防火墙双因子认证的一些问题
- 0关注
- 0收藏,77浏览
H3C防火墙的双因子认证根据您的设备和需求,主要有两种实现路径:直接集成(适用于防火墙自身能支持短信等认证)和 对接第三方服务器(适用于需集成企业已有AD/LDAP等)。
方案一:防火墙直接集成(独立部署,适用性强)
这种方式将防火墙作为认证核心,不依赖外部服务器,配置简单。具体功能取决于设备型号和软件版本(Comware V7平台对短信网关和证书有较好支持),尤其适合Web管理界面(HTTP/HTTPS)的登录认证。
A. 短信认证
准备材料:向短信服务商(如亿美软通、阿里云、腾讯云等)申请并获得API接口地址、App ID、Secret Key等凭证。
创建短信网关:
[H3C] sms-gateway sg1 # 创建短信网关实例 [H3C-sms-gateway-sg1] server-address ***.*** # 短信平台API地址 [H3C-sms-gateway-sg1] http-method post # 根据平台选择GET或POST [H3C-sms-gateway-sg1] http-content "appid=xxx&secret=yyy&phOne=$phone&code=$code" # API请求参数 说明:部分新版平台支持直接使用<H3C> system-viewsms-platform命令选择内置的阿里云、腾讯云等,配置更简化。关联认证:进入
[H3C] web-authentication视图,设置authentication-mode为sms(或同时启用多种方式),并将短信网关sg1与认证策略绑定。同时在本地用户配置中,使用[H3C-luser-manage-admin] phone-number 13800000000命令为用户绑定接收验证码的手机号。
B. 数字证书+密码认证
这种方式通过数字证书对用户进行强身份校验,安全性高。
准备材料:准备好CA根证书文件(
ca1-root.cer)、防火墙本地证书文件(ca1-fw.cer)及对应的私钥文件(ca1-fw.key)。配置PKI:
[H3C] pki domain ca1<H3C> system-view
[H3C-pki-domain-ca1] ca identifier ca1
[H3C-pki-domain-ca1] certificate request url http://10.1.1.1 # 如有必要
[H3C-pki-domain-ca1] quit导入证书:通过FTP/TFTP将准备好的证书文件导入设备,或使用Web界面上传。
关联认证:
[H3C-luser-manage-admin] password simple your_password[H3C] local-user admin class manage
[H3C-luser-manage-admin] service-type web
[H3C-luser-manage-admin] authorization-attribute user-role network-admin
[H3C-luser-manage-admin] ca-name ca1 # 绑定用户与CA域
[H3C] web-authentication
[H3C-web-authentication] authentication-mode certificate # 启用证书认证
说明:用户登录时需提供证书和密码,实现双因子认证。
方案二:对接第三方认证服务器(集中管理,适用于SSL VPN等)
当需要与企业现有账号体系(如AD/LDAP)集成或为SSL VPN等高级业务提供双因子认证时,此方案是更好的选择。
部署第三方服务器:部署一台支持RADIUS协议的第三方双因子认证服务器,例如宁盾DKEY AM、H3C iMC等。
配置防火墙RADIUS:
[H3C] radius scheme 2fa_server<H3C> system-view
[H3C-radius-2fa_server] primary authentication 10.1.1.100 # 服务器IP
[H3C-radius-2fa_server] key authentication simple your_key # 共享密钥
[H3C-radius-2fa_server] user-name-format without-domain
[H3C-radius-2fa_server] quit [H3C] domain 2fa_domain
[H3C-isp-2fa_domain] authentication login radius-scheme 2fa_server
[H3C-isp-2fa_domain] authorization login radius-scheme 2fa_server
[H3C-isp-2fa_domain] accounting login radius-scheme 2fa_server应用认证域:
Web管理登录:在
user-interface vty 0 4下指定认证模式为scheme并关联2fa_domain。SSL VPN业务:在SSL VPN上下文配置中调用该认证域。
最后一步:验证与排错
配置完成后,务必进行验证测试。如果遇到问题,可以:
检查日志:使用
display logbuffer命令查看防火墙日志,定位是连接问题、协议问题还是用户凭证问题。开启调试:使用
debugging radius all或debugging web-auth all等命令查看详细的交互过程。测试连通性:确保防火墙与短信网关或RADIUS服务器网络可达,无安全策略阻断。
1. 对接动态令牌RADIUS服务器:
radius scheme dy_token
primary authentication [令牌服务器IP] 1812 key simple [预共享密钥]
primary accounting [令牌服务器IP] 1813 key simple [预共享密钥]
user-name-format without-domain
2. 配置认证域绑定双因子认证顺序:
domain sslvpn
authentication login local radius-scheme dy_token #先校验本地密码,再校验动态码
authorization login local
accounting login none
3. SSL VPN上下文绑定域并开启双因子:
ssl vpn context work
gateway ssl_gw
domain sslvpn enable
two-factor authentication enable
注意:
1. 变更前先执行save备份配置,放通防火墙到令牌/短信服务器的对应端口(RADIUS用1812/1813,短信网关用对应HTTP/HTTPS端口)
2. 排查用debug radius all、debug sslvpn all看认证交互报文,确认两个因子校验都通过。
若为管理员登录双因子,把domain sslvpn换成domain system,管理员账号绑定system域即可。
暂无评论
一、方案 1:本地账号 + USB Key(证书双因子)【最安全】
适用:管理员登录 Web/SSH,必须插 Ukey + 输密码才能进。
1. 先在防火墙上生成 CA 和用户证书(命令行)
plaintext
# 1) 生成CA根证书
pki entity CA
common-name CA
country CN
organization H3C
state BJ
locality BJ
pki domain CA
ca identifier CA
certificate request entity CA
key-usage key-encipherment data-encipherment digital-signature
# 自签名签发CA
pki create certificate ca domain CA
# 2) 生成管理员用户证书(admin)
pki entity admin
common-name admin
country CN
organization H3C
pki domain admin
ca identifier CA
certificate request entity admin
key-usage digital-signature
# 签发用户证书
pki create certificate local domain admin
2. 导出证书(导入 Ukey 用)
plaintext
# 导出CA根证书(PEM)
pki export ca domain CA pem filename ca.crt
# 导出用户证书(P12带私钥,设密码:123456)
pki export local domain admin p12 filename admin.p12 password simple 123456
→ 把 ca.crt 和 admin.p12 导入飞天诚信 / 渔翁 Ukey。
3. 开启双因子认证(Web+SSH)
plaintext
# 全局开启证书双因子
login-verify enable
login-verify mode certificate
# 绑定信任的CA
pki validate-certificate domain CA
# 本地用户绑定证书(必须同名)
local-user admin
password cipher Admin@123
service-type ssh https
authorization-attribute user-role network-admin
4. 验证
浏览器打开 https:// 防火墙 IP
插入 Ukey → 输入 Ukey PIN → 输入账号密码 → 登录成功
不插 Ukey 直接输密码:拒绝登录
二、方案 2:本地账号 + 动态口令(OTP,飞天诚信 / 安赛)【最常用】
适用:无 Ukey,用手机 APP / 令牌动态码 + 密码。
1. 配置动态口令服务器(RADIUS)
plaintext
# 动态口令服务器(飞天诚信举例:10.1.1.100)
dynamic-password-server otp-server
server-address 10.1.1.100
server-port 1812
shared-key cipher H3C@123 # 与OTP服务器一致
timeout 10
retry 2
# 启用Web/SSH双因子
web-authentication
authentication-mode dynamic-password
user-group admin-group
ssh server authentication-mode password+dynamic-password
2. 本地用户 + 用户组
plaintext
local-user-group admin-group
local-user admin
password cipher Admin@123
service-type ssh https
authorization-attribute user-role network-admin
group admin-group
3. 验证
登录时:
用户名:admin
密码:Admin@123
动态口令:6 位 OTP 码
三要素全对才允许登录。
三、方案 3:本地账号 + 短信验证码【最简单】
适用:运维临时登录、短信 + 密码。
1. 配置短信网关(以阿里云 / 企业短信为例)
plaintext
# 短信服务器
sms-server sms1
server-address smtp.h3c.com # 短信网关地址
server-port 8080
shared-key cipher Sms@123
sender 1069000000
# 全局启用短信双因子
login-verify enable
login-verify mode sms
2. 用户绑定手机号
plaintext
local-user admin
password cipher Admin@123
service-type ssh https
authorization-attribute user-role network-admin
phone-number 13800138000 # 必须填
3. 验证
登录时:
输入账号密码
点击 “获取验证码”
手机收 6 位短信 → 填入 → 登录
四、你最可能踩的坑(必看)
证书双因子:用户名必须和证书 CN 完全一致
证书 CN=admin → 本地用户名必须 = admin
不一致:Ukey 插了也不认
动态口令:防火墙时间要和 OTP 服务器同步
plaintext
ntp-service enable
ntp-service unicast-server 10.1.1.10
时差 > 30 秒:动态码永远错误
开启后登不进去?急救命令(console 口)
plaintext
<FW> system-view
[FW] undo login-verify enable
关闭双因子,先登录再排查。
五、一句话选方案
最高安全:选 方案 1(Ukey 证书)
企业标准:选 方案 2(动态口令 OTP)
临时 / 简易:选 方案 3(短信验证码)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论