在构建网络安全防线的过程中,本地Portal认证如同一座通往数字领域的安全大门。通过这一认证机制,用户在进入网络资源前需要通过本地Portal验证身份,确保仅有授权的个体能够穿越这个安全门槛,为网络安全构筑坚实的第一道防线。
今天的任务是实现防火墙本地Portal认证。又ENSP的PC机不支持网页,所以,我们需要借助VMware虚拟机。拓扑如下:
实验拓扑
实验需求
配置防火墙实现PC1访问外包进行网页认证(登录账号为USER/Huawei@123)
实验步骤
(1) 配置VMware虚拟机的PC与ENSP连接。
在ENSP配置如下图,这里采用VMware中的VMnet8连接的网卡。
ENSP PC1配置
在VMware中关闭VMnet8的DHCP功能。如下图:
关闭DHCP功能
完成这些配置后,在VMware虚拟机中,把win7该成自动获取IP地址。如下图:
自动获取IP地址
一起正常情况下,win7就能正常获取到防火墙上的GE1/0/1网段的地址,如下图:
正常获取IP地址
(2) 配置防火墙本地Portal认证
华为防火墙默认情况是开启了本地Portal认证,端口号是8887,我们只需要配置认证用户即可。
本地Portal认证
# 新建用户
user-manage user USER
password Huawei@123
# 配置认证策略
auth-policy
rule name AUTH_POLICY
source-zone trust
destination-zone untrust
source-address 10.1.12.0 mask 255.255.255.0
action auth
# 防火墙安全策略
security-policy
rule name trust->Local
source-zone trust
destination-zone local
service protocol tcp destination-port 8887
action permit
# 修改aaa下的默认域
domain default
service-type internetaccess
internet-access mode password
reference user current-domain验证本地Portal认证功能,默认情况下,是无法ping通外网的,需要Portal认证通过才能访问的,如下图:
Portal未认证
输入刚才设置的用户名和密码,就能通过Portal认证,如下图:
通过Portal认证
再次访问外网,就能顺利访问了,如下图:
成功访问外网
