本片文章主要介紹Client authentication,使用防火牆內置用戶比較簡單,本文介紹結合Radius服務器進行認證。
相比user認證和session認證。client認證的優勢在於支持所有類型的服務。user認證只支持ftp,http,telnet三種,命令行下ftp和telnet認證可以實現,http實現起來效果不好。而Session認證需要在計算機上安裝會話代理。 配置Client Authentication主要分四個步驟,Radius服務器配置本文不介紹,測試推薦使用winradius綠色軟件。
CheckPoint防火牆支持3中認證訪問,分別是user認證,session認證和client認證。
1.通過建立Radius Server對象.
- 填寫Radius服務對象的名稱(自定義)。
- host選擇剛纔新建的節點。
- service一般選擇NEW-RADIUS,這要根據Radius服務器的端口來決定的。NEW-RADIUS是UDP1812端口。
- 共享密鑰按照服務器端設置填寫。其他不用改。
2.建立用戶。
這裏要詳細說一下,有兩種匹配用戶的方式。
另一種是每用戶匹配方式。即在防火牆逐一添加用戶,爲用戶指定特定的認證方法。本次文章主要介紹每用戶匹配方式,因爲我們要用控制用戶訪問權限,當然要針對不同用戶添加不同的策略,這樣才能起到因人而治的認證理念。
添加用戶很簡單,點擊manage - Users and Administrator,點擊new,選擇Standard_User。設置一個用戶名,認證方式選擇Radius。其他不用設置。
規劃多個用戶組,將不同權限用戶分配到不同用戶組中。 3.建立防火牆策略。
源指定爲用戶組,目的指定目標網絡,動作選擇爲client auth。下發策略。
4.訪問認證。
認證過程,在R75版本以後,http類的訪問請求會觸發認證頁面,直接輸入用戶名密碼即可。R75版本之前,則需要手動登錄到防火牆的認證頁面,即HTTP://防火牆IP:900,通過用戶名密碼進行驗證。