防火墙技术与应用课件 模块7 用户管理

模块7用户管理及认证防火墙技术与应用微课版01模块概述03知识准备04项目实施02教学目标C教学过程壹模块概述模块概述在当前网络环境中，网络安全的威胁更多来源于应用层，这也使得企业对网络访问控制提出了更高的要求。如何精确地识别用户，保证用户的合法应用正常进行，阻断用户访问有安全隐患的应用等，已成为现阶段企业对网络安全关注的重点。但IP不等于用户，端口不等于应用，传统防火墙基于IP/端口的五元组访问控制策略已不能有效应对现阶段网络环境的巨大变化。贰教学目标教学目标知识目标技能目标素养目标1．了解防火墙的AAA技术。2．了解防火墙的用户管理技术。3．理解Portal认证的工作原理。4．理解认证策略的匹配机制。1．强化最小权限执行力度，防范越权访问导致的数据泄露风险。2．树立访客网络监管意识，设定访客账户有效期。3．提升日志审计严谨性，确保操作可追溯，行为能审计。1．能够配置防火墙用户认证策略。2．能够进行用户管理。3．能够配置用户认证过程中相关的NAT策略与安全策略。叁知识准备知识准备7.2.1AAA技术简介7.2.2用户管理7.2.3

Portal认证7.2.4认证策略7.2.1AAA技术简介7.2.1AAA技术简介一、AAA技术AAA表示Authentication、Authorization、Accounting，即认证、授权、计费。AuthenticationAuthorizationAccounting7.2.1AAA技术简介Authentication认证认证是指通过一定的手段，完成对用户身份的确认认证的方式包括：我知道：用户所知道的信息（如：密码、个人识别号（PIN）等）我拥有：用户所拥有的信息（如：令牌卡、智能卡或银行卡）我具有：用户所具有的生物特征（如：指纹、声音、视网膜、DNA）指纹面部声音密码令牌虹膜U盘7.2.1AAA技术简介Authorization授权用户能访问的资源用户能使用的命令员工公共资源普通业务系统用户业务系统管理者访客敏感业务系统7.2.1AAA技术简介Accounting计费用户使用了多长时间用户花了多少钱用户做了哪些操作7.2.1AAA技术简介AAA技术的认证方式本地认证用户防火墙在认证方本地存储用户名和密码在第三方认证服务器存储用户名和密码用户防火墙认证服务器服务器认证7.2.2用户管理用户管理可视化管理病毒/攻击：阻塞病毒木马蠕虫关键应用：带宽优先可接受应用：流量控制禁止应用：阻塞用户（组）专业安全防御全面流量控制AAA认证技术用户认证用户管理7.2.2用户管理用户组织架构

用户是网络访问的主体，是防火墙进行网络行为控制和网络权限分配的基本单元。安全组：横向组织结构的跨部门群组。当需要基于部门以外的维度对用户进行管理可以创建跨部门的安全组。例如企业中跨部门成立的群组。用户组/用户：用户按树形结构组织，用户隶属于组（部门）。管理员可以根据企业的组织结构来创建部门和用户。认证域：用户组织结构的容器，防火墙默认存在default认证域，用户可以根据需求新建认证域。7.2.2用户管理7.2.2用户管理用户分类A管理员管理员用户指通过Telnet、SSH、web、FTP等协议或通过Console接口访问设备并对设备进行配置或操作的用户。C接入用户外部网络中访问网络资源的主体，如企业的分支机构员工和出差员工。接入用户需要先通过SSLVPN、L2TPVPN、IPSecVPN或PPPoE方式接入到防火墙，然后才能访问企业总部的网络资源。上网用户内部网络中访问网络资源的主体，如企业总部的内部员工。上网用户可以直接通过防火墙访问网络资源。B7.2.3Portal认证三、Portal认证Portal认证是指由防火墙或第三方服务器提供Portal认证页面对用户进行认证。防火墙内置Portal认证的触发方式包括：会话认证会话认证是用户不主动进行身份认证，先进行HTTP业务访问，在访问过程中进行认证。认证通过后，再进行业务访问。事前认证事前认证是指访问者在访问网络资源之前，先主动进行身份认证，认证通过后，再访问网络资源。7.2.3Portal认证Portal认证触发方式-会话认证7.2.4认证策略四、认证策略认证策略用于决定防火墙需要对哪些数据流进行认证，匹配认证策略的数据流必须经过防火墙的身份认证才能通过。缺省情况下，防火墙不对经过自身的数据流进行认证，需要通过认证策略选出需要进行认证的数据流。如果经过防火墙的流量匹配了认证策略将触发如下动作：会话认证事前认证免认证单点登录7.2.4认证策略认证策略组成信息认证策略是多个认证策略规则的集合，认证策略决定是否对一条流量进行认证。认证策略规则由条件和动作组成，条件指的是FW匹配报文的依据，包括：源/目的安全区域源地址/地区目的地址/地区7.2.4认证策略认证策略组成信息动作指的是FW对匹配到的数据流采取的处理方式，包括：短信认证免认证Portal认证不认证肆项目实施7.3配置Portal用户认证实训：配置用户认证某公司在网络中部署了防火墙，为保证网络的安全，该公司将客户使用的主机IP限制在一定的范围内，并要求这些主机在通过用户认证后，才允许访问网络，通过在防火墙配置用户认证，实现上述要求。任务描述7.3配置Portal用户认证(三)任务实施1．拓扑图2．需求说明当主机的IP范围为0到0时，需要进行用户认证。本地计算机IP:0FW1G1/0/1trustuntrustG1/0/6Server1IP:0客户主机在通过了用户认证后，才可以访问外网；7.3配置Portal用户认证准备WEB服务器；配置静态路由，使本地计算机访问网段时，下一跳地址为；配置防火墙各接口的IP地址、安全区域等基础信息；创建用户；配置认证策略；配置安全策略；测试配置结果是否满足需求。(三)任务实施3．配置说明7.3配置Portal用户认证（四）关键操作步骤

新建用户

设置认证策略

设置安全策略在防火墙FW1新建用户：7.3配置Portal用户认证（四）关键操作步骤

新建用户

设置认证策略

设置安全策略在防火墙FW1上设置认证策略：7.3配置Portal用户认证（四）关键操作步骤

新建用户

设置认证策略

设置安全策略在防火墙FW1上设置安全策略：7.3配置Portal用户认证当客户主机访问外网时，需要先进行认证，才能正常访问：（四）关键操作步骤