交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
应用场景
防火墙架设在出口位置,内网主机网关在防火墙上,现需要防火墙开启认证功能,内网用户需要通过身份认证成功后才能正常上外网,可控制用户上网权限,而不是随意电脑接入都可以上网,让网络更安全。同时又不希望内网用户看到设备接口IP地址,使用非接口IP地址认证。
功能原理
Web认证是一种对用户访问网络的权限进行控制的认证方法,这种认证方式不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行接入认证。未认证用户上网时,NGFW设备强制用户登录到特定站点。当用户需要使用互联网中的其它信息时,必须在Web认证服务器进行认证,只有认证通过后才可以使用互联网资源。如果用户试图通过HTTP 访问其他外网,将被强制访问Web认证网站,从而开始Web认证过程,这种方式称作强制认证。Web认证可以为用户提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等。
Web认证的基本概念主要有HTTP拦截、HTTP重定向。
Web认证的典型组网方式如下图所示,它由三个基本角色组成:认证客户端、认证设备、WEB认证服务器。
Web认证的角色:
1. 认证客户端:安装于用户终端设备上的客户端系统,为运行HTTP协议的浏览器,上网时将发出HTTP请求;
2.认证设备:启动Web认证功能的网络设备,在网络拓扑中如:接入层设备、网关(在这里指的是NGFW设备);
3.Web认证服务器:包括提供Web服务的Portal服务器,以及提供RADIUS认证功能的服务器。接受认证客户端认证请求的认证服务器端系统,提供免费门户服务和基于Web 认证的界面,与设备交互认证客户端的认证信息;在NGFW设备上,有单独的Portal服务器,支持与远端radius服务器通信,获取radius服务器上的认证信息。
Web认证过程主要过程:
1.在认证之前,认证设备将未认证用户发出的所有HTTP 请求都拦截下来,并重定向到Web认证服务器去,这样在用户的浏览器上将弹出一个认证页面;
2.在认证过程中,用户在认证页面上输入认证信息(用户名、口令、校验码等等)与Web认证服务器交互,完成身份认证的功能,用户名密码存在NGFW本地时,只需要与防火墙本地Portal交互,用户名密码存在radius服务器时,需要防火墙与radius服务器交互,进行用户认证。
3.在认证通过后,Web认证服务器将通知认证设备该用户已通过认证,认证设备将允许用户访问互联网资源。