42-旁路认证和阻断配置举例
本章节下载: 42-旁路认证和阻断配置举例 (340.82 KB)
目 录
本文档介绍设备的旁路认证和阻断功能配置举例,设备上配置旁路认证和阻断功能之后,针对用户识别范围内的用户会进行旁路认证或者旁路阻断,对于没有认证的用户发送http 302报文重定向,防火墙控制策略为拒绝时,对匹配上安全策略的TCP报文发送reset报文,阻止用户访问网络。
开启旁路认证后需要配置用户认证策略,开启旁路阻断后需要配置控制策略。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解旁路认证和阻断的特性。
如图1所示,某企业对内网用户50.1.1.3-100/24工作时间都将进行用户认证和内网用户50.1.1.101-254/24工作时间都进行行为控制,不提供任何NAT,DHCP或者DNS服务。部署在交换机旁边,通过镜像的方式,仅仅提供认证和阻断的功能。旁路模式不修改网络结构,不关心网络细节,关机也不掉线,不会影响企业内部网络。
· 配置设备接口地址。
· 配置设备旁路部署。
· 配置设备旁路认证。
· 配置设备旁路阻断。
· 配置用户识别范围。
· 配置用户认证策略。
· 配置控制策略。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入“网络配置>接口配置>物理接口”,点击ge6<编辑>按钮,配置ge6的IP地址为50.1.1.2/24。
(2) 配置部署方式
如图3所示,进入“网络配置>基础网络>部署方式”,配置勾选ge8口启用。
图3 配置部署方式
(3) 配置旁路认证和阻断
如图4所示,进入“网络配置>基础网络>部署方式>高级配置”,配置旁路认证和旁路阻断。
图4 配置旁路认证和旁路阻断
(4) 配置内网用户地址对象
如图5所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>按钮创建内用户地址对象50.1.1.0/24、50.1.1.3和50.1.1.101,点击<提交>。
(5) 配置用户识别范围
如图6所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“50.1.1.0”,其它配置默认,提交配置。
(6) 配置用户认证策略
如图7所示,进入“用户管理>认证管理>认证策略”,新建一条认证方式为本地认证的认证策略,源地址选择50.1.1.3,其它配置默认,<提交>策略。
(7) 配置控制策略
如图8所示,进入“策略配置>控制策略”,源地址选择50.1.1.101,行为选择拒绝,其它配置默认,<提交>策略。
图8 配置控制策略
· 用户认证策略和控制策略的源接口以及目的接口必须配置接收镜像流量的旁路部署接口或者是any。
· 旁路认证和阻断务必保证旁路设备到上网PC可达,否则功能无法使用。
· 旁路阻断只针对于TCP报文生效,对于UDP、ICMP等报文无法进行阻断。
如图9所示, 内网用户(50.1.1.3)访问外网需要进行本地认证,本地认证成功后,访问外网成功。
如图10所示,内网用户(50.1.1.101)访问外网资源会被阻断。
!
!
interface ge6
ip address 50.1.1.2/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
allow access center-monitor
!
interface ge7
!
interface ge8
!
interface ge9
deploy-mode listen enable
policy any any 50.1.1.101 any any any any always any deny 1
policy default-action permit
policy white-list enable
!
!policy-decrypt
!
policy listen block enable
!
user-policy listen authentication enable
user-policy https-portal enable
user-policy any any 50.1.1.3 any always local-webauth enable test no-record forever
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!