模塊5用戶管理與認(rèn)證技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益凸顯。作為網(wǎng)絡(luò)安全的重要組成部分，防火墻在保護(hù)企業(yè)網(wǎng)絡(luò)免受外部攻擊和內(nèi)部泄露方面發(fā)揮著至關(guān)重要的作用。其中，用戶管理與認(rèn)證技術(shù)是確保只有授權(quán)用戶才能夠訪問(wèn)網(wǎng)絡(luò)資源的關(guān)鍵環(huán)節(jié)。

本章將詳細(xì)介紹AAA技術(shù)，用戶管理與認(rèn)證的目的，闡述用戶認(rèn)證過(guò)程及對(duì)應(yīng)的認(rèn)證觸發(fā)方式和認(rèn)證策略等內(nèi)容。引入【知識(shí)目標(biāo)】

了解AAA的基礎(chǔ)知識(shí)和常用技術(shù)。

了解用戶管理與認(rèn)證的目的。

了解用戶認(rèn)證過(guò)程。

理解用戶認(rèn)證觸發(fā)的方式。

理解認(rèn)證策略?！炯寄苣繕?biāo)】

掌握聯(lián)網(wǎng)用戶本地認(rèn)證的配置方法。

掌握聯(lián)網(wǎng)用戶免認(rèn)證的配置方法?！舅仞B(yǎng)目標(biāo)】

培養(yǎng)抵御風(fēng)險(xiǎn)、自我保護(hù)的防范意識(shí)。

培養(yǎng)強(qiáng)化用戶安全、合規(guī)操作的安全意識(shí)。目標(biāo)content目

錄01AAA技術(shù)02用戶與認(rèn)證01AAA技術(shù)1.AAA的基礎(chǔ)知識(shí)

AAA是Authentication（認(rèn)證）、Authorization（授權(quán)）和Accounting（計(jì)費(fèi)）的簡(jiǎn)稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，提供了認(rèn)證、授權(quán)、計(jì)費(fèi)三種安全功能。認(rèn)證：驗(yàn)證用戶是否可以獲得訪問(wèn)權(quán)；授權(quán)：授權(quán)用戶可以使用哪些服務(wù)；計(jì)費(fèi)：記錄用戶使用網(wǎng)絡(luò)資源的情況。AAA是一種管理框架，提供了授權(quán)部分用戶訪問(wèn)特定資源，同時(shí)記錄這些用戶操作行為的一種安全機(jī)制。AAA技術(shù)01（1）AAA的定義1.AAA的基礎(chǔ)知識(shí)

AAA的基本架構(gòu)由用戶、網(wǎng)絡(luò)接入服務(wù)器（NetworkAccessServer，NAS）和AAA服務(wù)器3部分組成。AAA技術(shù)01（2）AAA的基本架構(gòu)1.AAA的基礎(chǔ)知識(shí)

1）用戶

用戶是請(qǐng)求訪問(wèn)網(wǎng)絡(luò)資源的實(shí)體。基于訪問(wèn)權(quán)限，可以將用戶分為聯(lián)網(wǎng)用戶和接入用戶。①聯(lián)網(wǎng)用戶：內(nèi)網(wǎng)訪問(wèn)網(wǎng)絡(luò)資源的主體。聯(lián)網(wǎng)用戶通常位于網(wǎng)絡(luò)內(nèi)部，具有訪問(wèn)內(nèi)網(wǎng)資源的權(quán)限。例如，某企業(yè)內(nèi)部的員工可以通過(guò)內(nèi)網(wǎng)訪問(wèn)企業(yè)內(nèi)部的文件服務(wù)器、郵件服務(wù)器等資源。②接入用戶：外網(wǎng)訪問(wèn)網(wǎng)絡(luò)資源的主體。接入用戶通常位于網(wǎng)絡(luò)外部，需要通過(guò)特定的接入方式（如VPN、撥號(hào)等）才能訪問(wèn)內(nèi)網(wǎng)資源。例如，某企業(yè)分支機(jī)構(gòu)的員工或出差員工需要通過(guò)VPN接入企業(yè)總部網(wǎng)絡(luò)，才能訪問(wèn)企業(yè)內(nèi)網(wǎng)的資源。AAA技術(shù)01（2）AAA的基本架構(gòu)1.AAA的基礎(chǔ)知識(shí)

2）NAS

NAS作為客戶端與AAA服務(wù)器進(jìn)行通信，負(fù)責(zé)集中收集和管理用戶的訪問(wèn)請(qǐng)求。常見(jiàn)的NAS設(shè)備有交換機(jī)、防火墻等。

NAS設(shè)備對(duì)用戶的管理是基于域的，每個(gè)用戶都屬于一個(gè)域，一個(gè)域是由屬于同一個(gè)域的用戶構(gòu)成的群體。簡(jiǎn)單地說(shuō)，用戶屬于哪個(gè)域就使用哪個(gè)域下的AAA配置信息。每個(gè)域都可以配置不同的認(rèn)證、授權(quán)和計(jì)費(fèi)方案，用于對(duì)該域中的用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。AAA技術(shù)01（2）AAA的基本架構(gòu)1.AAA的基礎(chǔ)知識(shí)

2）NASAAA技術(shù)01（2）AAA的基本架構(gòu)1.AAA的基礎(chǔ)知識(shí)3）AAA服務(wù)器AAA服務(wù)器是認(rèn)證服務(wù)器、授權(quán)服務(wù)器和計(jì)費(fèi)服務(wù)器的簡(jiǎn)稱，負(fù)責(zé)集中管理用戶，提供用戶的權(quán)限、開(kāi)通的業(yè)務(wù)等信息，并提供用戶身份與服務(wù)資格的認(rèn)證、授權(quán)和計(jì)費(fèi)等服務(wù)。AAA服務(wù)器可以分為本地AAA服務(wù)器和遠(yuǎn)端AAA服務(wù)器。AAA技術(shù)01（2）AAA的基本架構(gòu)1.AAA的基礎(chǔ)知識(shí)1）通過(guò)RADIUS服務(wù)器實(shí)現(xiàn)用戶聯(lián)網(wǎng)管理AAA技術(shù)01（3）AAA的應(yīng)用場(chǎng)景1.AAA的基礎(chǔ)知識(shí)2）通過(guò)本地認(rèn)證實(shí)現(xiàn)管理員的權(quán)限控制AAA技術(shù)01（3）AAA的應(yīng)用場(chǎng)景2.AAA的常用技術(shù)RADIUS協(xié)議是一種分布式的、C/S結(jié)構(gòu)的信息交互協(xié)議，能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問(wèn)的干擾，常應(yīng)用于既要求較高安全性又允許遠(yuǎn)程用戶訪問(wèn)的各種網(wǎng)絡(luò)環(huán)境。該協(xié)議定義了基于

UDP

的RADIUS報(bào)文格式及其消息傳輸機(jī)制，并規(guī)定UDP的1812、1813號(hào)端口分別作為默認(rèn)的認(rèn)證、計(jì)費(fèi)端口。

RADIUS協(xié)議的主要特征如下：客戶端/服務(wù)器模式安全的消息交互機(jī)制良好的擴(kuò)展性AAA技術(shù)01（1）RADIUS協(xié)議簡(jiǎn)介用戶NASAAA服務(wù)器IPNetworkIPNetwork交互RADIUS報(bào)文，實(shí)現(xiàn)對(duì)用戶的AAA功能2.AAA的常用技術(shù)RADIUS服務(wù)器一般運(yùn)行在中心計(jì)算機(jī)或工作站上，維護(hù)著相關(guān)的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問(wèn)信息，負(fù)責(zé)接收用戶連接請(qǐng)求及認(rèn)證用戶，并為客戶端返回所有需要的信息（如接受或拒絕認(rèn)證請(qǐng)求）。

RADIUS服務(wù)器通常要維護(hù)3個(gè)數(shù)據(jù)庫(kù)：

①Users：用于存儲(chǔ)用戶信息（如用戶名、口令，以及使用的協(xié)議、IP地址等配置信息）。②Clients：用于存儲(chǔ)RADIUS客戶端的信息（如接入設(shè)備的共享密鑰、IP地址等）。③Dictionary：用于存儲(chǔ)RADIUS協(xié)議中的屬性值及其含義等信息。AAA技術(shù)01（2）RADIUS服務(wù)器2.AAA的常用技術(shù)RADIUS客戶端一般位于NAS設(shè)備上，可以遍布整個(gè)網(wǎng)絡(luò)，負(fù)責(zé)傳輸用戶信息到指定的RADIUS服務(wù)器，并根據(jù)從RADIUS服務(wù)器返回的信息進(jìn)行相應(yīng)處理（如接受或拒絕用戶接入）。AAA技術(shù)01（3）RADIUS客戶端2.AAA的常用技術(shù)

如圖，防火墻設(shè)備作為RADIUS客戶端，負(fù)責(zé)收集用戶信息（如用戶名、密碼等），并將這些信息發(fā)送到RADIUS服務(wù)器。RADIUS服務(wù)器則根據(jù)這些信息完成用戶身份認(rèn)證以及認(rèn)證通過(guò)后的用戶授權(quán)和計(jì)費(fèi)。AAA技術(shù)01（4）交互流程02用戶與認(rèn)證1.用戶與認(rèn)證基礎(chǔ)知識(shí)

用戶是網(wǎng)絡(luò)訪問(wèn)行為的重要標(biāo)識(shí)，是防火墻進(jìn)行網(wǎng)絡(luò)行為控制和網(wǎng)絡(luò)權(quán)限分配的基本單元。

防火墻中的用戶組織結(jié)構(gòu)是實(shí)際企業(yè)中組織結(jié)構(gòu)的映射，是基于用戶進(jìn)行權(quán)限管控的基礎(chǔ)。如圖所示，用戶組織結(jié)構(gòu)分為按部門(mén)進(jìn)行組織的樹(shù)形維度和按跨部門(mén)群組進(jìn)行組織的橫向維度。用戶與認(rèn)證02（1）用戶組織結(jié)構(gòu)1.用戶與認(rèn)證基礎(chǔ)知識(shí)

用戶組織架構(gòu)中涉及三個(gè)概念：認(rèn)證域：用戶組織結(jié)構(gòu)的容器，防火墻缺省存在default認(rèn)證域，用戶可以根據(jù)需求新建認(rèn)證域；用戶組/用戶：用戶按樹(shù)形結(jié)構(gòu)組織，用戶隸屬于組（部門(mén)）。管理員可以根據(jù)企業(yè)的組織結(jié)構(gòu)來(lái)創(chuàng)建部門(mén)和用戶；安全組：橫向組織結(jié)構(gòu)的跨部門(mén)群組。當(dāng)需要基于部門(mén)以外的維度對(duì)用戶進(jìn)行管理可以創(chuàng)建跨部門(mén)的安全組。例如企業(yè)中跨部門(mén)成立的群組。用戶與認(rèn)證02（1）用戶組織結(jié)構(gòu)1.用戶與認(rèn)證基礎(chǔ)知識(shí)

防火墻通過(guò)認(rèn)證來(lái)驗(yàn)證訪問(wèn)者的身份，防火墻對(duì)訪問(wèn)者進(jìn)行認(rèn)證的方式包括本地認(rèn)證、服務(wù)器認(rèn)證和單點(diǎn)登錄。本地認(rèn)證：防火墻上存儲(chǔ)了密碼，驗(yàn)證過(guò)程在防火墻上進(jìn)行；服務(wù)器認(rèn)證：防火墻上沒(méi)有存儲(chǔ)密碼，防火墻將用戶名和密碼發(fā)送至第三方認(rèn)證服務(wù)器，驗(yàn)證過(guò)程在認(rèn)證服務(wù)器上進(jìn)行；單點(diǎn)登錄：防火墻獲取用戶在其它認(rèn)證系統(tǒng)的認(rèn)證結(jié)果，使用戶在防火墻上線，不再重新進(jìn)行認(rèn)證。用戶與認(rèn)證02（2）認(rèn)證2.用戶管理與認(rèn)證的目的

如圖所示，在防火墻上部署用戶管理與認(rèn)證，將網(wǎng)絡(luò)流量的IP地址識(shí)別為用戶，為網(wǎng)絡(luò)行為控制和網(wǎng)絡(luò)權(quán)限分配提供了基于用戶的管理維度，以實(shí)現(xiàn)精細(xì)化管理：基于用戶進(jìn)行策略的可視化制定，提高策略的易用性；基于用戶進(jìn)行威脅、流量的報(bào)表查看和統(tǒng)計(jì)分析，實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)訪問(wèn)行為的審計(jì)。用戶管理與認(rèn)證解決了IP地址動(dòng)態(tài)變化帶來(lái)的策略控制問(wèn)題，即以不變的用戶應(yīng)對(duì)變化的IP地址。用戶與認(rèn)證023.用戶認(rèn)證過(guò)程用戶與認(rèn)證024.用戶認(rèn)證觸發(fā)——聯(lián)網(wǎng)用戶認(rèn)證觸發(fā)AD單點(diǎn)登錄：在AD環(huán)境中，訪問(wèn)者通常希望經(jīng)過(guò)AD服務(wù)器的認(rèn)證后，就會(huì)自動(dòng)通過(guò)防火墻的認(rèn)證，然后可以訪問(wèn)所有的網(wǎng)絡(luò)資源。這時(shí)，可以使用AD單點(diǎn)登錄的方式來(lái)觸發(fā)防火墻上的認(rèn)證。RADIUS單點(diǎn)登錄：在RADIUS環(huán)境中，訪問(wèn)者通常希望經(jīng)過(guò)RADIUS服務(wù)器的認(rèn)證后，就會(huì)自動(dòng)通過(guò)防火墻的認(rèn)證，然后可以訪問(wèn)所有的網(wǎng)絡(luò)資源。此時(shí)，可以使用RADIUS單點(diǎn)登錄的方式來(lái)觸發(fā)防火墻上的認(rèn)證。用戶與認(rèn)證02（1）單點(diǎn)登錄4.用戶認(rèn)證觸發(fā)

——聯(lián)網(wǎng)用戶認(rèn)證觸發(fā)會(huì)話認(rèn)證：用戶不主動(dòng)進(jìn)行身份認(rèn)證，先進(jìn)行HTTP業(yè)務(wù)訪問(wèn)，在訪問(wèn)過(guò)程中進(jìn)行認(rèn)證，認(rèn)證通過(guò)后再進(jìn)行業(yè)務(wù)訪問(wèn)。用戶與認(rèn)證02（2）內(nèi)置Portal認(rèn)證4.用戶認(rèn)證觸發(fā)

——聯(lián)網(wǎng)用戶認(rèn)證觸發(fā)事前認(rèn)證：訪問(wèn)者在訪問(wèn)網(wǎng)絡(luò)資源之前先主動(dòng)進(jìn)行身份認(rèn)證，認(rèn)證通過(guò)后再訪問(wèn)網(wǎng)絡(luò)資源。用戶與認(rèn)證02（2）內(nèi)置Portal認(rèn)證4.用戶認(rèn)證觸發(fā)——聯(lián)網(wǎng)用戶認(rèn)證觸發(fā)目前，用戶自定義Portal認(rèn)證類型包括防火墻不參與用戶認(rèn)證和防火墻參與用戶認(rèn)證兩種。采用這兩種類型的用戶自定義Portal認(rèn)證時(shí)，企業(yè)需要單獨(dú)部署外部Portal服務(wù)器，如部署華為的園區(qū)控制器作為Portal服務(wù)器。①

防火墻不參與用戶認(rèn)證：由Portal服務(wù)器獨(dú)立完成用戶認(rèn)證。②

防火墻參與用戶認(rèn)證：由Portal服務(wù)器和防火墻共同完成用戶認(rèn)證。用戶與認(rèn)證02（3）用戶自定義Portal認(rèn)證4.用戶認(rèn)證觸發(fā)——聯(lián)網(wǎng)用戶認(rèn)證觸發(fā)用戶免認(rèn)證指用戶不輸入用戶名和密碼就可以完成認(rèn)證并訪問(wèn)網(wǎng)絡(luò)資源。用戶免認(rèn)證并不是不需要認(rèn)證，其將本地用戶名與IP地址、MAC地址或IP地址/MAC地址進(jìn)行雙向綁定，防火墻通過(guò)識(shí)別IP地址/MAC地址和用戶的雙向綁定關(guān)系來(lái)確定訪問(wèn)者的身份。用戶免認(rèn)證的訪問(wèn)者只能使用特定的IP地址/MAC地址來(lái)訪問(wèn)網(wǎng)絡(luò)資源。用戶與認(rèn)證02（4）用戶免認(rèn)證4.用戶認(rèn)證觸發(fā)——接入用戶認(rèn)證觸發(fā)接入用戶認(rèn)證是指對(duì)各類VPN接入用戶進(jìn)行認(rèn)證。接入用戶認(rèn)證的觸發(fā)方式由接入方式?jīng)Q定，包括SSLVPN、第二層隧道協(xié)議（Layer2TunnelingProtocol，L2TPVPN、IPSecVPN和PPPoE等。用戶與認(rèn)證025.認(rèn)證策略認(rèn)證策略用于決定防火墻需要對(duì)哪些數(shù)據(jù)流進(jìn)行認(rèn)證，匹配認(rèn)證策略的數(shù)據(jù)流必須經(jīng)過(guò)防火墻的身份認(rèn)證才能通過(guò)。

缺省情況下，防火墻不對(duì)經(jīng)過(guò)自身的數(shù)據(jù)流進(jìn)行認(rèn)證，僅認(rèn)證匹配認(rèn)證策略的數(shù)據(jù)流。

如果經(jīng)過(guò)防火墻的流量匹配了認(rèn)證策略將觸發(fā)如下動(dòng)作：會(huì)話認(rèn)證事前認(rèn)證免認(rèn)證單點(diǎn)登錄用戶與認(rèn)證02（1）認(rèn)證策略的定義5.認(rèn)證策略認(rèn)證策略是多條認(rèn)證策略規(guī)則的集合，認(rèn)證策略決定了是否對(duì)一條流量進(jìn)行認(rèn)證。認(rèn)證策略規(guī)則由匹配條件和認(rèn)證動(dòng)作組成。匹配條件：防火墻匹配報(bào)文的依據(jù)，包括源安全區(qū)域、目的安全區(qū)域、源地址/地區(qū)、目的地址/地區(qū)。認(rèn)證動(dòng)作：認(rèn)證動(dòng)作指的是防火墻對(duì)匹配到的數(shù)據(jù)流采取的處理方式。Portal認(rèn)證用戶免認(rèn)證不認(rèn)證匿名認(rèn)證用戶與認(rèn)證02（2）組成信息5.認(rèn)證策略防火墻匹配報(bào)文時(shí)，總是在多條認(rèn)證策略中從上向下進(jìn)行匹配。當(dāng)數(shù)據(jù)流的屬性和某條規(guī)則的