网络安全高级应用第七章AAA服务器高级应用(35P).ppt

第七章 aaa服务器高级应用, 理论部分,课程回顾,内容回顾 802.1x身份验证包含哪3个主要组件？ 交换机端口有哪2种状态？ 命令dot1x port-control有哪3个参数？端口默认处于哪个802.1x状态？ 要实现用户自己更改密码需要安装什么软件？,2,技能展示,会通过aaa服务器对访问进行控制 会通过aaa服务器为认证用户下发acl,3,本章结构,aaa服务器高级应用,aaa服务器下发acl配置,asa穿越代理的原理,easy vpn与aaa服务器,使用aaa服务器对通过 asa的流量进行授权,通过aaa服务器为远程接入vpn认证授权,asa穿越代理的配置,asa穿越代理的配置实例,ssl vpn与aaa服务器,4,通过asa的流量进行授权,防火墙一般组网拓扑图 配置acl控制内网访问服务器的权限,5,asa穿越代理的原理,1、pc访问web服务器 2、检查流量，发送认证提示给pc 3、输入用户名、密码进行认证 4、认证成功，进行授权 5、pc访问web服务器正常,inside,dmz,pc,acs server,web server,1. 连接请求,2. 认证提示,3. 进行认证,4. 认证通过,6,asa穿越代理的配置2-1,定义触发认证的流量 配置aaa服务器,asa(config)# access-list http extended permit tcp any eq 80,asa(config)# aaa-server server_group protocol radius | tacacs+ asa(config)# aaa-server server_group (interface_name) host server_ipaddress asa(config-aaa-server-host)# key keyword asa(config-aaa-server-host)# authentication-port port asa(config-aaa-server-host)# accounting-port port,配置服务器使用的协议,配置服务器地址,配置共享密钥、 认证和统计端口,7,asa穿越代理的配置2-2,aaa认证配置 aaa认证配置实例 aaa授权配置 配置aaa认证超时时间,asa(config)# aaa authentication match acl_name interface_name server_group,asa(config)# aaa authentication match http inside acs,asa(config)# aaa authorization match acl_name interface_name server_group,8,aaa服务器下发acl配置,使用downloadable ip acls动态下发acl 配置aaa client的认证使用方法 配置downloadable ip acls 在用户或用户组中配置下发acl的名称,配置的downloadable ip acls名称,9,动态acl与本地acl的关系,本地acl在端口应用配置 配置per-user-override参数 只有动态下发的acl有效 不配置per-user-override参数 本地acl和动态下发的acl同时有效,asa(config)#access-group acl_name in interface inside per-user-override,10,asa穿越代理的配置实例6-1,benet公司网络环境 通过acl来控制员工访问服务器权限 使用aaa服务器统一管理,11,asa穿越代理的配置实例6-2,实验环境 服务器安装windows server 2003系统 在web server1和acs server上配置iis搭建web站点,要求 客户端访问web服务器必须通过认证服务器认证授权 pc1的用户名和密码：benet；pc2的用户名和密码：cisco pc1权限：访问web server1，不能访问acs server pc2权限：访问web server1和acs server,12,asa穿越代理的配置实例6-3,配置radius服务器 配置aaa server和aaa client 添加用户benet和cisco benet用户加入组group1 cisco用户加入组group2 配置动态下发acl 配置为用户组下发的acl,group1： permit tcp any 55 eq 80,group2： permit tcp any 55 eq 80 permit tcp any 55 eq 80,13,asa穿越代理的配置实例6-4,配置asa穿越代理,asa(config)# access-list http permit tcp any eq 80 asa(config)# aaa-server acs protocol radius asa(config-aaa-server-group)# aaa-server acs (dmz) host asa(config-aaa-server-host)# key cisco asa(config-aaa-server-host)# exit asa(config)# aaa authentication match http inside acs asa(config)# aaa authentication secure-http-client,定义匹配的流量,配置aaa服务器,配置aaa认证,在客户端和防火墙 之间使用https协议,14,asa穿越代理的配置实例6-5,验证用户权限 pc1权限验证，在asa上查看acl pc2权限验证，在asa上查看acl,15,asa穿越代理的配置实例6-6,本地acl与动态acl有效性验证 配置本地acl 在端口应用acl，不使用per-user-override参数 在端口应用acl，使用per-user-override参数,asa(config)# access-list test extended deny ip any host asa(config)# access-list test extended permit ip any any,16,小结,请思考 使用radius服务器动态下发acl常用方式是什么？ 在downloadable ip acls方式的配置中，添加aaa client时，认证使用的协议是选择 “radius (cisco vpn 3000/asa/pix 7.x+)”还是标准radius(ietf)？ 在使用命令access-group acl_name in interface inside per-user-override应用acl时，本地配置的acl是否有效？,17,远程接入vpn认证授权2-1,benet公司网络环境 公司要求对通过远程vpn接入的用户进行权限控制,18,远程接入vpn认证授权2-2,实验环境 服务器安装windows server 2003系统 在web server1和acs server上配置iis搭建web站点,要求 由aaa服务器对远程接入vpn用户进行认证授权 授权包括客户端的ip地址和访问服务器的权限 远程访问vpn接入用户的用户名：benet，密码：benet； 访问权限是只能访问web server1，不能访问acs server,19,easyvpn与aaa服务器4-1,配置aaa服务器 配置aaa server和aaa client 配置downloadable ip acls 配置ip地址池 添加用户，配置用户组,20,easyvpn与aaa服务器4-2,在asa上配置easyvpn,asa(config)# aaa-server aaa protocol radius asa(config-aaa-server-group)# aaa-server aaa (dmz) host asa(config-aaa-server-host)# key cisco asa(config)# crypto isakmp enable outside asa(config)# crypto isakmp policy 10 asa(config-isakmp-policy)# authentication pre-share asa(config-isakmp-policy)# encryption aes asa(config-isakmp-policy)# hash sha asa(config-isakmp-policy)# group 2,21,easyvpn与aaa服务器4-3,在asa上配置easyvpn,asa(config)# tunnel-group ezvpn type ipsec-ra asa(config)# tunnel-group ezvpn general-attributes asa(config-tunnel-general)# authentication-server-group aaa asa(config)# tunnel-group ezvpn ipsec-attributes asa(config-tunnel-ipsec)# pre-shared-key cisco123 asa(config)# crypto ipsec transform-set test esp-aes esp-sha-hmac asa(config)# crypto dynamic-map map1 10 set transform-set test asa(config)# crypto map cisco 1000 ipsec-isakmp dynamic map1 asa(config)# crypto map cisco interface outside,22,easyvpn与aaa服务器4-4,验证pc远程接入权限 在pc上安装vpn client接入vpn，在asa上查看acl 在pc上查看获得的ip地址 pc只能访问web server1,23,ssl vpn与aaa服务器3-1,配置aaa服务器 在asa上配置ssl vpn,asa(config)# aaa-server aaa protocol radius asa(config-aaa-server-group)# aaa-server aaa (dmz) host asa(config-aaa-server-host)# key cisco asa(config)# webvpn asa(config-webvpn)# port 444 asa(config-webvpn)# enable outside asa(config-webvpn)# svc image disk0:/sslclient-win-73.pkg asa(config-webvpn)# svc enable,24,ssl vpn与aaa服务器3-2,在asa上配置ssl vpn,asa(config)# group-policy sslvpn-group-policy internal asa(config)# group-policy sslvpn-group-policy attributes asa(config-group-policy)# vpn-tunnel-protocol webvpn svc asa(config-group-policy)# webvpn asa(config-group-webvpn)# svc ask enable asa(config)# tunnel-group sslvpn-group type webvpn asa(config)# tunnel-group sslvpn-group general-attributes asa(config-tunnel-general)# default-group-policy sslvpn-group-policy asa(config-tunnel-general)# authentication-server-group aaa,25,ssl vpn与aaa服务器3-3,在asa上配置ssl vpn 验证pc远程接入权限 在pc上接入sslvpn，在asa上查看acl 无客户端和安装ssl客户端后的访问,asa(config)# tunnel-group sslvpn-group webvpn-attributes asa(config-tunnel-webvpn)# group-alias groups enable asa(config-tunnel-webvpn)# exit asa(config)# webvpn asa(config-webvpn)# tunnel-group-list enable asa(config-webvpn)# exit,26,限制无客户端sslvpn的访问2-1,关闭sslvpn页面的地址输入栏 在asa防火墙上定义一个url列表 xml文件模版 将xml文件url_list1.xml导入到asa防火墙 ftp的用户名为ftp，密码为123456,asa(config)# group-policy sslvpn-group-policy attributes asa(config-group-policy)# webvpn asa(config-group-webvpn)# url-entry disable asa(config-group-webvpn)# file-entry disable asa(config-group-webvpn)# file-browsing disable,asa#import webvpn url-list url_list1 ftp:/ftp:123456/url_list1.xml,禁用http和https,禁用文件地址输入,禁用文件浏览,27,限制无客户端sslvpn的访问2-2,应用url列表 在asa上配置 通过aaa服务器授权url列表 认证使用方法选择radius (cisco vpn 3000/asa/pix 7.x+) 配置026/3076/071 webvpn-url-list属性 验证用户的访问权限,asa(config)# group-policy sslvpn-group-policy