在構(gòu)建網(wǎng)絡(luò)安全防線的過(guò)程中，本地Portal認(rèn)證如同一座通往數(shù)字領(lǐng)域的安全大門(mén)。通過(guò)這一認(rèn)證機(jī)制，用戶在進(jìn)入網(wǎng)絡(luò)資源前需要通過(guò)本地Portal驗(yàn)證身份，確保僅有授權(quán)的個(gè)體能夠穿越這個(gè)安全門(mén)檻，為網(wǎng)絡(luò)安全構(gòu)筑堅(jiān)實(shí)的第一道防線。

今天的任務(wù)是實(shí)現(xiàn)防火墻本地Portal認(rèn)證。又ENSP的PC機(jī)不支持網(wǎng)頁(yè)，所以，我們需要借助VMware虛擬機(jī)。拓?fù)淙缦拢?/p>

實(shí)驗(yàn)拓?fù)?/p>

實(shí)驗(yàn)需求

配置防火墻實(shí)現(xiàn)PC1訪問(wèn)外包進(jìn)行網(wǎng)頁(yè)認(rèn)證（登錄賬號(hào)為USER/Huawei@123）

實(shí)驗(yàn)步驟

(1) 配置VMware虛擬機(jī)的PC與ENSP連接。

在ENSP配置如下圖，這里采用VMware中的VMnet8連接的網(wǎng)卡。

ENSP PC1配置

在VMware中關(guān)閉VMnet8的DHCP功能。如下圖：

關(guān)閉DHCP功能

完成這些配置后，在VMware虛擬機(jī)中，把win7該成自動(dòng)獲取IP地址。如下圖：

自動(dòng)獲取IP地址

一起正常情況下，win7就能正常獲取到防火墻上的GE1/0/1網(wǎng)段的地址，如下圖：

正常獲取IP地址

(2) 配置防火墻本地Portal認(rèn)證

華為防火墻默認(rèn)情況是開(kāi)啟了本地Portal認(rèn)證，端口號(hào)是8887，我們只需要配置認(rèn)證用戶即可。

本地Portal認(rèn)證

# 新建用戶
user-manage user USER
password Huawei@123

# 配置認(rèn)證策略
auth-policy
 rule name AUTH_POLICY
  source-zone trust
  destination-zone untrust
  source-address 10.1.12.0 mask 255.255.255.0
  action auth


# 防火墻安全策略
security-policy
 rule name trust->Local                   
  source-zone trust
  destination-zone local
  service protocol tcp destination-port 8887
  action permit

# 修改aaa下的默認(rèn)域
 domain default
  service-type internetaccess
  internet-access mode password
  reference user current-domain

驗(yàn)證本地Portal認(rèn)證功能，默認(rèn)情況下，是無(wú)法ping通外網(wǎng)的，需要Portal認(rèn)證通過(guò)才能訪問(wèn)的，如下圖：

Portal未認(rèn)證

輸入剛才設(shè)置的用戶名和密碼，就能通過(guò)Portal認(rèn)證，如下圖：

通過(guò)Portal認(rèn)證

再次訪問(wèn)外網(wǎng)，就能順利訪問(wèn)了，如下圖：

成功訪問(wèn)外網(wǎng)