防火墙认证是什么？

在我们深入探讨防火墙认证之前，先快速回顾一下什么是防火墙以及它是如何工作的。

防火墙是一种网络安全设备，帮助组织监控进出网络流量，并根据一组安全规则允许或阻止数据包。防火墙的主要目标是在我们的内部网络与来自其他来源（例如互联网）的入站流量之间创建一道屏障，从而阻止病毒和黑客等恶意流量进入。

防火墙如何工作？

为防止攻击，防火墙会使用预定义的规则仔细评估入站流量，并过滤掉来自不安全或可疑来源的流量。防火墙在计算机的端口上保护流量，端口是与外部设备共享数据的点。在允许的情况下，“源地址 172.18.1.1 被允许通过端口 22 与目标 172.18.2.1 通信。”

例如，网络所有者有权使用连接到它的任何设备或任何端口进行数据传输，但网络外的用户除非得到组织或网络所有者的许可，否则不允许这样做。

防火墙认证是什么？

防火墙可以支持各种认证技术。最基本的形式是，认证意味着用户声称自己是谁，并被授予访问其进行认证的资源的权限。

这类似于我们在登录 Microsoft Windows 计算机时证明身份的方式，通过输入用户名和密码来告诉 Windows 我们是谁。最后，Windows 会将我们的访问权限限制在我们有权访问的资源上。

防火墙认证可以用于各种功能。SSL VPN 和 Web 过滤是两个最常见的应用。

以下是大多数防火墙支持的一些最常见的认证方法：

内置数据库认证。

具有内置身份验证数据库的防火墙拥有一个内置身份验证数据库。数据库中通常设置了多个用户和密码。

使用内置数据库认证设置简单且非常有效，但它不能很好地扩展。并且数据库必须经常更新，以便保留用户及其认证记录。

证书认证

对于防火墙认证，大多数防火墙允许我们使用公有签名证书或自签名证书。有一些公共可识别证书可以用来认证匿名用户。如果防火墙对所有人开放使用，则必须相应地进行配置。

公认的证书是由 VeriSign、GoDaddy 或 Thawte 等公司颁发的，并且被 Internet Explorer 和 Mozilla Firefox 等流行浏览器识别，使其具有即时可信度。

防火墙提供商可以自由颁发自签名证书，由于我们对客户端有控制权，因此我们可以将证书安装在他们的浏览器上。

使用 Active Directory 组策略或类似工具，我们可以一次将证书分发给大量客户端系统。

SSL VPN 用户是常见的用例。由于 SSL VPN 是一个安全的基于浏览器的工具，我们可以使用自签名证书来避免“此网站的安全证书不是由受信任的证书颁发机构颁发的”错误消息。

LDAP 认证

我们可以使用轻量级目录访问协议 (LDAP) 查询目录服务器并进行身份验证。Active Directory 是最常见的例子，但任何支持 LDAP 的目录服务，如 Novell Directory Open LDAP 等，也可以使用。

一种更具可扩展性的方法是保持目录中的记录是最新的。因为如果本地防火墙正在查询目录服务器，我们不需要更新它。但如果查询是通过任何其他服务器进行的，则目录必须更新才能执行查询。

双因素认证

双因素认证意味着我们必须通过两个不同的因素进行身份验证才能获得访问权限。它通常采用我们所知道的东西（密码）和我们所拥有的东西（密钥）（软件或硬件令牌）的组合。它甚至可能是我们所具有的（指纹）。

配置我们的防火墙要求同时使用硬件令牌和个人密码进行身份验证是一种标准方法。除非我们同时拥有这两者，否则将不被允许访问。

这比仅使用单个密码提供了更高的安全性。即使在所有安全措施下，如果我们的密码被盗并被他人使用，或者丢失了，我们担心拥有密码的人可能会通过网络危害组织。那么在这种情况下，可以使用双因素认证，有一些著名的制造商，如 RSA、CryptoCard 等，可以轻松地与大多数防火墙集成，以提供完整的安全性。

单点登录

单点登录方法确保用户在不主动登录的情况下也能透明地向防火墙或网络进行身份验证。

当用户登录网络时，防火墙代理会查询 Active Directory 以获取信息并将其传输到防火墙。

因此，当用户访问需要身份验证的策略时，防火墙会识别出该用户已登录到网络。

因此，用户无需输入登录密码即可自动获得授权。

管理员可以使用 Junos OS 根据用户源 IP 地址和其他凭据来限制和允许防火墙用户访问防火墙后面的受保护资源（各种区域）。

在定义了防火墙用户后，我们可以创建一个策略，要求用户使用两种最常见的认证技术之一进行身份验证。

直通认证

当一个区域中的主机或用户尝试访问另一个区域中的资源时，会发生此类型的认证。为了访问受保护资源的 IP 地址并获得防火墙的授权，我们必须使用 HTTP 客户端、FTP 客户端、Telnet 客户端或 HTTPS 客户端。

设备通过 FTP、Telnet、HTTP 或 HTTPS 收集用户名和密码信息，并且根据此认证结果，允许或拒绝用户或主机的后续流量。如果认证不成功，当设备使用 HTTPS 服务器时，用户的后续通信将始终终止，并且只有在完成认证后才能通过。

Web 重定向认证（与直通结合）

对于 HTTP 或 HTTPS 客户端请求，我们使用此认证机制。当我们设置防火墙认证以对 HTTP 和 HTTPS 客户端请求使用直通认证时，我们可以使用 Web 重定向功能将用户查询重定向到设备的内部 Web 服务器。

重定向响应被提供给接收客户端请求的接口。

注意：出于安全原因，我们建议在为 HTTP 直通认证设置的安全规则上使用 Web 重定向而不是直接直通认证。

此功能为用户提供了更个性化的登录体验。在此功能中，用户直接被重定向到登录页面，在那里他们只需填写其凭据并登录，而不是弹出提示要求输入登录凭据。当我们启用 Web 重定向时，就好像用户在客户端浏览器中输入了 Web 认证 IP 地址一样。

因此，这就是 Web 重定向提供无缝认证机制的逻辑。用户只需知道他们想访问的资源的 IP 地址。甚至用户也无需知道 Web 认证提供商的 IP 地址。