方式,FW获取计费开始报文的方式不同:
直路:FW直接对经过自身的RADIUS计费开始报文进行解析。
旁路:NAS设备向RADIUS服务器发送计费开始报文的同时还会向FW发送一份,FW对计费开始报文进行解析并对NAS设备做出应答。
此种部署方式需要NAS设备支持向FW发送计费开始报文的功能。
镜像引流:NAS设备和RADIUS服务器之间交互的计费开始报文不经过FW,需要通过交换机镜像或分光器分光的方式复制一份计费开始报文到FW。FW对计费开始报文进行解析后丢弃。
访问者注销时,NAS设备向RADIUS服务器发送计费结束报文,标识用户下线。FW获取计费结束报文并解析用户和IP对应关系,然后删除本地保存的在线用户信息,完成注销过程。
另外在用户在线期间,NAS设备还会定时向RADIUS服务器发送计费更新报文维持计费过程,FW获取计费更新报文后将刷新在线用户的剩余时间。
接入用户访问网络资源的认证方式:
使用SSL *** 技术
访问者登录SSL ***模块提供的认证页面来触发认证过程,认证完成后,SSL ***接入用户可以访问总部的网络资源。
使用IPSec ***技术
分支机构与总部建立IPSec ***隧道后,分支机构中的访问者可以使用事前认证、会话认证等方式触发认证过程,认证完成后,IPSec ***接入用户可以访问总部的网络资源。
L2TP ***接入用户
用户认证原理用户组织结构:
用户是网络访问的主体,是FW进行网络行为控制和网络权限分配的基本单元。
认证域:用户组织结构的容器。区分用户,起到分流作用
用户组/用户:分为: 父用户组 子用户组 。
注意:一个子用户组只能属于一个父用户组
用户: 必配: 用户名 密码,其它都可以可选
用户属性:账号有效期 允许多人登录 IP/MAC绑定(不绑定 单向 双向)
安全组:横向组织结构的跨部门群组。指跨部门的用户
规划树形组织结构时必须遵循如下规定:default认证域是设备默认自带的认证域,不能被删除,且名称不能被修改。设备最多支持20层用户结构,包括认证域和用户,即认证域和用户之间最多允许存在18层用户组。每个用户组可以包括多个用户和用户组,但每个用户组只能属于一个父用户组。一个用户只能属于一个父用户组。用户组名允许重名,但所在组织结构的全路径必须确保唯一性。用户和用户组都可以被策略所引用,如果用户组被策略引用,则用户组下的用户继承其父组和所有上级节点的策略。用户、用户组、安全的来源:手动配置CSV格式导入(批量导入)服务器导入设备自动发现并创建在线用户:
用户访问网络资源前,首先需要经过FW的认证,目的是识别这个用户当前在使用哪个IP地址。对于通过认证的用户,FW还会检查用户的属性(用户状态、账号过期时间、IP/MAC地址绑定、是否允许多人同时使用该账号登录),只有认证和用户属性检查都通过的用户,该用户才能上线,称为在线用户。
FW上的在线用户表记录了用户和该用户当前所使用的地址的对应关系,对用户实施策略,也就是对该用户对应的IP地址实施策略。
用户上线后,如果在线用户表项超时时间内(缺省30分钟)没有发起业务流量,则该用户对应的在线用户监控表项将被删除。当该用户下次再发起业务访问时,需要重新进行认证。
管理员可以配置在线用户信息同步,查看到已经通过认证的在线用户,并进行强制注销、全部强制注销、冻结和解冻操作。
用户认证总体流程:
图:认证流程示意图认证策略:
认证策略用于决定FW需要对哪些数据流进行认证,匹配认证策略的数据流必须经过FW的身份认证才能通过。
缺省情况下,FW不对经过自身的数据流进行认证,需要通过认证策略选出需要进行认证的数据流。
如果经过FW的流量匹配了认证策略将触发如下动作:
会话认证:访问者访问HTTP业务时,如果数据流匹配了认证策略,FW会推送认证页面要求访问者进行认证。事前认证:访问者访问非HTTP业务时必须主动访问认证页面进行认证,否则匹配认证策略的业务数据流访问将被FW禁止。免认证:访问者访问业务时,如果匹配了免认证的认证策略,则无需输入用户名、密码直接访问网络资源。FW根据用户与IP/MAC地址的绑定关系来识别用户。单点登录:单点登录用户上线不受认证策略控制,但是用户业务流量必须匹配认证策略才能基于用户进行策略管控。
认证匹配依据:
源安全区域、目的安全区域、源地址/地区、目的地址/地区。
注意:认证策略在匹配是遵循从上往下的匹配策略。
缺省情况下,FW通过8887端口提供内置的本地Portal认证页面,用户可以主动访问或HTTP重定向至认证页面(https://接口IP地址:8887)进行本地Portal认证。
在线用户信息同步功能的服务端口,缺省值是8886。
用户认证配置思路会话认证配置思路:第一步: 基本配置(通信正常) 第二步:新建用户(供本地认证使用) 第三步:认证选项设置重定向跳转到最近的页面 注意:要点应用 第四步:默认重定向的认证端口为8887,需要放行安全策略 ip service-set authro_port type object service 0 protocol tcp source-port 0 to 65535 destination-port 8887 sec-policy rule name trust_loacl source-zone trust destination-zone local service authro_port action permit 第五步:配置认证策略 auth-policy rule name trust_untrust source-zone trust destination-zone untrust source-address 10110 mask 2552552550 action auth -------------------默认不认证,修改为认证 第六步:检查 成功以后必须要有在线用户 12345678910111213141516171819202122232425262728291234567891011121314151617181920212223242526272829免认证配置思路:配置: auth-policy rule name no_auth source-zone trust destination-zone untrust source-address 10112 mask 255255255255 action no-auth 12345671234567AD单点登录配置流程:
插件
Server服务器部分
第一步:安装AD域
第二步:安装DNS服务器----配置转发器
第三步:下载AD SSO(在防火墙下载)
第四步:AD域新建组织单元,新建组,新建用户(关联权限)
第五步:PC 加域(DNS修改为服务器地址)
第六步:安装AD SSO (建议安装二次AD SSO)
联动AD域联动FW
第七步:组策略配置登录和注销脚本
调用AD SSO产生的login
格式;
服务器地址 运行端口(AD SSO是一样) 0/1 设置密钥(Huawei@123)
第八步:PC刷新组策略
防火墙部分
第一步:新建防火墙与AD服务器联动
第二步:新建认证域
第三步:把AD服务器用户导入FW ,新建导入策略
第四步: 修改认证域新用户,新用户调用导入策略
第五步:导入用户,到用户列表检查
第六步:配置认证策略
Trust区域到服务器区域(DMZ)不能做认证
第七步:配置安全策略,匹配条件只能是AD域的用户
注意:
FW本地到AD服务器的安全策略
AD服务器到FW本地安全策略
DNS的策略
检查:
一定要看到在线用户-----采用单点登录
参考文档:华为HedEx防火墙文档。
什么是身份验证和授权
根据RFC2828(Internet Security Glossary,May2000),验证是“校验被或向某系统实体声明的身份的过程”。此处的关键字是校验,而正确的术语是“验证系统校验身份”。
验证可以提供保证,确保用户(或系统)是他们所说的身份。应用程序获取用户的凭据(各种形式的标识,如用户名和密码)并通过某些授权机构验证那些凭据。如果这些凭据有效,则提交这些凭据的实体被视为经过身份验证的标识。授权指用户访问网络资源的能力,通过对已验证身份授予或拒绝特定权限来限制访问权限。
验证可以直接在用户试图访问的计算机上执行,但在分布式环境中,用户帐户和安全信息通常由特殊的安全服务器存储和管理。当用户登录时,用户名和密码靠安全服务器进行校验。如果校验正确,密码将不会再通过电缆发送。用户密码保持秘密并从不通过网络是至关重要的,尤其是当密码为可读文本时,窃听者可以轻易捕获这些信息并使用它假装成该用户访问安全系统。相反,独特的握手式方案如此处所述以安全方式验证用户身份。
尽管单独的安全服务器提供许多好处(集中的安全和安全管理),但在分布式环境中对用户进行身份验证呈现出许多有趣的挑战。
例如,假设某用户希望访问称为DOCS的安全服务器,当该用户登录时,其登录信息直接或间接地用于验证其身份。现在该用户试图访问DOCS服务器,假设DOCS“信任”该安全服务器,并假设它可正确地验证该用户。安全服务器已经验证了该用户的身份,因此DOCS也尝试验证该用户的身份就没有意。所需要的是“一次注册”验证方案,该方案可在无需进一步的登录请求的情况下使该用户访问信托网络环境中的任何系统,假设该用户具有整个网络的一个用户帐户。这可以按如下所示完成。
该用户的登录信息可以被缓存。当该用户访问另一台服务器时,该服务器获取登录信息,并用安全服务器校验登录信息。
当该用户第一次登录时,安全服务器可以发出登录凭证。该用户在登录会话的期间访问其他系统时将使用这些凭证。根据RFC l704 (On Internet Authentication, October 1994)释义,一个安全验证方案必须提供如下所示的“强相互验证”:
相互验证 交换中的双方使用可靠的方法了解对方身份的真实性。
强验证 双方都不获取可用于在另一会话中假冒对方的信息。
密码可用于相互验证,但不用于强验证。如果一方将其密码直接交给另一方,则会将有关自身的某些内容暴露出来,而其他系统可以使用这些信息冒充它。本质上,第一个“说话者”放弃了密码,并且变得易受攻击。窃听者也可以捕获密码并在以后使用(除非密码为一次性密码)。
强验证方案允许双方显示它们知道秘密而不展现实际秘密。再看前面的示例,假设某用户具有一个机密密码,他必须向安全服务器证明他知道密码,但不将密码通过网络传输。下面的四路握手方案是一个示例:
1、当该用户登录时,他的计算机生成随机数,并使用密钥对其加密。请注意,此密钥是从密码中导出的,或者是从本地加密文件获取的,而该加密文件只有在输入了正确的密码后才可访问。
2、结果发送到安全服务器,后者使用共享的密钥进行解密。
3、现在安全服务器具有该用户的服务器生成的随机数。它将该数字加1,然后生成自己的随机数,并用共享密钥为两者分别加密。
4、该用户的计算机接收该消息并解密。消息的第一部分应该是此计算机原来发送到安全服务器并加1的随机数,它证明此计算机与知道共享密钥的系统有联系。
5、下一步,该用户的计算机将从安全服务器接收的随机数加1,进行加密,然后将它返回到服务器。
6、当服务器接收此消息时,其随机数已经加1,服务器知道客户端一定是可信的。
经过验证后,客户端和服务器建立新密钥,在会话的剩余时间内该新密钥用于加密。这使登录密钥的使用变得最小。当然,共享的秘密必须保持秘密。如果有人获得它,这个人即可伪装成客户端或服务器。
经过这么多年,已经开发了许多验证协议和技术。CHAP(挑战握手验证协议)是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令,其中包括会话ID和一个任意生成的挑战字串。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
另一个协议是EAP(可扩展验证协议)。EAP是一种框架,支持可选择的多重PPP验证机制,包括纯文本密码,挑战-响应和任意对话顺序。
下面概述其他几种更先进的方案:
双因子验证 在此方法中,使用令牌设备(如智能卡)生成一个附加登录代码。此登录代码与服务器知道的代码在时间上同步。用户在登录时输入此代码、用户名及密码。因而需要两项才能登录:用户知道的某些内容(用户密码)以及用户具有的某些内容(令牌)。此方案要求所有用户都要有智能卡,并且此方案通常是为远程用户实现的。
Kerberos Kerberos是一个根据票证执行验证的制定得很好的协议。其命名是根据希腊神话中守卫冥王大门的长有三头的看门狗做的。定名是贴切的,因为Kerberos是一个三路处理方法,根据称为密匙分配中心(KDC)的第三方服务来验证计算机相互的身份,并建立密匙以保证计算机间安全连接。
票证是由称为KDC(密钥分发中心)的专用安全服务器发放的加密数据分组。KDC通常在企业网的内部进行维护,而企业网是KDC的授权区或管辖区。当用户登录时,由KDC处理验证。如果用户验证正确,则KDC向该用户颁发票证(称为“票证授权票”或TGT)。当此用户希望访问某个网络服务器时,KDC检查自己先前提供给用户的TGT(以校验票证依然可信),然后向用户颁发服务票证,以允许用户访问目标服务器。目标服务器具有自己的校验票证以确认用户可信的方法,并根据预定义的访问控制授予用户访问权限。
Kerberos协议基本上是可行的,因为每台计算机分享KDC一个秘密,KDC有两个部件:一个Kerberos认证服务器和一个授票服务器。如果KDC不知请求的目标服务器,则求助于另一个KDC完成认证交易。Kerberos是一种网络认证协议,允许一台计算机通过交换加密消息在整个非安全网络上与另一台计算机互相证明身份。一旦身份得到验证,Kerberos协议给这两台计算机提供密匙,以进行安全通讯对话。Kerberos协议认证试图等录上网用户的身份,并通过使用密匙密码为用户间的通信加密。
证书、公钥和PKI(公共密钥基础结构) 如果要求安全登录到因特网服务器或其他公共服务器,则证书方案是适当的。证书基本上是数字ID,它受众所周知的证书颁发机构(如VeriSign)保护。它可以证明在连接另一端的人是其所说的身份。此方案使用公钥加密,并为用户提供一种方法,以向您提供其用于身份验证的公钥,以及在客户端和服务器之间加密会话。此方案与Kerberos的区别是Kerberos要求联机安全服务器对用户进行验证。证书是自包含的数据分组,其中包括对用户进行验证所需的所有内容。但是,它要求某实体颁发证书。这可以通过公共服务(如VeriSign)完成,可通过内部证书服务器完成(当公司希望颁发自己的证书给雇员时)。
圣杯一次注册
SSO(一次注册)的概念很简单。用户只需要一次键入其用户名和密码(第一次登录时),以访问任何网络资源。在某些情况下,SSO甚至无需用户进一步提供证书即允许访问外部网络系统和因特网Web服务器。
Windows 2000网络通过使用Kerberos和Secure Sockets Layer (安全套接字层)协议可提高一次注册功能。这两种协议的优点是它们在混合网络环境中允许一次注册,而混合环境中的一些服务器可能是UNIX、Linux或也支持这两种协议的NetWare服务器。Microsoft SNA Server将SSO功能扩展到大型机环境。Microsoft声称Windows 2000是在异类网络中用作SSO集线器的最佳选择,原因是Windows 2000的SSO可以与其他供应商如此多的操作系统具有互操作性。在Windows 2000中,每个域控制器都是一个Kerberos密钥分发中心,该中心具有对应于该域的辖区。
SSL是由Netscape设计的一种开放协议;它指定了一种在应用程序协议(例如http、telnet、NNTP、FTP)和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL的主要目的是在两个通信应用程序之间提供私密信和可靠性。
任何SSO的一个重要特性是它可以附加到用作网络管理信息(包括用户帐户)的单个储备库的一些目录服务上。Novell NetWare和Microsoft Active Directory就是这样的目录服务。目录服务提供每个用户对整个网络中系统的权限和特权的一个权威性列表,这简化了管理和控制,并允许管理员在任何时候从单个位置更改登录特权和访问权限。
可以使用的SSO解决方案很多,在此将它们列出。
PassGo验证服务器 提供一次注册或单击访问公司企业网络上的所有资源,并有助于强化公司安全标准和规程。
Axent Technologies公司的企业安全管理器 企业安全管理器使得可以从单个位置自动化计划、管理和控制安全策略。
CyberSafe Trust Broker安全套件 这种套件的特点是多平台、一次注册验证,包括公钥和Kerberos加密。它保护一个组织的公司网和外部网免受内部和外部威胁。
Platinum Technologies公司的自动安全一次注册 AutoSecure SSO设计用于异类环境,包括大型机、分布式系统和PC。它不依赖于平台、应用程序、网络甚至其他安全机制。
ZOOMIT VIA 一个元目录服务,它使得设计、自定义和布署统一的企业目录服务变得容易。对于此讨论最重要的是,VIA对多个系统提供一次注册。
0条评论