Web认证配置举例

本节介绍一个Web认证的典型配置实例。

该实例对通过设备上网的用户进行控制：仅允许user1通过Web认证后上网，其它流量全部拒绝。认证服务器为本地服务器local。

请按照以下步骤进行配置：

第一步：创建用户。

1. 从工具栏的<对象用户>下拉菜单选择『本地用户』，弹出<本地用户>对话框。
2. 在<本地服务器>下拉菜单中选择“local”，然后点击列表中的『新建』按钮并在弹出的下拉菜单中选择“用户”。
3. 在弹出的<用户配置>对话框中，做如下配置：
• 名称：user1
• 密码：123456
• 重新输入密码：123456

3. 点击『确定』按钮保存所做配置并返回<本地用户>对话框。
4. 在<本地服务器>下拉菜单中选择“local”，然后点击列表中的『新建』按钮并在弹出的下拉菜单中选择“用户组”。
5. 在弹出的<用户组配置>对话框中，做如下配置：
• 名称：usergroup1
• 可选项目：选中user1

6. 点击『确定』按钮保存所做配置并返回<本地用户>对话框。

第二步：创建角色，并配置角色映射规则。

1. 从工具栏的<对象用户>下拉菜单选择『角色』，弹出<角色>对话框。
2. 点击列表中的『新建』按钮，并在弹出的下拉菜单中选择“角色”。
3. 在弹出的<角色配置>对话框中，创建角色并指定名称为“role1”，然后点击『确定』按钮返回<角色>对话框。
4. 点击列表中的『新建』按钮，并在弹出的下拉菜单中选择“角色映射”。
5. 在弹出的<角色映射配置>对话框中，做如下配置：
• 映射名称：role-mapping1
• 成员：依次选择“role1”、“用户组”、“usergroup1”，并点击『添加』按钮

6. 点击『确定』按钮保存所做配置并返回<角色>对话框。

第三步：配置地址簿和AAA服务器。

1. 从工具栏的<对象用户>下拉菜单选择『地址簿』，弹出<地址簿>对话框。
2. 点击『新建』按钮，弹出<配置地址簿>对话框。具体配置信息如下：
• 名称：addr_book
• 成员：分别选中并输入“IP/掩码”、“192.168.1.1”、“16”，点击『添加』按钮

3. 点击『确定』按钮并返回<地址簿>对话框。
4. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』，弹出<AAA服务器>对话框。
5. 在服务器列表中，选中本地服务器“local”，并点击列表上方的『编辑』按钮，弹出<本地服务器配置>对话框。
6. 在<角色映射规则>下拉菜单中选择“role-mapping1”，并点击『确定』按钮返回<AAA服务器>对话框。

第四步：配置接口与安全域。

1. 从页面左侧导航树选择并点击“配置网络网络连接”，进入网络连接页面。
2. 选中接口列表中ethernet0/0接口并点击『编辑』按钮，弹出<接口配置>对话框。具体配置信息如下：
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选择“trust”
• 类型：静态IP
• IP地址：192.168.1.1
• 网络掩码：16
3. 点击『确定』按钮保存所做配置。
4. 点击接口列表中ethernet0/1相对应的『编辑』按钮，弹出<接口配置>对话框。具体配置信息如下：
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选择“untrust”
• 类型：静态IP
• IP地址：66.1.200.1
• 网络掩码：16
5. 点击『确定』按钮保存所做配置并返回网络连接页面。

第五步：配置允许访问的策略规则。

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 点击列表左上方的『新建』按钮，弹出<策略配置>对话框。具体配置信息如下：
• 源安全域：trust
• 目的安全域：untrust
• 源地址：：Any
• 目的地址：Any
• 服务簿：DNS
• 行为：允许
3. 点击『确定』按钮保存所做配置。系统分配该策略条目的ID为2。
4. 点击列表左上方的『新建』按钮，弹出<策略配置>对话框。具体配置信息如下：
• 源安全域：trust
• 目的安全域：untrust
• 源地址：：addr_book
• 目的地址：Any
• 服务簿：Any
• 源用户：点击『多个』按钮，弹出<角色/用户/用户组>对话框。指定类型为“角色”，并在<角色>下拉菜单中选择“role1”，点击『添加』按钮
• 行为：允许
5. 点击『确定』按钮保存所做配置。系统分配该策略条目的ID为3。

第六步：开启设备的HTTP Web认证功能并且通过策略规则触发Web认证功能。

1. 从页面左侧导航树选择并点击“配置网络用户识别”，进入Web认证参数配置页面。
2. 对Web认证参数做如下修改：
• 认证模式：HTTP
• HTTP端口：8181
3. 点击『确定』按钮保存所做配置。
4. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
5. 点击列表左上方的『新建』按钮，弹出<策略配置>对话框。具体配置信息如下：
• 源安全域：trust
• 目的安全域：untrust
• 源地址：：addr_book
• 目的地址：Any
• 服务簿：Any
• 源用户：点击『多个』按钮，弹出<角色/用户/用户组>对话框。指定类型为“角色”，并在<角色>下拉菜单中选择“UNKNOWN”，点击『添加』按钮
• 行为：依次选择“安全连接”、“Web认证”、“local”
6. 点击『确定』按钮保存所做配置。系统分配该策略条目的ID为1。

以上配置完成后，系统会对所有来自192.168.1.1/16网段的HTTP请求（有可达路由的外部地址）进行Web认证，只有在认证页面输入用户名和密码分别为user1和123456，才可以访问网络。