发布时间:2013-11-15
点击量:2580
应用场景
防火墙架设在出口位置,内网主机网关在防火墙上,现需要防火墙开启认证功能,内网用户需要通过身份认证成功后才能正常上外网,可控制用户上网权限,而不是随意电脑接入都可以上网,让网络更安全。同时又不希望内网用户看到设备接口IP地址,使用非接口IP地址认证。
功能原理
Web认证是一种对用户访问网络的权限进行控制的认证方法,这种认证方式不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行接入认证。未认证用户上网时,NGFW设备强制用户登录到特定站点。当用户需要使用互联网中的其它信息时,必须在Web认证服务器进行认证,只有认证通过后才可以使用互联网资源。如果用户试图通过HTTP 访问其他外网,将被强制访问Web认证网站,从而开始Web认证过程,这种方式称作强制认证。Web认证可以为用户提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等。
Web认证的基本概念主要有HTTP拦截、HTTP重定向。
Web认证的典型组网方式如下图所示,它由三个基本角色组成:认证客户端、认证设备、WEB认证服务器。
Web认证的角色:
1. 认证客户端:安装于用户终端设备上的客户端系统,为运行HTTP协议的浏览器,上网时将发出HTTP请求;
2.认证设备:启动Web认证功能的网络设备,在网络拓扑中如:接入层设备、网关(在这里指的是NGFW设备);
3.Web认证服务器:包括提供Web服务的Portal服务器,以及提供RADIUS认证功能的服务器。接受认证客户端认证请求的认证服务器端系统,提供免费门户服务和基于Web 认证的界面,与设备交互认证客户端的认证信息;在NGFW设备上,有单独的Portal服务器,支持与远端radius服务器通信,获取radius服务器上的认证信息。
Web认证过程主要过程:
1.在认证之前,认证设备将未认证用户发出的所有HTTP 请求都拦截下来,并重定向到Web认证服务器去,这样在用户的浏览器上将弹出一个认证页面;
2.在认证过程中,用户在认证页面上输入认证信息(用户名、口令、校验码等等)与Web认证服务器交互,完成身份认证的功能,用户名密码存在NGFW本地时,只需要与防火墙本地Portal交互,用户名密码存在radius服务器时,需要防火墙与radius服务器交互,进行用户认证。
3.在认证通过后,Web认证服务器将通知认证设备该用户已通过认证,认证设备将允许用户访问互联网资源。
_b519551283d64dc48691c275c7325211.webp "RG-AM5552-SF(V2)全光智分+主机")
_6e8c38b04c704f679e07b61f63953282.webp "RG-AM5528(ES)智分+主机")
