本片文章主要介绍Client authentication,使用防火墙内置用户比较简单,本文介绍结合Radius服务器进行认证。
相比user认证和session认证。client认证的优势在于支持所有类型的服务。user认证只支持ftp,http,telnet三种,命令行下ftp和telnet认证可以实现,http实现起来效果不好。而Session认证需要在计算机上安装会话代理。 配置Client Authentication主要分四个步骤,Radius服务器配置本文不介绍,测试推荐使用winradius绿色软件。
CheckPoint防火墙支持3中认证访问,分别是user认证,session认证和client认证。
1.通过建立Radius Server对象.
- 填写Radius服务对象的名称(自定义)。
- host选择刚才新建的节点。
- service一般选择NEW-RADIUS,这要根据Radius服务器的端口来决定的。NEW-RADIUS是UDP1812端口。
- 共享密钥按照服务器端设置填写。其他不用改。
2.建立用户。
这里要详细说一下,有两种匹配用户的方式。
另一种是每用户匹配方式。即在防火墙逐一添加用户,为用户指定特定的认证方法。本次文章主要介绍每用户匹配方式,因为我们要用控制用户访问权限,当然要针对不同用户添加不同的策略,这样才能起到因人而治的认证理念。
添加用户很简单,点击manage - Users and Administrator,点击new,选择Standard_User。设置一个用户名,认证方式选择Radius。其他不用设置。
规划多个用户组,将不同权限用户分配到不同用户组中。 3.建立防火墙策略。
源指定为用户组,目的指定目标网络,动作选择为client auth。下发策略。
4.访问认证。
认证过程,在R75版本以后,http类的访问请求会触发认证页面,直接输入用户名密码即可。R75版本之前,则需要手动登录到防火墙的认证页面,即HTTP://防火墙IP:900,通过用户名密码进行验证。