安全培训课件：08 防火墙用户管理技术

防火墙用户管理技术信息安全事件频繁发生，大多数是由于内部用户和管理员安全意识薄弱或误操作导致，而权限管理不当使得安全事件的影响范围扩大、系统损害加深。在企业网应用场景中，用户是访问网络资源的主体，为了保证网络资源的安全性，应该对用户进行适当的认证和合理的授权。用户管理技术使管理员有能力控制用户对网络资源的访问。对于任何网络，用户管理都是最基本的安全管理要求之一。学完本课程后，您将能够:描述AAA的原理描述用户认证技术实现用户认证相关配置AAA原理防火墙用户认证及应用AAA简介AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。认证：验证用户是否可以获得访问权，确定哪些用户可以访问网络；授权：授权用户可以使用哪些服务；计费：记录用户使用网络资源的情况。Step1身份标识通过账号、密码等标识用户身份Step2认证识别和认证试图访问资源的用户Step3授权确定访问是否获得授权Step4计费检测和记录访问情况AAA常见应用场景通过本地认证实现网络管理员权限控制通过RADIUS服务器实现用户上网管理防火墙（NAS）RADIUS服务器上网用户通过在NAS上配置AAA方案，实现NAS与RADIUS服务器的对接。用户在客户端上输入用户名和密码后，NAS可以将这些信息发送至RADIUS服务器进行认证。如果认证通过，则授予用户访问Internet的权限。在用户访问过程中，RADIUS服务器还可以记录用户使用网络资源的情况。网络管理员防火墙（NAS）在防火墙上配置本地AAA方案后，当网络管理员登录防火墙时，防火墙将网络管理员的的用户名密码等信息，与本地配置的用户名信息进行比对认证。认证通过后，防火墙将授予网络管理员一定的管理员权限。Telnet登录AAA的基本架构AAA的基本架构中包括用户、NAS、AAA服务器。NAS负责集中收集和管理用户的访问请求，现网常见的NAS设备有交换机、防火墙等；AAA服务器负责集中管理用户信息。User3@Domian3用户User1@Domian1User2@Domian2NASAAA服务器IPNetworkIPNetwork认证防火墙支持的认证方式有：不认证，本地认证，远端认证。用户域认证方式User1@Domian1Domain1不认证User2@Domian2Domain2本地认证User3@Domian3Domain3远端认证User3@Domian3用户User1@Domian1User2@Domian2防火墙（NAS）AAA服务器IPNetworkIPNetwork用户名和密码用户名和密码User3用户名和密码返回确认结果授权授权表示用户可以使用哪些业务，如公共业务以及敏感业务等。防火墙支持的授权方式有：不授权、本地授权、远端授权。授权内容包括：用户组、VLAN、ACL编号等。用户域授权方式授权内容User1@Domian1Domain1不授权无User2@Domian2Domain2NAS本地授权可以访问InternetUser3@Domian3Domain3远端授权由远端服务器授权User3@Domian3用户User1@Domian1User2@Domian2防火墙（NAS）AAA服务器IPNetworkIPNetwork认证通过后下发User3权限计费防火墙支持的AAA计费方式有：不计费，远端计费。计费功能用于监控授权用户的网络行为和网络资源的使用情况。用户域计费方式User1@Domian1Domain1不计费User2@Domian2Domain2不计费User3@Domian3Domain3远端计费User3@Domian3用户User1@Domian1User2@Domian2防火墙（NAS）AAA服务器IPNetworkIPNetworkUser3开始计费请求计费开始响应AAA常用技术方案目前华为设备支持基于RADIUS、HWTACACS、LDAP或AD来实现AAA，在实际应用中，RADIUS最为常用。技术方案交互协议认证授权计费RADIUSUDPHWTACACSTCPLDAPTCPADTCP本地认证授权/RADIUS协议概述AAA可以通过多种协议来实现，在实际应用中，最常使用RADIUS协议。RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求有较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP（UserDatagramProtocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为默认的认证、计费端口。RADIUS协议的主要特征如下：客户端/服务器模式安全的消息交互机制良好的扩展性用户NASAAA服务器IPNetworkIPNetwork交互RADIUS报文，实现对用户的AAA功能AAA实现协议-RADIUS认证流程用户输入用户名/密码认证请求报文认证接受/拒绝、权限下发报文计费开始请求报文计费开始响应报文用户RADIUS服务器防火墙（NAS）通知用户认证结果用户请求断开连接计费结束响应报文计费结束请求报文通知用户访问结束用户开始访问网络资源LDAP简介LDAP是轻量级目录访问协议的简称，LDAP基于C/S架构。LDAP服务器负责对来自应用服务器的请求进行认证，同时还指定用户访问的资源范围等。LDAP定义了多种操作来实现LDAP的各种功能，其中可以利用LDAP的绑定和查询操作来实现用户的认证和授权功能。用户应用服务器LDAP服务器授权资源1.服务请求2.认证请求4.接入3.认证结果LDAP目录目录是一组具有类似属性、以一定逻辑和层次组合的信息。LDAP协议中目录是按照树型结构组织，目录由条目（Entry）组成，条目是具有区别名DN的属性集合。属性由类型和多个值组成。BaseDN

OU

CN

OUDC=HUAWEIDC=COMPeopleUser1User2User3User4R&DHRR&DHREquipmentDNLDAP目录树CN（CommonName，通用名称）：表示对象名称。DC（DomainController，域控制器）：表示对象所属的区域，一般一台LDAP服务器即为一个域控制器。DN（DistinguishedName，区别名）：对象的位置，从对象开始逐层描述到根区别名，例如User1的DN为“CN=User1，OU=HR，OU=People，DC=HUAWEI，DC=COM”。BaseDN：根区别名。OU（OrganizationUnit，组织单元）：表示对象所属的组织。LDAP认证流程用户输入用户名/密码发起登录请求管理员绑定请求绑定回应用户DN属性请求用户DN绑定请求授权认证用户登录成功请求回应绑定回应用户防火墙（NAS）LDAP服务器AAA技术原理防火墙用户认证及应用用户组织架构及分类用户认证流程用户认证策略用户认证配置用户组织架构及管理用户是网络访问的主体，是防火墙进行网络行为控制和网络权限分配的基本单元。用户组织架构中涉及三个概念：认证域：用户组织结构的容器，防火墙缺省存在default认证域，用户可以根据需求新建认证域；用户组/用户：用户按树形结构组织，用户隶属于组（部门）。管理员可以根据企业的组织结构来创建部门和用户；安全组：横向组织结构的跨部门群组。当需要基于部门以外的维度对用户进行管理可以创建跨部门的安全组。例如企业中跨部门成立的群组。系统默认有一个缺省认证域，每个用户组可以包括多个用户和用户组。每个用户组只能属于一个父用户组，每个用户至少属于一个用户组，也可以属于多个用户组。认证域市场部研发部来访人员研发1部研发2部员工A员工B员工C员工D安全组用户分类管理员管理员用户指通过Telnet、SSH、Web、FTP等协议或通过Console接口访问设备并对设备进行配置或操作的用户。上网用户上网用户是网络访问的标识主体，是设备进行网络权限管理的基本单元；设备通过对访问网络的用户进行身份认证，从而获取用户身份，并针对用户的身份进行相应的策略控制。接入用户外部网络中访问网络资源的主体，如企业的分支机构员工和出差员工；接入用户需要先通过SSLVPN、L2TPVPN、IPSecVPN或PPPoE方式接入到防火墙，然后才能访问企业总部的网络资源。AAA技术原理防火墙用户认证及应用用户组织架构及分类用户认证流程用户认证策略用户认证配置管理员认证登录方式管理PCEthernet防火墙FTPFTPClientFTPServer管理PCEthernet防火墙WEBWebClientWebServer管理PC防火墙Console口COM口Console管理PCEthernet防火墙TelnetTelnetServer管理PCEthernet防火墙SSHSSHServer管理员认证方式-SSHSSH（SecureShell）安全外壳协议是建立在应用层基础上的安全协议，避免数据的明文传输。SSH可靠性高，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSH安全验证方式：基于口令的安全验证基于密钥的安全验证用户使用用户名发起请求SSH客户端使用公钥加密用户名的密码发送加密后的密码返回登录结果用私钥对密码进行解密并校验SSH服务器反馈公钥信息基于口令的安全验证客户端将公钥导入SSH服务器使用私钥加密字符串返回登录结果用公钥对解密的字符串进行解密并校验SSH客户端SSH服务器返回一个随机字符串客户端使用用户名发起请求发送加密后的字符串客户端生成公私钥密钥对基于密钥的安全验证上网用户认证方式单点登录通过其他认证系统的认证就相当于通过了防火墙的认证。用户认证通过后防火墙可以获知用户和IP的对应关系，从而基于用户进行策略管理。内置Portal认证防火墙提供内置Portal认证页面对用户进行认证。防火墙可转发认证请求至本地用户数据库、认证服务器。用户自定义Portal认证防火墙与自定义Portal联动，使用外部Portal服务器对用户进行认证。用户免认证用户不输入用户名和密码就可以完成认证并访问网络资源。免认证与不需要认证有差别。AD单点登录；RADIUS单点登录。会话认证；事前认证。用户访问HTTP业务时，防火墙向用户推送自定义Portal认证页面，触发身份认证。将用户名与IP或MAC地址双向绑定，防火墙通过识别IP/MAC地址与用户的绑定关系，使用户自动通过认证。内置Portal认证-会话认证会话认证是用户不主动进行身份认证，先进行HTTP业务访问，在访问过程中进行认证。认证通过后，再进行业务访问。当防火墙收到用户的第一条HTTP业务访问数据流时，将HTTP请求重定向到认证页面，触发访问者身份认证。认证通过后，就可以访问HTTP业务以及其他业务。认证数据流业务数据流访问HTTP业务防火墙用户认证通过后访问HTTP业务重定向至认证页面123内置Portal认证-事前认证事前认证是指访问者在访问网络资源之前，先主动进行身份认证，认证通过后，再访问网络资源。用户主动向防火墙提供的认证页面发起认证请求。防火墙收到认证请求后，对其进行身份认证。认证通过后，就可以访问Internet。访问认证页面进行认证防火墙用户认证通过后访问Internet12认证数据流业务数据流接入用户认证方式接入用户认证指的是对各类VPN接入用户进行认证。访问者登录SSLVPN模块提供的认证页面来触发认证过程，认证完成后，SSLVPN接入用户可以访问总部的网络资源。SSLVPN作为新型的轻量级远程接入方案，移动的办公用户可以不安装客户端。SSLVPNL2TP（Layer2TunnelingProtocol）VPN是一种隧道技术，该技术主要应用在远程办公场景中，为出差员工提供企业内网资源接入服务。无论出差员工是通过传统的的拨号方式接入Internet，还是通过以太网方式接入Internet，L2TPVPN都可以向其提供远程接入服务。L2TPVPNIPSec是一组开放的网络安全协议。是一系列为IP网络提供安全性协议和服务的集合，包括AH和ESP两个安全协议，以及密钥交换和用于验证及加密的一些算法等。通过这些协议，在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发，实现数据安全传输。IPSecVPNPPPoE（PPPoverEthernet）协议是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。PPPoESSL

VPN用户在外网通过SSLVPN拨入防火墙，实现访问内网资源的需求。防火墙应用服务器登录设备，提交账户和密码通过用户认证允许访问用户……防火墙验证用户账号和密码…用户账号认证流程总结接入用户与AD服务器联动与NAS和RADIUS服务器联动免认证获取用户与IP/MAC双向绑定信息与自定义Portal联动本地用户/组AD单点登录RADIUS单点登录免认证会话认证事前认证Portal认证本地认证服务器认证完成认证RADIUS服务器HWTACACS服务器AD服务器LDAP服务器内置Portal认证域上网用户认证策略二次认证认证服务器否是接入用户二次认证AAA技术原理防火墙用户认证及应用用户组织架构及分类用户认证流程用户认证策略用户认证配置认证策略认证策略用于决定防火墙需要对哪些数据流进行认证，匹配认证策略的数据流必须经过防火墙的身份认证才能通过。缺省情况下，防火墙不对经过自身的数据流进行认证，仅认证匹配认证策略的数据流。如果经过防火墙的流量匹配了认证策略将触发如下动作：会话认证：用户访问HTTP业务时，如果数据流匹配了认证策略，防火墙会推送认证页面要求访问者进行认证；事前认证：用户访问非HTTP业务时必须主动访问认证页面进行认证，否则匹配认证策略的业务数据流将被防火墙禁止；免认证：用户访问业务时，如果匹配了免认证的认证策略，则无需输入用户名、密码直接访问网络资源。防火墙根据用户与IP/MAC的绑定关系来识别用户；单点登录：单点登录用户上线不受认证策略控制，只有当用户业务流量匹配认证策略才进行策略管控。认证策略组成信息认证策略是多个规则的集合。认证策略规则由条件和动作组成，条件指的是防火墙匹配报文的依据，包括：源/目的安全区域源地址/地区目的地址/地区动作指的是防火墙对匹配到的数据流采取的处理方式，包括：Portal认证短信认证免认证不认证AAA技术原理防火墙用户认证及应用用户组织架构及分类用户认证流程用户认证策略用户认证配置上网用户认证-配置流程配置服务器配置认证域配置认证选项配置认证策略配置单点登录参数配置全局参数免认证Portal认证配置用户/用户组手工配置服务器导入配置本地认证时无需此步骤单点登录服务器第三方认证服务器上网用户认证配置举例(1)需求描述：某企业在网络边界处部署了防火墙作为出口网关，连接