防火牆選項卡web認證

A. 神碼防火牆DCFW-1800S-H-L怎麼通過web登錄

對通過設備上網的用戶進行控制：僅允許user1通過Web認證後上網，其他流量全部拒絕。配置步驟如下：
第一步：配置Web認證管理。
WebUI：「網路†Web認證†認證配置」
¨ 啟用web認證：勾選，以啟用web認證服務；
¨ 模式：選擇HTTP模式，默認埠為8181；
¨ 頁面超時：260；

圖 106 配置WEB認證
第二步：配置用戶。
WebUI：「對象用戶†新建用戶」
¨ 名稱：user1；
¨ 密碼：123456；
¨ 重新輸入密碼：123456；

圖 107 配置用戶
第三步：配置策略。
WebUI：「安全†安全策略」
user1處於LAN域，外網口處WAN域，需要配置1條策略，如圖 108：

B. 如何讓防火牆充許web服務

沒說清楚啊你，猜猜：
你XP系統吧，在XP上開啟IIS服務的話，本地訪問沒問題的，127.0.0.1，其他機子訪問需要XP系統自帶的防火牆允許（其他軟體防火牆也有可能攔截），最簡單的方法就是關閉防火牆，當然你一定想開著而要允許的話你可以：
打開「控制面板」中的「安全中心」，點擊「防火牆」，打開「防火牆」對話框，選中「高級」選項卡，選中「本地連接」單擊設置，打開「高級設置」對話框選中「Web伺服器（HTTP）」。確定即可。這樣你的「防火牆」就不會攔截其他計算機對這台電腦的訪問了。

C. 目前在防火牆上提供了幾種認證方法

用戶是指訪問網路資源的主提，表示「誰」在進行訪問，是網路訪問行為的重要標識。

用戶分類：

上網用戶

內部網路中訪問網路資源的主體，如企業總部的內部員工。上網用戶可以直接通過FW訪問網路資源。

接入用戶

外部網路中訪問網路資源的主體，如企業的分支機構員工和出差員工。接入用戶需要先通過SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到FW，然後才能訪問企業總部的網路資源。

管理用戶

認證分類：

防火牆通過認證來驗證訪問者的身份，防火牆對訪問正進行的認證方式有：

本地認證

訪問者通過Portal認證頁面將標識其身份的用戶名和密碼發送給FW，FW上存儲了密碼，驗證過程在FW上進行，該方式稱為本地認證。

伺服器認證（Radius，LDAP等）

訪問者通過Portal認證頁面將標識其身份的用戶名和密碼發送給FW，FW上沒有存儲密碼，FW將用戶名和密碼發送至第三方認證伺服器，驗證過程在認證伺服器上進行，該方式稱為伺服器認證。

RADIUS（Remote Authentication Dial In User Service）、HWTACACS（HuaWei Terminal Access Controller Access Control System）、AD、LDAP（Lightweight Directory Access Protocol）認證伺服器，並在認證伺服器上存儲了用戶/組和密碼等信息。對於RADIUS、HWTACACS伺服器，管理員需要根據現有的組織結構，在FW上手動創建或者使用文件批量導入相應的用戶/組。對於AD或LDAP伺服器，管理員可以將AD或LDAP伺服器中的用戶信息導入到FW上，以便後續管理員可以在FW上通過策略來控制不同用戶/組對網路的訪問行為。

單點登錄

訪問者將標識其身份的用戶名和密碼發送給第三方認證伺服器，認證通過後，第三方認證伺服器將訪問者的身份信息發送給FW。FW只記錄訪問者的身份信息不參與認證過程，該方式稱為單點登錄（Single Sign-On）。

簡訊認證

訪問者通過Portal認證頁面獲取簡訊驗證碼，然後輸入簡訊驗證碼即通過認證。FW通過校驗簡訊驗證碼認證訪問者。

認證的目的：

在FW上部署用戶管理與認證，將網路流量的IP地址識別為用戶，為網路行為控制和網路許可權分配提供了基於用戶的管理維度，實現精細化的管理：

基於用戶進行策略的可視化制定，提高策略的易用性。基於用戶進行威脅、流量的報表查看和統計分析，實現對用戶網路訪問行為的追蹤審計。解決了IP地址動態變化帶來的策略控制問題，即以不變的用戶應對變化的IP地址。上網用戶訪問網路的認證方式：

免認證：

FW通過識別IP/MAC和用戶的雙向綁定關系，確定訪問者的身份。進行免認證的訪問者只能使用特定的IP/MAC地址來訪問網路資源。

會話認證：

當用戶訪問HTTP業務時，FW向用戶推送認證頁面，觸發身份認證。

一般指的都是本地認證） ----內置Portal認證
先發起HTTP/HTTPS業務訪問-------防火牆推送重定向認證頁面-----------客戶輸入用戶名和密碼----------認證成功，如果設置跳轉到最近的頁面，就跳轉。如果沒有設置跳轉，就不跳轉

事前認證

當用戶訪問非HTTP業務時，只能主動訪問認證頁面進行身份認證。

單點認證

AD單點登錄：企業已經部署了AD（Active Directory）身份驗證機制，AD伺服器上存儲了用戶/組和密碼等信息。管理員可以將AD伺服器上的組織結構和賬號信息導入到FW。對於AD伺服器上新創建的用戶信息，還可以按照一定的時間間隔定時導入。以便後續管理員可以在FW上通過策略來控制不同用戶/組對網路的訪問行為。

認證時，由AD伺服器對訪問者進行認證，並將認證信息發送至FW，使FW能夠獲取用戶與IP地址的對應關系。訪問者通過AD伺服器的認證後，就可以直接訪問網路資源，無需再由FW進行認證，這種認證方式也稱為「AD單點登錄」。

Agile Controller單點登錄

RADIUS單點登錄

RADIUS認證原理：

圖：旁路模式下RADIUS單點登錄示意圖

RADIUS單點登錄交互過程如下:

訪問者向接入設備NAS發起認證請求。

NAS設備轉發認證請求到RADIUS伺服器，RADIUS伺服器對用戶賬號和密碼進行校驗，並將認證通過的結果返回給NAS設備。NAS設備向RADIUS伺服器發送計費開始報文，標識用戶上線。

FW解析計費開始報文獲取用戶和IP地址的對應關系，同時在本地生成在線用戶信息。不同部署方式，FW獲取計費開始報文的方式不同：

直路：FW直接對經過自身的RADIUS計費開始報文進行解析。

旁路：NAS設備向RADIUS伺服器發送計費開始報文的同時還會向FW發送一份，FW對計費開始報文進行解析並對NAS設備做出應答。

此種部署方式需要NAS設備支持向FW發送計費開始報文的功能。

鏡像引流：NAS設備和RADIUS伺服器之間交互的計費開始報文不經過FW，需要通過交換機鏡像或分光器分光的方式復制一份計費開始報文到FW。FW對計費開始報文進行解析後丟棄。

訪問者注銷時，NAS設備向RADIUS伺服器發送計費結束報文，標識用戶下線。FW獲取計費結束報文並解析用戶和IP對應關系，然後刪除本地保存的在線用戶信息，完成注銷過程。

另外在用戶在線期間，NAS設備還會定時向RADIUS伺服器發送計費更新報文維持計費過程，FW獲取計費更新報文後將刷新在線用戶的剩餘時間。

接入用戶訪問網路資源的認證方式：

使用SSL VPN 技術

訪問者登錄SSL VPN模塊提供的認證頁面來觸發認證過程，認證完成後，SSL VPN接入用戶可以訪問總部的網路資源。

使用IPSec VPN技術

分支機構與總部建立IPSec VPN隧道後，分支機構中的訪問者可以使用事前認證、會話認證等方式觸發認證過程，認證完成後，IPSec VPN接入用戶可以訪問總部的網路資源。

L2TP VPN接入用戶

用戶認證原理用戶組織結構：

用戶是網路訪問的主體，是FW進行網路行為控制和網路許可權分配的基本單元。

認證域：用戶組織結構的容器。區分用戶，起到分流作用

用戶組/用戶：分為： 父用戶組 子用戶組 。

注意：一個子用戶組只能屬於一個父用戶組

用戶： 必配： 用戶名 密碼，其它都可以可選

用戶屬性：賬號有效期 允許多人登錄 IP/MAC綁定（不綁定 單向 雙向）

安全組：橫向組織結構的跨部門群組。指跨部門的用戶

規劃樹形組織結構時必須遵循如下規定：default認證域是設備默認自帶的認證域，不能被刪除，且名稱不能被修改。設備最多支持20層用戶結構，包括認證域和用戶，即認證域和用戶之間最多允許存在18層用戶組。每個用戶組可以包括多個用戶和用戶組，但每個用戶組只能屬於一個父用戶組。一個用戶只能屬於一個父用戶組。用戶組名允許重名，但所在組織結構的全路徑必須確保唯一性。用戶和用戶組都可以被策略所引用，如果用戶組被策略引用，則用戶組下的用戶繼承其父組和所有上級節點的策略。用戶、用戶組、安全的來源：手動配置CSV格式導入（批量導入）伺服器導入設備自動發現並創建在線用戶：

用戶訪問網路資源前，首先需要經過FW的認證，目的是識別這個用戶當前在使用哪個IP地址。對於通過認證的用戶，FW還會檢查用戶的屬性（用戶狀態、賬號過期時間、IP/MAC地址綁定、是否允許多人同時使用該賬號登錄），只有認證和用戶屬性檢查都通過的用戶，該用戶才能上線，稱為在線用戶。

FW上的在線用戶表記錄了用戶和該用戶當前所使用的地址的對應關系，對用戶實施策略，也就是對該用戶對應的IP地址實施策略。

用戶上線後，如果在線用戶表項超時時間內（預設30分鍾）沒有發起業務流量，則該用戶對應的在線用戶監控表項將被刪除。當該用戶下次再發起業務訪問時，需要重新進行認證。

管理員可以配置在線用戶信息同步，查看到已經通過認證的在線用戶，並進行強制注銷、全部強制注銷、凍結和解凍操作。

用戶認證總體流程：

圖：認證流程示意圖認證策略:

認證策略用於決定FW需要對哪些數據流進行認證，匹配認證策略的數據流必須經過FW的身份認證才能通過。

預設情況下，FW不對經過自身的數據流進行認證，需要通過認證策略選出需要進行認證的數據流。

如果經過FW的流量匹配了認證策略將觸發如下動作：

會話認證：訪問者訪問HTTP業務時，如果數據流匹配了認證策略，FW會推送認證頁面要求訪問者進行認證。事前認證：訪問者訪問非HTTP業務時必須主動訪問認證頁面進行認證，否則匹配認證策略的業務數據流訪問將被FW禁止。免認證：訪問者訪問業務時，如果匹配了免認證的認證策略，則無需輸入用戶名、密碼直接訪問網路資源。FW根據用戶與IP/MAC地址的綁定關系來識別用戶。單點登錄：單點登錄用戶上線不受認證策略控制，但是用戶業務流量必須匹配認證策略才能基於用戶進行策略管控。

認證匹配依據：

源安全區域、目的安全區域、源地址/地區、目的地址/地區。

注意：認證策略在匹配是遵循從上往下的匹配策略。

預設情況下，FW通過8887埠提供內置的本地Portal認證頁面，用戶可以主動訪問或HTTP重定向至認證頁面（https://介面IP地址:8887）進行本地Portal認證。

在線用戶信息同步功能的服務埠，預設值是8886。

用戶認證配置思路會話認證配置思路：第一步： 基本配置（通信正常） 第二步：新建用戶（供本地認證使用） 第三步：認證選項設置重定向跳轉到最近的頁面 注意：要點應用 第四步：默認重定向的認證埠為8887，需要放行安全策略 ip service-set authro_port type object service 0 protocol tcp source-port 0 to 65535 destination-port 8887 sec-policy rule name trust_loacl source-zone trust destination-zone local service authro_port action permit 第五步：配置認證策略 auth-policy rule name trust_untrust source-zone trust destination-zone untrust source-address 10.1.1.0 mask 255.255.255.0 action auth -------------------默認不認證，修改為認證 第六步：檢查 成功以後必須要有在線用戶 1617181920212223242526272829免認證配置思路：配置： auth-policy rule name no_auth source-zone trust destination-zone untrust source-address 10.1.1.2 mask 255.255.255.255 action no-auth 12345671234567AD單點登錄配置流程：

插件

Server伺服器部分
第一步：安裝AD域
第二步：安裝DNS伺服器----配置轉發器
第三步：下載AD SSO（在防火牆下載）

第四步：AD域新建組織單元，新建組，新建用戶（關聯許可權）
第五步：PC 加域（DNS修改為伺服器地址）
第六步：安裝AD SSO (建議安裝二次AD SSO）

聯動AD域聯動FW

第七步：組策略配置登錄和注銷腳本
調用AD SSO產生的login
格式;
伺服器地址 運行埠（AD SSO是一樣） 0/1 設置密鑰（Huawei@123）

第八步：PC刷新組策略

防火牆部分

第一步：新建防火牆與AD伺服器聯動

第二步：新建認證域

第三步：把AD伺服器用戶導入FW ，新建導入策略

第四步： 修改認證域新用戶，新用戶調用導入策略

第五步：導入用戶，到用戶列表檢查

第六步：配置認證策略
Trust區域到伺服器區域（DMZ）不能做認證

第七步：配置安全策略，匹配條件只能是AD域的用戶

注意：
FW本地到AD伺服器的安全策略
AD伺服器到FW本地安全策略

DNS的策略

檢查：
一定要看到在線用戶-----採用單點登錄

參考文檔：華為HedEx防火牆文檔。

D. H3C-f100防火牆怎麼使用web登陸

需要准備的工具：電腦，第三方軟體。

1、首先，在瀏覽器地址欄中輸入默認地址：192.168.0.1，進入到路由器的後台管理頁面，並登錄。

2、在功能擴展頁面選擇防蹭網防火牆功能選項。

3、點擊進入到防蹭網防火牆，默認這個功能為關閉狀態，把狀態切換到開啟。

4、開啟動能後，就能設置問題了，還可以自定設置自己的問題，這里以自定義設置為例。

5、設置完成後，可以看到後台的管理頁面，路由器會自動記錄設備的名稱和MAC，未認證的設備的不進行聯網。

6、同樣，無線端手機在使用這個wifi的時候，也是自動跳轉到認證頁面，需要輸入密碼保護答案才能上網。

E. 求助路由器無法開啟WEB認證功能

多數路由器都支持Web認證登錄，只需打開虛擬服務功能（一般在路由器的高級設置里，有的路由器在應用管理中），只是其自帶的這項功能縮水，使用起來很不方便。因此許多人採用刷DD-WRT的固件，然後安裝WIWIZ來實現Web認證登錄（使用這種方法，推薦使用LinksysWRT54G系列或TP-LINKWR841N）：

一、1. 系統需求

a、硬體： 已安裝了DD-WRT固件的無線路由器(典型的有LinksysWRT54G系列)

註：選用的DD-WRT版本必須具有Wifidog模塊，所以請選擇正確的DD-WRT版本（例如，對於WRT54Gv3，推薦使用dd-wrt.v24_nokaid_generic.bin）。

b、將無線路由器通過WAN口接入到Internet。

c、在無線路由器的Web用戶界面中啟用SSHD(或Telnet)功能。另外，需要確保：Cron服務已啟用、Wifidog服務已禁用、已啟用JFFS2支持。如不支持JFFS2或沒有足夠的JFFS2剩餘空間，則請參考下文【在不支持JFFS2的情況下的安裝方法】。

2. 在Wiwiz Web面板中創建熱點：

a、登錄到Wiwiz Web面板，訪問http://cp.wiwiz.com/as/ 。

b、點擊「管理熱點」，在接下來的頁面中點擊「創建熱點」。根據頁面的提示完成各項設置，點擊保存。就可以看到剛創建熱點的Hotspot ID。記下它，接下來的步驟將會用到它。

3. 安裝與設置HotSpot Builder Utility組件：

a、將一台PC連接至你的無線路由器，用telnet或者ssh方式連接到無線路由器(如，在PC上執行「telnet 192.168.1.1」)。

b、分別依次執行以下3條命令:

cd; wgethttp://dl.wiwiz.com/hsbuilder-util-latest-DD-WRT.tar.gz

cd /jffs; tar -zxf /tmp/root/hsbuilder-util-latest-DD-WRT.tar.gz

/jffs/usr/local/hsbuilder/hsbuilder_setup4dd-wrt.sh -dest /jffs setup

d、執行完第三條命令後，程序會分若干步要求你輸入一些設置信息，請按照提示完成設置。特別地，用戶將會被提示輸入External NIC 與 Internal NIC。External NIC 代表的是連接Internet的網路介面。Internal NIC 代表的是連接區域網的網路介面。如果不確定，直接打回車。

e、需要輸入的Hotspot ID就是在Wiwiz Web面板中創建的熱點的Hotspot ID（不是熱點的名稱）。User Name是在Wiwiz Web面板注冊的用戶名。

f、現在，如果沒有報錯信息，那麼安裝已經完成了。

g、最後，可以使用一個Wi-Fi客戶端(如帶WLAN適配器的PC或者支持Wi-Fi的行動電話)測試一下這個熱點：

- 搜索可用Wi-Fi熱點，並連接到你的熱點。

- 打開Web瀏覽器，輸入任何一個HTTP開頭的網址。如果熱點的認證頁面能夠顯示出來，就說明這個熱點已經正常運轉了。

二、【在不支持JFFS2的情況下的安裝方法】

1、若所用的DD-WRT版本不支持JFFS2或沒有足夠的JFFS2剩餘空間，也可以將Wiwiz HotSpot Builder Utility安裝在/tmp目錄或其他可存儲的目錄下，即通過Telnet或SSH連接至DD-WRT設備後依次執行以下3條命令（需要先將DD-WRT設備連接至Internet）：

cd; wgethttp://dl.wiwiz.com/hsbuilder-util-latest-DD-WRT.tar.gz

cd /tmp; tar -zxf /tmp/root/hsbuilder-util-latest-DD-WRT.tar.gz

/tmp/usr/local/hsbuilder/hsbuilder_setup4dd-wrt.sh -dest /tmp setup

2、注意：一般，DD-WRT設備重啟後/tmp將會被自動清空，之前的安裝設置也會失效。如果希望每次DD-WRT設備重啟後依然能保持Wiwiz的設置，可以嘗試以下方法：

a、將DD-WRT設備連接至Internet。

b、打開瀏覽器進入DD-WRT的Web管理界面（通常的地址是http://192.168.1.1），選擇「管理」->「命令」標簽頁，在「指令」中輸入以下內容（將HOTSPOTID和USERNAME分別替換為實際的Hotspot ID與Wiwiz用戶名）：

if [ ! -e "/tmp/usr/local/hsbuilder/hsbuilder.sh" ]; then

wget -O - "http://dl.wiwiz.com/hsbuilder-util-latest-DD-WRT.tar.gz"> /tmp/hsbuilder-util-latest-DD-WRT.tar.gz

cd /tmp; tar -zxf /tmp/hsbuilder-util-latest-DD-WRT.tar.gz

/tmp/usr/local/hsbuilder/hsbuilder_setup4dd-wrt.sh -dest /tmp qsetup -hotspotid HOTSPOTID -username USERNAME

fi

c、然後點擊「保存為防火牆指令」。之後，重啟DD-WRT設備，並等待數分鍾至Wiwiz客戶端載入完成。

三、若上述方法無效，可嘗試以下方法：

註：此安裝指南中描述的方案為非首選安裝方案，僅推薦用於某些簡易版本的DD-WRT。目前，此方式只能實現Wiwiz HotSpot Builder的基本功能，存在一些功能限制，包括：

- 如創建計費型熱點後，熱點使用者認證前無法訪問Paypal或支付寶在線充值

- 不支持黑/白名單地址列表管理

- 無法打開非內網的用戶自定義認證頁面URL

- 無法打開非內網的Wiwiz AuthAPI認證URL

- 訪問控制中的免認證功能

- 不支持智能伺服器地址切換，影響穩定性

1. 系統需求

硬體： 已安裝了DD-WRT固件的無線路由器（需要Wifidog支持）。

2. 設置步驟

a、將無線路由器接入Internet。設置好無線配置等。

b、點擊「服務」->「熱點」標簽頁（參考下圖）。

e、最後，可以使用一個Wi-Fi客戶端(如帶WLAN適配器的PC或者支持Wi-Fi的行動電話)測試一下這個熱點：

- 搜索可用Wi-Fi熱點，並連接到你的熱點。

- 打開Web瀏覽器，輸入任何一個HTTP開頭的網址。如果該熱點的認證頁面能夠顯示出來，就說明它已經正常運轉了。

四、必要的話，在路由器與區域網內電腦之間安裝硬體防火牆或軟體防火牆，增強內網安全性。