《Aruba 无线控制器 PEF 防火墙策略配置》由会员分享,可在线阅读,更多相关《Aruba 无线控制器 PEF 防火墙策略配置(6页珍藏版)》请在金锄头文库上搜索。
1、防火墙原理(WEB登录模式):1 :创建两组(或以上)的角色,其中一组角色为登录角色,这个角色只要一打开浏览器马 上登录到一个带有密码验证的的页面,在没有输对密码前,用户一直都处在这个登录角色中。 一般情况下这个角色关于在网络应用方面什么都不能干,能达到这个目的都是由这个登录角 色下所包含的具体防火墙策略所造成的。2:在登录成功后,用户会转换成某一角色,这个角色可能是GUEST或者ADMIN或者USER, 每个角色都有各自的防火墙策略控制,权限也各不相同。简略过程:1:新建policies(策略集合)创建Rules(角色)注:一个角色可以包含 N 个策略集合,一个策略集合包含 N 个具体策略,
2、例如开通 POP3 或者屏蔽网段。ConfigurationMonitoringDiagnosticsMminten ancePlanEventsReportsConfigurationLicensee -ill expire - 25 daysNetworkControllerVLANsPortsIPSecurityAuthenticationAccess ControlWirelessAP ConfigurationAP InstallationManagementGeneralAdministratio nCertificatesSNMPLoggingClockNameFirewall
3、PoliciesAuthGuest-RoleGuest-Access -PolicyEmployeeEmployee-PolicyGuest-Logon -Role Guest-Logon -Policy rcaptiveportalauthenti 匚 3tEdallowall rVS-cilloAalldefault-vpn-roleallowallrVS-cilloAallstatefulcontrolvoicesip -adrnoe -ad rsvp -adrvocera -adrskinny -drh 3 23-acl rdhcp -d( tftp -adrdns -adricmp
4、-adwwwwww匚 aptiveportalAddUser RolesSystem RolesPoliciesTime RangesGuest AccessSecurity Access Control User RolesAdvanced ServicesRedundancyIP MobilityStateful FirewallVPN ServicesWired AccessWirelessAll ProfilesAruba Networks2:在“User Roles”下除了可以增加、减少策略外,还可以设置(Bandwidth Contract)带宽。 在web页面验证的情况下,如果这
5、个角色是“登录角色”,还需要在这里选择(Captive Portal Profile)强制登录页面。Firewall PoliciesNameRule CountAP GroupActionGuest-Access-Policy7Edit| Delete A AciciRe-authentication Interval480 minutes|Change | (0 disables re-authentication. A positive value enables authentication 0 - 4096)Role VLAN IDBandwidth ContractUpstream
6、: Not EnforcedDownstream: Not EnforcedNot Assigned| Not Assigned 丫| Change |: v Change | 厂 Per User7 Change | 厂 Per UserVPN DialerNot Assigned| Not Assigned v Change |L2TP Pooldefault*12tp*pool| Not Assigned 丫| Change |PPTP Pooldefault-pptp*poolNot Assigned v | ChangeCaptive Portal ProfileNot Assign
7、ed| Not Assigned丫| Uhange |3:在 Advanced Services All Profile Management 下创建 AAA,创建完毕后,为 AAA选择 一个初始的角色,例如如果需要WEB验证,选择刚才设置过的带有(Captive Portal Profile) 强制登录页面的角色。ConfigurationMonitoringConfigurationDiagnosticsPlanEventsReportsLicenses will expire in 25 daysAdvanced Servi All Profile ManagementNetworkCo
8、 仃 trollerVLANsPortsIPSecurityAuthe nti 匚 atio 仃Access ControlWirelessAP Configuratio仃AP InstallationManagementGeneralAdministratio 仃Certifi匚日te呂SNMPLoggingClockAdvaneed ServicesRedundancyIP MobilityStateful FirewallVPN ServicesWired AccessWirelessAll Profiles4:下拉列框在 Captive Portal Profile 中新建一个页面设置
9、,在刚才创建的的页面设置中点击 “ + ”号,打开设置选项,在“Server Group”中选择“Internal”5:创建虚拟AP的SSID及选择具体的AAA在这里需要填写具体的VLAN。ConfigurationMonitoringCon figurati onDiagnostics |Maintenance |1 pbn 1Events |ReportsNetworkCon tr oilerVLANsPortsIPSecurityAu thenticationAccess ControlWirelessAP ConfigurationAP InstallationManagementGe
10、n eralAdministrati onCertificatesSNMPLoggi ngdeckAdvanced ServicesRedundancyIP MobilityStateful FirewallVPN ServicesWired AccessWirelessAll ProfilesConfiguration AP Group Edit test2”B WifTessLAN日 Virtual AP+ test2+ vvvvH wwwwv/w+ SSID Profilewwwww AAA ProfileAAA*Guest+ R.F ManagementE APE QO S+ IDS+
11、 MsshVirtual AP wwwwwwVirtual AP enable0VLAN-T 丨:EDeny time range-NONE- vDoS Preventio noBlacklist Time|3600secFast Roaming回VLAN Mobilityo Authentication ServersAAA ProfilesServer GroupRADIUS ServerLDAP ServerInternal DBTaocs Accounting ServerTA匚書匚S ServerCommandsL2 AuthenticationL3 AuthenticationUs
12、er RulesAdvancedInternal DB MaintenanceMaximum Expirationminguest: 100guestYesAuthGuest-Role1Yes:1 | 1-2 Of 2具体案例:1:在没有安装防火墙licence,是默认所有接入用户都是无限制角色,在接通网络后可立刻 登录互联网。当安装了 licence后,所有通过无线AP接入的用户都处于登录角色状态。2:在安装licence后,不想实行任何的防火墙策略,可以在AAA设置项页面下,把“Initial role”从原来的“logon”改为“authenticated”,此时接入的用户都是无限制的可信任角色。实例:创建一个有登录页面,登录后有两种不同的角色(GUEST和ADMIN)的过程如下:1:其中GUEST可以上外网,不可以进行其他的网络应用,ADMIN无则任何限制。为了节 省创建策略的时间,可用系统已创建完成好的角色, Access Control System Roles System RolesNetworkControllerVLANsPortsIPSecurityAuthenti 匚自 tkinAcces
