【网络安全】【配置客户端认证】

第二章 防火安全墙技术实验 配置客户端认证 【实验名称】 配置客户端认证 【实验目的】 使用防火墙的客户端认证功能增强访问控制的安全性 【背景描述】 某企业使用使用防火墙作为网络出口设备。公司内部使用私有编址，因此在防火墙 上配置了 NAT 规则以使内部用户可以访问 Internet。但是为了避免非授权的用户使用公司带 宽资源访问 Internet，需要对客户端进行身份验证，只有通过身份验证的用户才能访问 Internet。此外，管理员不需要进行身份验证。 【需求分析】 为了使非授权用户无法通过防火墙访问 Internet，可以利用防火墙对客户端进行认证， 只有通过身份验证的用户才能访问 Internet。 【实验拓扑】 LAN 192.168.1.1/24 192.168.1.5/24 FTP 1.1.1.100/24 WAN 1.1.1.1/24 192.168.1.200/24 【实验设备】 防火墙 1 台 PC 3 台（其中一台模拟 Internet 的 FTP 服务器） Web 服务器软件程序 防火墙客户端认证程序 87 网络安全实验 【预备知识】 网络基础知识 防火墙工作原理 【实验原理】 RG-WALL 防火墙的访问控制功能可以对客户端的身份进行验证，只有客户端通过验证 后，才允许通过安全策略访问网络资源。 【实验】 第一步：配置防火墙接口的 IP 地址 进入防火墙的配置页面：网络配置—>接口 IP，单击<添加>按钮为接口添加 IP 地址。 为防火墙的 LAN 接口配置 IP 地址及子网掩码。 为防火墙的 WAN 接口配置 IP 地址及子网掩码。 88 第二章 防火安全墙技术实验 第二步：配置管理员的 NAT 规则 进入防火墙配置页面：安全策略—>安全规则，单击页面上方的按钮添加 NAT 规则。 第三步：配置内部用户的 NAT 规则 进入防火墙配置页面：安全策略—>安全规则，单击页面上方的按钮添加 NAT 规则。 在内部用户的 NAT 规则中，需要选中“用户认证”选项，这样防火墙将对内部用户进 行身份验证。 89 网络安全实验教程 配置完 NAT 规则后的规则列

表

关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf

。 第四步：验证测试 在管理员 PC 上访问外部的 FTP 服务器 1.1.1.100，可以成功访问，因为管理员的 NAT 规则中没有要求进行用户认证。 在内部用户 PC 上访问外部的 FTP 服务器 1.1.1.100，访问不成功！因为内部用户的 NAT 规则中要求进行用户认证。 90 第二章 防火安全墙技术实验 第五步：配置用户组 进入防火墙配置页面：用户认证—>用户组，单击<添加>按钮添加用户组。 用户组的认证协议使用“PAP”方式，并确认已选中“启用本组帐号”选项。 在“安全策略表”中点击<添加>按钮，设置允许该组用户从哪些地址和什么时间进行 登录，这里我们选择所有地址（any）和任何时间（无）。 在“可使用服务列表”中点击<添加>按钮，设置允许该组用户访问哪些地址、服务和 什么时间可以访问，这里我们选择所有地址（any）、所有服务（any）和任何时间（无）。 第六步：配置用户 进入防火墙配置页面：用户认证—>用户列表，单击<添加>按钮添加用户。 输入用户名和密码，将用户加入到之前创建的用户组中，并确认已选中“启用本帐号” 选项。 91 网络安全实验教程 第七步：配置安全规则 为了使客户端能够认证成功，需要添加一条安全规则，即允许内部用户到达防火墙的认 证流量。 进入防火墙配置页面：安全策略—>安全规则，单击<包过滤规则>按钮添加包过滤规则。 规则中的源地址为 192.168.1.0/24；目的地址为防火墙 LAN 接口的地址；服务选择 “firewall_auth”，这是客户端认证流量使用的端口号；检查流入网口选择“LAN”接口。 最后，需要将该规则的序号设置为 1，否则客户端的流量将匹配第二条 NAT 规则后进 行转换，导致客户端认证失败。 92 第二章 防火安全墙技术实验 配置完成后的规则列表。 第八步：配置客户端认证程序 客户端认证程序在防火墙随机光盘的 User Auth 文件夹中，双击 auth_client.exe 文件 启动该程序。 在“设置”菜单中选择“服务器”选项配置认证服务器。服务器地址即为防火墙的地址， 端口号使用默认的 9998。 在“功能”菜单中选择“连接”选项，输入在防火墙中创建的用户名和密码，点击<连 接>按钮进行认证。 93 网络安全实验教程 软件提示认证成功。 第九步：验证测试 在内部用户 PC 上访问外部的 FTP 服务器 1.1.1.100，此时可以成功访问，因为已经通 过了身份认证。 【注意事项】 防火墙的 NAT 规则是按照顺序进行匹配的，如果数据流匹配到某条规则后，将不再进 行后续规则的匹配。所以需要将管理员的 NAT 规则放置在内部用户的 NAT 规则前面，并且 将用户认证的包过滤规则放置在内部用户的 NAT 规则前面。 94