防火墙选项卡web认证

A. 神码防火墙DCFW-1800S-H-L怎么通过web登录

对通过设备上网的用户进行控制：仅允许user1通过Web认证后上网，其他流量全部拒绝。配置步骤如下：
第一步：配置Web认证管理。
WebUI：“网络†Web认证†认证配置”
¨ 启用web认证：勾选，以启用web认证服务；
¨ 模式：选择HTTP模式，默认端口为8181；
¨ 页面超时：260；

图 106 配置WEB认证
第二步：配置用户。
WebUI：“对象用户†新建用户”
¨ 名称：user1；
¨ 密码：123456；
¨ 重新输入密码：123456；

图 107 配置用户
第三步：配置策略。
WebUI：“安全†安全策略”
user1处于LAN域，外网口处WAN域，需要配置1条策略，如图 108：

B. 如何让防火墙充许web服务

没说清楚啊你，猜猜：
你XP系统吧，在XP上开启IIS服务的话，本地访问没问题的，127.0.0.1，其他机子访问需要XP系统自带的防火墙允许（其他软件防火墙也有可能拦截），最简单的方法就是关闭防火墙，当然你一定想开着而要允许的话你可以：
打开“控制面板”中的“安全中心”，点击“防火墙”，打开“防火墙”对话框，选中“高级”选项卡，选中“本地连接”单击设置，打开“高级设置”对话框选中“Web服务器（HTTP）”。确定即可。这样你的“防火墙”就不会拦截其他计算机对这台电脑的访问了。

C. 目前在防火墙上提供了几种认证方法

用户是指访问网络资源的主提，表示“谁”在进行访问，是网络访问行为的重要标识。

用户分类：

上网用户

内部网络中访问网络资源的主体，如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。

接入用户

外部网络中访问网络资源的主体，如企业的分支机构员工和出差员工。接入用户需要先通过SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到FW，然后才能访问企业总部的网络资源。

管理用户

认证分类：

防火墙通过认证来验证访问者的身份，防火墙对访问正进行的认证方式有：

本地认证

访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上存储了密码，验证过程在FW上进行，该方式称为本地认证。

服务器认证（Radius，LDAP等）

访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上没有存储密码，FW将用户名和密码发送至第三方认证服务器，验证过程在认证服务器上进行，该方式称为服务器认证。

RADIUS（Remote Authentication Dial In User Service）、HWTACACS（HuaWei Terminal Access Controller Access Control System）、AD、LDAP（Lightweight Directory Access Protocol）认证服务器，并在认证服务器上存储了用户/组和密码等信息。对于RADIUS、HWTACACS服务器，管理员需要根据现有的组织结构，在FW上手动创建或者使用文件批量导入相应的用户/组。对于AD或LDAP服务器，管理员可以将AD或LDAP服务器中的用户信息导入到FW上，以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。

单点登录

访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三方认证服务器将访问者的身份信息发送给FW。FW只记录访问者的身份信息不参与认证过程，该方式称为单点登录（Single Sign-On）。

短信认证

访问者通过Portal认证页面获取短信验证码，然后输入短信验证码即通过认证。FW通过校验短信验证码认证访问者。

认证的目的：

在FW上部署用户管理与认证，将网络流量的IP地址识别为用户，为网络行为控制和网络权限分配提供了基于用户的管理维度，实现精细化的管理：

基于用户进行策略的可视化制定，提高策略的易用性。基于用户进行威胁、流量的报表查看和统计分析，实现对用户网络访问行为的追踪审计。解决了IP地址动态变化带来的策略控制问题，即以不变的用户应对变化的IP地址。上网用户访问网络的认证方式：

免认证：

FW通过识别IP/MAC和用户的双向绑定关系，确定访问者的身份。进行免认证的访问者只能使用特定的IP/MAC地址来访问网络资源。

会话认证：

当用户访问HTTP业务时，FW向用户推送认证页面，触发身份认证。

一般指的都是本地认证） ----内置Portal认证
先发起HTTP/HTTPS业务访问-------防火墙推送重定向认证页面-----------客户输入用户名和密码----------认证成功，如果设置跳转到最近的页面，就跳转。如果没有设置跳转，就不跳转

事前认证

当用户访问非HTTP业务时，只能主动访问认证页面进行身份认证。

单点认证

AD单点登录：企业已经部署了AD（Active Directory）身份验证机制，AD服务器上存储了用户/组和密码等信息。管理员可以将AD服务器上的组织结构和账号信息导入到FW。对于AD服务器上新创建的用户信息，还可以按照一定的时间间隔定时导入。以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。

认证时，由AD服务器对访问者进行认证，并将认证信息发送至FW，使FW能够获取用户与IP地址的对应关系。访问者通过AD服务器的认证后，就可以直接访问网络资源，无需再由FW进行认证，这种认证方式也称为“AD单点登录”。

Agile Controller单点登录

RADIUS单点登录

RADIUS认证原理：

图：旁路模式下RADIUS单点登录示意图

RADIUS单点登录交互过程如下:

访问者向接入设备NAS发起认证请求。

NAS设备转发认证请求到RADIUS服务器，RADIUS服务器对用户账号和密码进行校验，并将认证通过的结果返回给NAS设备。NAS设备向RADIUS服务器发送计费开始报文，标识用户上线。

FW解析计费开始报文获取用户和IP地址的对应关系，同时在本地生成在线用户信息。不同部署方式，FW获取计费开始报文的方式不同：

直路：FW直接对经过自身的RADIUS计费开始报文进行解析。

旁路：NAS设备向RADIUS服务器发送计费开始报文的同时还会向FW发送一份，FW对计费开始报文进行解析并对NAS设备做出应答。

此种部署方式需要NAS设备支持向FW发送计费开始报文的功能。

镜像引流：NAS设备和RADIUS服务器之间交互的计费开始报文不经过FW，需要通过交换机镜像或分光器分光的方式复制一份计费开始报文到FW。FW对计费开始报文进行解析后丢弃。

访问者注销时，NAS设备向RADIUS服务器发送计费结束报文，标识用户下线。FW获取计费结束报文并解析用户和IP对应关系，然后删除本地保存的在线用户信息，完成注销过程。

另外在用户在线期间，NAS设备还会定时向RADIUS服务器发送计费更新报文维持计费过程，FW获取计费更新报文后将刷新在线用户的剩余时间。

接入用户访问网络资源的认证方式：

使用SSL VPN 技术

访问者登录SSL VPN模块提供的认证页面来触发认证过程，认证完成后，SSL VPN接入用户可以访问总部的网络资源。

使用IPSec VPN技术

分支机构与总部建立IPSec VPN隧道后，分支机构中的访问者可以使用事前认证、会话认证等方式触发认证过程，认证完成后，IPSec VPN接入用户可以访问总部的网络资源。

L2TP VPN接入用户

用户认证原理用户组织结构：

用户是网络访问的主体，是FW进行网络行为控制和网络权限分配的基本单元。

认证域：用户组织结构的容器。区分用户，起到分流作用

用户组/用户：分为： 父用户组 子用户组 。

注意：一个子用户组只能属于一个父用户组

用户： 必配： 用户名 密码，其它都可以可选

用户属性：账号有效期 允许多人登录 IP/MAC绑定（不绑定 单向 双向）

安全组：横向组织结构的跨部门群组。指跨部门的用户

规划树形组织结构时必须遵循如下规定：default认证域是设备默认自带的认证域，不能被删除，且名称不能被修改。设备最多支持20层用户结构，包括认证域和用户，即认证域和用户之间最多允许存在18层用户组。每个用户组可以包括多个用户和用户组，但每个用户组只能属于一个父用户组。一个用户只能属于一个父用户组。用户组名允许重名，但所在组织结构的全路径必须确保唯一性。用户和用户组都可以被策略所引用，如果用户组被策略引用，则用户组下的用户继承其父组和所有上级节点的策略。用户、用户组、安全的来源：手动配置CSV格式导入（批量导入）服务器导入设备自动发现并创建在线用户：

用户访问网络资源前，首先需要经过FW的认证，目的是识别这个用户当前在使用哪个IP地址。对于通过认证的用户，FW还会检查用户的属性（用户状态、账号过期时间、IP/MAC地址绑定、是否允许多人同时使用该账号登录），只有认证和用户属性检查都通过的用户，该用户才能上线，称为在线用户。

FW上的在线用户表记录了用户和该用户当前所使用的地址的对应关系，对用户实施策略，也就是对该用户对应的IP地址实施策略。

用户上线后，如果在线用户表项超时时间内（缺省30分钟）没有发起业务流量，则该用户对应的在线用户监控表项将被删除。当该用户下次再发起业务访问时，需要重新进行认证。

管理员可以配置在线用户信息同步，查看到已经通过认证的在线用户，并进行强制注销、全部强制注销、冻结和解冻操作。

用户认证总体流程：

图：认证流程示意图认证策略:

认证策略用于决定FW需要对哪些数据流进行认证，匹配认证策略的数据流必须经过FW的身份认证才能通过。

缺省情况下，FW不对经过自身的数据流进行认证，需要通过认证策略选出需要进行认证的数据流。

如果经过FW的流量匹配了认证策略将触发如下动作：

会话认证：访问者访问HTTP业务时，如果数据流匹配了认证策略，FW会推送认证页面要求访问者进行认证。事前认证：访问者访问非HTTP业务时必须主动访问认证页面进行认证，否则匹配认证策略的业务数据流访问将被FW禁止。免认证：访问者访问业务时，如果匹配了免认证的认证策略，则无需输入用户名、密码直接访问网络资源。FW根据用户与IP/MAC地址的绑定关系来识别用户。单点登录：单点登录用户上线不受认证策略控制，但是用户业务流量必须匹配认证策略才能基于用户进行策略管控。

认证匹配依据：

源安全区域、目的安全区域、源地址/地区、目的地址/地区。

注意：认证策略在匹配是遵循从上往下的匹配策略。

缺省情况下，FW通过8887端口提供内置的本地Portal认证页面，用户可以主动访问或HTTP重定向至认证页面（https://接口IP地址:8887）进行本地Portal认证。

在线用户信息同步功能的服务端口，缺省值是8886。

用户认证配置思路会话认证配置思路：第一步： 基本配置（通信正常） 第二步：新建用户（供本地认证使用） 第三步：认证选项设置重定向跳转到最近的页面 注意：要点应用 第四步：默认重定向的认证端口为8887，需要放行安全策略 ip service-set authro_port type object service 0 protocol tcp source-port 0 to 65535 destination-port 8887 sec-policy rule name trust_loacl source-zone trust destination-zone local service authro_port action permit 第五步：配置认证策略 auth-policy rule name trust_untrust source-zone trust destination-zone untrust source-address 10.1.1.0 mask 255.255.255.0 action auth -------------------默认不认证，修改为认证 第六步：检查 成功以后必须要有在线用户 1617181920212223242526272829免认证配置思路：配置： auth-policy rule name no_auth source-zone trust destination-zone untrust source-address 10.1.1.2 mask 255.255.255.255 action no-auth 12345671234567AD单点登录配置流程：

插件

Server服务器部分
第一步：安装AD域
第二步：安装DNS服务器----配置转发器
第三步：下载AD SSO（在防火墙下载）

第四步：AD域新建组织单元，新建组，新建用户（关联权限）
第五步：PC 加域（DNS修改为服务器地址）
第六步：安装AD SSO (建议安装二次AD SSO）

联动AD域联动FW

第七步：组策略配置登录和注销脚本
调用AD SSO产生的login
格式;
服务器地址 运行端口（AD SSO是一样） 0/1 设置密钥（Huawei@123）

第八步：PC刷新组策略

防火墙部分

第一步：新建防火墙与AD服务器联动

第二步：新建认证域

第三步：把AD服务器用户导入FW ，新建导入策略

第四步： 修改认证域新用户，新用户调用导入策略

第五步：导入用户，到用户列表检查

第六步：配置认证策略
Trust区域到服务器区域（DMZ）不能做认证

第七步：配置安全策略，匹配条件只能是AD域的用户

注意：
FW本地到AD服务器的安全策略
AD服务器到FW本地安全策略

DNS的策略

检查：
一定要看到在线用户-----采用单点登录

参考文档：华为HedEx防火墙文档。

D. H3C-f100防火墙怎么使用web登陆

需要准备的工具：电脑，第三方软件。

1、首先，在浏览器地址栏中输入默认地址：192.168.0.1，进入到路由器的后台管理页面，并登录。

2、在功能扩展页面选择防蹭网防火墙功能选项。

3、点击进入到防蹭网防火墙，默认这个功能为关闭状态，把状态切换到开启。

4、开启动能后，就能设置问题了，还可以自定设置自己的问题，这里以自定义设置为例。

5、设置完成后，可以看到后台的管理页面，路由器会自动记录设备的名称和MAC，未认证的设备的不进行联网。

6、同样，无线端手机在使用这个wifi的时候，也是自动跳转到认证页面，需要输入密码保护答案才能上网。

E. 求助路由器无法开启WEB认证功能

多数路由器都支持Web认证登录，只需打开虚拟服务功能（一般在路由器的高级设置里，有的路由器在应用管理中），只是其自带的这项功能缩水，使用起来很不方便。因此许多人采用刷DD-WRT的固件，然后安装WIWIZ来实现Web认证登录（使用这种方法，推荐使用LinksysWRT54G系列或TP-LINKWR841N）：

一、1. 系统需求

a、硬件： 已安装了DD-WRT固件的无线路由器(典型的有LinksysWRT54G系列)

注：选用的DD-WRT版本必须具有Wifidog模块，所以请选择正确的DD-WRT版本（例如，对于WRT54Gv3，推荐使用dd-wrt.v24_nokaid_generic.bin）。

b、将无线路由器通过WAN口接入到Internet。

c、在无线路由器的Web用户界面中启用SSHD(或Telnet)功能。另外，需要确保：Cron服务已启用、Wifidog服务已禁用、已启用JFFS2支持。如不支持JFFS2或没有足够的JFFS2剩余空间，则请参考下文【在不支持JFFS2的情况下的安装方法】。

2. 在Wiwiz Web面板中创建热点：

a、登录到Wiwiz Web面板，访问http://cp.wiwiz.com/as/ 。

b、点击“管理热点”，在接下来的页面中点击“创建热点”。根据页面的提示完成各项设置，点击保存。就可以看到刚创建热点的Hotspot ID。记下它，接下来的步骤将会用到它。

3. 安装与设置HotSpot Builder Utility组件：

a、将一台PC连接至你的无线路由器，用telnet或者ssh方式连接到无线路由器(如，在PC上执行“telnet 192.168.1.1”)。

b、分别依次执行以下3条命令:

cd; wgethttp://dl.wiwiz.com/hsbuilder-util-latest-DD-WRT.tar.gz

cd /jffs; tar -zxf /tmp/root/hsbuilder-util-latest-DD-WRT.tar.gz

/jffs/usr/local/hsbuilder/hsbuilder_setup4dd-wrt.sh -dest /jffs setup

d、执行完第三条命令后，程序会分若干步要求你输入一些设置信息，请按照提示完成设置。特别地，用户将会被提示输入External NIC 与 Internal NIC。External NIC 代表的是连接Internet的网络接口。Internal NIC 代表的是连接局域网的网络接口。如果不确定，直接打回车。

e、需要输入的Hotspot ID就是在Wiwiz Web面板中创建的热点的Hotspot ID（不是热点的名称）。User Name是在Wiwiz Web面板注册的用户名。

f、现在，如果没有报错信息，那么安装已经完成了。

g、最后，可以使用一个Wi-Fi客户端(如带WLAN适配器的PC或者支持Wi-Fi的移动电话)测试一下这个热点：

- 搜索可用Wi-Fi热点，并连接到你的热点。

- 打开Web浏览器，输入任何一个HTTP开头的网址。如果热点的认证页面能够显示出来，就说明这个热点已经正常运转了。

二、【在不支持JFFS2的情况下的安装方法】

1、若所用的DD-WRT版本不支持JFFS2或没有足够的JFFS2剩余空间，也可以将Wiwiz HotSpot Builder Utility安装在/tmp目录或其他可存储的目录下，即通过Telnet或SSH连接至DD-WRT设备后依次执行以下3条命令（需要先将DD-WRT设备连接至Internet）：

cd; wgethttp://dl.wiwiz.com/hsbuilder-util-latest-DD-WRT.tar.gz

cd /tmp; tar -zxf /tmp/root/hsbuilder-util-latest-DD-WRT.tar.gz

/tmp/usr/local/hsbuilder/hsbuilder_setup4dd-wrt.sh -dest /tmp setup

2、注意：一般，DD-WRT设备重启后/tmp将会被自动清空，之前的安装设置也会失效。如果希望每次DD-WRT设备重启后依然能保持Wiwiz的设置，可以尝试以下方法：

a、将DD-WRT设备连接至Internet。

b、打开浏览器进入DD-WRT的Web管理界面（通常的地址是http://192.168.1.1），选择“管理”->“命令”标签页，在“指令”中输入以下内容（将HOTSPOTID和USERNAME分别替换为实际的Hotspot ID与Wiwiz用户名）：

if [ ! -e "/tmp/usr/local/hsbuilder/hsbuilder.sh" ]; then

wget -O - "http://dl.wiwiz.com/hsbuilder-util-latest-DD-WRT.tar.gz"> /tmp/hsbuilder-util-latest-DD-WRT.tar.gz

cd /tmp; tar -zxf /tmp/hsbuilder-util-latest-DD-WRT.tar.gz

/tmp/usr/local/hsbuilder/hsbuilder_setup4dd-wrt.sh -dest /tmp qsetup -hotspotid HOTSPOTID -username USERNAME

fi

c、然后点击“保存为防火墙指令”。之后，重启DD-WRT设备，并等待数分钟至Wiwiz客户端加载完成。

三、若上述方法无效，可尝试以下方法：

注：此安装指南中描述的方案为非首选安装方案，仅推荐用于某些简易版本的DD-WRT。目前，此方式只能实现Wiwiz HotSpot Builder的基本功能，存在一些功能限制，包括：

- 如创建计费型热点后，热点使用者认证前无法访问Paypal或支付宝在线充值

- 不支持黑/白名单地址列表管理

- 无法打开非内网的用户自定义认证页面URL

- 无法打开非内网的Wiwiz AuthAPI认证URL

- 访问控制中的免认证功能

- 不支持智能服务器地址切换，影响稳定性

1. 系统需求

硬件： 已安装了DD-WRT固件的无线路由器（需要Wifidog支持）。

2. 设置步骤

a、将无线路由器接入Internet。设置好无线配置等。

b、点击“服务”->“热点”标签页（参考下图）。

e、最后，可以使用一个Wi-Fi客户端(如带WLAN适配器的PC或者支持Wi-Fi的移动电话)测试一下这个热点：

- 搜索可用Wi-Fi热点，并连接到你的热点。

- 打开Web浏览器，输入任何一个HTTP开头的网址。如果该热点的认证页面能够显示出来，就说明它已经正常运转了。

四、必要的话，在路由器与局域网内电脑之间安装硬件防火墙或软件防火墙，增强内网安全性。