联想网御Power V系列配置案例集29(本地用户认证配置案例)

某企业需要对内网上网的用户做认证

29.2 网络拓扑

防火墙：内网地址192.168.83.207 ，地址211.211.211.211

内网网段为192.168.83.0/24

29.3 配置流程

（1）配置防火墙接口IP和公网网关；

（2）配置NAT规则和相应的安全策略；

（3）配置统一认证，使用web或者客户端软件认证；

（4）编辑防火墙安全策略，调用统一认证，配置严格的包过滤。

29.4 配置步骤

（1）配置防火墙接口地址，公网网关

进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内口地址。

进入【路由管理】-【基本路由】-【默认路由】-新建，设置公网网关为211.211.211.2，内网网段直连防火墙内网口，内网PC网关和防火墙内网口IP一致，确保连通性没有问题。

（2）配置NAT规则和相应的安全策略

进入【防火墙】-【地址】-【地址】-新建内网网段

先定义内网网段，便于下一步的调用。

进入【防火墙】-【策略】-【NAT策略】-新建内网上网所需的NAT规则

源地址是内网网段，源地址转换为防火墙公网地址，其他配置选项默认即可。

进入【防火墙】-【策略】-【安全策略】-放通内网上网的流量

源地址是内网网段，目的地址是任意，动作是允许，其他配置选项默认即可。

（3）配置统一认证，使用web或者客户端软件认证

进入【统一认证】-【角色管理】-【角色管理】建立角色

进入【统一认证】-【用户管理】-【用户管理】建立认证用户

进入【统一认证】-【认证配置】-【认证服务器配置】

认证端口默认，重定向URL默认的IP是10.1.5.2，需要更改为防火墙实际的内网口IP，其他参数不变，勾选日志，启用统一认证，选中本地认证，下面的配置默认不填，最后提交。

进入【统一认证】-【认证配置】-【认证策略配置】

以上步骤实现内网网段的数据从内网口eth1进入后，要先进行认证，认证后方可上网。

如下：

1）使用内网PC打开浏览器，便会弹出以下窗口进行web认证：

启用了首次登陆密码修改，即会弹出如下窗口：

2）或者使用客户端软件进行认证

初次使用需要配置系统设置，配置服务器IP地址和监听端口号，然后输入用户名密码登录：

启用了首次登陆密码修改，即会弹出如下窗口：

认证通过后，即可成功上网，可在防火墙统一认证 -> 用户信息 -> 在线用户查看目前的在线用户：

锁定用户：在锁定用户之后，该用户在锁定时间内不能再登录，认证时会提示用户被锁定，在过了锁定时间之后，方可重新登录。在该用户被永久锁定之后，只能通过管理员手动解锁。

（4）编辑防火墙安全策略，调用统一认证，配置严格的包过滤。

进入【防火墙】-【策略】-【安全策略】编辑前面配置的安全策略规则，角色列表出现了前面在统一认证里配置的角色callcenter，当你把它移到右边的角色成员，那么这条安全策略就是针对这个角色所做的策略，只放通FTP服务（放通服务已实际需求为准，可放通任意，也可放通个别），也就是说这个角色下的用户认证成功后，上网只能访问FTP服务。

当你有多个角色，且要对每个角色做，不同的角色允许访问的服务不一样，地址不一样等，就可以通过安全策略调用不同角色做相应的策略。安全策略规则是从上到下匹配的，注意匹配顺序。