防火墻用戶管理堅(jiān)持正確輿論導(dǎo)向，高度重視傳播手段建設(shè)和創(chuàng)新，提高新聞?shì)浾搨鞑チΑ⒁龑?dǎo)力、影響力、公信力。加強(qiáng)互聯(lián)網(wǎng)內(nèi)容建設(shè)，建立網(wǎng)絡(luò)綜合治理體系，營造清朗的網(wǎng)絡(luò)空間。文字學(xué)習(xí)張桂梅，用全部的生命教書育人拓展主題時(shí)代楷模、立德樹人、教書育人學(xué)完本課程后，您將能夠:掌握AAA技術(shù)掌握用戶認(rèn)證技術(shù)掌握用戶認(rèn)證管理配置用戶認(rèn)證和AAA技術(shù)原理用戶認(rèn)證管理及應(yīng)用用戶認(rèn)證的背景無關(guān)活動(dòng)影響工作效率無關(guān)應(yīng)用影響網(wǎng)絡(luò)帶寬違法行為，影響組織利益Web威脅,無孔不入內(nèi)部泄密，損失巨大企業(yè)互聯(lián)網(wǎng)接入什么是AAAAuthentication認(rèn)證Authorization授權(quán)Accounting計(jì)費(fèi)AuthenticationAuthorizationAccountingAuthentication認(rèn)證認(rèn)證是指通過一定的手段，完成對(duì)用戶身份的確認(rèn)。你所知道的信息你所擁有的東西獨(dú)一無二的身體特征指紋面部聲音密碼令牌虹膜U盤密碼驗(yàn)證USB證書認(rèn)證Authorization授權(quán)用戶能訪問的資源用戶能使用的命令員工公共資源普通業(yè)務(wù)系統(tǒng)用戶業(yè)務(wù)系統(tǒng)管理者訪客敏感業(yè)務(wù)系統(tǒng)Accounting計(jì)費(fèi)用戶用多長時(shí)間用戶花了多少錢用戶做了哪些操作AAA技術(shù)本地認(rèn)證服務(wù)器認(rèn)證UserGateway在認(rèn)證方本地存儲(chǔ)用戶名密碼第三方認(rèn)證服務(wù)器存儲(chǔ)用戶名密碼UserGatewayRADIUS/LDAP/ADauthenticationserverRADIUS協(xié)議概述RADIUS服務(wù)器通過建立一個(gè)唯一的用戶數(shù)據(jù)庫，存儲(chǔ)用戶名、密碼來對(duì)用戶進(jìn)行驗(yàn)證。RADIUS的消息結(jié)構(gòu)如圖所示RADIUS應(yīng)用場(chǎng)景用戶輸入用戶名/密碼Access-RequestAccess-AcceptAccounting-Request(start)Accounting-ResponseAccounting-Request(stop)Accounting-Response通知訪問結(jié)束用戶訪問資源HWTACACS協(xié)議概述HWTACACS是在TACACS協(xié)議的基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。該協(xié)議與RADIUS協(xié)議的功能類似，采用客戶端/服務(wù)器模式實(shí)現(xiàn)NAS與TACACS+服務(wù)器之間的通信。HWTACACS的典型應(yīng)用是對(duì)需要登錄到設(shè)備上進(jìn)行操作的終端用戶進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)。設(shè)備作為HWTACACS的客戶端，將用戶名和密碼發(fā)給HWTACACS服務(wù)器進(jìn)行驗(yàn)證。用戶驗(yàn)證通過并得到授權(quán)之后可以登錄到設(shè)備上進(jìn)行操作。HWTACACS協(xié)議應(yīng)用場(chǎng)景用戶登錄AuthenticationstartUserrespondstothemessageandrequeststheusernameAuthenticationcontinuousmessage,sendtheusernametotheserverAuthenticationresponseAuthenticationresponse,authenticationpassedAuthorizedresponse,authorizationpassed用戶登錄成功向用戶申請(qǐng)用戶名用戶輸入用戶名向用戶申請(qǐng)密碼用戶輸入密碼Authenticationpersistentmessage,triggerpasswordtotheserverAuthorizationrequestHWTACACS和RADIUS比較HWTACACS協(xié)議與RADIUS協(xié)議的比較。HWTACACSRADIUS端口使用使用TCP協(xié)議使用UDP協(xié)議。認(rèn)證和授權(quán)端口號(hào)是1812和1813，或者1645和1646加密情況除了標(biāo)準(zhǔn)的HWTACACS報(bào)文頭，對(duì)報(bào)文主體全部進(jìn)行加密只是對(duì)認(rèn)證報(bào)文中的密碼字段進(jìn)行加密認(rèn)證和授權(quán)認(rèn)證與授權(quán)分離認(rèn)證與授權(quán)一起處理應(yīng)用適于進(jìn)行安全控制適于進(jìn)行計(jì)費(fèi)配置命令授權(quán)支持對(duì)配置命令進(jìn)行授權(quán)不支持對(duì)配置命令進(jìn)行授權(quán)LDAP協(xié)議概述LDAP（LightweightDirectoryAccessProtocol，輕量級(jí)目錄訪問協(xié)議）是從X.500目錄訪問協(xié)議的基礎(chǔ)上發(fā)展過來的，X.500是層次型的，所有對(duì)象被組織成樹形結(jié)構(gòu)。X.500目錄服務(wù)實(shí)現(xiàn)身份認(rèn)證、訪問控制。LDAP就是簡化X.500目錄的復(fù)雜度，同時(shí)適應(yīng)Internet的需要。rootcomnetorgHuaweiLDAP基本概念在LDAP中，信息以樹狀方式組織，基本數(shù)據(jù)單元是條目，而每個(gè)條目由屬性構(gòu)成，屬性由類型（Type）和一個(gè)或多個(gè)值（Value）組成。

目錄信息樹DIT（DirectoryInformationTree）目錄條目的集合構(gòu)成目錄信息樹。條目Entry目錄信息樹中的一個(gè)節(jié)點(diǎn)，是目錄信息中最基本的單位，由一系列屬性構(gòu)成。屬性Attribute屬性描述對(duì)象的特征，一個(gè)屬性有屬性類型和一個(gè)或多個(gè)屬性值構(gòu)成。相對(duì)標(biāo)識(shí)名RDN（RelativeDistinguishedName）條目的名字，唯一標(biāo)識(shí)同一父條目的子條目。唯一標(biāo)識(shí)名DN（DistinguishedName）在一個(gè)目錄信息樹種唯一標(biāo)識(shí)一個(gè)條目的名字。LDAP認(rèn)證流程用戶輸入用戶名/密碼發(fā)起登錄請(qǐng)求AdministratorBindRequestBindReplyUserDNSearchRequestUserDNBindRequestAuthorization用戶登錄成功SearchReplyBindReply用戶認(rèn)證分類AAA技術(shù)為用戶認(rèn)證提供手段。用戶認(rèn)證分類有：本地認(rèn)證服務(wù)器認(rèn)證單點(diǎn)登錄短信認(rèn)證用戶認(rèn)證和AAA技術(shù)原理用戶管理及應(yīng)用用戶組織架構(gòu)及分類管理員認(rèn)證流程和配置上網(wǎng)用戶及接入用戶認(rèn)證流程用戶認(rèn)證策略上網(wǎng)用戶認(rèn)證配置可視化管理病毒/攻擊：阻塞病毒木馬蠕蟲關(guān)鍵應(yīng)用：帶寬優(yōu)先可接受應(yīng)用：流量控制禁止應(yīng)用：阻塞用戶（組）專業(yè)安全防御全面流量控制用戶管理的背景AAA認(rèn)證技術(shù)用戶認(rèn)證用戶管理用戶組織架構(gòu)用戶是網(wǎng)絡(luò)訪問的主體，是FW進(jìn)行網(wǎng)絡(luò)行為控制和網(wǎng)絡(luò)權(quán)限分配的基本單元。用戶組織結(jié)構(gòu)中涉及如下三個(gè)概念：認(rèn)證域：用戶組織結(jié)構(gòu)的容器，防火墻缺省存在default認(rèn)證域，用戶可以根據(jù)需求新建認(rèn)證域。用戶組/用戶：用戶按樹形結(jié)構(gòu)組織，用戶隸屬于組（部門）。管理員可以根據(jù)企業(yè)的組織結(jié)構(gòu)來創(chuàng)建部門和用戶。安全組：橫向組織結(jié)構(gòu)的跨部門群組。當(dāng)需要基于部門以外的維度對(duì)用戶進(jìn)行管理可以創(chuàng)建跨部門的安全組。例如企業(yè)中跨部門成立的群組。組織結(jié)構(gòu)管理系統(tǒng)默認(rèn)有一個(gè)缺省認(rèn)證域，每個(gè)用戶組可以包括多個(gè)用戶和用戶組。每個(gè)用戶組只能屬于一個(gè)父用戶組，每個(gè)用戶至少屬于一個(gè)用戶組，也可以屬于多個(gè)用戶組。認(rèn)證域市場(chǎng)部研發(fā)部來訪人員研發(fā)1部研發(fā)2部員工A員工B員工C員工D跨部門群組跨部門群組安全組部門對(duì)應(yīng)用戶組員工對(duì)應(yīng)用戶用戶分類管理員管理員用戶指通過Telnet、SSH、web、FTP等協(xié)議或通過Console接口訪問設(shè)備并對(duì)設(shè)備進(jìn)行配置或操作的用戶。上網(wǎng)用戶內(nèi)部網(wǎng)絡(luò)中訪問網(wǎng)絡(luò)資源的主體，如企業(yè)總部的內(nèi)部員工。上網(wǎng)用戶可以直接通過防火墻訪問網(wǎng)絡(luò)資源。接入用戶外部網(wǎng)絡(luò)中訪問網(wǎng)絡(luò)資源的主體，如企業(yè)的分支機(jī)構(gòu)員工和出差員工。接入用戶需要先通過SSLVPN、L2TPVPN、IPSecVPN或PPPoE方式接入到防火墻，然后才能訪問企業(yè)總部的網(wǎng)絡(luò)資源。用戶認(rèn)證和AAA技術(shù)原理用戶認(rèn)證管理及應(yīng)用

用戶組織架構(gòu)及分類管理員認(rèn)證流程和配置上網(wǎng)用戶及接入用戶認(rèn)證流程用戶認(rèn)證策略上網(wǎng)用戶及接入用戶認(rèn)證配置管理員登錄方式ConsoleTelnetSSHFTPWebConsole/telnet/Ftp設(shè)備管理類型在“系統(tǒng)>管理員>管理員>新建”，新建管理員Client01，并設(shè)置設(shè)備管理類型Console,Telnet,FTP?？蔀楣芾韱T選擇配置不同的角色，包含系統(tǒng)管理員、配置管理員、審計(jì)管理員。設(shè)置信任主機(jī)IP，指定特定的主機(jī)訪問。選擇配置設(shè)備管理類型。SSH設(shè)備管理類型創(chuàng)建管理員Client01，并設(shè)置設(shè)備管理類型為SSH。必須設(shè)置SSH認(rèn)證方式設(shè)置認(rèn)證方式為Password啟用Stelnet和SFTP服務(wù)SSHoption（Notes:默認(rèn)Console,telnet,ftp配置，無需另外配置)Web設(shè)備管理類型創(chuàng)建管理員webuser，設(shè)置用戶級(jí)別。在“系統(tǒng)>管理員>設(shè)置”設(shè)置HTTPS/HTTP服務(wù)端口,當(dāng)使用HTTP登錄設(shè)備后，不可以關(guān)閉HTTP服務(wù)，同時(shí)不能修改HTTP服務(wù)端口；當(dāng)使用HTTPS登錄設(shè)備后，不可以關(guān)閉HTTPS服務(wù)，同時(shí)不能修改HTTPS服務(wù)端口。用戶角色設(shè)置為系統(tǒng)管理員，不僅可以配置設(shè)備，而且可以管理文件系統(tǒng)，用于軟件升級(jí)。啟用HTTPS服務(wù)，設(shè)置HTTPS服務(wù)端口。用戶認(rèn)證和AAA技術(shù)原理用戶認(rèn)證管理及應(yīng)用用戶組織架構(gòu)及分類管理員認(rèn)證流程和配置上網(wǎng)用戶及接入用戶認(rèn)證流程用戶認(rèn)證策略上網(wǎng)用戶認(rèn)證配置認(rèn)證流程AD單點(diǎn)登錄與AD服務(wù)器聯(lián)動(dòng)獲取用戶與IP/MAC雙向綁定信息Portal認(rèn)證免認(rèn)證免認(rèn)證會(huì)話認(rèn)證認(rèn)證策略完成認(rèn)證事前認(rèn)證本地認(rèn)證本地用戶/組服務(wù)器認(rèn)證上網(wǎng)用戶接入用戶認(rèn)證觸發(fā)認(rèn)證域RADIUS服務(wù)器HWTACACS服務(wù)器AD服務(wù)器AD服務(wù)器LDAP服務(wù)器SecurID服務(wù)器SecurID服務(wù)器認(rèn)證服務(wù)器二次認(rèn)證是否接入用戶二次認(rèn)證上網(wǎng)用戶認(rèn)證流程接入用戶認(rèn)證流程短信認(rèn)證會(huì)話認(rèn)證獲取用戶短信驗(yàn)證碼與自定義Portal聯(lián)動(dòng)與AgileController服務(wù)器聯(lián)動(dòng)與NAS和RADIUS服務(wù)器聯(lián)動(dòng)AgileController單點(diǎn)登錄RADIUS單點(diǎn)登錄單點(diǎn)登錄單點(diǎn)登錄是指防火墻不是認(rèn)證點(diǎn)，防火墻通過獲取其他認(rèn)證系統(tǒng)的用戶登錄消息，使用戶在防火墻上線。AD單點(diǎn)登錄是用戶希望經(jīng)過AD服務(wù)器的認(rèn)證后，就會(huì)自動(dòng)通過FW的認(rèn)證，然后可以訪問所有的網(wǎng)絡(luò)資源。AD單點(diǎn)登錄主要有三種登錄實(shí)現(xiàn)方式：接受PC消息模式查詢AD服務(wù)器安全日志模式防火墻監(jiān)控AD認(rèn)證報(bào)文AD單點(diǎn)登錄(接收PC消息模式)管理員需要在AD監(jiān)控器上部署AD單點(diǎn)登錄服務(wù)，在AD服務(wù)器（AD域控制器）上設(shè)置登錄腳本和注銷腳本，同時(shí)在防火墻上配置AD單點(diǎn)登錄參數(shù)，接收AD單點(diǎn)登錄服務(wù)發(fā)送的用戶登錄/注銷消息。AD單點(diǎn)登錄(查詢AD服務(wù)器安全日志模式)管理員需要在AD監(jiān)控器上部署AD單點(diǎn)登錄服務(wù)，同時(shí)在FW上配置AD單點(diǎn)登錄參數(shù)，接收AD單點(diǎn)登錄服務(wù)發(fā)送的用戶登錄消息。AD單點(diǎn)登錄(防火墻監(jiān)控AD認(rèn)證報(bào)文)管理員無需在AD服務(wù)器上安裝程序。FW通過監(jiān)控訪問者登錄AD服務(wù)器的認(rèn)證報(bào)文獲取認(rèn)證結(jié)果，如果認(rèn)證成功將用戶和IP對(duì)應(yīng)關(guān)系添加到在線用戶表。上網(wǎng)用戶Portal認(rèn)證Portal認(rèn)證是指由防火墻或第三方服務(wù)器提供Portal認(rèn)證頁面對(duì)用戶進(jìn)行認(rèn)證。防火墻內(nèi)置Portal認(rèn)證的觸發(fā)方式包括：會(huì)話認(rèn)證：會(huì)話認(rèn)證是用戶不主動(dòng)進(jìn)行身份認(rèn)證，先進(jìn)行HTTP業(yè)務(wù)訪問，在訪問過程中進(jìn)行認(rèn)證。認(rèn)證通過后，再進(jìn)行業(yè)務(wù)訪問。事前認(rèn)證：事前認(rèn)證是指訪問者在訪問網(wǎng)絡(luò)資源之前，先主動(dòng)進(jìn)行身份認(rèn)證，認(rèn)證通過后，再訪問網(wǎng)絡(luò)資源。內(nèi)置Portal認(rèn)證觸發(fā)方式-會(huì)話認(rèn)證當(dāng)防火墻收到用戶的第一條HTTP業(yè)務(wù)訪問數(shù)據(jù)流時(shí)，將HTTP請(qǐng)求重定向到認(rèn)證頁面，觸發(fā)訪問者身份認(rèn)證。認(rèn)證通過后，就可以訪問HTTP業(yè)務(wù)以及其他業(yè)務(wù)。內(nèi)置Portal認(rèn)證觸發(fā)方式-

事前認(rèn)證用戶主動(dòng)向防火墻提供的認(rèn)證頁面發(fā)起認(rèn)證請(qǐng)求。FW收到認(rèn)證請(qǐng)求后，對(duì)其進(jìn)行身份認(rèn)證。認(rèn)證通過后，就可以訪問Internet。接入用戶認(rèn)證接入用戶認(rèn)證指的是對(duì)各類VPN接入用戶進(jìn)行認(rèn)證。觸發(fā)認(rèn)證的方式由接入方式?jīng)Q定，包括:SSLVPNL2TPVPNIPSecVPNPPPoESSL接入用戶訪問內(nèi)部資源舉例FirewallApplicationserver防火墻驗(yàn)證用戶賬號(hào)和密碼賬戶A的訪問資源賬戶B的訪問資源…用戶賬號(hào)(1)登錄設(shè)備，提交賬戶和密碼(2)通過用戶認(rèn)證(3)允許訪問Internet用戶認(rèn)證簡介和AAA技術(shù)原理用戶認(rèn)證管理及應(yīng)用用戶組織架構(gòu)及分類管理員認(rèn)證流程和配置上網(wǎng)用戶及接入用戶認(rèn)證流程用戶認(rèn)證策略上網(wǎng)用戶認(rèn)證配置認(rèn)證策略認(rèn)證策略用于決定防火墻需要對(duì)哪些數(shù)據(jù)流進(jìn)行認(rèn)證，匹配認(rèn)證策略的數(shù)據(jù)流必須經(jīng)過防火墻的身份認(rèn)證才能通過。缺省情況下，防火墻不對(duì)經(jīng)過自身的數(shù)據(jù)流進(jìn)行認(rèn)證，需要通過認(rèn)證策略選出需要進(jìn)行認(rèn)證的數(shù)據(jù)流。如果經(jīng)過防火墻的流量匹配了認(rèn)證策略將觸發(fā)如下動(dòng)作：會(huì)話認(rèn)證事前認(rèn)證免認(rèn)證單點(diǎn)登錄認(rèn)證策略組成信息認(rèn)證策略是多個(gè)認(rèn)證策略規(guī)則的集合，認(rèn)證策略決定是否對(duì)一條流量進(jìn)行認(rèn)證。認(rèn)證策略規(guī)則由條件和動(dòng)作組成，條件指的是FW匹配報(bào)文的依據(jù)，包括：源/目的安全區(qū)域源地址/地區(qū)目的地址/地區(qū)動(dòng)作指的是FW對(duì)匹配到的數(shù)據(jù)流采取的處理方式，包括：Portal認(rèn)證短信認(rèn)證免認(rèn)證不認(rèn)證用戶認(rèn)證簡介和AAA技術(shù)原理用戶認(rèn)證管理及應(yīng)用用戶組織架構(gòu)及分類管理員認(rèn)證流程和配置上網(wǎng)用戶及接入用戶認(rèn)證流程用戶認(rèn)證策略上網(wǎng)用戶認(rèn)證配置配置流程配置服務(wù)器配置認(rèn)證域配置用戶/用戶組配置認(rèn)證選項(xiàng)配置認(rèn)證策略單點(diǎn)登錄服務(wù)器第三方認(rèn)證服務(wù)器手工配置服務(wù)器導(dǎo)入配置單點(diǎn)登錄參數(shù)配置全局參數(shù)配置本地認(rèn)證時(shí)無需此步驟免認(rèn)證Portal認(rèn)證配置服務(wù)器(RADIUS)在“對(duì)象>認(rèn)證服務(wù)器>RADIUS

>新建”，新建RADIUS服務(wù)器。一般情況下，RADIUS服務(wù)器提供認(rèn)證服務(wù)時(shí)使用的端口號(hào)為1812，計(jì)費(fèi)服務(wù)時(shí)使用的端口號(hào)為1813。設(shè)置RADIUS共享密鑰，密鑰和RADIUS服務(wù)器一致配置服務(wù)器(AD)在“對(duì)象>認(rèn)證服務(wù)器>AD>新建”，新建AD服務(wù)器。此部分內(nèi)容需根據(jù)AD服務(wù)器上相關(guān)設(shè)置進(jìn)行配置，需與AD服務(wù)器保持一致。創(chuàng)建用戶和用戶組在“對(duì)象>用戶

>default”，新建用戶/用戶組。表示用戶組，列表中只顯示該用戶組的所屬組和描述信息。其他參數(shù)均顯示為“--”，即表示非用戶組相關(guān)參數(shù)，不可配置。

表示用戶，列表中除能直接顯示用戶所屬組、綁定信息、賬號(hào)過期時(shí)間、描述信息以及當(dāng)前的用戶狀態(tài)，還能修改用戶狀態(tài)。123配置用戶屬性對(duì)于已存在的用戶可以使用“編輯”修改用戶的屬性。用戶的賬號(hào)過期時(shí)間。允許該登錄名同時(shí)在多臺(tái)計(jì)算機(jī)上登錄。如果該用戶是MAC地址雙向綁定免認(rèn)證用戶，當(dāng)用戶和設(shè)備之間存在三層設(shè)備時(shí)，則該用戶將登錄失??；如果該用戶是MAC地址綁定用戶，但采用了單點(diǎn)登錄方式進(jìn)行認(rèn)證，此時(shí)，MAC地址綁定屬性不生效。配置認(rèn)證選項(xiàng)(全局配置)在“對(duì)象>用戶>認(rèn)證選項(xiàng)>全局配置/本地Portal”，進(jìn)行配置。用戶可在登錄認(rèn)證頁面時(shí)對(duì)密碼進(jìn)行修改，且該配置只適用于用戶通過認(rèn)證頁面來修改密碼的情況。上網(wǎng)用戶使用web重定向推送認(rèn)證頁面時(shí)需要配置該部分，認(rèn)證端口