防火墙双因子认证的一些问题
- 0关注
- 0收藏,32浏览
H3C防火墙的双因子认证根据您的设备和需求,主要有两种实现路径:直接集成(适用于防火墙自身能支持短信等认证)和 对接第三方服务器(适用于需集成企业已有AD/LDAP等)。
方案一:防火墙直接集成(独立部署,适用性强)
这种方式将防火墙作为认证核心,不依赖外部服务器,配置简单。具体功能取决于设备型号和软件版本(Comware V7平台对短信网关和证书有较好支持),尤其适合Web管理界面(HTTP/HTTPS)的登录认证。
A. 短信认证
准备材料:向短信服务商(如亿美软通、阿里云、腾讯云等)申请并获得API接口地址、App ID、Secret Key等凭证。
创建短信网关:
[H3C] sms-gateway sg1 # 创建短信网关实例 [H3C-sms-gateway-sg1] server-address ***.*** # 短信平台API地址 [H3C-sms-gateway-sg1] http-method post # 根据平台选择GET或POST [H3C-sms-gateway-sg1] http-content "appid=xxx&secret=yyy&phOne=$phone&code=$code" # API请求参数 说明:部分新版平台支持直接使用<H3C> system-viewsms-platform命令选择内置的阿里云、腾讯云等,配置更简化。关联认证:进入
[H3C] web-authentication视图,设置authentication-mode为sms(或同时启用多种方式),并将短信网关sg1与认证策略绑定。同时在本地用户配置中,使用[H3C-luser-manage-admin] phone-number 13800000000命令为用户绑定接收验证码的手机号。
B. 数字证书+密码认证
这种方式通过数字证书对用户进行强身份校验,安全性高。
准备材料:准备好CA根证书文件(
ca1-root.cer)、防火墙本地证书文件(ca1-fw.cer)及对应的私钥文件(ca1-fw.key)。配置PKI:
[H3C] pki domain ca1<H3C> system-view
[H3C-pki-domain-ca1] ca identifier ca1
[H3C-pki-domain-ca1] certificate request url http://10.1.1.1 # 如有必要
[H3C-pki-domain-ca1] quit导入证书:通过FTP/TFTP将准备好的证书文件导入设备,或使用Web界面上传。
关联认证:
[H3C-luser-manage-admin] password simple your_password[H3C] local-user admin class manage
[H3C-luser-manage-admin] service-type web
[H3C-luser-manage-admin] authorization-attribute user-role network-admin
[H3C-luser-manage-admin] ca-name ca1 # 绑定用户与CA域
[H3C] web-authentication
[H3C-web-authentication] authentication-mode certificate # 启用证书认证
说明:用户登录时需提供证书和密码,实现双因子认证。
方案二:对接第三方认证服务器(集中管理,适用于SSL VPN等)
当需要与企业现有账号体系(如AD/LDAP)集成或为SSL VPN等高级业务提供双因子认证时,此方案是更好的选择。
部署第三方服务器:部署一台支持RADIUS协议的第三方双因子认证服务器,例如宁盾DKEY AM、H3C iMC等。
配置防火墙RADIUS:
[H3C] radius scheme 2fa_server<H3C> system-view
[H3C-radius-2fa_server] primary authentication 10.1.1.100 # 服务器IP
[H3C-radius-2fa_server] key authentication simple your_key # 共享密钥
[H3C-radius-2fa_server] user-name-format without-domain
[H3C-radius-2fa_server] quit [H3C] domain 2fa_domain
[H3C-isp-2fa_domain] authentication login radius-scheme 2fa_server
[H3C-isp-2fa_domain] authorization login radius-scheme 2fa_server
[H3C-isp-2fa_domain] accounting login radius-scheme 2fa_server应用认证域:
Web管理登录:在
user-interface vty 0 4下指定认证模式为scheme并关联2fa_domain。SSL VPN业务:在SSL VPN上下文配置中调用该认证域。
最后一步:验证与排错
配置完成后,务必进行验证测试。如果遇到问题,可以:
检查日志:使用
display logbuffer命令查看防火墙日志,定位是连接问题、协议问题还是用户凭证问题。开启调试:使用
debugging radius all或debugging web-auth all等命令查看详细的交互过程。测试连通性:确保防火墙与短信网关或RADIUS服务器网络可达,无安全策略阻断。
1. 对接动态令牌RADIUS服务器:
radius scheme dy_token
primary authentication [令牌服务器IP] 1812 key simple [预共享密钥]
primary accounting [令牌服务器IP] 1813 key simple [预共享密钥]
user-name-format without-domain
2. 配置认证域绑定双因子认证顺序:
domain sslvpn
authentication login local radius-scheme dy_token #先校验本地密码,再校验动态码
authorization login local
accounting login none
3. SSL VPN上下文绑定域并开启双因子:
ssl vpn context work
gateway ssl_gw
domain sslvpn enable
two-factor authentication enable
注意:
1. 变更前先执行save备份配置,放通防火墙到令牌/短信服务器的对应端口(RADIUS用1812/1813,短信网关用对应HTTP/HTTPS端口)
2. 排查用debug radius all、debug sslvpn all看认证交互报文,确认两个因子校验都通过。
若为管理员登录双因子,把domain sslvpn换成domain system,管理员账号绑定system域即可。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论