用户

访问网络资源的主体,表示是谁在访问。

fw上的用户根据接入网络时的位置,分为上网用户和接入用户。

上网用户

内部网络中访问网络资源的主体,比如企业总部的内部员工,上网用户可以直接通过fw访问网络资源。接入用户指的是外部网络中访问网络资源的主体,比如企业的分支机构和出差员工

接入用户

需要通过ssl vqn、l2tp vqn、ipsec vqn或者pppoe方式接入到fw,然后才能访问企业总部的网络资源。

认证

fw通过认证来验证访问者的身份,fw对访问者进行认证的方式包括本地认证、服务器认证、单点登录。

本地认证

验证过程在fw上进行,认证相关信息由访问者通过portal认证页面发送给fw,fw将其与存储的用户信息进行对比。

服务器认证

验证过程在专用第三方认证服务器上进行。认证相关信息由访问者通过portal认证页面发送fw,fw再转发给服务器,服务器将其与存储的用户信息进行对比。

单点登录

验证过程在专用第三方认证服务器上进行。认证相关信息由访问者发送给第三方认证服务器,认证通过后,第三方认证服务器将访问者的身份信息发送给fw,fw只记录访问者的身份信息不参与认证过程,该方式称为单点登录soo

认证目的

将网络流量的ip地址标识为用户,为网络行为控制和网络权限分配提供了基于用户的管理维度,实现精细化管理。如基于用户进行策略的可视化制定,提高策略的易用性。基于用户进行威胁,流量的报表查看和统计分析,实现对用户网络访问行为的审计。解决了ip地址动态变化带来的策略控制问题,即以不变的用户应对变化的ip地址。

ip不等于用户、端口不等于应用,传统防火墙基于ip/端口的五元组访问控制策略已经不能有效的应对现阶段网络环境的巨大变化。

AAA

authentication认证、authorization授权、accounting计费(审计)。

认证的方式包括验证:我知道的(口令、个人识别码等)、我拥有的(令牌卡、智能卡、银行卡等)、我具有的(指纹、声音、视网膜、dna等)

授权保证了用户能访问一些资源而无法访问另一些资源,能够进行哪些操作而不能进行另一些操作。

计费或者审计主要有三层含义:用户用了多长时间、用户花了多少钱、用户做了哪些操作

AAA根据用户信息存储位置的不同,可以分为服务器认证和本地认证。

本地认证

将用户信息(如用户名和口令等)配置在网络接入服务器上,本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。

实验一:上网用户+本地认证(portal认证)

需求和拓扑

某企业在网络边界处部署了FW作为出口网关,连接内部网络与Internet。

企业内部网络中的访问者角色包括研发部员工、市场部员工和来访客户,这些人员均动态获取IP地址。

企业的网络管理员希望利用FW提供的用户管理与认证机制,将内部网络中的IP地址识别为用户,为实现基于用户的网络行为控制和网络权限分配提供基础。具体需求如下:

  • 在FW上存储用户和部门的信息,体现公司的组织结构,供策略引用。
  • 研发部员工和市场部员工访问网络资源之前必须通过FW的认证。
  • 对于来访客户,访问网络资源之前必须通过FW的认证,并且只能使用特定的用户Guest来进行认证。
  • 访问者使用会话认证的方式来触发认证过程,即访问者使用IE浏览器访问某个Web页面,FW会将IE浏览器重定向到认证页面。认证通过后,IE浏览器的界面会自动跳转到先前访问的Web页面。

HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)_访问者

操作步骤

1、配置接口ip地址和安全区域

2、配置静态路由

3、创建用户组和用户

3.1 创建研发部员工对应的组和用户

[FW] user-manage group /default/research
[FW-usergroup-/default/research] quit
[FW] user-manage user user_0001
[FW-localuser-user_0001] alias Tom
[FW-localuser-user_0001] parent-group /default/research
[FW-localuser-user_0001] password Admin@123
[FW-localuser-user_0001] undo multi-ip online enable
[FW-localuser-user_0001] quit

3.2 创建市场部员工对应的组和用户

[FW] user-manage group /default/marketing
[FW-usergroup-/default/marketing] quit
[FW] user-manage user user_0002
[FW-localuser-user_0002] alias Jack
[FW-localuser-user_0002] parent-group /default/marketing
[FW-localuser-user_0002] password Admin@123
[FW-localuser-user_0002] undo multi-ip online enable
[FW-localuser-user_0002] quit

3.3 创建来访客户对应的用户

[FW] user-manage user guest
[FW-localuser-user_guest] parent-group /default
[FW-localuser-user_guest] password Admin@123
[FW-localuser-user_guest] quit

4、设置用户认证通过后自动跳转到先前访问的web页面

[FW] user-manage redirect

5、配置认证策略

[FW] auth-policy
[FW-policy-auth] rule name policy_auth_01
[FW-policy-auth-rule-policy_auth_01] source-zone trust
[FW-policy-auth-rule-policy_auth_01] source-address 192.168.1.0 24
[FW-policy-auth-rule-policy_auth_01] action auth
[FW-policy-auth-rule-policy_auth_01] quit
[FW-policy-auth] quit

6、配置认证域

[FW] aaa
[FW-aaa] domain default
[FW-aaa-domain-default] service-type internetaccess
[FW-aaa-domain-default] quit
[FW-aaa] quit

7、配置安全区域

7.1 配置允许用户访问认证页面的安全策略

[FW] security-policy
[FW-policy-security] rule name policy_sec_01
[FW-policy-security-rule-policy_sec_01] source-zone trust
[FW-policy-security-rule-policy_sec_01] destination-zone local 
[FW-policy-security-rule-policy_sec_01] service protocol tcp destination-port 8887
[FW-policy-security-rule-policy_sec_01] action permit
[FW-policy-security-rule-policy_sec_01] quit

7.2 配置用户访问外网的安全策略

[FW-policy-security] rule name policy_sec_02
[FW-policy-security-rule-policy_sec_02] source-zone trust
[FW-policy-security-rule-policy_sec_02] destination-zone untrust
[FW-policy-security-rule-policy_sec_02] action permit
[FW-policy-security-rule-policy_sec_02] quit

7.3 配置用户访问dmz区的安全策略

[FW-policy-security] rule name policy_sec_03
[FW-policy-security-rule-policy_sec_03] source-zone trust
[FW-policy-security-rule-policy_sec_03] destination-zone dmz
[FW-policy-security-rule-policy_sec_03] action permit
[FW-policy-security-rule-policy_sec_03] quit
[FW-policy-security] quit

验证和分析

通过桥接到192.168.1.0/24段的物理终端,访问dmz区的服务器,就会自动跳转到认证页面。


HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)_服务器_02

HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)_服务器_03

然后就可以看到正确的页面。 

在fw上检查在线用户

<f1>dis user-manage online-user verbose 
2022-02-22 11:43:37.550 
 Current Total Number: 1
--------------------------------------------------------------------------------
 IP Address: 192.168.1.100  
 Login Time: 2022-02-22 11:41:19  Online Time: 00:02:18  
 State: Active  TTL: 00:30:00  Left Time: 00:27:42
 Access Type: local
 Authentication Mode: Password (Local)
 Access Device Type: unknown
 Downlink Packets: 0 Bytes: 0    Uplink Packets: 0 Bytes: 0
 Downlink Rate: 0 Kbps    Uplink Rate: 0 Kbps
 Build ID: 0
 User Name: user_0001  Parent User Group: /default/research
--------------------------------------------------------------------------------

服务器认证

将用户信息(如用户名和口令等)配置在认证服务器上,比如radius服务器、hwtacacs服务器上进行远端认证。

radius协议

c/s架构。client与server之间通过共享密钥认证,共享密钥不会通过网络传送。

基于udp,认证端口是1812,计费端口是1813.

radius服务器通过建立一个唯一的用户数据库,存储用户名、口令来对用户进行验证

radius报文结构

HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)_ip地址_04

code:消息类型,接入请求或者接入允许等

identifier:识别码,顺序递增的数字,请求报文和响应报文中该字段必须匹配

length:所有域的总长度

authenticator:验证字,用于验证radius的合法性

attribute:消息的内容主体,主要是用户相关的各种属性

radius报文交互流程

HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)_服务器_05

1、用户输入用户名和口令

2、认证请求access-request/访问质询access-challenge

3、认证接受并响应access-accept /认证拒绝并响应 access-reject

4、计费开始请求accounting-request

5、计费响应accounting-response

6、用户访问资源

7、计费结束请求accounting-request(stop)

8、计费响应accounting-response

9、访问结束

hwtacacs协议

huawei terminal access controller access control system,终端访问控制器控制系统协议。

c/s架构,实现了nas与tacacs+服务器之间的通信。除了对标准报文头进行加密外,对报文主体全部进行加密。

基于tcp,更加可靠。

典型应用于对需要登录到设备上进行操作的终端用户进行认证、授权、计费。设备作为hwtacacs的客户端,将用户名和密码发给hwtacacs服务器进行验证,用户验证通过并得到授权后可以登录到设备上进行操作。

hwtacacs协议应用场景

HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)_ip地址_06

hwtacas和radius比较

端口:hwtacacs使用tcp协议,radius使用udp,认证和授权端口号是1812和1813,或1645和1646

加密:hwtacacs除了标准的hwtacacs报文头,对报文主体全部进行加密,radius只是对认证报文中的密码字段进行加密

认证和授权:hwtacacs认证和授权分离,radius认证和授权一起处理

应用场景:hwtacacs适于进行安全控制,radius适于进行计费

配置命令授权:hwtacacs支持对配置命令进行授权,radius不支持对配置命令进行授权