信息安全技术（HCIA-Security）（微课版）（第2版） 课件 第9章 防火墙用户管理

防火墙用户管理坚持正确舆论导向，高度重视传播手段建设和创新，提高新闻舆论传播力、引导力、影响力、公信力。加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间。文字学习张桂梅，用全部的生命教书育人拓展主题时代楷模、立德树人、教书育人学完本课程后，您将能够:掌握AAA技术掌握用户认证技术掌握用户认证管理配置用户认证和AAA技术原理用户认证管理及应用用户认证的背景无关活动影响工作效率无关应用影响网络带宽违法行为，影响组织利益Web威胁,无孔不入内部泄密，损失巨大企业互联网接入什么是AAAAuthentication认证Authorization授权Accounting计费AuthenticationAuthorizationAccountingAuthentication认证认证是指通过一定的手段，完成对用户身份的确认。你所知道的信息你所拥有的东西独一无二的身体特征指纹面部声音密码令牌虹膜U盘密码验证USB证书认证Authorization授权用户能访问的资源用户能使用的命令员工公共资源普通业务系统用户业务系统管理者访客敏感业务系统Accounting计费用户用多长时间用户花了多少钱用户做了哪些操作AAA技术本地认证服务器认证UserGateway在认证方本地存储用户名密码第三方认证服务器存储用户名密码UserGatewayRADIUS/LDAP/ADauthenticationserverRADIUS协议概述RADIUS服务器通过建立一个唯一的用户数据库，存储用户名、密码来对用户进行验证。RADIUS的消息结构如图所示RADIUS应用场景用户输入用户名/密码Access-RequestAccess-AcceptAccounting-Request(start)Accounting-ResponseAccounting-Request(stop)Accounting-Response通知访问结束用户访问资源HWTACACS协议概述HWTACACS是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似，采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。HWTACACS的典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费。设备作为HWTACACS的客户端，将用户名和密码发给HWTACACS服务器进行验证。用户验证通过并得到授权之后可以登录到设备上进行操作。HWTACACS协议应用场景用户登录AuthenticationstartUserrespondstothemessageandrequeststheusernameAuthenticationcontinuousmessage,sendtheusernametotheserverAuthenticationresponseAuthenticationresponse,authenticationpassedAuthorizedresponse,authorizationpassed用户登录成功向用户申请用户名用户输入用户名向用户申请密码用户输入密码Authenticationpersistentmessage,triggerpasswordtotheserverAuthorizationrequestHWTACACS和RADIUS比较HWTACACS协议与RADIUS协议的比较。HWTACACSRADIUS端口使用使用TCP协议使用UDP协议。认证和授权端口号是1812和1813，或者1645和1646加密情况除了标准的HWTACACS报文头，对报文主体全部进行加密只是对认证报文中的密码字段进行加密认证和授权认证与授权分离认证与授权一起处理应用适于进行安全控制适于进行计费配置命令授权支持对配置命令进行授权不支持对配置命令进行授权LDAP协议概述LDAP（LightweightDirectoryAccessProtocol，轻量级目录访问协议）是从X.500目录访问协议的基础上发展过来的，X.500是层次型的，所有对象被组织成树形结构。X.500目录服务实现身份认证、访问控制。LDAP就是简化X.500目录的复杂度，同时适应Internet的需要。rootcomnetorgHuaweiLDAP基本概念在LDAP中，信息以树状方式组织，基本数据单元是条目，而每个条目由属性构成，属性由类型（Type）和一个或多个值（Value）组成。

目录信息树DIT（DirectoryInformationTree）目录条目的集合构成目录信息树。条目Entry目录信息树中的一个节点，是目录信息中最基本的单位，由一系列属性构成。属性Attribute属性描述对象的特征，一个属性有属性类型和一个或多个属性值构成。相对标识名RDN（RelativeDistinguishedName）条目的名字，唯一标识同一父条目的子条目。唯一标识名DN（DistinguishedName）在一个目录信息树种唯一标识一个条目的名字。LDAP认证流程用户输入用户名/密码发起登录请求AdministratorBindRequestBindReplyUserDNSearchRequestUserDNBindRequestAuthorization用户登录成功SearchReplyBindReply用户认证分类AAA技术为用户认证提供手段。用户认证分类有：本地认证服务器认证单点登录短信认证用户认证和AAA技术原理用户管理及应用用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策略上网用户认证配置可视化管理病毒/攻击：阻塞病毒木马蠕虫关键应用：带宽优先可接受应用：流量控制禁止应用：阻塞用户（组）专业安全防御全面流量控制用户管理的背景AAA认证技术用户认证用户管理用户组织架构用户是网络访问的主体，是FW进行网络行为控制和网络权限分配的基本单元。用户组织结构中涉及如下三个概念：认证域：用户组织结构的容器，防火墙缺省存在default认证域，用户可以根据需求新建认证域。用户组/用户：用户按树形结构组织，用户隶属于组（部门）。管理员可以根据企业的组织结构来创建部门和用户。安全组：横向组织结构的跨部门群组。当需要基于部门以外的维度对用户进行管理可以创建跨部门的安全组。例如企业中跨部门成立的群组。组织结构管理系统默认有一个缺省认证域，每个用户组可以包括多个用户和用户组。每个用户组只能属于一个父用户组，每个用户至少属于一个用户组，也可以属于多个用户组。认证域市场部研发部来访人员研发1部研发2部员工A员工B员工C员工D跨部门群组跨部门群组安全组部门对应用户组员工对应用户用户分类管理员管理员用户指通过Telnet、SSH、web、FTP等协议或通过Console接口访问设备并对设备进行配置或操作的用户。上网用户内部网络中访问网络资源的主体，如企业总部的内部员工。上网用户可以直接通过防火墙访问网络资源。接入用户外部网络中访问网络资源的主体，如企业的分支机构员工和出差员工。接入用户需要先通过SSLVPN、L2TPVPN、IPSecVPN或PPPoE方式接入到防火墙，然后才能访问企业总部的网络资源。用户认证和AAA技术原理用户认证管理及应用

用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策略上网用户及接入用户认证配置管理员登录方式ConsoleTelnetSSHFTPWebConsole/telnet/Ftp设备管理类型在“系统>管理员>管理员>新建”，新建管理员Client01，并设置设备管理类型Console,Telnet,FTP。可为管理员选择配置不同的角色，包含系统管理员、配置管理员、审计管理员。设置信任主机IP，指定特定的主机访问。选择配置设备管理类型。SSH设备管理类型创建管理员Client01，并设置设备管理类型为SSH。必须设置SSH认证方式设置认证方式为Password启用Stelnet和SFTP服务SSHoption（Notes:默认Console,telnet,ftp配置，无需另外配置)Web设备管理类型创建管理员webuser，设置用户级别。在“系统>管理员>设置”设置HTTPS/HTTP服务端口,当使用HTTP登录设备后，不可以关闭HTTP服务，同时不能修改HTTP服务端口；当使用HTTPS登录设备后，不可以关闭HTTPS服务，同时不能修改HTTPS服务端口。用户角色设置为系统管理员，不仅可以配置设备，而且可以管理文件系统，用于软件升级。启用HTTPS服务，设置HTTPS服务端口。用户认证和AAA技术原理用户认证管理及应用用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策略上网用户认证配置认证流程AD单点登录与AD服务器联动获取用户与IP/MAC双向绑定信息Portal认证免认证免认证会话认证认证策略完成认证事前认证本地认证本地用户/组服务器认证上网用户接入用户认证触发认证域RADIUS服务器HWTACACS服务器AD服务器AD服务器LDAP服务器SecurID服务器SecurID服务器认证服务器二次认证是否接入用户二次认证上网用户认证流程接入用户认证流程短信认证会话认证获取用户短信验证码与自定义Portal联动与AgileController服务器联动与NAS和RADIUS服务器联动AgileController单点登录RADIUS单点登录单点登录单点登录是指防火墙不是认证点，防火墙通过获取其他认证系统的用户登录消息，使用户在防火墙上线。AD单点登录是用户希望经过AD服务器的认证后，就会自动通过FW的认证，然后可以访问所有的网络资源。AD单点登录主要有三种登录实现方式：接受PC消息模式查询AD服务器安全日志模式防火墙监控AD认证报文AD单点登录(接收PC消息模式)管理员需要在AD监控器上部署AD单点登录服务，在AD服务器（AD域控制器）上设置登录脚本和注销脚本，同时在防火墙上配置AD单点登录参数，接收AD单点登录服务发送的用户登录/注销消息。AD单点登录(查询AD服务器安全日志模式)管理员需要在AD监控器上部署AD单点登录服务，同时在FW上配置AD单点登录参数，接收AD单点登录服务发送的用户登录消息。AD单点登录(防火墙监控AD认证报文)管理员无需在AD服务器上安装程序。FW通过监控访问者登录AD服务器的认证报文获取认证结果，如果认证成功将用户和IP对应关系添加到在线用户表。上网用户Portal认证Portal认证是指由防火墙或第三方服务器提供Portal认证页面对用户进行认证。防火墙内置Portal认证的触发方式包括：会话认证：会话认证是用户不主动进行身份认证，先进行HTTP业务访问，在访问过程中进行认证。认证通过后，再进行业务访问。事前认证：事前认证是指访问者在访问网络资源之前，先主动进行身份认证，认证通过后，再访问网络资源。内置Portal认证触发方式-会话认证当防火墙收到用户的第一条HTTP业务访问数据流时，将HTTP请求重定向到认证页面，触发访问者身份认证。认证通过后，就可以访问HTTP业务以及其他业务。内置Portal认证触发方式-

事前认证用户主动向防火墙提供的认证页面发起认证请求。FW收到认证请求后，对其进行身份认证。认证通过后，就可以访问Internet。接入用户认证接入用户认证指的是对各类VPN接入用户进行认证。触发认证的方式由接入方式决定，包括:SSLVPNL2TPVPNIPSecVPNPPPoESSL接入用户访问内部资源举例FirewallApplicationserver防火墙验证用户账号和密码账户A的访问资源账户B的访问资源…用户账号(1)登录设备，提交账户和密码(2)通过用户认证(3)允许访问Internet用户认证简介和AAA技术原理用户认证管理及应用用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策略上网用户认证配置认证策略认证策略用于决定防火墙需要对哪些数据流进行认证，匹配认证策略的数据流必须经过防火墙的身份认证才能通过。缺省情况下，防火墙不对经过自身的数据流进行认证，需要通过认证策略选出需要进行认证的数据流。如果经过防火墙的流量匹配了认证策略将触发如下动作：会话认证事前认证免认证单点登录认证策略组成信息认证策略是多个认证策略规则的集合，认证策略决定是否对一条流量进行认证。认证策略规则由条件和动作组成，条件指的是FW匹配报文的依据，包括：源/目的安全区域源地址/地区目的地址/地区动作指的是FW对匹配到的数据流采取的处理方式，包括：Portal认证短信认证免认证不认证用户认证简介和AAA技术原理用户认证管理及应用用户组织架构及分类管理员认证流程和配置上网用户及接入用户认证流程用户认证策略上网用户认证配置配置流程配置服务器配置认证域配置用户/用户组配置认证选项配置认证策略单点登录服务器第三方认证服务器手工配置服务器导入配置单点登录参数配置全局参数配置本地认证时无需此步骤免认证Portal认证配置服务器(RADIUS)在“对象>认证服务器>RADIUS

>新建”，新建RADIUS服务器。一般情况下，RADIUS服务器提供认证服务时使用的端口号为1812，计费服务时使用的端口号为1813。设置RADIUS共享密钥，密钥和RADIUS服务器一致配置服务器(AD)在“对象>认证服务器>AD>新建”，新建AD服务器。此部分内容需根据AD服务器上相关设置进行配置，需与AD服务器保持一致。创建用户和用户组在“对象>用户

>default”，新建用户/用户组。表示用户组，列表中只显示该用户组的所属组和描述信息。其他参数均显示为“--”，即表示非用户组相关参数，不可配置。

表示用户，列表中除能直接显示用户所属组、绑定信息、账号过期时间、描述信息以及当前的用户状态，还能修改用户状态。123配置用户属性对于已存在的用户可以使用“编辑”修改用户的属性。用户的账号过期时间。允许该登录名同时在多台计算机上登录。如果该用户是MAC地址双向绑定免认证用户，当用户和设备之间存在三层设备时，则该用户将登录失败；如果该用户是MAC地址绑定用户，但采用了单点登录方式进行认证，此时，MAC地址绑定属性不生效。配置认证选项(全局配置)在“对象>用户>认证选项>全局配置/本地Portal”，进行配置。用户可在登录认证页面时对密码进行修改，且该配置只适用于用户通过认证页面来修改密码的情况。上网用户使用web重定向推送认证页面时需要配置该部分，认证端口