華爲防火牆用戶管理
AAA簡介
AAA是指:Authentication(認證)、Authorization(授權)、Accounting(計費)。
當用戶希望訪問Internet訪問資源時,首先使用Authentication認證技術,用戶輸入用戶名和密碼進行認證;當通過認證後,通過Authorization授權,授權不同用戶訪問的資源;在客戶訪問期間,通過Accounting計費,記錄所做的操作和時長。
Authorization認證
認證方式包括:
我知道(What I know):用戶所知道的信息(如:密碼、個人識別號(PIN)等)。
我擁有(What I have):用戶所擁有的信息(如:令牌卡、智能卡或銀行卡等)。
我具有(What I are):用戶所具有的生物特徵(如:指紋、聲音、視網膜、DNA等)。
Authorization授權
授權用戶可以使用哪些業務,是公共業務還是敏感業務。
授權用戶管理設備,可以使用哪些命令。
Accounting計費
計費主要含義有三個:
用戶用了多長時間
用戶花了多少錢
用戶做了哪些操作
AAA技術
三種認證方式:
不認證:對用戶非常信任,不對其進行合法性檢查,一般情況下不採用這種方式。
本地認證:將用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在網絡接入服務器上。本地認證的優點是速度快,可以爲運營降低成本;缺點是存儲信息量受設備硬件條件限制。
遠端認證:將用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在認證服務器上。AAA支持通過RADIUS(Remote Authentication Dial In User Service)協議、HWTACACS(HuaWei Terminal Access Control System)協議和LDAP(Lightweight Directory Access Protocol)協議進行遠端認證。
RADIUS
Radius服務器通過建立一個唯一的用戶數據庫存儲用戶名和密碼來對用戶進行驗證。
Radius
RADIUS廣泛應用於網絡接入服務器NAS(Network Access Server)系統。NAS負責把用戶的認證和計費信息傳遞給RADIUS服務器。RADIUS協議規定了NAS與RADIUS服務器之間如何傳遞用戶信息和計費信息以及認證和計費結果,RADIUS服務器負責接收用戶的連接請求,完成認證,並把結果返回給NAS。
RADIUS使用UDP(User Datagram Protocol)作爲傳輸協議,具有良好的實時性;同時也支持重傳機制和備用服務器機制,從而具有較好的可靠性。
RADIUS客戶端與服務器間的消息流程如下:
用戶登錄USG或接入服務器等網絡設備時,會將用戶名和密碼發送給該網絡接入服務器;
該網絡設備中的RADIUS客戶端(網絡接入服務器)接收用戶名和密碼,並向RADIUS服務器發送認證請求;
RADIUS服務器接收到合法的請求後,完成認證,並把所需的用戶授權信息返回給客戶端;對於非法的請求,RADIUS服務器返回認證失敗的信息給客戶端。
RADIUS報文結構:
Code:消息類型,如接入請求、接入允許等。
Identifier:一般是順序遞增的數字,請求報文和響應報文中該字段必須匹配。
Length:所有域的總長度。
Authenticator:驗證字,用於驗證RADIUS的合法性。
Attribute:消息的內容主體,主要是用戶相關的各種屬性
LDAP
LDAP
LDAP也是基於C/S架構的,LDAP服務器負責對來自應用服務器的請求進行認證,同時還指定用戶登錄的應用服務器所允許訪問的資源範圍。
HWTACACS
HWTACACS是在TACACS基礎上進行了功能增強的一種安全協議,主要用戶接入用戶的認證、授權和計費。
HWTACACS協議與TADIUS協議的比較
HWTACACS協議與TADIUS協議的比較
用戶認證
AAA技術爲用戶認證提供了手段
用戶認證分類:
本地認證:訪問者將標識其身份的用戶名和密碼發給NGFW(下一代防火牆),NGFW上存儲了密碼,驗證過程在NGFW上進行。
服務器認證:訪問者將標識其身份的用戶名和密碼發送給NGFW,NGFW上沒有存儲密碼,NGFW將用戶名和密碼發送至第三方認證服務器,驗證過程在認證服務器上進行。
單點登錄(盡在上網用戶中體現):訪問者將標識其身份的用戶名和密碼發送給第三方認證服務器,認證通過後,第三方認證服務器將訪問者的身份信息發送給NGFW。NGFW記錄訪問者的身份信息。
注:對於上網用戶,訪問網絡資源時NGFW會對其進行認證。對於接入用戶,接入NGFW時NGFW會對其進行認證,訪問網絡資源時NGFW還可根據需要來對其進行二次認證。
用戶管理
用戶管理分類
上網用戶管理:內部網絡中訪問網絡資源的主體(如企業總部的內部員工),是設備進行網絡權限管理的基本單元。設備通過對訪問網絡的用戶進行身份認證,從而獲取用戶身份,並針對用戶的身份進行相應的策略控制。上網用戶可以直接通過NGFW訪問網絡資源。
接入用戶管理:外部網絡中訪問網絡資源的主體(如企業分支機構員工和出差員工)。接入用戶需要通過SSL ×××、L2TP ×××、IPSec ×××或PPPoE方式接入到NGFW,然後才能訪問企業總部的網絡資源。
管理員用戶:管理員用戶是指通過Telnet、SSH、Web、FTP等協議或通過Console接口訪問設備並對設備進行配置或操作的用戶。
管理員用戶認證流程和配置
管理員登錄方式
Console:Console接口提供命令行方式對設備進行管理,通常用於:①設備的第一次配置,或者設備配置文件丟失,沒有任何配置;②當設備系統無法啓動時,可通過Console口進行診斷或進入BootRom進行升級。
Web:終端通過HTTP/HTTPS方式登錄到設備進行遠程配置和管理
Telnet:Telnet是一種傳統登錄方式,通常用於通過命令行方式對設備進行配置和管理。
FTP:FTP管理員主要對設備存儲空間裏的文件進行上傳和下載
SSH:SSH提供安全的信息保障和強大的認證功能,在不安全的網絡上提供一個安全的通道。
Console / Telnet / FTP 設備配置
配置用戶接口
Console :
[USG] user-interface console 0
[USG-ui-con0] authentication-mode aaa
Telnet:
[USG] user-interface vty 0 3
[USG-ui-vty0] authentication-mode aaa
進入AAA視圖進行配置
[USG] aaa
[USG -aaa]manager-user client001
[USG -aaa-manager-user-client001]password cipher password
[USG -aaa-manager-user-client001]service-type terminal telnet ftp
注:此處是配置登錄方式。
[USG -aaa-manager-user-client001]level 3
[USG -aaa-manager-user-client001]ftp-directory hda1:
注:此處是設置ftp主目錄。
SSH設備管理配置
啓動SSH服務
[USG] stelnet server enable
創建SSH用戶,併爲SSH用戶配置密碼
[USG] aaa
[USG-aaa] manager-user ssh_user
[USG-aaa-manager-user-ssh_user] ssh authentication-type password
[USG-aaa-manager-user-ssh_user] password cipher Admin@123
[USG-aaa-manager-user-ssh_user] service-type ssh
以上配置完成後,運行支持SSH的客戶端軟件,建立SSH連接。
Web設備管理配置
啓動Web管理功能
[USG] web-manager security enable port port_number
配置Web用戶
[USG] aaa
[USG-aaa]manager-user webuser
[USG-aaa-manager-user-webuser]password cipher password
[USG-aaa-manager-user-webuser]service-type web
[USG-aaa-manager-user-webuser]level 3
上網用戶及接入用戶認證流程
認證流程
認證流程
認證策略:上網用戶使用免認證或會話認證方式觸發認證過程、以及已經接入NGFW的接入用戶使用會話認證方式觸發認證過程時,必須經過認證策略的處理。
認證策略的作用是選出需要進行免認證或會話認證的數據流,對免認證的數據流,NGFW根據用戶與IP/MAC地址的綁定關係來識別用戶;對會話認證的數據流,NGFW會推送認證頁面。認證策略對單點登錄或事前認證方式不起作用。
認證域:認證域是認證流程中的重要環節,認證域上的配置決定了對用戶的認證方式以及用戶的組織結構。NGFW通過識別用戶名中包含的認證域,將所有待認證的用戶“分流”到對應的認證域中,根據認證域上的配置來對用戶進行認證。
本地認證/服務器認證用戶:決定用戶認證時採用本地認證方式還是服務器認證方式,如果是服務器認證方式還包含了使用哪個認證服務器。
單點登錄用戶:單點登錄用戶的認證過程NGFW不參與,只是從認證服務器接收用戶登錄/註銷消息,所以認證域中的認證方式配置對單點登錄用戶不起作用。但是在與用戶域名(dc字段)同名的認證域中配置的新用戶選項對單點登錄用戶生效。
組織結構管理
爲了給不同的用戶或部門進行差異化管理,分配不同的權限,需要對組織結構進行規劃和管理。防火牆支持創建樹型的組織結構,這種結構和通常的行政架構比較類似,非常方便規劃和管理。
系統默認有一個缺省認證域,其餘所有用戶組都是該認證組域中的子組。
每個用戶組可以包括多個用戶和用戶組,但每個用戶組只能屬於一個父用戶組。
每個用戶至少屬於一個用戶組,也可以屬於多個用戶組。
每個用戶(組)可以被安全策略、限流策略、等引用,從而實現基於用戶的權限和帶寬資源控制。
上網用戶及接入用戶認證配置
配置流程
配置流程
注:
①配置用戶組/用戶:設備實施基於用戶/用戶組的管理之前,必須先創建用戶/用戶組。設備支持管理員手動配置、本地導入和服務器導入多種創建方式。
手動配置:NGFW上默認存在default認證域,可以在其下級創建用戶/組,如果需要規劃其他認證域的組織結構請先配置認證域。當需要根據企業組織結構創建用戶組時,並基於用戶組進行網絡權限分配等管理時,該步驟必選。當對用戶進行本地密碼認證時,必須要在本地創建用戶,並配置本地密碼信息
本地導入:本地導入支持將CSV格式文件和數據庫dbm文件的用戶信息導入到設備本地。
服務器導入:網絡中,使用第三方認證服務器的情況非常多,很多公司的網絡都存在認證服務器,認證服務器上存放着所有用戶和用戶組信息。從認證服務器上批量導入用戶是指通過服務器導入策略,將認證服務器上用戶(組)信息導入到設備上。
②配置認證選項包含全局參數、單點登錄及定製認證頁面三部分內容的配置:
全局參數配置主要針對於本地認證及服務器認證方式,其配置包含:
設置用戶密碼的強度、用戶首次登錄必須修改密碼以及密碼過期的設置;
設置認證衝突時對當前認證的處理方式;
定義用戶認證後的跳轉頁面;
定義認證界面使用的協議和端口;
定義用戶登錄錯誤次數限制、達到限制次數後的鎖定時間以及用戶在線超時時間。
單點登錄包含AD單點登錄、TSM單點登錄和RADIUS單點登錄。
定製認證頁面:可以根據實際情況,設置Logo圖片、背景圖片、歡迎語或求助語等,滿足個性化的頁面定製需求。
③認證策略是多條認證策略規則的集合,NGFW匹配報文時總是在多條規則之間進行,從上往下進行匹配。當報文的屬性和某條規則的所有條件匹配時,認爲匹配該條規則成功,就不會再匹配後續的規則。如果所有規則都沒有匹配到,則按照缺省認證策略進行處理。
缺省的認證策略及所有匹配條件均爲任意(any),動作爲不認證。