第六章 防火墙用户管理.

Slides:



Advertisements
Similar presentations
7.1 内置对象概述及分类 JSP 视频教学课程. JSP2.2 目录 1. 内置对象简介 1. 内置对象简介 2. 内置对象分类 2. 内置对象分类 3. 内置对象按功能区分 3. 内置对象按功能区分 4. 内置对象作用范围 4. 内置对象作用范围.
Advertisements

NAT与ICMP交互.
联系电话: 联 系 人:李爱玲 中国人文社会科学文献(CASHL)传递 联系电话: 联 系 人:李爱玲
第5章 交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
實驗 9: 無線安全網路之建設.
公务员管理子系统建设步骤 1、组建由局长直接领导的体制,制定公务员管理、工资管理、其他业务用户的管理权限,以及各业务间的协作流程。
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
项目四 组建跨地区网络 授课教师:肖颖.
Oracle数据库 Oracle 子程序.
济贵金属艺术品交易中心 JIGUIJINSHUYISHUPINJIAOYIZHONGXIN 入金操作流程
出入金操作流程.
在PHP和MYSQL中实现完美的中文显示
Cell organized Distributed File Storage
指導教授:陳偉業 老師 碩專資管二甲 N 林士淵 富強鑫公司 資訊工程師 2006/12/23
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
RG-N18000K.
存储系统.
安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
SVN服务器的搭建(Windows) 柳峰
管理信息结构SMI.
网络常用常用命令 课件制作人:谢希仁.
实用组网技术 第一章 网络基础知识.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
PostgreSQL 8.3 安装要点 四川大学计算机学院 段 磊
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
LogBase运维安全管理系统.
江西财经大学信息管理学院 《组网技术》课程组
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
Hub Web System 主要功能: 1.查询库存(Query Current Storage) 2.创建PL(Create PL) 3.查询、打印PL单(Query & Print PL) 4.查询允交量、在途量 5.修改用户的基本信息(Update Password) 6.查询GR(Query.
第17章 网站发布.
2019/1/12 GDP设计协同 超级管理员操作手册 GDP项目组.
第二章 防火墙基础技术.
ENS 10.1安装配置指南 王俊涛 | SE.
供应商登录CJLR SRM系统入口 CJLR供应商仅可以在互联网上访问SRM系统,无法在CJLR内网登录SRM系统.
用event class 从input的root文件中,由DmpDataBuffer::ReadObject读取数据的问题
任务1-3 使用Dreamweaver创建ASP网页
SOA – Experiment 2: Query Classification Web Service
電子郵件簡介.
Web安全基础教程
续签协议&修改密码操作手册 GDP项目组 2019/01/30.
第四章 团队音乐会序幕: 团队协作平台的快速创建
DQMClientDim.cxx及双光子练习
VisComposer 2019/4/17.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
商业分析平台-语义元数据 用友集团技术中心 边传猛 2013年 11月 06日.
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
解决“最后1公里”问题.
iSIGHT 基本培训 使用 Excel的栅栏问题
国家学生体质健康标准数据管理与分析系统使用培训
系统权限管理概要 用 户 访问权限 对 象 用户和组 全局权限 类别 每个用户可以属于多个用户组 用户组可以与AD安全组同步 系统预置用户组
郑 昀 应用开发事业部 神州泰岳 SIP多方会话消息 之实例讲解 郑 昀 应用开发事业部 神州泰岳
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
Python 环境搭建 基于Anaconda和VSCode.
Google的云计算 分布式锁服务Chubby.
GDP设计协同在线配置产品线公网访问权限操作手册
基于列存储的RDF数据管理 朱敏
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
使用说明书 网址: 贵阳学院智慧实验室管理平台 用户中心 使用说明书 网址:
第四章 UNIX文件系统.
创建、启动和关闭Activity 本讲大纲: 1、创建Activity 2、配置Activity 3、启动和关闭Activity
JUDDI安装手册.
Presentation transcript:

第六章 防火墙用户管理

目标 学完本课程后,您将能够: 掌握用户认证技术 掌握AAA认证 掌握用户认证管理配置

目录 用户认证和AAA技术原理 用户认证管理及应用

用户认证的背景 内部泄密,损失巨大 无关应用影响网络带宽 Web威胁,无孔不入 IP不等于用户、端口不等于应用,传统防火墙基于IP/端口的五元组访问控制策略已不能有效的应对现阶段网络环境的巨大变化。 无关活动影响工作效率 违法行为,影响组织利益 当前网络环境中,网络安全的威胁更多的来源于应用层,这也使得企业对于网络访问 控制提出更高的要求。如何精确的识别出用户,保证用户的合法应用正常进行,阻断用户 有安全隐患的应用等问题,已成为现阶段企业对网络安全关注的焦点。但IP不等于用户、 端口不等于应用,传统防火墙基于IP/端口的五元组访问控制策略已不能有效的应对现阶段 网络环境的巨大变化。 企业互联网接入

什么是AAA Authentication认证 Authorization 授权 Accounting 计费 Authentication 举例: 当用户希望访问Internet访问资源。首先使用Authentication认证技术,用户输 入用户名密码。 当通过认证后,通过Authorization 授权,授权不同用户访问的资源,可以访问 百度,或者Google。 在客户访问期间,通过Accounting 计费,记录所做的操作和时长。

Authentication认证 What I know? 密码 知识 经验 我知道 认证 令牌卡 智能卡 银行卡 指纹 声音 视网膜 DNA 认证的方式包括: 我知道:用户所知道的信息(如:密码、个人识别号(PIN)等) 我拥有:用户所拥有的信息(如:令牌卡、智能卡或银行卡) 我具有:用户所具有的生物特征(如:指纹、声音、视网膜、DNA) 我拥有 我具有 What I have? What I are?

Authorization 授权 用户能访问的资源 用户能使用的命令 用户 业务系统 访客 公共资源 员工 普通业务系统 管理者 授权用户可以使用哪些业务,公共业务,还是敏感业务。 授权用户管理设备,可以使用那些命令。如,可以是Display命令,不能是用delete, copy命令。 管理者 敏感业务系统

Accounting 计费 用户用多长时间 用户花了多少钱 用户做了哪些操作 计费主要的含义有三个: 用户用多长时间 用户花了多少钱

authentication server AAA技术 本地认证 远端认证 RADIUS HWTACACS LDAP 在认证方本地存储用户名密码 User Gateway 第三方认证服务器存储用户名密码 User Gateway RADIUS/LDAP/AD authentication server 不认证: 对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。 本地认证: 将用户信息(包括本地用户的用户名、密码和各种属性)配置在网络接入服务器上。 本地认证的优点是速度快,可以为运营降低成本;缺点是存储信息量受设备硬件条件限制 。 远端认证: 将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。AAA 支持通过RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS ( HuaWei Terminal Access Controller Access Control System)协议进行远端认证。

Radius Radius服务器通过建立一个唯一的用户数据库,存储用户名、密码来对用户进行验证。 RADIUS的消息结构如图所示 AAA可以用多种协议来实现,最常用的是RADIUS协议。RADIUS广泛应用于网络接 入服务器NAS(Network Access Server)系统。NAS负责把用户的认证和计费信息传递 给RADIUS服务器。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和 计费信息以及认证和计费结果,RADIUS服务器负责接收用户的连接请求,完成认证,并 把结果返回给NAS。 RADIUS使用UDP(User Datagram Protocol)作为传输协议,具有良好的实时性; 同时也支持重传机制和备用服务器机制,从而具有较好的可靠性。 RADIUS客户端与服务器间的消息流程如下: 用户登录USG或接入服务器等网络设备时,会将用户名和密码发送给该网络接入服 务器; 该网络设备中的RADIUS客户端(网络接入服务器)接收用户名和密码,并向 RADIUS服务器发送认证请求; RADIUS服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给 客户端;对于非法的请求,RADIUS服务器返回认证失败的信息给客户端。 Code:消息类型,如接入请求、接入允许等。 Identifier:一般是顺序递增的数字,请求报文和响应报文中该字段必须匹配。 Length:所有域的总长度。 Authenticator:验证字,用于验证RADIUS的合法性。 Attribute:消息的内容主体,主要是用户相关的各种属性。 存放用于认证的用户名和密码

Radius应用场景 用户输入用户名/口令 用户访问资源 通知访问结束 Access-Request Access-Accept Accounting-Request (start) Accounting-Response 用户访问资源 Accounting-Request (stop) Radius报文交互流程 用户输入用户名密码 认证请求 认证接受 计费开始请求 计费开始请求响应报文 用户访问资源 计费结束请求报文 计费结束请求响应报文 访问结束 Code:包类型。包类型占1个字节,定义如下: Access-Request——请求认证过程 Access-Accept——认证响应过程 Access-Reject——认证拒绝过程 Accounting-Request——请求计费过程 Accounting-Response——计费响应过程 Access-Challenge ——访问质询 Accounting-Response 通知访问结束

LDAP(轻量级目录访问协议) LDAP也是基于C/S架构的,LDAP服务器负责对来自应用服务器的请求进行认证,同时还指定用户登录的应用服务器所允许访问的资源范围等。 2. 认证请求 1. 服务请求 用户 应用服务器 LDAP服务器 3. 认证结果 4. 接入 LDAP也是基于C/S架构的,LDAP服务器负责对来自应用服务器的请求进行认证,同 时还指定用户登录的应用服务器所允许访问的资源范围等。 授权资源

HWTACACS HWTACACS是在TACACS基础上进行了功能增强的一种安全协议,主要用于接入用户的认证、授权和计费。 HWTACACS协议与RADIUS协议的比较 HWTACACS RADIUS 端口使用 使用TCP协议,网络传输更可靠 使用UDP协议。认证和授权端口号是1812和1813,或者1645和1646. 加密情况 除了标准的HWTACACS报文头,对报文主体全部进行加密 只是对认证报文中的密码字段进行加密 认证和授权 认证与授权分离 认证与授权一起处理 应用 适于进行安全控制 适于进行计费 配置命令授权 支持对配置命令进行授权 不支持对配置命令进行授权 HWTACACS是在TACACS基础上进行了功能增强的一种安全协议,主要用于接入用 户的认证、授权和计费。

目录 用户认证和AAA技术原理 用户管理及应用 2.1 用户分类 2.2 管理员用户认证流程和配置 2.3 上网用户认证流程和配置 2.4 接入用户认证流程和配置

用户管理的背景 AAA认证技术 用户认证 用户管理 可视化管理 病毒/攻击:阻塞 病毒 木马 蠕虫 关键应用:带宽优先 可接受应用:流量控制 禁止应用:阻塞 用户(组) 专业安全防御 全面流量控制 用户管理将分为不同的用户组,通过对用户认证,将用户打上标签,并且为用户组赋 予不同的权限和应用,从而实现安全的目标。 举例: 将公司员工(用户)加入用户组,然后针对用户或用户组进行网络行为控制和审计, 根据用户或用户组进行策略的可视化制定,提高策略制定的易用性,报表中体现用户信息, 对用户进行上网行为分析,以达到对用户(而非单纯的IP地址)行为的追踪审计,解决现 网应用中同一用户对应IP经常变化带来的应用行为策略控制难题。

用户管理分类 上网用户管理 接入用户管理 管理员用户 “上网用户”指通过USG设备访问资源的用户,包括内网主动发起上网行为的对象,如内网PC。 接入用户管理 “接入用户”指PPP或隧道建立过程中使用的用户。USG对这些用户提供本地认证、RADIUS认证、HWTACACS认证,可验证用户身份的合法性并为合法用户进行授权,防止非法用户进行访问。 管理员用户 “管理员用户”指通过Telnet、SSH、web、FTP等协议或通过Console接口访问设备并对设备进行配置或操作的用户。 管理员用户:管理员主要为了实现对设备的管理、配置和维护,登录方式可以分为: Console Web Telnet FTP SSH 接入用户主要为了实现访问网络, 802.1X接入用户 PPP接入用户 SSL接入用户 上网用户 上网用户是网络访问的标识主体,是设备进行网络权限管理的基本单元。设备通过对 访问网络的用户进行身份认证,从而获取用户身份,并针对用户的身份进行相应的策 略控制。

目录 用户认证和AAA技术原理 用户认证管理及应用 2.1 用户分类 2.2 管理员用户认证流程和配置 2.3 上网用户认证流程和配置 2.4 接入用户认证流程和配置

管理员登录方式 Console Telnet SSH FTP Web 管理员主要为了实现对设备的管理、配置和维护,登录方式可以分为: 设备的第一次配置。或者设备配置文件丢失,没有任何配置。 当设备系统无法启动时,可通过Console口进行诊断或进入BootRom进行升级。 Web 终端通过HTTP/HTTPS方式登录到设备进行远程配置和管理。 Telnet Telnet是一种传统的登录方式,通常用于通过命令行方式对设备进行配置和管理 。 FTP FTP管理员主要对设备存储空间里的文件进行上传和下载。 SSH SSH提供安全的信息保障和强大的认证功能,在不安全的网络上提供一个安全的 “通道”。此时,设备作为SSH服务器。

Console/telnet/Ftp设备管理类型 新建管理员Client01,并设置设备管理类型Console, Telnet, FTP。 Notes: 默认Console, telnet, ftp配置,无需要另外配置。 用户级别设置为管理级别,不仅可以配置设备,而且可以管理文件系统,用于软件升级。 步骤1: User-interface Console: [sysname] user-interface console 0 [sysname-ui-con0] authentication-mode aaa Telnet: [sysname] user-interface vty 0 3 [sysname-ui-vty0] authentication-mode aaa [sysname-ui-vty0] protocol inbound all 步骤2: AAA View [USG] aaa [USG-aaa] local-user client001 password cipher Admin@123 [USG-aaa] local-user user-name service-type telnet terminal ftp [USG-aaa] local-user client001 level 3 [USG-aaa] local-user admin ftp-directory flash: 设置信任主机IP,指定特定的主机访问

SSH设备管理类型 必须设置SSH认证方式 设置认证方式为Password 创建管理员Client01,并设置设备管理类型为SSH SSH option(Notes: 默认Console, telnet, ftp配置,无需另外配置) 启用Stelnet和SFTP服务 配置RSA本地密钥对。 <USG> system-view [USG] rsa local-key-pair create It will take a few minutes. Input the bits in the modulus[default = 512]:512 Generating keys... ..++++++++++++ ............................... 配置VTY用户界面。 [USG] user-interface vty 0 4 [USG-ui-vty0-4] authentication-mode aaa [USG-ui-vty0-4] protocol inbound ssh 新建用户名为Client001的SSH用户,且认证方式为password。 [USG] ssh user client001 [USG] ssh user client001 authentication-type password 为SSH用户Client001配置密码为Admin@123。 [USG] aaa [USG-aaa] local-user client001 password cipher Admin@123 [USG-aaa] local-user client001 service-type ssh

Web设备管理类型 用户级别设置为管理级别,不仅可以配置设备,而且可以管理文件系统,用于软件升级。 创建管理员Client01,设置用户级别。 设置Https服务端口 启动Web管理功能。 [USG] web-manager security enable port 6666 配置Web用户。 [USG] aaa [USG-aaa] local-user webuser password cipher Admin@123 [USG-aaa] local-user webuser service-type web [USG-aaa] local-user webuser level 3 启用HTTPS服务,设置HTTPS服务端口

目录 用户认证和AAA技术原理 用户认证管理及应用 2.1 用户分类 2.2 管理员用户认证流程和配置 2.3 上网用户认证流程和配置 2.4 接入用户认证流程和配置

上网用户上线流程 1 访问Internet 1.1.1.1 首先Http:// 192.168.1.1 Internet应用服务器 2 推送认证界面,User=? Password=? Firewall 3 User=*** Password=*** 4 认证通过,建立连接 192.168.1.1 1.1.1.1 192.168.1.2 5 访问internet 1.1.1.1 创建Session表 推送认证页面 上网用户上线的流程如下: 访问Internet 1.1.1.1 首先Http 192.168.1.1 推送认证界面,User=? Password=? User=*** Password=*** 认证通过,建立连接 访问internet 1.1.1.1,设备创建Session表

组织结构管理 系统默认有一个根用户组 每个用户组可以包括多个用户和用户组 每个用户组只能属于一个父用户组; 每个用户至少属于一个用户组,也可以属于多个用户组; User Sub Group Default Group sunxing development root zhansan firewall Leader-svn SVN Leader 为了给不同的用户或部门进行差异化管理,分配不同的权限,需要对组织结构进行规 划和管理。防火墙支持创建树型的组织结构,这种结构和通常的行政架构比较类似,非常 方便规划和管理。 系统默认有一个根用户组,其余所有用户组都是根用户组的子组,或者子组的子组; 每个用户组可以包括多个用户和用户组,但每个用户组只能属于一个父用户组; 每个用户至少属于一个用户组,也可以属于多个用户组; 每个用户(组)可以被安全策略、限流策略、等引用,从而实现基于用户的权限和带 宽资源控制。

单点登录 用户和AD认证服务器组网需求为: 用户管理需求 员工登录成功后, 自动将其用户信息导入到本地, 且添加到指定的用户组中。 设备通过启用单点登录功能,可以识别出经过这些身份认证系统认证通过的用户,避 免用户上网时再次要求输入用户名/密码。

单点登录认证流程 用户直接向AD服务器认证,设备不干涉用户认证过程; AD监控服务处理: 客户端认证成功后, 主动给AD 监控服务发送用户认证成功消息,AD监控服务从 该消息中获取对应的用户名和IP地址信息; AD监控服务使用获取的用户在AD服务器上查找用户的组信息; AD监控服务将获取到用户名、用户组名、用户IP发送到设备(支持丢包重传机 制); 设备侧处理: 接收并解析AD服务器发送过来的报文; 根据收到的用户登录信息创建在线用户监控表项;

WEB重定向密码认证 用户不主动进行认证,先进行业务访问,设备推送“重定向”到认证页面。 注:只有用户进行目的端口是80的HTTP业务访问时,系统才支持“重定向”到认证页面,进行会话认证。 Web重定向密码认证处理过程: PC访问www.baidu.com 设备收到用户访问baidu的业务报文后, 将该报文丢弃, 然后构造HTTP重定向报文回应 用户, 将页面重定向至”设备认证页面” 用户输入用户名,密码信息进行认证; 认证成功后,页面将自动跳转到用户只见访问的baidu页面,或者管理员指定的业务(管理 员可配)。

上网用户认证 配置引导 典型配置举例-免认证 典型配置举例-密码认证 典型配置举例-单点登录

配置引导 配置用户/用户组 配置认证豁免IP(可选) 配置认证策略 配置认证选项 手动配置用户组/用户 免认证方式 配置单点登录参数 本地导入 服务器导入 免认证方式 本地密码认证/服务器认证方式 单点登录方式 配置单点登录参数 配置全局参数 配置用户/用户组 配置认证豁免IP(可选) 配置认证策略 配置认证选项 配置组/用户:设备实施基于用户/用户组的管理之前,必须先创建用户/用户组。设备 支持管理员手动配置、本地导入和服务器导入多种创建方式。 手动配置组/用户 缺省情况下,设备默认自带根用户组root组。 当需要根据企业组织结构创建用户组时,并基于用户组进行网络权限分配等管理 时,该步骤必选。 当对用户进行本地密码认证时,必须要在本地创建用户,并配置本地密码信息。 本地导入 本地导入支持将CSV格式文件和数据库dbm文件的用户信息导入到设备本地。 服务器导入 网络中,使用第三方认证服务器的情况非常多,很多公司的网络都存在认证服务 器,认证服务器上存放着所有用户和用户组信息。从认证服务器上批量导入用户 是指通过服务器导入策略,将认证服务器上用户(组)信息导入到设备上。

创建用户和用户组 表示用户,列表中除能直接显示用户所属组、绑定信息、账号过期时间、描述信息以及当前的用户状态,还能修改用户状态。 组/用户 设备实施基于用户/用户组的管理之前,该用户/用户组必须在设备上存在。通过 组/用户节点,在设备上手动创建用户/用户组。 新建用户组 root组是设备默认自带的根用户组,不能删除,也无需创建。root组的组名不能修改 ,但可以配置其描述信息,方便识别。 所有创建的用户组都是root组的子组,或者子组的子组。 选择“用户 > 上网用户 > 组/用户”。 可选:在“组织结构”中选择需要添加子组的用户组。 窍门: 新建前,如果预先选定所属的用户组,则设备会自动将该用户组指定为所 属组。 在“成员管理”中单击“新建”,选择“新建组”。 新建单个用户 新建单个用户是指同一时刻只能创建一个用户。与新建多个用户不同的是,新建单个 用户时,除能完成新建多个用户涉及的配置项外,还能配置用户显示名、IP/MAC地址双 向绑定。 表示用户组,列表中只显示该用户组的所属组和描述信息。其他参数均显示为“--”,即表示非用户组相关参数,不可配置。 表示用户,列表中除能直接显示用户所属组、绑定信息、账号过期时间、描述信息以及当前的用户状态,还能修改用户状态。

配置用户属性 用户的账号过期时间 如果该用户是MAC地址双向绑定免认证用户,当用户和设备之间存在三层设备时,则该用户将登录失败; 用户的账号过期时间。 允许多人同时使用该账号登录 选中该参数,表示允许多人同时使用该用户的登录名登录,即允许该登录名同时 在多台计算机上登录。 去选中该参数,表示同一时刻仅允许该登录名在一台计算机上登录。 IP/MAC绑定方式 用户与IP/MAC地址的绑定方式。 选中“单向绑定”,表示用户只能使用指定的IP/MAC地址进行认证,但同 时允许其他用户也使用该IP/MAC地址进行认证。 选中“双向绑定”,表示用户只能使用指定的IP/MAC地址进行认证,并且 指定的IP/MAC地址仅供该用户使用。当一个IP/MAC地址被双向绑定后, 其他单向绑定此IP/MAC地址的用户将无法登录。 IP/MAC地址 与用户绑定的IP地址、MAC地址或IP/MAC地址对。 如果该用户是MAC地址双向绑定免认证用户,当用户和设备之间存在三层设备时,则该用户将登录失败; 如果该用户是MAC地址绑定用户,但采用了单点登录方式进行认证,此时,MAC地址绑定属性不生效。 允许该登录名同时在多台计算机上登录

配置认证策略-免认证 免认证:表示用户不需要进行基于Web的用户名密码认证。 如果设备同时启用了单点登录,则优先通过单点登录功能对用户进行认证。 免认证 表示用户不需要进行基于Web的用户名密码认证。如果设备同时启用了单点登录,则 优先通过单点登录功能对用户进行认证。在没有单点登录或者单点登录不成功的情况下, 设备根据数据包的源IP地址、源MAC地址来识别用户。

配置认证策略-密码认证 选择用户>上网用户>认证策略 选择用户>认证服务器>RADIUS服务器 选择认证服务器类型 密码认证:表示用户需要进行基于Web的用户名密码认证,包括本地密码认证和服务 器认证。 如果设备同时启用了单点登录,则优先通过单点登录功能对用户进行认证。 在没有单点登录或者单点登录不成功的情况下,设备在本地查找用户: 如果用户在本地存在且已配置本地密码,则进行本地密码认证。 如果用户在本地不存在,或者在本地存在但是没有配置本地密码,则向认证服务 器认证。 选择认证服务器类型 RADIUS 设置RADIUS共享密钥,密钥和RADIUS服务器一致

配置认证策略-密码认证 设置认证策略的认证服务器类型LDAP或者AD 设置AD或LDAP认证参数 选择认证参数 选择认证参数 在Web配置界面中,配置密码认证的步骤为: 选择用户>上网用户>认证策略 设置认证策略的认证服务器类型为LDAP或者AD 选择用户>认证服务器>LDAP或者AD服务器 设置LDAP或者AD认证参数 选择认证参数 选择认证参数

配置认证策略-单点登录 新建认证策略 选择认证方式为单点登录 设置接入用户的IP地址 只允许单点登录:表示只允许用户通过单点登录方式进行认证。 选择认证方式为单点登录 设置接入用户的IP地址

上网用户-WEB重定向密码认证 选择“用户 > 上网用户 > 认证选项> 全局配置”。 跳转到最近使用的Web页面 跳转到自定义URL页面 选择Web重定向方式 在Web配置界面中,配置Web重典型密码认证的步骤为: 选择“用户 > 上网用户 > 认证选项”。 选择“全局配置”页签。 跳转到最近使用的Web页面 认证方式为密码认证的用户认证通过后的跳转页面为最近使用的Web页面 ,即用户认证通过后,Web页面跳转到用户认证前请求的页面。 跳转到自定义URL页面 针对密码认证用户,用户认证通过后的跳转页面为自定义URL页面。针对 免认证用户,当用户上线后第一次访问HTTP(80端口)业务时,系统将给 用户推送该URL页面。 以“http://”或“https://”开头,例如http://www.test.com。 认证端口 用户管理Web认证端口。 当设备正在处理业务时,修改Web认证端口将可能影响用户业务

通过本地和服务器导入用户 选择“用户 > 上网用户 > 用户导入”。 本地导入:本地导入支持将CSV格式文件和数据库dbm文件的用户信息导入到设备本地。 服务器导入:从认证服务器上批量导入用户是指通过服务器导入策略,将认证服务器上用户(组)信息导入到设备上。 CSV支持登录名、显示名、所属组、描述信息、密码、IP/MAC绑定信息、绑定模式 、帐号状态、有效期信息 DBM导出是从Ramdisk导出用户数据库文件到指定目录 用户导入是指批量导入用户信息到设备,支持本地导入和服务器导入。其中,本地导 入支持CSV格式文件;服务器导入支持LDAP服务器和AD服务器导入。 从CSV格式文件中批量导入用户 CSV格式文件导入是指: 将用户信息(登录名、显示名、所属组路径、用户描述 、本地密码等)按照指定格式的CSV表格文件预先编辑完成,再将CSV格式文件 中的用户信息导入到设备内存中。 将之前从设备上导出的CSV格式文件中的用户信息导入到设备内存中。 选择“用户 > 上网用户 > 用户导入”。 选择“本地导入”页签。 从认证服务器上批量导入用户 网络中,使用第三方认证服务器的情况非常多,很多公司的网络都存在认证服务 器,认证服务器上存放着所有用户和用户组信息。从认证服务器上批量导入用户 是指通过服务器导入策略,将认证服务器上用户(组)信息导入到设备上。 下载CSV模板,补充完整数据后,点击浏览,并上传数据。

在线用户管理 若需要限制某些用户在某段时间内所有上网行为,可以冻结指定的在线用户。 若管理员觉察到某些用户不可信,可以强制注销指定的在线用户。 勾选某个用户,可以强制注销某个用户 通过在线用户列表,可以查看已经通过设备认证的在线用户。管理员可对在线用户进 行相关的管理操作,例如强制注销。 查看在线用户 只能查看已经通过设备认证的在线用户。 选择“用户 > 上网用户 > 监控”。 在“组织结构”中,使用以下方式的一种来查看指定用户组的在线用户的信息: 查看已经通过设备认证的在线用户。 执行命令display user-manage [ vpn-instance { public | vpn-instance-name } ] online-user [ verbose ] [ group group-name | ip-range start-ip-address end-ip- address | user user-name ],查看在线用户信息。 强制注销在线用户 执行命令system-view,进入系统视图。 执行命令user-manage cut online-user [ vpn-instance vpn-instance-name ] { group group-name | user user-name | ip ip-address },强制注销在线用户。 强制注销全部在线用户 执行命令reset user-manage online-user [ vpn-instance { public | vpn-instance- name } ],强制注销全部在线用户 在线用户被冻结后,在冻结时间内,该用户不能访问网络资源,不能自行注销,也不能重新发起用户认证申请。

目录 用户认证简介和AAA技术原理 用户认证管理及应用 2.1 用户分类 2.2 管理员用户认证流程和配置 2.3 上网用户认证流程和配置 2.4 接入用户认证流程和配置

创建PPP/802.1X类型接入用户 PPP: 新建PPP类型接入用户 不需要指定PPP用户类型 802.1X:新建802.1X类型接入用户 [USG] aaa [USG-aaa] local-user client001 password cipher Admin@123 [USG-aaa] local-user user-name service-type ppp 802.1X: [USG-aaa] local-user user-name service-type 802.1X 不需要指定802.1X用户类型

802.1X这个东西是从什么地方来的? 802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入(微软的Windows XP,以及cisco,北电,港湾等厂商的设备已经开始支持802.1X协议)。 在802.1x出现之前,企业网上有线LAN应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。

802.1X这个东西是做什么用的? 802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略 802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。

SSL用户 Firewall Internet Application server (1) 登录设备,提交账户和密码 …... 防火墙验证用户账号和密码 账户A的访问资源 账户B的访问资源 … 用户账号 (1) 登录设备,提交账户和密码 …... (2) 通过用户认证 SSL VPN是以HTTPS为基础的VPN技术,工作在传输层和应用层之间,在Internet基 础上提供机密性的安全协议。主要提供业务有Web代理、网络扩展、文件共享和端口转发。 SSL协议通信的握手步骤如下: SSL客户端向SSL服务器发起连接,并要求服务器验证自身的身份。 服务器通过发送自身的数字证书证明身份。 服务器发出一个请求,对客户端的证书进行验证。 验证通过后,协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常 由客户端提供它支持的所有算法列表,然后由服务器选择最强大的加密算法。 客户端和服务器通过以下步骤生成会话密钥: 客户端生成一个随机数,并使用服务器的公钥(从服务器证书中获取)对 它加密,以送到服务器上。 服务器用随机数据(客户端的密钥可用时则使用客户端密钥,否则以明文 方式发送数据)响应。 使用哈希函数从随机数据中生成密钥。 (3) 允许访问.

SSL协议通信的握手步骤: SSL客户端向SSL服务器发起连接,并要求服务器验证自身的身份。 服务器通过发送自身的数字证书证明身份。 SSL VPN是以HTTPS为基础的VPN技术,工作在传输层和应用层之间,在Internet基础上提供机密性的安全协议。主要提供业务有Web代理、网络扩展、文件共享和端口转发。 SSL客户端向SSL服务器发起连接,并要求服务器验证自身的身份。 服务器通过发送自身的数字证书证明身份。 服务器发出一个请求,对客户端的证书进行验证。 验证通过后,协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常由客户端提供它支持的所有算法列表,然后由服务器选择最强大的加密算法。 客户端和服务器通过以下步骤生成会话密钥: 客户端生成一个随机数,并使用服务器的公钥(从服务器证书中获取)对它加密,以送到服务器上。 服务器用随机数据(客户端的密钥可用时则使用客户端密钥,否则以明文方式发送数据)响应。 使用哈希函数从随机数据中生成密钥。

创建SSL用户 SSL本地用户: VPNDB SSL外部用户:外部组配置RADUIS,LADP 选择“VPN > SSL VPN > 虚拟网关列表”。 认证方式 VPNDB本地认证 VPNDB用于本地VPN数据库认证。 本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备 硬件条件限制。 远端认证 支持通过RADIUS协议进行远端认证。 支持通过LDAP协议进行远端认证。 证书认证 支持对证书进行有效性认证。 授权方式 VPNDB本地授权 VPNDB用于本地VPN数据库授权,管理员通过管理用户和组来维护 VPNDB。当用户接入时,根据本地配置的用户信息(包括用户名、密码及 其他属性)进行授权。 远端授权 支持通过RADIUS和LDAP进行远端授权。 本地认证 远端认证

总结 用户认证简介 AAA技术原理 用户认证管理及应用

思考题 什么是AAA认证,有哪些典型的AAA认证方式? 用户管理有哪些分类? 单点登录认证流程是什么?