• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6614)-6W102

目录

16-APP认证功能典型配置举例

本章节下载 16-APP认证功能典型配置举例  (591.12 KB)

16-APP认证功能典型配置举例


1  简介

本文档介绍设备的APP认证功能配置举例,在配置前,先了解如下定义:

·     APP认证:主要应用在金融、连锁商超等用户场景,与设备联动,因为这些客户场景(如金融网点,连锁商超)有专门的办公APP应用,办公人员本身已经拥有合法的APP实名账号,为了对这一类用户实现实名认证以及上网行为管控,传统的解决方案是需要在设备侧重新创建一份认证账号用于认证上网。对于客户或网络管理员而言,需要同时维护设备和APP两套用户认证账号,非常不方便。为了解决这一问题,设备可以直接通过指定的规则分析和监听APP应用登录报文中的账号并进行提取,然后将提取到的账号直接作为合法认证用户的身份标识,将用户加入在线用户列表,并可选择将监听到的账号录入到设备本地,以用于后续基于实名账号的上网行为管控,以此来实现设备认证和APP应用的联动。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

在配置前,需要做如下准备:

·     客户已经拥有自己的APP客户端程序,且APP登录账号交互为明文方式。

·     本文档假设您已了解APP认证特性。

3  APP认证功能配置举例

3.1  组网需求

图1所示,某连锁商超内网办公网段的IP地址为172.16.11.0/24,其中三层交换机172.16.11.1/24作为网关,使用自研办公APP,设备作为网关出口设备。

·     需要对商超内登录APP的办公人员进行实名认证,要求设备侧在线用户能实名显示哪些办公人员在线。

·     对商超内所有办公用户的上网行为进行控制,不允许办公用户访问P2P下载、网络电视以及网络游戏。

·     当有新办公人员的移动终端加入商超连网时可以通过设备的推送页面直接下载APP应用。

图1 APP认证组网图

 

3.2  配置思路

·     配置网络接口

·     配置静态路由

·     配置源NAT

·     获取APP账号规则和服务器地址

·     配置APP认证参数

·     配置APP用户组

·     配置地址对象

·     配置APP认证策略

·     配置控制策略

3.3  使用版本

本举例是在R6614版本上进行配置和验证的。

3.4  配置步骤

(1)     配置网络接口

图2图3所示,进入“网络配置>接口配置”,点击编辑ge3、ge0接口,把ge0、ge3的地址分别配置为172.16.10.2/24、172.16.30.2/24。

图2 配置ge2接口

 

图3 配置ge0接口

 

(2)     配置静态路由

图4所示,进入“网络管理>路由管理>静态路由”页面,新建配置访问外网的默认路由。

图4 配置静态路由

 

(3)     配置源NAT

(2)图4所示,进入“策略配置>NAT转换策略>源NAT”页面,新建配置ge0接口源NAT。

图5 配置源NAT

 

(4)     获取APP账号规则和服务器地址

(2)图4所示,使用办公人员终端登录APP,整个过程使用抓包获取APP账号登录的报文,过滤HTTP 登录报文,查找用户名字段所在位置。

图6 抓包获取APP账号登录的报文

得到服务器地址:192.168.0.254

得到用户起始字符:os_username=   结束字符:&

同时网络内指定的APP下载服务器地址为:192.168.2.50,各客户端软件均放在此HTTP服务器上。

(5)     配置APP认证参数

图7所示,进入“用户管理>认证管理>认证方式>APP认证”,配置APP认证参数,点击<提交>。

图7 配置APP认证参数

 

(6)     配置APP用户组

如下图所示,进入“用户管理 > 用户组织结构 ”页面,点击<新建>选择”组”,配置完成后提交。

图8 配置APP用户组

 

(7)     配置地址对象

如下图所示,进入“策略管理 > 对象管理>地址对象”页面,点击<新建>,配置完成后提交。

图9 配置地址对象

 

(8)     配置APP认证策略

图10所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,源接口选择内网口ge3,源地址选择“认证用户”,认证方式使用“APP认证”,提交策略。

图10 配置APP认证策略

 

(9)     配置控制策略

如下图所示,进入“策略配置>控制策略”页面,点击<新建>,选择<应用过滤>-<应用控制>,将P2P软件、P2P流媒体、网络游戏等应用配置为阻断,提交配置。

图11 配置控制策略

 

3.5  配置注意事项

·     APP认证参数配置中必须将HTTP服务器地址和APP认证服务器地址放通。

·     认证用户网段必须在用户识别范围中,否则会导致不能正常认证。

·     APP下载链接为HTTP时,放通APP服务器的流量只能通过配置IP实现,不能配置域名,报文交互中域名被加密了提取不到对应的域名。

·     APP认证不支持HTTP加密应用中的用户名提取。

·     APP账号登录支持GET和POST两种方式,POST登录方式如举例所示,用户名需要在HTTP POST表单中,GET登录方式用户名需要在GET 头部字段中如:GET/login.html?account=test0&mac=48-a1-95-57-6e-93&ipaddr=172.16.11.170 HTTP/1.1

·     APP账号监控不支持结果检验,账号登录失败,或账号不存在的情况下,也能监控到用户输入的账号正常上线。

3.6  验证配置

图12所示,用户在认证之前访问网络会弹出认证页面,点击认证页面上的下载按钮,可以直接下载对应的APP应用程序。

图12  认证portal页面

 

如下图所示,用户打开APP应用登录账号,会直接在设备侧认证成功,并加入在线用户列表

图13 在线用户

 

如下图所示,登录成功的用户会被录入到设备本地用户组织结构对应的用户组中。

图14 用户组织结构

 

如下图所示,用户访问爱奇艺会直接被阻断,产生阻断日志。

图15 阻断日志

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们