网络安全高级应用 第七章 AAA服务器高级应用(35P).ppt

benet3.0第二学期课程 第七章 aaa服务器高级应用 理论部分 课程回顾 内容回顾 802.1x身份验证包含哪3个主要组件？ 交换机端口有哪2种状态？ 命令dot1x port-control有哪3个参数？端口默认处于 哪个802.1x状态？ 要实现用户自己更改密码需要安装什么软件？ 2 技能展示 会通过aaa服务器对访问进行控制 会通过aaa服务器为认证用户下发acl 3 本章结构 aaa服务器 高级应用 aaa服务器下发acl配置 asa穿越代理的原理 easy vpn与aaa服务器 使用aaa服务器对通过 asa的流量进行授权 通过aaa服务器为远程 接入vpn认证授权 asa穿越代理的配置 asa穿越代理的配置实例 ssl vpn与aaa服务器 4 通过asa的流量进行授权 防火墙一般组网拓扑图 配置acl控制内网访问服务器的权限 inside outsidedmz internet 5 asa穿越代理的原理 1、pc访问web服务器 2、检查流量，发送认证提示给pc 3、输入用户名、密码进行认证 4、认证成功，进行授权 5、pc访问web服务器正常 insidedmz pc acs server web server 1. 接求 2. 提示 3. 行 4. 通 5. 允 web服器 6 asa穿越代理的配置2-1 定义触发认证的流量 配置aaa服务器 asa(config)# access-list http extended permit tcp any eq 80 asa(config)# aaa-server server_group protocol radius | tacacs+ asa(config)# aaa-server server_group (interface_name) host server_ipaddress asa(config-aaa-server-host)# key keyword asa(config-aaa-server-host)# authentication-port port asa(config-aaa-server-host)# accounting-port port 配置服务器使用的协议 配置服务器地址 配置共享密钥、 认证和统计端口 7 asa穿越代理的配置2-2 aaa认证配置 aaa认证配置实例 aaa授权配置 配置aaa认证超时时间 asa(config)# aaa authentication match acl_name interface_name server_group asa(config)# aaa authentication match http inside acs asa(config)# aaa authorization match acl_name interface_name server_group asa(config)# timeout uauth 0:05:00 absolute asa(config)# timeout uauth 0:05:00 inactivity 绝对超时时间 空闲超时时间 8 aaa服务器下发acl配置 使用downloadable ip acls动态下发acl 配置aaa client的认证使用方法 配置downloadable ip acls 在用户或用户组中配置下发acl的名称 点击“add”添加acl 输入downloadable ip acls名称 配置的acl的名称 配置的acl内容 配置的downloadable ip acls名称 9 动态acl与本地acl的关系 本地acl在端口应用配置 配置per-user-override参数 p只有动态下发的acl有效 不配置per-user-override参数 p本地acl和动态下发的acl同时有效 asa(config)#access-group acl_name in interface inside per-user-override 10 asa穿越代理的配置实例6-1 benet公司网络环境 通过acl来控制员工访问服务器权限 使用aaa服务器统一管理 pc server internet outside inside dmz 11 asa穿越代理的配置实例6-2 实验环境 服务器安装windows server 2003系统 在web server1和acs server上配置iis搭建web站点 pc1web server1acs server dmzinside e0/2e0/1 .254 .1.2.3 /24 .254 /24 pc2 .2 要求 客端 web服器必通 服器 授 ppc1的用名和密：benet；pc2的用名和密：cisco ppc1限： web server1，不能 acs server ppc2限： web server1和acs server 12 asa穿越代理的配置实例6-3 配置radius服务器 配置aaa server和aaa client 添加用户benet和cisco pbenet用户加入组group1 pcisco用户加入组group2 配置动态下发acl 配置为用户组下发的acl 教员演示操作过程教员演示操作过程 group1： permit tcp any 55 eq 80 group2： permit tcp any 55 eq 80 permit tcp any 55 eq 80 13 asa穿越代理的配置实例6-4 配置asa穿越代理 asa(config)# access-list http permit tcp any eq 80 asa(config)# aaa-server acs protocol radius asa(config-aaa-server-group)# aaa-server acs (dmz) host asa(config-aaa-server-host)# key cisco asa(config-aaa-server-host)# exit asa(config)# aaa authentication match http inside acs asa(config)# aaa authentication secure-http-client 教员演示操作过程教员演示操作过程 定义匹配的流量 配置aaa服务器 配置aaa认证 在客户端和防火墙 之间使用https协议 14 asa穿越代理的配置实例6-5 验证用户权限 pc1权限验证，在asa上查看acl pc2权限验证，在asa上查看acl 教员演示操作过程教员演示操作过程 15 asa穿越代理的配置实例6-6 本地acl与动态acl有效性验证 配置本地acl p在端口应用acl，不使用per-user-override参数 p在端口应用acl，使用per-user-override参数 asa(config)# access-list test extended deny ip any host asa(config)# access-list test extended permit ip any any 教员演示操作过程教员演示操作过程 16 小结 请思考 使用radius服务器动态下发acl常用方式是什么？ 在downloadable ip acls方式的配置中，添加aaa client时，认证使用的协议是选择 “radius (cisco vpn 3000/asa/pix 7.x+)”还是标准radius(ietf)？ 在使用命令access-group acl_name in interface inside per-user-override应用acl时，本地配置的 acl是否有效？ 17 远程接入vpn认证授权2-1 benet公司网络环境 公司要求对通过远程vpn接入的用户进行权限控制 pcweb server2acs server inside dmzoutside web server1 18 远程接入vpn认证授权2-2 实验环境 服务器安装windows server 2003系统 在web server1和acs server上配置iis搭建web站点 pc web server1acs server dmz outside e0/2e0/0 .254 .1 .2.3 /24 /24 .254 要求 由aaa服器 程接入vpn用 行 授 p授包括客端的ip地址和 服器的限 p程 vpn接入用的用名：benet，密：benet； p 限是只能 web server1，不能 acs server 19 easyvpn与aaa服务器4-1 配置aaa服务器 配置aaa server和aaa client 配置downloadable ip acls 配置ip地址池 添加用户，配置用户组 教员演示操作过程教员演示操作过程 选择配置的地址池 选择配置的acl 20 easyvpn与aaa服务器4-2 在asa上配置easyvpn asa(config)# aaa-server aaa protocol radius asa(config-aaa-server-group)# aaa-server aaa (dmz) host asa(config-aaa-server-host)# key cisco asa(config)# crypto isakmp enable outside asa(config)# crypto isakmp policy 10 asa(config-isakmp-policy)# authentication pre-share asa(config-isakmp-policy)# encryption aes asa(config-isakmp-policy)# hash sha asa(config-isakmp-policy)# group 2 21 easyvpn与aaa服务器4-3 在asa上配置easyvpn asa(config)# tunnel-group ezvpn type ipsec-ra asa(config)# tunnel-group ezvpn general-attributes asa(config-tunnel-general)# authentication-server-group aaa asa(config)# tunnel-group ezvpn ipsec-attributes asa(config-tunnel-ipsec)# pre-shared-key cisco123 asa(config)# crypto ipsec transform-set test esp-aes esp-sha-hmac asa(config)# crypto dynamic-map map1 10 set transform-set test asa(config)# crypto map cisco 1000 ipsec-isakmp dynamic map1 asa(config)# crypto map cisco interface outside 教员演示操作过程教员演示操作过程 22 easyvpn与aaa服务器4-4 验证pc远程接入权限 在pc上安装vpn client接入vpn，在asa上查看acl 在pc上查看获得的ip地址 pc只能访问web server1 教员演示操作过程教员演示操作过程 23 ssl vpn与aaa服务器3-1 配置aaa服务器 在asa上配置ssl vpn asa(config)# aaa-server aaa protocol radius asa(config-aaa-server-group)# aaa-server aaa (dmz) host asa(config-aaa-server-host)# key cisco asa(config)# webvpn asa(config-webvpn)# port 444 asa(config-webvpn)# enable outside asa(config-webvpn)# svc image disk0:/sslclient-win-73.pkg asa(config-webvpn)# svc enable 教员演示操作过程教员演示操作过程 24 ssl vpn与aaa服务器3-2 在asa上配置ssl vpn asa(config)# group-policy sslvpn-group-policy internal asa(config)# group-policy sslvpn-group-policy attributes asa(config-group-policy)# vpn-tunnel-protocol webvpn svc asa(config-group-policy)# webvpn asa(config-group-webvpn)# svc ask enable asa(config)# tunnel-group sslvpn-group type webvpn asa(config)# tunnel-group sslvpn-group general-attributes asa(config-tunnel-general)# default-group-policy sslvpn-group -policy asa(config-tunnel-general)# authentication-server-group aaa 25 ssl vpn与aaa服务器3-3 在asa上配置ssl vpn 验证pc远程接入权限 在pc上接入sslvpn，在asa上查看acl 无客户端和安装ssl客户端后的访问 asa(config)# tunnel-group sslvpn-group webvpn-attributes asa(config-tunnel-webvpn)# group-alias groups enable asa(config-tunnel-webvpn)# exit asa(config)# webvpn asa(config-webvpn)# tunnel-group-list enable asa(config-webvpn)# exit 教员演示操作过程教员演示操作过程 26 限制无客户端sslvpn的访问2-1 关闭sslvpn页面的地址输入栏 在asa防火墙上定义一个url列表 xml文件模版 将xml文件url_list1.xml导入到asa防火墙 pftp的用户名为ftp，密码为123456 asa(config)# group-policy sslvpn-group-policy attributes asa(config-group-policy)# webvpn asa(config-group-webvpn)# url-entry disable asa(config-group-webvpn)# file-entry disable asa(config-group-webvpn)# file-browsing disable asa#import webvpn url-list url_list1 ftp:/ftp:123456/url_list1.xml 禁用http和https 禁用文件地址输入 禁用文件浏览 27 限制无客户端sslvpn的访问2-2 应用url列表 在asa上配置 通过aaa服务器授权url列表 p认证使用方法选择radius (cisco vpn 3000/asa/pix 7.x+) p配置026/3076/071 webvpn-url-list属性 验证用户的访问权限 asa(config)# group-policy sslvpn-group-policy attributes asa(config-group-policy)# webvpn asa(config-group-webvpn)# url-list value url_list1 教员演示操作过程教员演