在构建网络安全防线的过程中，本地Portal认证如同一座通往数字领域的安全大门。通过这一认证机制，用户在进入网络资源前需要通过本地Portal验证身份，确保仅有授权的个体能够穿越这个安全门槛，为网络安全构筑坚实的第一道防线。

今天的任务是实现防火墙本地Portal认证。又ENSP的PC机不支持网页，所以，我们需要借助VMware虚拟机。拓扑如下：

实验拓扑

实验需求

配置防火墙实现PC1访问外包进行网页认证（登录账号为USER/Huawei@123）

实验步骤

(1) 配置VMware虚拟机的PC与ENSP连接。

在ENSP配置如下图，这里采用VMware中的VMnet8连接的网卡。

ENSP PC1配置

在VMware中关闭VMnet8的DHCP功能。如下图：

关闭DHCP功能

完成这些配置后，在VMware虚拟机中，把win7该成自动获取IP地址。如下图：

自动获取IP地址

一起正常情况下，win7就能正常获取到防火墙上的GE1/0/1网段的地址，如下图：

正常获取IP地址

(2) 配置防火墙本地Portal认证

华为防火墙默认情况是开启了本地Portal认证，端口号是8887，我们只需要配置认证用户即可。

本地Portal认证

# 新建用户
user-manage user USER
password Huawei@123

# 配置认证策略
auth-policy
 rule name AUTH_POLICY
  source-zone trust
  destination-zone untrust
  source-address 10.1.12.0 mask 255.255.255.0
  action auth


# 防火墙安全策略
security-policy
 rule name trust->Local                   
  source-zone trust
  destination-zone local
  service protocol tcp destination-port 8887
  action permit

# 修改aaa下的默认域
 domain default
  service-type internetaccess
  internet-access mode password
  reference user current-domain