[系统运维]HCIE-Security Day19：防火墙用户认证（一）

?

指的是fw或者第三方服务器提供认证页面对用户进行认证。

Portal，入口。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。它提供了一种较为简单的用户认证方法，对用户而言，相对其它认证方式更易于使用。它有两大特色：

? 免客户端

只需要网页浏览器（如IE）支持，即可为用户提供认证服务，不需要安装专门的客户端或者拨号程序。免客户端软件对于像宾馆、酒店等公共网络节点，免客户端软件是一个基本要求。

? 新业务载体

利用Portal认证的门户功能，运营商可以将小区广播、广告、信息查询、网上购物等业务放到Portal上。用户上网时会强制地看到上述信息。

Portal认证的基本方式是通过在Portal页面的显著位置设置认证窗口，用户开机获取IP地址后，通过登录Portal认证页面进行认证，认证通过后即可访问Internet。

关于portal认证的更多理解，可以移步什么是portal 认证 （转） - 简书 (jianshu.com)https://www.jianshu.com/p/398d5701639e

写的比较详细。

fw内置portal认证

根据触发方式的不同，分为事前认证和会话认证。

?事前认证，也即主动Portal：用户必须知道PORTAL服务器的IP地址，主动登陆PORTAL服务器进行认证，之后才能访问网络。如果用户需要通过多种业务形式访问网络资源，建议使用事前认证。

?会话认证，也即强制Portal：未认证用户访问网址，都会先强制重定向到PORTAL服务器进行认证，用户不需要记忆Portal服务器的IP地址。如果用户只使用单一的http业务（80端口）访问网络资源，建议适用会话认证，非http业务报文会被fw丢弃。

自定义portal认证

单独部署外部portal服务器，比如华为agile controller（指安装了agile controller的服务器）。fw收到访问者的http业务时，将http请求重定向到agile controller的portal认证页面，由agile controller处理认证请求。根据fw是否参与用户认证，分为两种。

方式一：fw不参与用户认证

由portal服务器独立完成用户认证。

方式二：fw参与用户认证

用户在fw中首次上线后，如果用户终端的ip地址频繁变更，当fw收到访问者的请求时仍可能提示用户再次认证，此时可以采用方式二。

如果用户终端的ip地址发生变更，fw将在一段时间内（ac配置的mac地址有效时间内）向ac发起用户mac认证，在mac认证过程中无需用户输入认证信息（用户无感知），方便用户访问业务。?如果ac无响应或者mac认证失败，fw将向用户推送portal认证页面。用户重新进行认证。

免认证

用户不输入用户名和密码就可以完成认证并访问网络资源。注意免认证不是不认证。免认证虽然用户不需要输入用户名和密码，但是fw可以获取到用户和ip地址的对应关系，从而基于用户进行策略管理。

适用场景

免手工输入

安全要求严格

实现思路

将本地用户名和ip、mac或者ip-mac双向绑定，fw通过识别ip/mac和用户的双向绑定关系，确定访问者的身份，进行免认证的访问者只能适用特定的ip/mac地址来访问网络资源。

上网用户单点登录

fw不是认证点，通过获取其他认证系统的用户登录消息，使用户在fw上线。

ad单点登录

经过ad服务器认证后，自动通过fw认证，由此访问响应网络资源。

实现方式

安装单点登录服务程序接收pc消息

管理员在ad监控器上部署ad单点登录服务，在ad服务器上设置登录脚本和注销脚本，同时在fw上配置ad单点登录参数，接收ad单点登录服务发送的用户登录/注销消息。

登录过程

1、访问者登录ad域，ad server 向用户返回登录成功消息并下发登录脚本

2、访问者pc执行登录脚本，将用户登录信息发送给ad监控器

3、ad监控器连接到ad服务器查询登录用户信息，如果能查询到该用户的信息则转发用户登录信息到fw

4、fw从登录信息中提取用户和ip的对应关系添加到在线用户表。

安装单点登录服务程序查询ad服务器安全日志

管理员需要在ad监控器上部署ad单点登录服务，同时在fw上配置ad单点登录参数，接收ad单点登录服务发送的用户登录消息。

用户上线过程

1、访问者登录ad域，ad server记录用户上线信息到安全日志中

2、ad监控器通过ad服务器提供的wmi接口，连接到ad服务器查询安全日志，获取用户登录消息

3、ad监控器转发用户登录消息到fw，用户在fw上线。

fw监控ad认证报文

无需在ad服务器上安装程序，fw通过监控访问者登录ad server的认证报文获取认证结果，如果认证成功将用户和ip对应关系添加到在线用户表。

当fw部署在访问者和ad服务器之间时，fw可以直接获取认证报文，如果认证报文未经过fw，则需要将ad server发给访问者的认证结果报文镜像到fw。