防火墻用戶管理技術信息安全事件頻繁發(fā)生，大多數(shù)是由于內(nèi)部用戶和管理員安全意識薄弱或誤操作導致，而權限管理不當使得安全事件的影響范圍擴大、系統(tǒng)損害加深。在企業(yè)網(wǎng)應用場景中，用戶是訪問網(wǎng)絡資源的主體，為了保證網(wǎng)絡資源的安全性，應該對用戶進行適當?shù)恼J證和合理的授權。用戶管理技術使管理員有能力控制用戶對網(wǎng)絡資源的訪問。對于任何網(wǎng)絡，用戶管理都是最基本的安全管理要求之一。學完本課程后，您將能夠:描述AAA的原理描述用戶認證技術實現(xiàn)用戶認證相關配置AAA原理防火墻用戶認證及應用AAA簡介AAA是Authentication（認證）、Authorization（授權）和Accounting（計費）的簡稱，是網(wǎng)絡安全的一種管理機制，提供了認證、授權、計費三種安全功能。認證：驗證用戶是否可以獲得訪問權，確定哪些用戶可以訪問網(wǎng)絡；授權：授權用戶可以使用哪些服務；計費：記錄用戶使用網(wǎng)絡資源的情況。Step1身份標識通過賬號、密碼等標識用戶身份Step2認證識別和認證試圖訪問資源的用戶Step3授權確定訪問是否獲得授權Step4計費檢測和記錄訪問情況AAA常見應用場景通過本地認證實現(xiàn)網(wǎng)絡管理員權限控制通過RADIUS服務器實現(xiàn)用戶上網(wǎng)管理防火墻（NAS）RADIUS服務器上網(wǎng)用戶通過在NAS上配置AAA方案，實現(xiàn)NAS與RADIUS服務器的對接。用戶在客戶端上輸入用戶名和密碼后，NAS可以將這些信息發(fā)送至RADIUS服務器進行認證。如果認證通過，則授予用戶訪問Internet的權限。在用戶訪問過程中，RADIUS服務器還可以記錄用戶使用網(wǎng)絡資源的情況。網(wǎng)絡管理員防火墻（NAS）在防火墻上配置本地AAA方案后，當網(wǎng)絡管理員登錄防火墻時，防火墻將網(wǎng)絡管理員的的用戶名密碼等信息，與本地配置的用戶名信息進行比對認證。認證通過后，防火墻將授予網(wǎng)絡管理員一定的管理員權限。Telnet登錄AAA的基本架構(gòu)AAA的基本架構(gòu)中包括用戶、NAS、AAA服務器。NAS負責集中收集和管理用戶的訪問請求，現(xiàn)網(wǎng)常見的NAS設備有交換機、防火墻等；AAA服務器負責集中管理用戶信息。User3@Domian3用戶User1@Domian1User2@Domian2NASAAA服務器IPNetworkIPNetwork認證防火墻支持的認證方式有：不認證，本地認證，遠端認證。用戶域認證方式User1@Domian1Domain1不認證User2@Domian2Domain2本地認證User3@Domian3Domain3遠端認證User3@Domian3用戶User1@Domian1User2@Domian2防火墻（NAS）AAA服務器IPNetworkIPNetwork用戶名和密碼用戶名和密碼User3用戶名和密碼返回確認結(jié)果授權授權表示用戶可以使用哪些業(yè)務，如公共業(yè)務以及敏感業(yè)務等。防火墻支持的授權方式有：不授權、本地授權、遠端授權。授權內(nèi)容包括：用戶組、VLAN、ACL編號等。用戶域授權方式授權內(nèi)容User1@Domian1Domain1不授權無User2@Domian2Domain2NAS本地授權可以訪問InternetUser3@Domian3Domain3遠端授權由遠端服務器授權User3@Domian3用戶User1@Domian1User2@Domian2防火墻（NAS）AAA服務器IPNetworkIPNetwork認證通過后下發(fā)User3權限計費防火墻支持的AAA計費方式有：不計費，遠端計費。計費功能用于監(jiān)控授權用戶的網(wǎng)絡行為和網(wǎng)絡資源的使用情況。用戶域計費方式User1@Domian1Domain1不計費User2@Domian2Domain2不計費User3@Domian3Domain3遠端計費User3@Domian3用戶User1@Domian1User2@Domian2防火墻（NAS）AAA服務器IPNetworkIPNetworkUser3開始計費請求計費開始響應AAA常用技術方案目前華為設備支持基于RADIUS、HWTACACS、LDAP或AD來實現(xiàn)AAA，在實際應用中，RADIUS最為常用。技術方案交互協(xié)議認證授權計費RADIUSUDPHWTACACSTCPLDAPTCPADTCP本地認證授權/RADIUS協(xié)議概述AAA可以通過多種協(xié)議來實現(xiàn)，在實際應用中，最常使用RADIUS協(xié)議。RADIUS是一種分布式的、客戶端/服務器結(jié)構(gòu)的信息交互協(xié)議，能保護網(wǎng)絡不受未授權訪問的干擾，常應用在既要求有較高安全性、又允許遠程用戶訪問的各種網(wǎng)絡環(huán)境中。該協(xié)議定義了基于UDP（UserDatagramProtocol）的RADIUS報文格式及其傳輸機制，并規(guī)定UDP端口1812、1813分別作為默認的認證、計費端口。RADIUS協(xié)議的主要特征如下：客戶端/服務器模式安全的消息交互機制良好的擴展性用戶NASAAA服務器IPNetworkIPNetwork交互RADIUS報文，實現(xiàn)對用戶的AAA功能AAA實現(xiàn)協(xié)議-RADIUS認證流程用戶輸入用戶名/密碼認證請求報文認證接受/拒絕、權限下發(fā)報文計費開始請求報文計費開始響應報文用戶RADIUS服務器防火墻（NAS）通知用戶認證結(jié)果用戶請求斷開連接計費結(jié)束響應報文計費結(jié)束請求報文通知用戶訪問結(jié)束用戶開始訪問網(wǎng)絡資源LDAP簡介LDAP是輕量級目錄訪問協(xié)議的簡稱，LDAP基于C/S架構(gòu)。LDAP服務器負責對來自應用服務器的請求進行認證，同時還指定用戶訪問的資源范圍等。LDAP定義了多種操作來實現(xiàn)LDAP的各種功能，其中可以利用LDAP的綁定和查詢操作來實現(xiàn)用戶的認證和授權功能。用戶應用服務器LDAP服務器授權資源1.服務請求2.認證請求4.接入3.認證結(jié)果LDAP目錄目錄是一組具有類似屬性、以一定邏輯和層次組合的信息。LDAP協(xié)議中目錄是按照樹型結(jié)構(gòu)組織，目錄由條目（Entry）組成，條目是具有區(qū)別名DN的屬性集合。屬性由類型和多個值組成。BaseDN

OU

CN

OUDC=HUAWEIDC=COMPeopleUser1User2User3User4R&DHRR&DHREquipmentDNLDAP目錄樹CN（CommonName，通用名稱）：表示對象名稱。DC（DomainController，域控制器）：表示對象所屬的區(qū)域，一般一臺LDAP服務器即為一個域控制器。DN（DistinguishedName，區(qū)別名）：對象的位置，從對象開始逐層描述到根區(qū)別名，例如User1的DN為“CN=User1，OU=HR，OU=People，DC=HUAWEI，DC=COM”。BaseDN：根區(qū)別名。OU（OrganizationUnit，組織單元）：表示對象所屬的組織。LDAP認證流程用戶輸入用戶名/密碼發(fā)起登錄請求管理員綁定請求綁定回應用戶DN屬性請求用戶DN綁定請求授權認證用戶登錄成功請求回應綁定回應用戶防火墻（NAS）LDAP服務器AAA技術原理防火墻用戶認證及應用用戶組織架構(gòu)及分類用戶認證流程用戶認證策略用戶認證配置用戶組織架構(gòu)及管理用戶是網(wǎng)絡訪問的主體，是防火墻進行網(wǎng)絡行為控制和網(wǎng)絡權限分配的基本單元。用戶組織架構(gòu)中涉及三個概念：認證域：用戶組織結(jié)構(gòu)的容器，防火墻缺省存在default認證域，用戶可以根據(jù)需求新建認證域；用戶組/用戶：用戶按樹形結(jié)構(gòu)組織，用戶隸屬于組（部門）。管理員可以根據(jù)企業(yè)的組織結(jié)構(gòu)來創(chuàng)建部門和用戶；安全組：橫向組織結(jié)構(gòu)的跨部門群組。當需要基于部門以外的維度對用戶進行管理可以創(chuàng)建跨部門的安全組。例如企業(yè)中跨部門成立的群組。系統(tǒng)默認有一個缺省認證域，每個用戶組可以包括多個用戶和用戶組。每個用戶組只能屬于一個父用戶組，每個用戶至少屬于一個用戶組，也可以屬于多個用戶組。認證域市場部研發(fā)部來訪人員研發(fā)1部研發(fā)2部員工A員工B員工C員工D安全組用戶分類管理員管理員用戶指通過Telnet、SSH、Web、FTP等協(xié)議或通過Console接口訪問設備并對設備進行配置或操作的用戶。上網(wǎng)用戶上網(wǎng)用戶是網(wǎng)絡訪問的標識主體，是設備進行網(wǎng)絡權限管理的基本單元；設備通過對訪問網(wǎng)絡的用戶進行身份認證，從而獲取用戶身份，并針對用戶的身份進行相應的策略控制。接入用戶外部網(wǎng)絡中訪問網(wǎng)絡資源的主體，如企業(yè)的分支機構(gòu)員工和出差員工；接入用戶需要先通過SSLVPN、L2TPVPN、IPSecVPN或PPPoE方式接入到防火墻，然后才能訪問企業(yè)總部的網(wǎng)絡資源。AAA技術原理防火墻用戶認證及應用用戶組織架構(gòu)及分類用戶認證流程用戶認證策略用戶認證配置管理員認證登錄方式管理PCEthernet防火墻FTPFTPClientFTPServer管理PCEthernet防火墻WEBWebClientWebServer管理PC防火墻Console口COM口Console管理PCEthernet防火墻TelnetTelnetServer管理PCEthernet防火墻SSHSSHServer管理員認證方式-SSHSSH（SecureShell）安全外殼協(xié)議是建立在應用層基礎上的安全協(xié)議，避免數(shù)據(jù)的明文傳輸。SSH可靠性高，是專為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題。SSH安全驗證方式：基于口令的安全驗證基于密鑰的安全驗證用戶使用用戶名發(fā)起請求SSH客戶端使用公鑰加密用戶名的密碼發(fā)送加密后的密碼返回登錄結(jié)果用私鑰對密碼進行解密并校驗SSH服務器反饋公鑰信息基于口令的安全驗證客戶端將公鑰導入SSH服務器使用私鑰加密字符串返回登錄結(jié)果用公鑰對解密的字符串進行解密并校驗SSH客戶端SSH服務器返回一個隨機字符串客戶端使用用戶名發(fā)起請求發(fā)送加密后的字符串客戶端生成公私鑰密鑰對基于密鑰的安全驗證上網(wǎng)用戶認證方式單點登錄通過其他認證系統(tǒng)的認證就相當于通過了防火墻的認證。用戶認證通過后防火墻可以獲知用戶和IP的對應關系，從而基于用戶進行策略管理。內(nèi)置Portal認證防火墻提供內(nèi)置Portal認證頁面對用戶進行認證。防火墻可轉(zhuǎn)發(fā)認證請求至本地用戶數(shù)據(jù)庫、認證服務器。用戶自定義Portal認證防火墻與自定義Portal聯(lián)動，使用外部Portal服務器對用戶進行認證。用戶免認證用戶不輸入用戶名和密碼就可以完成認證并訪問網(wǎng)絡資源。免認證與不需要認證有差別。AD單點登錄；RADIUS單點登錄。會話認證；事前認證。用戶訪問HTTP業(yè)務時，防火墻向用戶推送自定義Portal認證頁面，觸發(fā)身份認證。將用戶名與IP或MAC地址雙向綁定，防火墻通過識別IP/MAC地址與用戶的綁定關系，使用戶自動通過認證。內(nèi)置Portal認證-會話認證會話認證是用戶不主動進行身份認證，先進行HTTP業(yè)務訪問，在訪問過程中進行認證。認證通過后，再進行業(yè)務訪問。當防火墻收到用戶的第一條HTTP業(yè)務訪問數(shù)據(jù)流時，將HTTP請求重定向到認證頁面，觸發(fā)訪問者身份認證。認證通過后，就可以訪問HTTP業(yè)務以及其他業(yè)務。認證數(shù)據(jù)流業(yè)務數(shù)據(jù)流訪問HTTP業(yè)務防火墻用戶認證通過后訪問HTTP業(yè)務重定向至認證頁面123內(nèi)置Portal認證-事前認證事前認證是指訪問者在訪問網(wǎng)絡資源之前，先主動進行身份認證，認證通過后，再訪問網(wǎng)絡資源。用戶主動向防火墻提供的認證頁面發(fā)起認證請求。防火墻收到認證請求后，對其進行身份認證。認證通過后，就可以訪問Internet。訪問認證頁面進行認證防火墻用戶認證通過后訪問Internet12認證數(shù)據(jù)流業(yè)務數(shù)據(jù)流接入用戶認證方式接入用戶認證指的是對各類VPN接入用戶進行認證。訪問者登錄SSLVPN模塊提供的認證頁面來觸發(fā)認證過程，認證完成后，SSLVPN接入用戶可以訪問總部的網(wǎng)絡資源。SSLVPN作為新型的輕量級遠程接入方案，移動的辦公用戶可以不安裝客戶端。SSLVPNL2TP（Layer2TunnelingProtocol）VPN是一種隧道技術，該技術主要應用在遠程辦公場景中，為出差員工提供企業(yè)內(nèi)網(wǎng)資源接入服務。無論出差員工是通過傳統(tǒng)的的撥號方式接入Internet，還是通過以太網(wǎng)方式接入Internet，L2TPVPN都可以向其提供遠程接入服務。L2TPVPNIPSec是一組開放的網(wǎng)絡安全協(xié)議。是一系列為IP網(wǎng)絡提供安全性協(xié)議和服務的集合，包括AH和ESP兩個安全協(xié)議，以及密鑰交換和用于驗證及加密的一些算法等。通過這些協(xié)議，在兩個設備之間建立一條IPSec隧道。數(shù)據(jù)通過IPSec隧道進行轉(zhuǎn)發(fā)，實現(xiàn)數(shù)據(jù)安全傳輸。IPSecVPNPPPoE（PPPoverEthernet）協(xié)議是一種把PPP幀封裝到以太網(wǎng)幀中的鏈路層協(xié)議。PPPoE可以使以太網(wǎng)網(wǎng)絡中的多臺主機連接到遠端的寬帶接入服務器。PPPoESSL

VPN用戶在外網(wǎng)通過SSLVPN撥入防火墻，實現(xiàn)訪問內(nèi)網(wǎng)資源的需求。防火墻應用服務器登錄設備，提交賬戶和密碼通過用戶認證允許訪問用戶……防火墻驗證用戶賬號和密碼…用戶賬號認證流程總結(jié)接入用戶與AD服務器聯(lián)動與NAS和RADIUS服務器聯(lián)動免認證獲取用戶與IP/MAC雙向綁定信息與自定義Portal聯(lián)動本地用戶/組AD單點登錄RADIUS單點登錄免認證會話認證事前認證Portal認證本地認證服務器認證完成認證RADIUS服務器HWTACACS服務器AD服務器LDAP服務器內(nèi)置Portal認證域上網(wǎng)用戶認證策略二次認證認證服務器否是接入用戶二次認證AAA技術原理防火墻用戶認證及應用用戶組織架構(gòu)及分類用戶認證流程用戶認證策略用戶認證配置認證策略認證策略用于決定防火墻需要對哪些數(shù)據(jù)流進行認證，匹配認證策略的數(shù)據(jù)流必須經(jīng)過防火墻的身份認證才能通過。缺省情況下，防火墻不對經(jīng)過自身的數(shù)據(jù)流進行認證，僅認證匹配認證策略的數(shù)據(jù)流。如果經(jīng)過防火墻的流量匹配了認證策略將觸發(fā)如下動作：會話認證：用戶訪問HTTP業(yè)務時，如果數(shù)據(jù)流匹配了認證策略，防火墻會推送認證頁面要求訪問者進行認證；事前認證：用戶訪問非HTTP業(yè)務時必須主動訪問認證頁面進行認證，否則匹配認證策略的業(yè)務數(shù)據(jù)流將被防火墻禁止；免認證：用戶訪問業(yè)務時，如果匹配了免認證的認證策略，則無需輸入用戶名、密碼直接訪問網(wǎng)絡資源。防火墻根據(jù)用戶與IP/MAC的綁定關系來識別用戶；單點登錄：單點登錄用戶上線不受認證策略控制，只有當用戶業(yè)務流量匹配認證策略才進行策略管控。認證策略組成信息認證策略是多個規(guī)則的集合。認證策略規(guī)則由條件和動作組成，條件指的是防火墻匹配報文的依據(jù)，包括：源/目的安全區(qū)域源地址/地區(qū)目的地址/地區(qū)動作指的是防火墻對匹配到的數(shù)據(jù)流采取的處理方式，包括：Portal認證短信認證免認證不認證AAA技術原理防火墻用戶認證及應用用戶組織架構(gòu)及分類用戶認證流程用戶認證策略用戶認證配置上網(wǎng)用戶認證-配置流程配置服務器配置認證域配置認證選項配置認證策略配置單點登錄參數(shù)配置全局參數(shù)免認證Portal認證配置用戶/用戶組手工配置服務器導入配置本地認證時無需此步驟單點登錄服務器第三方認證服務器上網(wǎng)用戶認證配置舉例(1)需求描述：某企業(yè)在網(wǎng)絡邊界處部署了防火墻作為出口網(wǎng)關，連接