Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

租户系统的防火墙身份验证

瞻博网络 SRX 系列防火墙上为 Junos OS 18.3R1 版中的租户系统引入了防火墙身份验证功能,使您能够限制或允许单独或分组用户。身份验证请求是基于策略中定义的目标地址发起的。

了解租户系统防火墙身份验证

防火墙用户是指在跨防火墙启动连接时必须提供用于身份验证的用户名和密码的网络用户。

防火墙身份验证是一种基于策略的身份验证方法,需要用户通过 HTTP、FTP 或 Telnet 流量发起身份验证请求。

Junos OS 使管理员能够根据源 IP 地址和其他凭据限制和允许防火墙用户访问防火墙背后的受保护资源。

主管理员配置以下内容:

  • 租户系统中防火墙身份验证会话的最大和保留数。

  • 使用所有租户系统可用的层次结构中的 [edit access] 配置文件配置命令访问配置文件。

访问配置文件允许:

  • 存储用户的用户名和密码,或指向存储此类信息的外部身份验证服务器。

  • 包括身份验证方法、LDAP 或 RADIUS 服务器选项和会话选项的顺序。

  • 与租户系统中的安全策略相关联。

定义防火墙用户后,创建一个策略,要求用户通过 表 1 中定义的其中一种身份验证模式进行身份验证。

表 1:防火墙身份验证选项

身份验证选项

描述

支持的协议

支持的后端

Web 身份验证

用户使用 HTTP 连接到启用了 Web 身份验证并提示输入用户名和密码的设备上的 IP 地址。根据此身份验证结果,会允许或拒绝来自用户或主机的后续流量到受保护资源。

HTTP

HTTPS

当地

Ldap

半径

SecurId

直通

使用一个区域中的主机或用户的内联身份验证会尝试访问另一个区域上的资源。设备使用受支持的协议收集用户名和密码信息,并且会根据此身份验证结果允许或拒绝来自用户或主机的后续流量。

HTTP

HTTPS

Telnet

Ftp

当地

Ldap

半径

SecurId

Web 重定向

自动将客户端重定向到 WebAuth 页面,用于身份验证(http 或 https)

HTTP

HTTPS

当地

Ldap

半径

SecurId

集成用户防火墙

SRX 系列设备使用向 AD 提出的 WMI 客户端 (WMIC) 请求,在安全事件日志中获取 IP 地址到用户映射信息。

没有

Active Directory

用户防火墙

与传递相同,但用户信息传递到 USERID 进程以进入身份验证表

HTTP

HTTPS

当地

Ldap

半径

SecurId

租户系统管理员为租户系统中的防火墙身份验证配置以下属性:

  • 为匹配流量指定防火墙身份验证的安全策略。防火墙身份验证使用层级的防火墙身份验证配置语句 [edit security policies from-zone zone-name to-zone zone-name policy policy-name then permit] 指定。在访问配置文件中,可以通过策略来允许访问用户或用户组,可以选择使用客户端匹配配置语句指定。如果未指定任何用户或用户组,则允许任何成功通过身份验证的用户进行访问。

  • FTP、Telnet 或 HTTP 会话的身份验证类型(直通或 Web 身份验证)、默认访问配置文件和成功横幅。这些属性使用层次结构上的 [edit access] 防火墙身份验证配置语句进行配置。

    托管入站流量。允许协议、服务或两者同时访问租户系统。流量类型在或[edit security zones security-zone zone-name interfaces interface-name]层级使用host-inbound-traffic配置语句[edit security zones security-zone zone-name]进行配置。

为租户系统配置防火墙身份验证

此示例说明如何使用三种身份验证模式直通、Web 重定向直通和 Web 身份验证,通过一个租户系统向服务器发送从客户端到服务器的不同防火墙身份验证流量。

要求

此示例使用以下硬件和软件组件:

  • SRX4100设备

  • Junos OS 18.3R1 及更高版本

  • Telnet 或 HTTP

  • 外部身份验证服务器包括 RADIUS、LDAP 和 SecurID

请确保配置了以下配置,以从客户端向服务器发送防火墙身份验证流量:

  • 为租户系统配置安全区域

  • 配置由主管理员创建的接口

概述

当防火墙用户试图启动 Telnet、HTTP 或 HTTPS 会话以访问另一个区域中的资源时,SRX 系列防火墙会执行代理对防火墙用户进行身份验证,然后允许用户访问防火墙后面的 Telnet、HTTP 或 HTTPS 服务器。

在此示例中,您可以配置租户系统并将安全策略绑定到该租户系统。当来自客户端的流量从客户端发送到服务器(如图 1 所示)时,将根据安全策略中定义的身份验证过程对用户进行身份验证。

注意:

主管理员负责创建租户并将系统资源(如路由实例、路由实例中的接口和安全配置文件)分配给租户系统。
表 2:租户系统的防火墙配置

特征

名字

描述

安全配置文件

tn1_pf

安全配置文件的名称。此配置文件指定要分配给安全配置文件绑定的租户系统的资源。

接口

xe-0/0/1

xe-0/0/2

接口名称。接口提供流量连接。

访问配置文件

local_pf

radius_pf

securid_pf

访问配置文件的名称。这些配置文件用于定义用户和密码,以及获取有关用户访问权的授权信息。

SSL 终止配置文件

fwauthhttpspf

配置文件的名称。此配置文件用于 SSL 终端服务。

路由实例

vr1

作为虚拟路由实例的实例类型。

安全策略

p7

策略的名称。此策略用于使用 fwauthhttpspf SSL 终止配置文件配置直通防火墙身份验证。

p1

策略的名称。此策略用于使用local_pf访问配置文件配置直通防火墙身份验证。

p4

策略的名称。此策略用于配置使用radius_pf的直通 Web 重定向防火墙身份验证。

p3

策略的名称。此策略用于配置 Web 身份验证防火墙身份验证。

拓扑

图 1 显示了此配置示例中使用的拓扑。此拓扑中显示的租户是分区到多个租户的 SRX 系列防火墙。支持的外部服务器包括 RADIUS、LDAP 和 SecurID。从客户端到租户的通信通过 xe-0/0/1 接口进行,从租户到服务器的通信通过 xe-0/0/2 接口进行。

图 1:租户系统的 Topology for Tenant System拓扑

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入提交。

配置访问配置文件和防火墙身份验证

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器。

  1. tn1_pf配置安全配置文件并将其绑定到租户系统。

  2. 创建租户系统 tn1 并将安全配置文件tn1_pf绑定到租户系统。

  3. 定义用于 HTTPS 流量 SSL 终端服务的访问配置文件,以触发直通身份验证。

  4. 配置接口并分配 IP 地址。在 xe-0/0/1 接口上启用 Web 身份验证。

  5. 配置路由实例并添加接口。

逐步过程

主管理员负责在租户系统中配置访问配置文件。要配置访问配置文件:

  1. 创建用于防火墙身份验证的访问配置文件。访问配置文件将客户端定义为防火墙用户,以及为客户端提供防火墙身份验证访问权限的密码。当防火墙身份验证允许未经过身份验证的流量时,将根据此命令中配置的访问配置文件对用户进行身份验证。

  2. 创建访问配置文件以配置 RADIUS 服务器。

  3. 创建访问配置文件,将 SecurID 配置为用于外部身份验证的服务器。

逐步过程

配置不同的安全策略,以允许租户系统中使用直通(直接和 Web 重定向)和 Web 身份验证模式在区域之间传输 HTTP、HTTPS 和 Telnet 流量。

  1. 为 Telnet 流量的直通身份验证配置策略 p1。

  2. 为 HTTPS 流量的直通身份验证配置策略 p7。

  3. 配置策略 p4,以便使用 Web 重定向实现 HTTP 流量的通过身份验证。

  4. 为 HTTP 流量的 Web 身份验证配置策略 p3。

  5. 配置区域并将接口分配给租户系统中的每个区域。

  6. 定义 Telnet 会话的成功横幅。为租户系统中的应用程序配置防火墙身份验证直通和 Web 身份验证横幅。

结果

在配置模式下,输入 、 show system security-profileshow interfacesshow accessshow tenantsshow services ssl termination命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

验证防火墙用户身份验证以及监控身份验证表中的用户和 IP 地址

目的

租户系统的管理员可以使用 show security firewall-authentication usersshow security firewall-authentication history commands 查看有关防火墙用户和租户系统历史记录的信息。租户系统的管理员可以使用相同的命令来查看所有租户系统的信息。

行动

在操作模式下,输入以下命令 show 命令:

意义

输出显示经过身份验证的防火墙用户以及租户系统的用户的防火墙身份验证历史记录

另请参阅

了解租户系统中的集成用户防火墙支持

租户系统支持在共享和主动模式下进行用户防火墙身份验证。

从 Junos OS 19.1R1 版开始,使用共享模型的租户系统支持用户防火墙身份验证。在此模型中,主逻辑系统与租户系统共享用户防火墙配置和身份验证条目。主逻辑系统与租户系统共享身份验证数据,租户系统从本地身份验证、Active Directory (AD) 身份验证、防火墙身份验证、瞻博网络身份管理服务 (JIMS) 和 ClearPass 身份验证收集。

在共享模型中,用户防火墙相关配置在主逻辑系统下配置,例如身份验证源、身份验证源优先级、身份验证条目超时以及 IP 查询或单个查询等。用户防火墙为 SRX 系列防火墙上的应用程序提供用户信息服务,例如策略和日志记录。来自租户系统的流量会从主逻辑系统查询身份验证表。

认证表由主逻辑系统管理。租户系统共享身份验证表。来自主逻辑系统和租户系统的流量查询同一身份验证表。租户系统允许在安全策略中使用源身份。

例如,如果主逻辑系统配置了 员工 ,而租户系统配置了源身份 管理器,则此身份验证条目的参考组包括 员工管理器。此参考组包含来自主逻辑系统和租户系统的相同身份验证条目。

从 Junos OS 19.3R1 版开始,通过集成有源模式的 JIMS 使用自定义模型,增强了对用户防火墙身份验证的支持。在此模型中,租户系统从根级别提取身份验证条目。根据逻辑系统和租户系统名称,将主逻辑系统配置为 JIMS 服务器。在活动模式下,SRX 系列防火墙会主动查询通过 HTTPs 协议从 JIMS 服务器收到的正版条目。为了减少数据交换,我们应用了防火墙过滤器。

用户防火墙使用租户系统名称作为差异器,在 JIMS 服务器和 SRX 系列防火墙之间保持一致。JIMS 服务器发送身份验证条目中包含的差异器。当差异器设置为主逻辑系统的默认设置时,身份验证条目将分发到根逻辑系统中。

用户防火墙支持租户系统的不中断服务的软件升级 (ISSU),因为用户防火墙从 Junos OS 19.2R1 版开始更改内部数据库表格式。在 Junos OS 19.2R1 版之前,租户系统不支持 ISSU。

从 Junos OS 20.2R1 版开始,逻辑系统和租户系统支持使用统一访问控制 (UAC) 的用户防火墙身份验证。

在租户系统中使用用户防火墙身份验证的限制

在租户系统上使用用户防火墙身份验证有以下限制:

  • 不同租户系统下的 IP 地址不得重叠。如果地址重叠,则当不同用户在不同的租户系统下登录时,身份验证条目将发生变化。

在租户系统上的自定义模型中使用用户防火墙身份验证的限制

在租户系统上的自定义模型中使用用户防火墙身份验证有以下限制:

  • 在根逻辑系统下配置的 JIMS 服务器配置。

  • JIMS 服务器和 SRX 系列防火墙之间的租户系统名称应一致且唯一。

另请参阅

示例:为租户系统配置集成用户防火墙识别管理

此示例说明如何配置 SRX 系列防火墙的高级查询功能,以便从瞻博网络身份管理服务 (JIMS) 获取用户身份信息,以及与租户系统的源身份匹配的安全策略。在主逻辑系统中,用户防火墙配置了 JIMS,然后主逻辑系统管理来自 JIMS 的所有身份验证条目。在此示例中,主逻辑系统与租户系统共享身份验证条目。

要求

此示例使用以下硬件和软件组件:

  • 在机箱群集中运行的SRX1500设备

  • JIMS 服务器

  • Junos OS 版本 19.1 R1

概述

在此示例中,您可以在端口 443 和主服务器上配置 HTTPs 连接,在主逻辑系统上使用 IPv4 地址配置 JIMS,在租户系统 TN1 上配置具有 dc0 域的源身份“group1”的策略 p1,在租户系统 TN2 上配置带有 dc0 域的源身份“group1”的策略 p1,以及将流量从租户系统 TN1 发送到租户系统 TN2。即使在重新启动主节点之后,您也可以查看主逻辑系统和租户系统(TN1 和 TN2)上的身份验证条目。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

配置用户防火墙识别管理

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置用户防火墙识别管理,

  1. 以主管理员身份登录主逻辑系统并进入配置模式。

  2. 创建租户系统。

  3. 在租户系统 TN1 上配置具有源身份组 1 的安全策略TN1_policy1,以允许来自TN1_trust的流量TN1_trust。

  4. 配置允许TN1_trust TN1_untrust流量的安全策略TN1_policy2。

  5. 配置允许TN1_untrust流量TN1_trust的安全策略TN1_policy3。

  6. 配置安全区域并将接口分配给每个区域。

  7. 使用源身份组 1 配置安全策略TN2_policy1,以允许TN2_untrust流量在 TN2 上TN2_untrust。

  8. 配置安全区域并将接口分配给 TN2 上的每个区域。

  9. 将 JIMS 配置为使用主地址的高级查询请求的身份验证源。SRX 系列防火墙需要此信息与服务器联系。

  10. 在主逻辑系统上配置安全策略和区域。

  11. 配置安全区域并将接口分配给主逻辑系统上的每个区域。

结果

在配置模式下,输入命令以确认show services user-identification identity-managementshow chassis cluster您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

要确认配置工作正常,请执行以下任务:

验证机箱群集状态和身份验证条目

目的

验证租户系统中的身份验证条目。

行动

要验证配置是否工作正常,请输入 show services user-identification authentication-table authentication-source identity-management tenant TN1 命令。

意义

输出显示从主逻辑系统共享到租户系统的身份验证条目。

验证机箱群集状态

目的

重新启动主节点后验证机箱群集状态。

行动

要验证配置是否工作正常,请输入 show chassis cluster status 命令。

意义

输出显示重新启动主节点后 TN1 和 TN2 上现有的用户识别管理会话。

另请参阅

示例:在租户系统的定制模型中配置集成用户防火墙

此示例说明如何通过具有租户系统活动模式的瞻博网络身份管理服务 (JIMS) 服务器使用自定义模型来配置集成用户防火墙。主逻辑系统不会与租户系统共享身份验证条目。SRX 系列防火墙在主动模式下通过 HTTPs 协议查询从 JIMS 服务器收到的身份验证条目。

在此示例中,将执行以下配置:

  • 活动 JIMS 服务器配置

  • 租户系统 IP 查询配置

  • 租户系统身份验证条目配置

  • 租户系统安全策略配置

要求

此示例使用以下硬件和软件组件:

  • JIMS 服务器 2.0 版

  • Junos OS 19.3R1 版

开始之前,请确保您有以下信息:

  • JIMS 服务器的 IP 地址。

  • JIMS 服务器上用于接收 HTTPs 请求的端口号。

  • 来自活动查询服务器的 JIMS 服务器的客户端 ID。

  • 来自 JIMS 服务器的客户端密钥,用于活动查询服务器。

概述

在此示例中,您可以在端口 443 和主服务器上配置具有 HTTPs 连接的 JIMS,在主逻辑系统上使用 IPv4 地址配置策略 p2,并在租户系统上TSYS1配置带有源身份的策略 group1 p2。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入提交。

在自定义模型中配置集成用户防火墙:

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要以自定义模式配置集成用户防火墙,

  1. 将 JIMS 配置为使用主地址的高级查询请求的身份验证源。SRX 系列防火墙需要此信息与服务器联系。

  2. 为 TSYS1 配置 IP 查询延迟时间。

  3. 配置 TSYS1 的身份验证条目属性。

  4. 配置安全策略 p2,允许 TSYS1 不信任区域到区域信任的流量。

结果

在配置模式下,输入和 show tenants TSYS1 命令以确认show services user-identification logical-domain-identity-management您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

要确认配置工作正常,请执行以下任务:

验证用户标识身份管理状态

目的

将身份管理验证为身份验证源的用户识别状态。

行动

要验证配置是否工作正常,请输入 show services user-identification logical-domain-identity-management status 命令。

意义

输出显示有关高级用户查询功能批次查询和 IP 查询的统计数据,或显示瞻博网络身份管理服务服务器上的状态。

验证用户标识身份管理状态计数器

目的

验证作为身份验证源进行身份管理的用户识别计数器。

行动

要验证配置是否工作正常,请输入 show services user-identification logical-domain-identity-management counters 命令。

意义

输出显示有关高级用户查询功能批次查询和 IP 查询的统计数据,或显示瞻博网络身份管理服务服务器上的计数器。

验证用户标识认证表

目的

验证指定身份验证源的用户身份信息身份验证表条目。

行动

要验证配置是否工作正常,请输入 show services user-identification authentication-table authentication-source all tenant TSYS1 命令。

意义

输出根据用户名显示指定身份验证源的身份验证表或者特定域、组或用户的全部内容。根据用户设备的 IP 地址显示用户的身份信息。

版本历史记录表
释放
描述
19.3R1
从 Junos OS 19.3R1 版开始,通过集成有源模式的 JIMS 使用自定义模型,增强了对用户防火墙身份验证的支持。
19.1R1
从 Junos OS 19.1R1 版开始,使用共享模型的租户系统支持用户防火墙身份验证。在此模型中,主逻辑系统与租户系统共享用户防火墙配置和身份验证条目。主逻辑系统与租户系统共享身份验证数据,租户系统从本地身份验证、Active Directory (AD) 身份验证、防火墙身份验证、瞻博网络身份管理服务 (JIMS) 和 ClearPass 身份验证收集。