• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(F6610)-6W104

49-旁路认证和阻断配置举例

本章节下载  (425.45 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/H3C_ACG1000_CE(F6610)-3321/202204/1587518_30005_0.htm

49-旁路认证和阻断配置举例


1  简介

本文档介绍ACG1000设备旁路认证和阻断功能配置举例,ACG设备上配置旁路认证和阻断功能之后,针对用户识别范围内的用户会进行旁路认证或者旁路阻断,对于没有认证的用户发送http 302报文重定向,防火墙控制策略为拒绝时,对匹配上安全策略的TCP报文发送reset报文,阻止用户访问网络。

开启旁路认证后需要配置用户认证策略,开启旁路阻断后需要配置IPV4控制策略。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解旁路认证和阻断的特性。

3  旁路认证和阻断配置举例

3.1.1  组网需求

图1所示,某企业对内网用户50.1.1.3-100/24工作时间都将进行用户认证和内网用户和50.1.1.101-254/24工作时间都进行行为控制,不提供任何NAT,DHCP或者DNS服务。部署在交换机旁边,通过镜像的方式,仅仅提供认证和阻断的功能。旁路模式不修改网络结构,不关心网络细节,关机也不掉线,不会影响企业内部网络。

图1 旁路认证和阻断组网

 

3.1.2  配置思路

·     配置设备接口地址。

·     配置设备旁路部署。

·     配置设备旁路认证。

·     配置设备旁路阻断。

·     配置用户识别范围。

·     配置用户认证策略。

·     配置IPv4控制策略。

3.1.3  使用版本

本举例是在F6610版本上进行配置和验证的。

3.1.4  配置步骤

(1)     配置接口地址

图2所示,进入“网络管理>接口>物理接口”,点击ge6<编辑>按钮,配置ge6的IP地址为50.1.1.2/24。

图2 配置接口地址

 

(2)     配置部署方式

图3所示,进入“系统管理>部署方式”,配置勾选ge8口启用。

图3 配置部署方式

 

(3)     配置旁路认证和阻断

图4所示,进入“系统管理>部署方式>高级配置”,配置旁路认证和旁路阻断。

图4 配置旁路认证和旁路阻断

 

(4)     配置内网用户地址对象

图5所示,进入“上网行为管理>对象管理>地址对象>IPv4地址对象”,点击<新建>按钮创建内用户地址对象50.1.1.0/24、50.1.1.3和50.1.1.101,点击<提交>。

图5 配置内网用户地址对象

 

(5)     配置用户识别范围

图6所示,进入“用户管理>高级选项>全局配置”页面,识别范围选择“50.1.1.0”,其它配置默认,提交配置。

图6 用户识别范围

 

(6)     配置用户认证策略

图7所示,进入“用户管理>认证策略”,新建一条认证方式为本地认证的认证策略,源地址选择50.1.1.3,其它配置默认,<提交>策略。

图7 配置用户认证策略

 

(7)     配置IPv4控制策略

图8所示,进入“上网行为管理>IPv4控制策略”,源地址选择50.1.1.101,行为选择拒绝,其它配置默认,<提交>策略。

图8 配置IPv4控制策略

 

3.1.5  配置注意事项

·     用户认证策略和IPV4策略的源接口以及目的接口必须配置接收镜像流量的旁路部署接口或者是any。

·     旁路认证和阻断务必保证旁路设备到上网PC可达,否则功能无法使用。

·     旁路阻断只针对于TCP报文生效,对于UDP、ICMP等报文无法进行阻断。

3.1.6  验证配置

图9所示, 内网用户(50.1.1.3)访问外网需要进行本地认证,本地认证成功后,访问外网成功。

图9 内网用户需要进行本地认证

 

图10所示,内网用户(50.1.1.101)访问外网资源会被阻断。

图10 内网用户访问外网阻断

 

4  配置文件

!

!

interface ge6

 ip address 50.1.1.2/24

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

 allow access center-monitor

!

interface ge7

!

interface ge8

!

interface ge9

 deploy-mode listen enable

policy any any 50.1.1.101 any any any any always any deny 1

policy default-action permit

policy white-list enable

!

!policy-decrypt

!

policy listen block enable

!

user-policy listen authentication enable

user-policy https-portal enable

user-policy any any 50.1.1.3 any always local-webauth enable test no-record forever

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们