一文讀懂防火墻本地Portal認證:讓你的網絡更安全!
作者:didiplus
今天的內容是實現防火墻本地Portal認證。又ENSP的PC機不支持網頁,所以,我們需要借助VMware虛擬機。
在構建網絡安全防線的過程中,本地Portal認證如同一座通往數字領域的安全大門。通過這一認證機制,用戶在進入網絡資源前需要通過本地Portal驗證身份,確保僅有授權的個體能夠穿越這個安全門檻,為網絡安全構筑堅實的第一道防線。
今天的任務是實現防火墻本地Portal認證。又ENSP的PC機不支持網頁,所以,我們需要借助VMware虛擬機。拓撲如下:
實驗拓撲
實驗需求
配置防火墻實現PC1訪問外包進行網頁認證(登錄賬號為USER/Huawei@123)
實驗步驟
(1) 配置VMware虛擬機的PC與ENSP連接。
在ENSP配置如下圖,這里采用VMware中的VMnet8連接的網卡。
ENSP PC1配置
在VMware中關閉VMnet8的DHCP功能。如下圖:
關閉DHCP功能
完成這些配置后,在VMware虛擬機中,把win7該成自動獲取IP地址。如下圖:
自動獲取IP地址
一起正常情況下,win7就能正常獲取到防火墻上的GE1/0/1網段的地址,如下圖:
正常獲取IP地址
(2) 配置防火墻本地Portal認證
華為防火墻默認情況是開啟了本地Portal認證,端口號是8887,我們只需要配置認證用戶即可。
本地Portal認證
# 新建用戶
user-manage user USER
password Huawei@123
# 配置認證策略
auth-policy
rule name AUTH_POLICY
source-zone trust
destination-zone untrust
source-address 10.1.12.0 mask 255.255.255.0
action auth
# 防火墻安全策略
security-policy
rule name trust->Local
source-zone trust
destination-zone local
service protocol tcp destination-port 8887
action permit
# 修改aaa下的默認域
domain default
service-type internetaccess
internet-access mode password
reference user current-domain驗證本地Portal認證功能,默認情況下,是無法ping通外網的,需要Portal認證通過才能訪問的,如下圖:
Portal未認證
輸入剛才設置的用戶名和密碼,就能通過Portal認證,如下圖:
通過Portal認證
再次訪問外網,就能順利訪問了,如下圖:
成功訪問外網
責任編輯:趙寧寧
來源:
攻城獅成長日記
