hc用户管理与认证技术

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031034USG6000V1R11.0开发/优化者时间审核人开发类型（新开发/优化）周常青2014-08-25姚传哲新开发本页不打印讲师授课建议：1、xxxHC13031034用户管理及认证技术 前言在企业网应用中场景中，用户是访问网络资源的主体，为了保证网络资源的安全性，应该对用户进行适当的认证和合理的授权。华为防火墙支持对上网用户和接入用户进行分别管理，并且支持本地认证、服务器认证、单点登陆等用户认证方式。本节主要讲解防火墙用户管理和认证的基本原理、应用场景、配置方法及故障排除方法等知识。 目标学完本课程后，您将能够:列举防火墙支

2、持的用户类别和认证方法描述防火墙上用户认证的流程描述防火墙上用户单点登陆的原理配置防火墙上网用户本地认证配置防火墙上网用户单点登陆 目录用户与认证基本概念用户与认证应用场景用户与认证配置3.1 配置用户与用户组3.2 配置认证服务器3.3 使用本地认证实现用户上网3.4 使用单点登陆实现用户上网处理用户与认证故障 目录用户与认证基本概念用户与认证应用场景用户与认证配置处理用户与认证故障用户与认证基本概念用户指的是访问网络资源的主体，表示“谁”在进行访问，是网络访问行为的重要标识，用户的两种形式：上网用户接入用户防火墙通过认证来验证访问者的身份，防火墙对访问者进行认证的方式包括：本地认证服务器认

3、证单点登陆用户认证的目的基于用户实现精细化管理基于用户进行策略的可视化制定，提高策略的易用性。基于用户进行威胁、流量的报表查看和统计分析，实现对用户网络访问行为的追踪审计。解决了IP地址动态变化带来的策略控制问题，即以不变的用户应对变化的IP地址。用户的基本属性登录名（必须）显示名描述所属组密码（必须）账号过期时间允许多人同时使用该账号登录IP/MAC绑定树形用户组织结构用户按树形结构组织，用户隶属于组（部门）。管理员可以根据企业的组织结构来创建部门和用户。这种方式易于管理员查询、定位，是常用的用户组织方式。树形组织结构如图所示：用户/组的来源防火墙上的用户可以通过如下方式创建手工创建从CSV

4、文件导入从服务器导入设备自动发现并创建用户认证总体流程防火墙上的认证过程由多个环节组成，各个环节的处理存在先后顺序。根据不同的部署方式和网络环境，防火墙提供了多种用户认证方案供管理员选择，如右图所示：上网用户认证触发方式AD域单点登陆TSM单点登陆免认证会话认证事前认证单点登陆原理在企业网中可能同时部署了AD域服务器（或TSM服务器）对用户进行身份认证。访问者通常希望经过AD服务器（或TSM服务器）的认证后，就会自动通过防火墙的认证，然后可以访问所有的网络资源。此种情况下，访问者可以使用AD单点登录（或TSM单点登陆）的方式来触发防火墙上的认证。AD域单点登陆实现为了实现AD单点登录，管理员需

5、要在AD服务器（AD域控制器）上部署AD单点登录服务，设置登录脚本和注销脚本，同时在防火墙上配置AD单点登录参数，接收AD服务器发送的用户登录/注销消息。AD域单点登陆示意图TSM单点登陆实现为了实现TSM单点登录，管理员需要在TSM服务器（TSM控制器）上配置与防火墙的通信参数，确保TSM服务器可以将用户的登录信息发送至防火墙。同时在防火墙上配置TSM服务器以及TSM单点登录参数，接收TSM控制器发送的用户登录/注销消息。TSM域单点登陆示意图免认证对于企业的高级管理者，他们希望可以简化操作过程，不输入用户名和密码就可以完成认证并访问网络资源，同时对安全要求又更加严格。此种情况下，这类访问者

6、可以使用免认证的方式来触发防火墙上的认证。防火墙通过识别IP/MAC和用户的双向绑定关系，确定访问者的身份。进行免认证的访问者只能使用特定的IP/MAC地址来访问网络资源。会话认证如果实际网络环境中访问者只使用单一的HTTP业务访问网络资源，建议使用会话认证方式来触发防火墙上的认证。会话认证是指访问者不主动进行身份认证，先进行HTTP业务访问，在访问过程中进行认证。认证通过后，再进行业务访问。会话认证示意图事前认证事前认证是指访问者在访问网络资源之前，先主动进行身份认证，认证通过后，再访问网络资源。事前认证示意图接入用户触发认证的方式SSL VPN接入用户L2TP VPN接入用户IPSec V

7、PN接入用户PPPoE接入用户认证策略认证策略的作用是选出需要进行免认证或会话认证的数据流对免认证的数据流，防火墙根据用户与IP/MAC地址的绑定关系来识别用户对会话认证的数据流，防火墙会推送认证页面认证策略对单点登录或事前认证方式不起作用认证策略的条件：源安全区域、目的安全区域源地址/地区、目的地址/地区认证策略的动作：认证、不认证认证域用户名中后面的字符为认证域如用户susansales属于sales认证域如果用户名中无则用户的缺省属于default域如用户susan属于default域认证域中可以配置的选项认证方式：本地认证或服务器认证认证服务器：服务器的地址地址池：L2TP用户和PPP

8、oE用户需要新用户选项：单点登陆时需要新用户处理方式NGFW根据新用户选项来决定对新用户的处理方式，包括：不允许新用户登录添加到指定的用户组中仅作为临时用户，不添加到本地用户列表中认证服务器防火墙上用户认证支持的服务器类型有RADIUS服务器HWTACACS服务器LDAP服务器AD服务器SecurID服务器TSM服务器AD服务器示例HWTACACS协议与RADIUS协议的比较HWTACACSRADIUS使用TCP协议，网络传输更可靠使用UDP协议除了标准的HWTACACS报文头，对报文主体全部进行加密只是对认证报文中的密码字段进行加密认证与授权分离认证与授权一起处理适于进行安全控制适于进行计费

9、支持对配置命令进行授权不支持对配置命令进行授权 目录用户与认证基本概念用户与认证应用场景用户与认证配置处理用户与认证故障用户认证的使用场景上网用户认证的使用场景有：本地认证AD单点登陆TSM单点登陆服务器认证接入用户的使用场景有：SSL VPN接入后访问资源L2TP VPN接入后访问资源L2TP VPN接入后访问资源IPSec VPN接入后访问资源PPPoE接入后访问资源上网用户：本地认证NGFW上存储了用户/组和密码等信息。内部网络中的访问者在访问网络资源之前，必须先通过NGFW的认证。认证成功后，NGFW记录访问者使用的用户和IP地址之间的对应关系。访问者访问网络资源时，NGFW上基于此用

10、户或用户所属组的策略决定了访问者的权限和行为。上网用户：AD单点登陆认证时，由AD服务器对访问者进行认证，并将认证信息发送至NGFW，使NGFW能够获取用户与IP地址的对应关系。访问者通过AD服务器的认证后，就可以直接访问网络资源，无需再由NGFW进行认证，这种认证方式也称为“AD单点登录”。上网用户：TSM单点登陆认证时，由TSM服务器对访问者进行认证，并将认证信息发送至NGFW，使NGFW能够获取用户与IP地址的对应关系。访问者通过TSM服务器的认证后，就可以直接访问网络资源，无需再由NGFW进行认证，这种认证方式也称为“TSM单点登录”。上网用户：服务器认证认证时，NGFW作为认证服务器

11、的代理客户端，将用户名和密码发送给认证服务器进行认证。支持服务器有RADIUS、HWTACACS、或SecurID认证服务器（需在防火墙上创建用户组）AD、LDAP（可以导入用户组）接入用户：SSL VPN接入后访问资源分支机构员工或出差员工接入时，必须先通过NGFW的认证。认证成功后，对于使用网络扩展业务的访问者，NGFW会为其分配私网IP地址，同时会记录访问者使用的用户和私网IP地址之间的对应关系。在访问资源阶段，由于NGFW已经记录了访问者使用的用户和私网IP地址的对应关系，NGFW上基于此用户或用户所属组的策略决定了访问者的权限和行为，在这一阶段无需对访问者进行二次认证。 接入用户：L

12、2TP VPN接入后访问资源LAC自主拨号方式在接入阶段，NGFW（LNS）对LAC进行认证。隧道一旦建立，分支机构中的访问者可以直接访问总部的网络资源。防火墙通过二次认证对限定用户的权限与行为接入用户：L2TP VPN接入后访问资源NAS-Initiated/Client-Initiated方式在接入阶段，使用用户名和密码通过拨号方式来触发L2TP隧道的建立。此时，NGFW（LNS）会记录访问者使用的用户和私网IP地址之间的对应关系。在访问资源阶段，NGFW可以直接根据接入阶段记录的用户来控制访问者的权限和行为，不需要对访问者进行二次认证。接入用户：IPSec VPN接入后访问资源分支机构与

13、总部建立IPSec VPN隧道。隧道成功建立后，分支机构中的访问者在访问企业总部的网络资源之前，必须先通过NGFW的认证。认证成功后，NGFW记录访问者使用的用户和IP地址之间的对应关系。分支机构中的访问者访问总部网络资源时，NGFW上基于此用户或用户所属组的策略决定了访问者的权限和行为。接入用户：PPPoE接入后访问资源NGFW作为PPPoE Server，访问者作为PPPoE Client。在接入阶段，访问者使用用户名和密码通过拨号方式来触发PPPoE协商。PPPoE连接建立过程中，NGFW会为访问者分配私网IP地址，同时会记录访问者使用的用户和私网IP地址之间的对应关系。在访问资源阶段，

14、NGFW可以直接根据接入阶段记录的用户来控制访问者的权限和行为，不需要对访问者进行二次认证。 目录原理：用户与认证基本概念场景：用户与认证应用场景命令：配置用户与用户组命令：配置认证服务器案例1：使用本地认证实现用户上网案例2：使用单点登陆实现用户上网排障：处理用户与认证故障命令配置用户和组步骤配置项目配置命令1、配置用户名密码user-manage user user001alias tom001password Huawei1232、（可选）配置过期时间expire-time 2015/12/313、（可选 ）配置多人登陆及IP绑定multi-ip online enablebind mo

15、de unidirectionalbind ipv4 14、配置用户组user-manage group /researchuser-manage group /research/group1user-manage group /research/group25、（可选）组中添加用户user-manage group /research/group1add user user001命令配置用户和组步骤配置项目配置命令1、配置用户名密码user-manage user user001alias tom001password Huawei1232、（可选）配置过期时间expire-time exp

16、ired-date3、（可选 ）配置多人登陆及IP绑定multi-ip online enablebind mode unidirectionalbind ipv4 14、配置用户组user-manage group /researchuser-manage group /research/group1user-manage group /research/group25、（可选）组中添加用户user-manage group /research/group1add user user001命令导入或导出用户和组步骤配置项目配置命令1、（可选）导出组中用户到CSVuser-manage use

17、r-export from group /research/group1 to group1.csv2、（可选）导出单个用户到CSVuser-manage user-export user user001 to user001.csv3、（可选）从CSV导入用户user-manage user-import group2.csv auto-create-group override4、（可选）从服务器导入用户user-manage import-policy policy_import from ad server template auth_server_ad server basedn d

18、estination-group root user-attribute sAMAccountName user-filter (&(|(objectclass=person)(objectclass=organizationalPerson)(cn=*)(!( puter) group-filter (|(objectclass=organizationalUnit)(ou=*) import-type all import-override enable CSV文件示例WEB配置组点击“对象-用户-用户/组”，点“新建-新建组”WEB配置用户点击“对象-用户-用户/组”，选中组后点“新建-

19、新建用户”WEB导入本地用户点击“对象-用户-用户导入”，点“本地导入”点“CSV模板下载”，下载用户及组模板在模板里编辑用户信息，修改好后保存最后点“浏览”，选中修改好的CSV文件，点“开始导入”WEB导入AD域用户点击“对象-用户-用户导入”，点“服务器导入”如下配置参数（选服务器类型为AD）其中服务器名称里，需要新建一个AD服务器WEB导入TSM用户点击“对象-用户-用户导入”，点“服务器导入”如下配置参数（选服务器类型为TSM）其中服务器名称里，需要新建一个TSM服务器 目录用户与认证基本概念用户与认证应用场景用户与认证配置3.1 配置用户与用户组3.2 配置认证服务器3.3 案例1：

20、使用本地认证实现用户上网3.4 案例2：使用单点登陆实现用户上网处理用户与认证故障命令配置认证选项步骤配置项目配置命令1、配置密码策略password-policylevel highfirstmodify enablelefttime 90 alarmtime 102、配置认证页面user-manage web-authentication enableuser-manage web-authentication security port 8088user-manage redirectuser-manage local-authentication authentication-fail

21、ed-times 3 locked-time locked-time 5user-manage online-user aging-time 240WEB配置认证选项点击“对象-用户-认证选项-全局配置”，如下参数：命令配置单点登陆步骤配置项目配置命令1、配置AD域单点登陆user-manage single-sign-on ad shared-key Huawei123user-manage single-sign-on ad add-temporary group /researchuser-manage single-sign-on ad enable2、配置TSM单点登陆user-ma

22、nage single-sign-on tsm add-temporary group /researchuser-manage single-sign-on tsm enableWEB配置单点登陆点击“对象-用户-认证选项-单点登陆”，如下参数： 目录用户与认证基本概念用户与认证应用场景用户与认证配置3.1 配置用户与用户组3.2 配置认证服务器3.3 案例1：使用本地认证实现用户上网3.4 案例2：使用单点登陆实现用户上网处理用户与认证故障命令配置RADIUS服务器步骤配置项目配置命令1、创建服务器模板radius-servertemplateradius0012、配置认证服务器地址rad

23、ius-server authentication 00 18123、（可选 ）配置计费服务器地址radius-server accounting 00 18134、配置shared-keyradius-server shared-key Huawei1235、（可选 ）配置用户名格式radius-server user-name domain-included6、（可选）配置服务器的重传次数radius-server retransmit 37、（可选）配置服务器的重传超时radius-server timeout 58、测试服务器radius-server test user huawei

24、123WEB配置RADIUS服务器点击“对象-认证服务器-RADIUS-新建”,按如下参数配置命令配置配置AD服务器步骤配置项目配置命令1、创建AD服务器模板ad-server template ad0012、配置AD认证服务器ad-server authentication 00 883、配置AD服务器的根区别名ad-server authentication base-dn 4、配置AD服务器的管理员区别名和管理员密码ad-server authentication manager cn=Administrator Huawei1235、配置AD认证服务器的主机名ad-server aut

25、hentication host-name 6、配置AD服务器的LDAP端口 ad-server authentication ldap-port 3897、配置管理员DN附带Base DNad-server authentication manager-with-base-dn enablead-server user-filter sAMAccountNamead-server group-filter ouWEB配置配置AD服务器点击“对象-认证服务器-AD-新建”,按如下参数配置命令配置配置TSM服务器步骤配置项目配置命令1、创建TSM服务器模板tsm-server template

26、tsm0012、配置TSM服务器的IP地址tsm-server shared-key huawei1233、配置TSM服务器的共享密钥tsm-server ip-address 50WEB配置配置TSM服务器点击“对象-认证服务器-TSM-新建”,按如下参数配置命令配置认证域步骤配置项目配置命令1、配置aaaaaa2、配置认证策略authentication-scheme ad authentication-mode ad3、配置认证域 domain domain001 authentication-scheme ad ad-server ad001 service-type internet

27、access referenced by usergroup /sales referenced by usergroup /research new-user add-local group root auto-import ad001本配置中以AD认证域为示例，其它认证类型参考备注WEB配置配置认证域点击“对象-用户-认证域-新建”,按如下参数配置命令配置配置认证策略步骤配置项目配置命令1、进入认证策略视图auth-policy2、配置不认证策略 rule name ADSRV source-zone trust destination-zone untrust source-addres

28、s 00 32 action no-auth3、配置认证策略 rule name AccessInternet source-zone trust destination-zone untrust source-address 24 action auth4、移动策略rule move rule-name1 after | before rule-name2WEB配置认证策略点击“策略-认证策略-新建”,按如下参数配置用户登陆测试使用PC连接到trust区域，访问任何untrust区域的IP地址在防火墙上监控用户点击“对象-用户-监控”，可以完成用户刷新、观察用户状态强制注销、全部强制注销用户

29、冻结、解冻 目录用户与认证基本概念用户与认证应用场景用户与认证配置3.1 配置用户与用户组3.2 配置认证服务器3.3 案例1：使用本地认证实现用户上网3.4 案例2：使用单点登陆实现用户上网处理用户与认证故障组网拓扑及需求某企业在网络边界处部署了USG作为出口网关，连接内部网络与Internet。企业内部网络中的访问者角色包括高级管理者、研发部员工、市场部员工和来访客户。其中，高级管理者使用固定的IP地址；研发部员工、市场部员工和来访客户动态获取IP地址。配置思路针对组网需求，制定如下配置思路接口和安全域基本配置（略）创建用户和组配置高级管理者用户绑定IP配置default域，添加参考的用户

30、组配置安全策略配置流程如右图所示创建用户组选择“对象-用户-用户/组”点“新建”分别创建用户组manager、research、marketing创建本地用户在“成员管理”中，单击“新建”，选择“新建用户”，按如下参数配置认证全局配置选择“对象-认证-全局选项”，配置参数如下配置认证策略-高级管理者不认证选择“策略-认证策略”点“新建”，如下所示配置认证策略-普通用户认证选择“策略-认证策略”点“新建”，如下所示配置认证域选择“对象 用户 认证域”，单击“default”，按如下参数配置：配置安全策略选择“策略安全策略”，如下新建两条策略测试用户认证在USG上的“对象 用户 用户/组”中可以查

31、看到用户/组的信息。高级管理者A无需进行认证就可以访问网络资源，研发部、市场部员工和访客使用IE浏览器访问外网，将会重定向至认证页面，输入相应的用户名后可以访问外网。在USG上的“对象 用户 监控”中可以查看到在线用户的信息。 目录用户与认证基本概念用户与认证应用场景用户与认证配置3.1 配置用户与用户组3.2 配置认证服务器3.3 案例1：使用本地认证实现用户上网3.4 案例2：使用单点登陆实现用户上网处理用户与认证故障组网拓扑及需求某企业在网络边界处部署了USG作为出口网关，连接内部网络与Internet。具体情况如下：内部网络中已经部署了AD身份认证机制，AD服务器上存放了用户和组的信息

32、。内部网络中的访问者角色包括研发部员工和市场部员工。配置思路针对组网需求，制定如下配置思路配置接口IP和安全区域（略）在USG上配置AD服务器配置用户导入策略、导入AD上用户在USG上配置单点登陆修改用户超时时间在AD上配置单点登陆服务右图为AD单点登陆认证流程配置安全策略放行AD服务到Local选择“策略-安全策略”点“新建”，配置策略允许AD和防火墙双向通信配置AD服务器选择“对象认证服务器AD”，点“新建”配置AD用户导入策略选择“对象用户用户导入服务器导入”点“新建”单击确定后，在策略中点击“ ”启动用户导入。在USG上创建新用户所属的组选择“对象用户用户/组”，在成员管理中“新建”在USG上配置单点登录参数选择“对