問題描述:
f100-C-G5防火牆 如何實現管理員登錄的雙因子認證 例如在登錄web管理是密碼+其他認證組合方式 最好是郵箱驗證碼 或者短信驗證碼 等
- 2025-05-21提問
- 舉報
-
(0)
最佳答案
通過認證服務器實現吧
通過USB-KEY方式登錄設備Web管理界麵典型配置
使用版本
本舉例是在F5000-AI-55-G的E9900版本上進行配置和驗證的。
組網需求
如圖所示,使用USB-KEY方式登錄防火牆設備,可以提供更高的安全性進行身份驗證,有效防止數據泄露和未授權訪問,Host通過HTTPS訪問防火牆Web管理頁麵。
配置思路
保證設備係統時鍾與CA證書服務器的時鍾同步,配置IP地址、路由及安全域,保證路由可達。
登錄CA證書服務器Web界麵,申請根證書和服務器證書。
將服務器證書導入到防火牆設備。
配置SSL服務器端策略,指定所使用的PKI域,並開啟驗證客戶端。
在設備上以證書內郵箱名前綴為用戶名,創建管理員用戶,並分配權限。
設置HTTPS端口號,並設置Web登錄設備的認證模式為證書登錄。
注意事項
需要保證設備的係統時鍾與CA證書服務器的時鍾同步,才可以正常使用設備來申請證書。
配置步驟
獲取證書
在申請證書前,請先安裝CA證書服務器(本例為Windows 2012 server),安裝過程中設置CA的名稱(本例為myca)其他使用默認值,同時保證設備的係統時鍾與CA的時鍾同步。有關CA證書服務器搭建請參見“安全配置指導”中的“PKI”。
申請根證書
使用IE瀏覽器,登錄http://192.168.200.201/certsrv,賬號密碼為登錄CA證書服務器的賬號密碼。
圖-2 證書首頁
點擊“下載CA證書、證書鏈或CRL”,進入CA證書下載界麵。
圖-3 CA證書下載
點擊下載CA證書,選擇下載的certnew.cer文件,雙擊查看。
圖-4 根證書
申請服務器證書
登錄http://192.168.200.201/certsrv,進入首頁,點擊“申請證書”。
圖-5 申請證書
點擊“高級證書申請”。
圖-6 申請高級證書
點擊“創建並向此CA提交一個申請”。
圖-7 創建申請
填寫服務器身份驗證證書信息,勾選“標記密鑰為可導出”。
圖-8 服務器證書申請
點擊“提交”按鈕,完成證書申請,此時證書狀態為掛起。
圖-9 證書掛起
頒發證書
登錄CA證書服務器,打開服務器管理器,選擇工具欄中的“證書頒發機構”,可查看當前掛起的申請。
圖-10 掛起的申請
選擇掛起的申請,點擊“頒發”,完成證書的頒發。
導出服務器證書
在證書申請界麵,點擊“查看掛起的證書申請的狀態”。
圖-11 查看證書
選擇服務器證書進行安裝,此時證書狀態為“已頒發”。
圖-12 證書狀態
點擊“安裝此證書”,完成證書安裝。
圖-13 完成安裝
打開IE瀏覽器設置中的“Internet選項”,選擇“內容”,點擊“證書”按鈕。
圖-14 已安裝證書
選擇服務器端證書,點擊“導出”按鈕,選擇連私鑰一起導出。
圖-15 導出私鑰
點擊“下一步”。
圖-16 導出格式
設置密鑰的密碼和導出的文件名。
圖-17 設置密碼
導出本地證書server.pfx成功。
圖-18 導出本地證書
Device配置
配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.10.2 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 192.168.20.2 255.255.255.0
[Device-GigabitEthernet1/0/2] quit
配置接口加入安全域
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達CA Server的下一跳IP地址為192.168.20.5,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 192.168.200.192 26 192.168.20.5
配置安全策略
# 配置名稱為trust-untrust的安全策略規則,允許Host訪問外網CA證書服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule 0 name trust-untrust
[Device-security-policy-ip-0-trust-untrust] source-zone trust
[Device-security-policy-ip-0-trust-untrust] destination-zone untrust
[Device-security-policy-ip-0-trust-untrust] action pass
[Device-security-policy-ip-0-trust-untrust] quit
# 配置名稱為untrust-trust的安全策略規則,使CA證書服務器可以與Host通信,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule 1 name untrust-trust
[Device-security-policy-ip-1-untrust-trust] source-zone untrust
[Device-security-policy-ip-1-untrust-trust] destination-zone trust
[Device-security-policy-ip-1-untrust-trust] action pass
[Device-security-policy-ip-1-untrust-trust] quit
[Device-security-policy-ip] quit
配置PKI域
# 創建並進入PKI域aaa
[Device] pki domain aaa
[Device-pki-domain-aaa] public-key rsa general name aaa
# 關閉CRL檢查
[Device-pki-domain-aaa] undo crl check enable
[Device-pki-domain-aaa] quit
上傳證書到設備,導入證書
# 使用FTP/TFTP將“獲取證書”申請的服務器證書上傳到設備,然後向PKI域中導入根證書。
[Device] pki import domain aaa der ca filename certnew.cer
The trusted CA"s finger print is:
MD5 fingerprint:52F5 B43F 5D19 7752 EAC8 840D 0458 F66D
SHA1 fingerprint:208B 1668 DCE9 3AF6 D9B2 9A82 1825 D357 E0F8 DA05
Is the finger print correct?(Y/N):y
# 輸入密碼,向PKI域中導入服務器證書。
[Device] pki import domain aaa p12 local filename server.pfx
Please input the password:
[Device]
配置SSL服務器端策略
# 創建SSL服務器端策略sss,指定該策略使用PKI域aaa。
[Device] ssl server-policy sss
[Device-ssl-server-policy-sss] pki-domain aaa
# 配置SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。
[Device-ssl-server-policy-sss] client-verify enable
[Device-ssl-server-policy-sss] quit
創建管理員用戶
# 創建管理員用戶,用戶名為客戶端證書中的郵箱名前綴abc。
[Device] local-user abc class manage
[Device-luser-manage-abc] service-type https
[Device-luser-manage-abc] password simple Admin@1234
[Device-luser-manage-abc] authorization-attribute user-role network-admin
[Device-luser-manage-abc] authorization-attribute user-role network-operator
[Device-luser-manage-abc] quit
配置HTTP服務和登錄認證模式
# 關閉HTTP和HTTPS服務。
[Device] undo ip http enable
[Device] undo ip https enable
# 設置HTTPS端口號和SSL服務器端策略。
[Device] ip https port 4430
[Device] ip https ssl-server-policy sss
# 設置使用數字證書方式登錄。
[Device] web https-authorization mode certificate
# 設置登錄設備的用戶名為郵箱名前綴
[Device] web https-authorization username email-prefix
# 再打開HTTP和HTTPS服務。
[Device] ip http enable
[Device] ip https enable
- 2025-05-21回答
- 評論(3)
- 舉報
-
(0)
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
認證用戶是沒問題。登錄用戶是否支持這種 建議聯係售前溝通下