信息安全技术(HCIASecurity)第九次课防火墙用户管理课件

1、 防火墙用户管理学完本课程后，您将能够:掌握AAA技术掌握用户认证技术掌握用户认证管理配置用户认证和AAA技术原理用户认证管理及应用用户认证的背景无关活动影响工作效率无关应用影响网络带宽违法行为，影响组织利益Web威胁,无孔不入内部泄密，损失巨大企业互联网接入什么是AAAAuthentication认证Authorization 授权Accounting 计费AuthenticationAuthorizationAccountingAuthentication认证认证是指通过一定的手段，完成对用户身份的确认。你所知道的信息你所拥有的东西 独一无二的身体特征指纹面部声音密码令牌虹膜U盘密码验证U

2、SB证书认证Authorization 授权用户能访问的资源用户能使用的命令员工公共资源 普通业务系统用户业务系统管理者访客敏感业务系统Accounting 计费用户用多长时间用户花了多少钱用户做了哪些操作AAA技术本地认证服务器认证UserGateway在认证方本地存储用户名密码第三方认证服务器存储用户名密码UserGatewayRADIUS/LDAP/ADauthentication serverRADIUS协议概述RADIUS服务器通过建立一个唯一的用户数据库，存储用户名、密码来对用户进行验证。RADIUS的消息结构如图所示RADIUS应用场景用户输入用户名/密码Access-Reque

3、stAccess-AcceptAccounting-Request (start)Accounting-ResponseAccounting-Request (stop)Accounting-Response通知访问结束用户访问资源HWTACACS协议概述HWTACACS是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似，采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。HWTACACS的典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费。设备作为HWTACACS的客户端，将用户名和密码发给HWTACACS服务器进行验证。用

4、户验证通过并得到授权之后可以登录到设备上进行操作。HWTACACS协议应用场景用户登录Authentication start User responds to the message and requests the usernameAuthentication continuous message, send the user name to the serverAuthentication responseAuthentication response, authentication passedAuthorized response , authorization passed用户登录

5、成功向用户申请用户名用户输入用户名向用户申请密码用户输入密码Authentication persistent message, trigger password to the serverAuthorization requestHWTACACS和RADIUS比较HWTACACS协议与RADIUS协议的比较。HWTACACSRADIUS端口使用使用TCP协议使用UDP协议。认证和授权端口号是1812和1813，或者1645和1646加密情况除了标准的HWTACACS报文头，对报文主体全部进行加密只是对认证报文中的密码字段进行加密认证和授权认证与授权分离认证与授权一起处理应用适于进行安全控制适

6、于进行计费配置命令授权支持对配置命令进行授权不支持对配置命令进行授权LDAP协议概述LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）是从X.500目录访问协议的基础上发展过来的，X.500是层次型的，所有对象被组织成树形结构。X.500目录服务实现身份认证、访问控制。LDAP就是简化X.500目录的复杂度，同时适应Internet的需要。rootcomnetorgHuaweiLDAP基本概念在LDAP中，信息以树状方式组织，基本数据单元是条目，而每个条目由属性构成，属性由类型（Type）和一个或多个值（Value）组成。 目录信息树DI

7、T（Directory Information Tree）目录条目的集合构成目录信息树。条目Entry目录信息树中的一个节点，是目录信息中最基本的单位，由一系列属性构成。属性Attribute属性描述对象的特征，一个属性有属性类型和一个或多个属性值构成。相对标识名RDN（Relative Distinguished Name）条目的名字，唯一标识同一父条目的子条目。唯一标识名DN（Distinguished Name）在一个目录信息树种唯一标识一个条目的名字。LDAP认证流程用户输入用户名/密码发起登录请求Administrator Bind RequestBind ReplyUser DN

8、Search RequestUser DN Bind RequestAuthorization用户登录成功Search ReplyBind Reply用户认证分类AAA技术为用户认证提供手段。用户认证分类有：本地认证服务器认证单点登录短信认证用户认证和AAA技术原理用户管理及应用用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策略上网用户认证配置可视化管理病毒/攻击：阻塞病毒木马蠕虫关键应用：带宽优先可接受应用：流量控制禁止应用：阻塞用户（组）专业安全防御全面流量控制用户管理的背景AAA认证技术用户认证用户管理用户组织架构用户是网络访问的主体，是FW进行网络行为控制和网

9、络权限分配的基本单元。用户组织结构中涉及如下三个概念：认证域：用户组织结构的容器，防火墙缺省存在default认证域，用户可以根据需求新建认证域。用户组/用户：用户按树形结构组织，用户隶属于组（部门）。管理员可以根据企业的组织结构来创建部门和用户。安全组：横向组织结构的跨部门群组。当需要基于部门以外的维度对用户进行管理可以创建跨部门的安全组。例如企业中跨部门成立的群组。组织结构管理系统默认有一个缺省认证域，每个用户组可以包括多个用户和用户组。每个用户组只能属于一个父用户组，每个用户至少属于一个用户组，也可以属于多个用户组。认证域市场部研发部来访人员研发1部研发2部员工A员工B员工C员工D跨部门

10、群组跨部门群组安全组部门对应用户组员工对应用户用户分类管理员管理员用户指通过Telnet、SSH、web、FTP等协议或通过Console接口访问设备并对设备进行配置或操作的用户。上网用户内部网络中访问网络资源的主体，如企业总部的内部员工。上网用户可以直接通过防火墙访问网络资源。接入用户外部网络中访问网络资源的主体，如企业的分支机构员工和出差员工。接入用户需要先通过SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到防火墙，然后才能访问企业总部的网络资源。用户认证和AAA技术原理用户认证管理及应用 用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策

11、略上网用户及接入用户认证配置管理员登录方式ConsoleTelnetSSHFTPWebConsole/telnet/Ftp设备管理类型在“系统 管理员 管理员 新建”，新建管理员Client01，并设置设备管理类型Console, Telnet, FTP。可为管理员选择配置不同的角色，包含系统管理员、配置管理员、审计管理员。设置信任主机IP，指定特定的主机访问。选择配置设备管理类型。SSH设备管理类型创建管理员Client01，并设置设备管理类型为SSH。必须设置SSH认证方式设置认证方式为Password启用Stelnet和SFTP服务SSH option（Notes: 默认Console,

12、 telnet, ftp配置，无需另外配置)Web设备管理类型创建管理员webuser，设置用户级别。在“系统 管理员 设置”设置HTTPS/HTTP服务端口,当使用HTTP登录设备后，不可以关闭HTTP服务，同时不能修改HTTP服务端口；当使用HTTPS登录设备后，不可以关闭HTTPS服务，同时不能修改HTTPS服务端口。用户角色设置为系统管理员，不仅可以配置设备，而且可以管理文件系统，用于软件升级。启用HTTPS服务，设置HTTPS服务端口。用户认证和AAA技术原理用户认证管理及应用用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策略上网用户认证配置认证流程AD单点

13、登录与AD服务器联动获取用户与IP/MAC双向绑定信息Portal认证免认证免认证会话认证认证策略完成认证事前认证本地认证本地用户/组服务器认证上网用户接入用户认证触发认证域RADIUS服务器HWTACACS服务器AD服务器AD服务器LDAP服务器SecurID服务器SecurID服务器认证服务器二次认证是否接入用户二次认证上网用户认证流程接入用户认证流程短信认证会话认证获取用户短信验证码与自定义Portal联动与Agile Controller服务器联动与NAS和RADIUS服务器联动Agile Controller单点登录RADIUS单点登录单点登录单点登录是指防火墙不是认证点，防火墙通过

14、获取其他认证系统的用户登录消息，使用户在防火墙上线。AD单点登录是用户希望经过AD服务器的认证后，就会自动通过FW的认证，然后可以访问所有的网络资源。AD单点登录主要有三种登录实现方式：接受PC消息模式查询AD服务器安全日志模式防火墙监控AD认证报文AD单点登录 (接收PC消息模式)管理员需要在AD监控器上部署AD单点登录服务，在AD服务器（AD域控制器）上设置登录脚本和注销脚本，同时在防火墙上配置AD单点登录参数，接收AD单点登录服务发送的用户登录/注销消息。AD单点登录 (查询AD服务器安全日志模式)管理员需要在AD监控器上部署AD单点登录服务，同时在FW上配置AD单点登录参数，接收AD单

15、点登录服务发送的用户登录消息。AD单点登录 (防火墙监控AD认证报文)管理员无需在AD服务器上安装程序。FW通过监控访问者登录AD服务器的认证报文获取认证结果，如果认证成功将用户和IP对应关系添加到在线用户表。上网用户Portal认证Portal认证是指由防火墙或第三方服务器提供Portal认证页面对用户进行认证。防火墙内置Portal认证的触发方式包括：会话认证：会话认证是用户不主动进行身份认证，先进行HTTP业务访问，在访问过程中进行认证。认证通过后，再进行业务访问。事前认证：事前认证是指访问者在访问网络资源之前，先主动进行身份认证，认证通过后，再访问网络资源。内置Portal认证触发方式

16、 - 会话认证当防火墙收到用户的第一条HTTP业务访问数据流时，将HTTP请求重定向到认证页面，触发访问者身份认证。认证通过后，就可以访问HTTP业务以及其他业务。内置Portal认证触发方式 - 事前认证用户主动向防火墙提供的认证页面发起认证请求。FW收到认证请求后，对其进行身份认证。认证通过后，就可以访问Internet。接入用户认证接入用户认证指的是对各类VPN接入用户进行认证。触发认证的方式由接入方式决定，包括:SSL VPNL2TP VPNIPSec VPNPPPoESSL接入用户访问内部资源举例FirewallApplication server防火墙验证用户账号和密码账户A的访问

17、资源账户B的访问资源用户账号(1) 登录设备，提交账户和密码(2) 通过用户认证(3) 允许访问Internet用户认证简介和AAA技术原理用户认证管理及应用用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策略上网用户认证配置认证策略认证策略用于决定防火墙需要对哪些数据流进行认证，匹配认证策略的数据流必须经过防火墙的身份认证才能通过。缺省情况下，防火墙不对经过自身的数据流进行认证，需要通过认证策略选出需要进行认证的数据流。如果经过防火墙的流量匹配了认证策略将触发如下动作：会话认证事前认证免认证单点登录认证策略组成信息认证策略是多个认证策略规则的集合，认证策略决定是否对一

18、条流量进行认证。认证策略规则由条件和动作组成，条件指的是FW匹配报文的依据，包括：源/目的安全区域源地址/地区目的地址/地区动作指的是FW对匹配到的数据流采取的处理方式，包括：Portal认证短信认证免认证不认证用户认证简介和AAA技术原理用户认证管理及应用用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策略上网用户认证配置配置流程配置服务器配置认证域配置用户/用户组配置认证选项配置认证策略单点登录服务器第三方认证服务器手工配置服务器导入配置单点登录参数配置全局参数配置本地认证时无需此步骤免认证Portal认证配置服务器 (RADIUS)在“对象 认证服务器 RADIU

19、S 新建”，新建RADIUS服务器。一般情况下，RADIUS服务器提供认证服务时使用的端口号为1812，计费服务时使用的端口号为1813。设置RADIUS共享密钥，密钥和RADIUS服务器一致配置服务器 (AD)在“对象 认证服务器 AD 新建”，新建AD服务器。此部分内容需根据AD服务器上相关设置进行配置，需与AD服务器保持一致。创建用户和用户组在“对象 用户 default ”，新建用户/用户组。 表示用户组，列表中只显示该用户组的所属组和描述信息。其他参数均显示为“-”，即表示非用户组相关参数，不可配置。 表示用户，列表中除能直接显示用户所属组、绑定信息、账号过期时间、描述信息以及当前的

20、用户状态，还能修改用户状态。123配置用户属性对于已存在的用户可以使用“编辑”修改用户的属性。用户的账号过期时间。允许该登录名同时在多台计算机上登录。如果该用户是MAC地址双向绑定免认证用户，当用户和设备之间存在三层设备时，则该用户将登录失败；如果该用户是MAC地址绑定用户，但采用了单点登录方式进行认证，此时，MAC地址绑定属性不生效。配置认证选项 (全局配置)在“对象 用户 认证选项 全局配置/本地Portal”，进行配置。用户可在登录认证页面时对密码进行修改，且该配置只适用于用户通过认证页面来修改密码的情况。上网用户使用web重定向推送认证页面时需要配置该部分，认证端口默认使用8887端口

21、。该选项表示用户首次登录认证页面时，必须修改密码。配置认证选项 (单点登录)在“对象 用户 default 上网方式及认证策略配置”，配置单点登录。在使用插件方式配置AD单点登录时，需下载AD服务器单点登录程序并解压缩。然后在AD监控器上安装ADSSO_Setup.exe，配置AD单点登录服务的运行参数。免插件方式的AD单点登录。在上网方式处选择单点登录认证12配置认证策略在“对象 用户 认证策略 新建”，配置认证策略。选择认证策略的认证动作。通过本地和服务器导入用户选择“对象 用户 用户导入”。 本地导入:本地导入支持将CSV格式文件和数据库dbm文件的用户信息导入到设备本地。 服务器导入:

22、从认证服务器上批量导入用户是指通过服务器导入策略，将认证服务器上用户（组）信息导入到设备上。 下载CSV模板，补充完整数据后，点击浏览，并上传数据。在线用户管理在“对象 用户 在线用户”，可以对在线用户进行管理。若需要限制某些用户在某段时间内所有上网行为，可以冻结指定的在线用户。若管理员觉察到某些用户不可信，可以强制注销指定的在线用户。勾选某个用户，可以强制注销某个用户在线用户被冻结后，在冻结时间内，该用户不能访问网络资源，不能自行注销，也不能重新发起用户认证申请。以下哪个选项不属于AAA（ ）？认证授权计费管理AD单点登录主要有哪三种登录实现方式（ ）？接受PC消息模式查询AD服务器安全日志

23、模式防火墙监控AD认证报文PC直接登录用户认证简介AAA技术原理用户认证管理及应用入侵防御简介在目前出现的各种安全威胁当中，恶意程序类别占有很高的比例，灰色软件的影响也逐渐扩大，而与犯罪程序有关的安全威胁已经成为威胁网络安全的重要因素。目前用户面临的不再是传统的病毒攻击，“网络威胁”经常是融合了病毒、黑客入侵、木马、僵尸、间谍等危害等于一身的混合体，因此单靠以往的防毒或者防黑技术往往难以抵御。本章节主要介绍了入侵的概念以及华为USG产品对于入侵防御的支持。学完本课程后，您将能够：描述入侵防御的种类部署网络反病毒策略入侵概述入侵防御系统简介网络防病毒简介入侵初印象“复仇者联盟” ？说到入侵，大家

24、最先想到的是什么呢？恐怖电影“铁线虫入侵”？网络威胁现状现在大多数病毒等网络威胁不再单纯地攻击电脑系统，而是被黑客攻击和不法分子利用，成为他们获取利益的工具。因此，传统的电脑病毒等网络威胁，正在向由利益驱动的、全面的网络威胁发展变化。黑客入侵拒绝服务攻击病毒及恶意软件黑客入侵网络黑客、企业内部恶意员工利用系统及软件的漏洞，入侵服务器，严重威胁企业关键业务数据的安全。核心交换机邮件服务器数据服务器Web服务器路由器黑客恶意员工蠕虫蠕虫入侵拒绝服务攻击威胁以经济利益为目的的DDOS攻击不断威胁着企业正常运营，且攻击造成的危害越来越严重。总部机构僵尸网络SMURF正常网络用户SYN FloodUDP

25、 Flood僵尸网络僵尸网络ICMP FloodCC攻击僵尸网络僵尸网络Internet病毒及恶意软件安全威胁随着企业业务拓展，更多业务应用依赖于IT信息系统来完成。在业务运行过程中，不断面临着病毒、木马、间谍软件等的严重威胁。间谍软件木马病毒核心交换机邮件服务器数据服务器Web服务器路由器蠕虫病毒什么是入侵？上述网络威胁都有什么样的相似特征呢？入侵是指未经授权而尝试访问信息系统资源、窜改信息系统中的数据，使信息系统不可靠或不能使用的行为；入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。未经授权访问未经授权篡改未经授权破坏黑客入侵拒绝服务攻击威胁病毒及恶意软件威胁特征入侵入侵防御系统简

26、介网络防病毒简介安全设备在安全体系中的位置监视器入侵检测系统保安员扫描器、漏洞查找安全传输加密、VPN门禁系统身份认证、访问控制监控室安全管理中心加固的房间系统加固、免疫门防火墙入侵防御系统入侵防御系统（ IPS，Intrusion Prevention System ）是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS在网络中一般有两种部署方式：串接在网络边界，在线部署，在线阻断。直路旁挂在交换机上，通过交换机做端口镜像。旁路入侵防御系统技术特点Intrusion Prevention System实时阻断业务感