인증되지 않은 브라우저에 대한 캡티브 포털(captive portal) 구성

인증되지 않은 사용자가 HTTP/HTTPS 브라우저를 사용하여 SRX 시리즈 보호 리소스에 대한 액세스를 요청하면 SRX 시리즈 방화벽은 사용자가 인증할 수 있도록 캡티브 포털 인터페이스를 제공합니다. 일반적으로 이 프로세스는 간섭 없이 발생합니다. 그러나 이 기능이 도입되기 전에는 Microsoft 업데이트 및 제어 검사와 같이 백그라운드에서 실행되는 HTTP/HTTPS 기반 워크스테이션 서비스가 HTTP/HTTPS 브라우저 기반 사용자의 액세스 요청이 수행되기 전에 캡티브 포털 인증을 트리거할 수 있었습니다. 상황은 경쟁 조건을 제기했습니다. 백그라운드 프로세스가 캡티브 포털을 먼저 트리거한 경우 SRX 시리즈 방화벽은 "401 Unauthorized" 페이지를 표시합니다. 서비스는 브라우저에 알리지 않고 페이지를 삭제했으며 브라우저 사용자에게 인증 포털이 제공되지 않았습니다. SRX 시리즈 방화벽은 서로 다른 SPU의 동일한 소스(IP 주소)에서 동시 인증을 지원하지 않았습니다.

Junos OS 릴리스 15.1X49-D90 및 Junos OS 릴리스 17.3R1부터 SRX 시리즈 방화벽은 웹 리디렉션 인증 지원을 포함하여 여러 SPU에서 동시 HTTP/HTTPS 패스스루 인증을 지원합니다. SPU가 CP를 쿼리하는 동안 HTTP/HTTPS 패킷이 도착하면 SRX 시리즈 방화벽은 나중에 처리할 패킷을 대기열에 넣습니다.

또한 다음 두 파라미터를 사용하여 HTTP/HTTPS 트래픽 처리 방법을 보다 효과적으로 제어할 수 있습니다.

• auth-only-browser—브라우저 트래픽만 인증합니다. 이 매개 변수를 지정하면 SRX 시리즈 방화벽이 HTTP/HTTPS 브라우저 트래픽을 다른 HTTP/HTTPS 트래픽과 구별합니다. SRX 시리즈 방화벽은 브라우저가 아닌 트래픽에 응답하지 않습니다. auth-user-agent 매개 변수를 이 컨트롤과 함께 사용하여 HTTP 트래픽이 브라우저에서 온 것인지 추가로 확인할 수 있습니다.

• auth-user-agent—HTTP/HTTPS 브라우저 헤더의 User-Agent 필드를 기반으로 HTTP/HTTPS 트래픽을 인증합니다. 구성당 하나의 사용자 에이전트 값을 지정할 수 있습니다. SRX 시리즈 방화벽은 트래픽이 HTTP/HTTPS 브라우저 기반인지 판단하기 위해 HTTP/HTTPS 브라우저 헤더의 User-Agent 필드에 대해 지정한 user-agent 값을 확인합니다.

  이 매개 변수를 auth-only-browser 매개 변수와 함께 사용하거나 통과 및 사용자 방화벽 방화벽 인증 모두에 단독으로 사용할 수 있습니다.

  auth-user-agent의 값으로 하나의 문자열만 지정할 수 있습니다. 공백을 포함해서는 안 되며 문자열을 따옴표로 묶을 필요가 없습니다.

  참고:

  Junos OS 17.4R1부터 소스 주소를 구성할 때 IPv4 주소 외에 IPv6 주소를 할당할 수 있습니다. IPv6 소스 주소를 구성하려면 계층 수준에서 [edit security policies from-zone trust to-zone untrust policy policy-name match source-address] 명령을 실행합니다any any-IPv6.

다음은 auth-only-browser 및 auth-user-agent 방화벽 인증 기능을 사용하도록 보안 정책을 구성하는 방법에 대한 몇 가지 예입니다.

For Pass-Through Authentication

auth-only-browser 매개 변수를 사용하는 통과 인증에 대한 보안 정책을 구성합니다.

auth-only-browser 없이 auth-user-agent 매개 변수를 사용하는 통과 인증에 대한 보안 정책을 구성합니다.

auth-user-agent 매개 변수와 함께 auth-only-browser를 사용하는 통과 인증에 대한 보안 정책을 구성합니다.

For User Firewall Authentication

auth-only-browser 매개 변수를 사용하는 사용자-방화벽 인증에 대한 보안 정책을 구성합니다.

auth-only-browser 없이 auth-user-agent 매개 변수를 사용하는 사용자 방화벽 인증에 대한 보안 정책을 구성합니다.

auth-user-agent 매개 변수와 함께 auth-only-browser를 사용하는 사용자 방화벽 인증을 위한 보안 정책을 구성합니다.

사용자가 캡티브 포털을 통해 인증하면 SRX 시리즈 방화벽이 방화벽 인증 모듈에서 얻은 정보를 기반으로 해당 사용자에 대한 인증 테이블 항목이 생성됩니다. 이 시점에서 기본 트래픽 기반 인증 시간 제한 논리가 항목에 적용됩니다.

관리자는 캡티브 포털을 통해 인증하는 비도메인 사용자의 인증 상태를 유지하는 기간을 제어하는 것이 중요합니다. 방화벽 인증 강제 시간 초과 기능을 통해 이러한 제어 기능을 사용할 수 있습니다. 이를 사용하면 도메인이 아닌 사용자가 무기한 인증된 상태로 유지되지 않습니다. 예를 들어, 캡티브 포털을 통해 인증된 비도메인 사용자의 디바이스와 트래픽 플로우가 연속적이라고 가정합니다. 기본 트래픽 기반 인증 시간 제한의 동작을 감안할 때 도메인이 아닌 사용자는 무기한 인증된 상태로 유지됩니다.

방화벽 인증 강제 시간 제한 값이 구성되면 트래픽 기반 시간 제한 논리와 함께 사용됩니다.

방화벽 인증 강제 시간 제한을 포함한 시간 제한 설정이 캡티브 포털을 통해 인증된 사용자의 Active Directory 인증 항목에 미치는 영향은 다음과 같습니다. 다음의 모든 경우에서, 캡티브 포털을 통해 사용자를 인증한 후 방화벽 인증 정보를 기반으로 사용자에 대한 인증 항목이 생성되었습니다.

• 방화벽 인증 강제 시간 제한은 3시간으로 설정됩니다.

  트래픽은 사용자에 대한 인증 항목과 연관된 디바이스에 의해 계속 수신되고 생성됩니다. 3시간이 지나면 인증 항목이 만료되지만, 이 시점에는 인증 항목에 대해 패킷 전달 엔진에 고정된 세션이 있습니다.

• 설정된 경우 방화벽 인증 강제 시간 초과가 적용되지 않습니다.

  인증 항목에는 고정된 세션이 없습니다. 인증 항목 시간 초과에 대해 설정된 시간(예: 30분)이 지나면 만료됩니다.

• 방화벽 인증 강제 시간 초과 구성이 삭제됩니다.

  방화벽 인증 강제 시간 초과는 새 인증 항목에 영향을 주지 않습니다. 방화벽 인증 강제 시간 제한은 삭제되기 전에 적용된 기존 인증 항목에 대해 계속 적용됩니다. 즉, 이러한 인증 항목의 경우 원래 강제 시간 제한 설정이 계속 적용됩니다.

• 방화벽 인증 강제 시간 제한 구성 설정이 변경되었습니다.

  새 tine-out 설정은 새로 들어오는 인증 항목에 적용됩니다. 기존 항목은 원래의 이전 설정을 유지합니다.

• 방화벽 인증 강제 시간 초과가 0으로 설정되어 비활성화됩니다.

  방화벽 인증 강제 시간 초과가 새 값으로 설정된 경우, 이 값은 들어오는 모든 인증 항목에 할당됩니다. 기존 인증 항목에 대한 방화벽 인증 강제 시간 초과 설정은 없습니다.

• 방화벽 인증 강제 시간 제한 값이 구성되지 않았습니다.

  • SRX 시리즈 방화벽은 사용자에 대한 인증 항목을 생성합니다. 기본 트래픽 기반 시간 초과 논리가 인증 항목에 적용됩니다.

  • Active Directory 시간 제한 값은 50분으로 구성됩니다. 50분의 트래픽 기반 시간 초과가 인증 항목에 적용됩니다.

  • Active Directory 시간 제한이 구성되지 않았습니다. 30분의 기본 트래픽 기반 시간 초과가 인증 항목에 적용됩니다.