【实战教程】一文读懂防火墙本地Portal认证：让你的网络更安全！_防护墙进入policy-auth视图

往期精彩

• 【实战教程】防火墙设备登录配置，让你轻松掌握网络安全！
• 【实战教程】防火墙安全区域与策略实战指南：让你的网络安全防护如虎添翼！
• 【实战教程】防火墙常见NAT技术，让你一次看个够！
• 【实战教程】从零开始学防火墙服务部署，让你的网络安全防护无懈可击！
• 【实战教程】防火墙内容安全实战教程，让你的网络防护升级！

在构建网络安全防线的过程中，本地Portal认证如同一座通往数字领域的安全大门。通过这一认证机制，用户在进入网络资源前需要通过本地Portal验证身份，确保仅有授权的个体能够穿越这个安全门槛，为网络安全构筑坚实的第一道防线。

今天的任务是实现防火墙本地Portal认证。又ENSP的PC机不支持网页，所以，我们需要借助VMware虚拟机。拓扑如下：

实验需求

• 配置防火墙实现PC1访问外包进行网页认证（登录账号为USER/Huawei@123）

实验步骤

1. 配置VMware虚拟机的PC与ENSP连接。

在ENSP配置如下图，这里采用VMware中的VMnet8连接的网卡。

在VMware中关闭VMnet8的DHCP功能。如下图：

完成这些配置后，在VMware虚拟机中，把win7该成自动获取IP地址。如下图：

一起正常情况下，win7就能正常获取到防火墙上的GE1/0/1网段的地址，如下图：

2. 配置防火墙本地Portal认证

华为防火墙默认情况是开启了本地Portal认证，端口号是8887，我们只需要配置认证用户即可。

# 新建用户
user-manage user USER
password Huawei@123

# 配置认证策略
auth-policy
 rule name AUTH_POLICY
  source-zone trust
  destination-zone untrust
  source-address 10.1.12.0 mask 255.255.255.0
  action auth


# 防火墙安全策略
security-policy
 rule name trust->Local                   
  source-zone trust
  destination-zone local
  service protocol tcp destination-port 8887
  action permit

# 修改aaa下的默认域
 domain default
  service-type internetaccess
  internet-access mode password
  reference user current-domain
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

验证本地Portal认证功能，默认情况下，是无法ping通外网的，需要Portal认证通过才能访问的，如下图：

输入刚才设置的用户名和密码，就能通过Portal认证，如下图

再次访问外网，就能顺利访问了，如下图：