第六章 防火墙用户管理.

Presentation on theme: "第六章 防火墙用户管理."— Presentation transcript:

1 第六章 防火墙用户管理

2 目标 学完本课程后，您将能够: 掌握用户认证技术 掌握AAA认证 掌握用户认证管理配置

3 目录 用户认证和AAA技术原理 用户认证管理及应用

4 用户认证的背景 内部泄密，损失巨大 无关应用影响网络带宽 Web威胁,无孔不入 IP不等于用户、端口不等于应用，传统防火墙基于IP/端口的五元组访问控制策略已不能有效的应对现阶段网络环境的巨大变化。 无关活动影响工作效率 违法行为，影响组织利益 当前网络环境中，网络安全的威胁更多的来源于应用层，这也使得企业对于网络访问 控制提出更高的要求。如何精确的识别出用户，保证用户的合法应用正常进行，阻断用户 有安全隐患的应用等问题，已成为现阶段企业对网络安全关注的焦点。但IP不等于用户、 端口不等于应用，传统防火墙基于IP/端口的五元组访问控制策略已不能有效的应对现阶段 网络环境的巨大变化。 企业互联网接入

5 什么是AAA Authentication认证 Authorization 授权 Accounting 计费 Authentication
举例： 当用户希望访问Internet访问资源。首先使用Authentication认证技术，用户输 入用户名密码。 当通过认证后，通过Authorization 授权，授权不同用户访问的资源，可以访问 百度，或者Google。 在客户访问期间，通过Accounting 计费，记录所做的操作和时长。

6 Authentication认证 What I know？ 密码 知识 经验 我知道 认证 令牌卡 智能卡 银行卡 指纹 声音 视网膜
DNA 认证的方式包括： 我知道：用户所知道的信息（如：密码、个人识别号（PIN）等） 我拥有：用户所拥有的信息（如：令牌卡、智能卡或银行卡） 我具有：用户所具有的生物特征（如：指纹、声音、视网膜、DNA） 我拥有 我具有 What I have？ What I are？

7 Authorization 授权 用户能访问的资源 用户能使用的命令 用户 业务系统 访客 公共资源 员工 普通业务系统 管理者
授权用户可以使用哪些业务，公共业务，还是敏感业务。 授权用户管理设备，可以使用那些命令。如，可以是Display命令，不能是用delete， copy命令。 管理者 敏感业务系统

8 Accounting 计费 用户用多长时间 用户花了多少钱 用户做了哪些操作 计费主要的含义有三个： 用户用多长时间 用户花了多少钱

9 authentication server
AAA技术 本地认证 远端认证 RADIUS HWTACACS LDAP 在认证方本地存储用户名密码 User Gateway 第三方认证服务器存储用户名密码 User Gateway RADIUS/LDAP/AD authentication server 不认证： 对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。 本地认证： 将用户信息（包括本地用户的用户名、密码和各种属性）配置在网络接入服务器上。 本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备硬件条件限制 。 远端认证： 将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服务器上。AAA 支持通过RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS （ HuaWei Terminal Access Controller Access Control System）协议进行远端认证。

10 Radius Radius服务器通过建立一个唯一的用户数据库，存储用户名、密码来对用户进行验证。 RADIUS的消息结构如图所示
AAA可以用多种协议来实现，最常用的是RADIUS协议。RADIUS广泛应用于网络接 入服务器NAS（Network Access Server）系统。NAS负责把用户的认证和计费信息传递 给RADIUS服务器。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和 计费信息以及认证和计费结果，RADIUS服务器负责接收用户的连接请求，完成认证，并 把结果返回给NAS。 RADIUS使用UDP（User Datagram Protocol）作为传输协议，具有良好的实时性； 同时也支持重传机制和备用服务器机制，从而具有较好的可靠性。 RADIUS客户端与服务器间的消息流程如下： 用户登录USG或接入服务器等网络设备时，会将用户名和密码发送给该网络接入服 务器； 该网络设备中的RADIUS客户端（网络接入服务器）接收用户名和密码，并向 RADIUS服务器发送认证请求； RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给 客户端；对于非法的请求，RADIUS服务器返回认证失败的信息给客户端。 Code：消息类型，如接入请求、接入允许等。 Identifier：一般是顺序递增的数字，请求报文和响应报文中该字段必须匹配。 Length：所有域的总长度。 Authenticator：验证字，用于验证RADIUS的合法性。 Attribute：消息的内容主体，主要是用户相关的各种属性。 存放用于认证的用户名和密码

11 Radius应用场景 用户输入用户名/口令 用户访问资源 通知访问结束 Access-Request Access-Accept
Accounting-Request (start) Accounting-Response 用户访问资源 Accounting-Request (stop) Radius报文交互流程 用户输入用户名密码 认证请求 认证接受 计费开始请求 计费开始请求响应报文 用户访问资源 计费结束请求报文 计费结束请求响应报文 访问结束 Code：包类型。包类型占1个字节，定义如下： Access-Request——请求认证过程 Access-Accept——认证响应过程 Access-Reject——认证拒绝过程 Accounting-Request——请求计费过程 Accounting-Response——计费响应过程 Access-Challenge ——访问质询 Accounting-Response 通知访问结束

12 LDAP（轻量级目录访问协议） LDAP也是基于C/S架构的，LDAP服务器负责对来自应用服务器的请求进行认证，同时还指定用户登录的应用服务器所允许访问的资源范围等。 2. 认证请求 1. 服务请求 用户 应用服务器 LDAP服务器 3. 认证结果 4. 接入 LDAP也是基于C/S架构的，LDAP服务器负责对来自应用服务器的请求进行认证，同 时还指定用户登录的应用服务器所允许访问的资源范围等。 授权资源

13 HWTACACS HWTACACS是在TACACS基础上进行了功能增强的一种安全协议，主要用于接入用户的认证、授权和计费。
HWTACACS协议与RADIUS协议的比较 HWTACACS RADIUS 端口使用 使用TCP协议，网络传输更可靠 使用UDP协议。认证和授权端口号是1812和1813，或者1645和1646. 加密情况 除了标准的HWTACACS报文头，对报文主体全部进行加密 只是对认证报文中的密码字段进行加密 认证和授权 认证与授权分离 认证与授权一起处理 应用 适于进行安全控制 适于进行计费 配置命令授权 支持对配置命令进行授权 不支持对配置命令进行授权 HWTACACS是在TACACS基础上进行了功能增强的一种安全协议，主要用于接入用 户的认证、授权和计费。

14

15 目录 用户认证和AAA技术原理 用户管理及应用 2.1 用户分类 2.2 管理员用户认证流程和配置 2.3 上网用户认证流程和配置
2.4 接入用户认证流程和配置

16 用户管理的背景 AAA认证技术 用户认证 用户管理 可视化管理 病毒/攻击：阻塞 病毒 木马 蠕虫 关键应用：带宽优先 可接受应用：流量控制
禁止应用：阻塞 用户（组） 专业安全防御 全面流量控制 用户管理将分为不同的用户组，通过对用户认证，将用户打上标签，并且为用户组赋 予不同的权限和应用，从而实现安全的目标。 举例： 将公司员工（用户）加入用户组，然后针对用户或用户组进行网络行为控制和审计， 根据用户或用户组进行策略的可视化制定，提高策略制定的易用性，报表中体现用户信息， 对用户进行上网行为分析，以达到对用户（而非单纯的IP地址）行为的追踪审计，解决现 网应用中同一用户对应IP经常变化带来的应用行为策略控制难题。

17 用户管理分类 上网用户管理 接入用户管理 管理员用户
“上网用户”指通过USG设备访问资源的用户，包括内网主动发起上网行为的对象，如内网PC。 接入用户管理 “接入用户”指PPP或隧道建立过程中使用的用户。USG对这些用户提供本地认证、RADIUS认证、HWTACACS认证，可验证用户身份的合法性并为合法用户进行授权，防止非法用户进行访问。 管理员用户 “管理员用户”指通过Telnet、SSH、web、FTP等协议或通过Console接口访问设备并对设备进行配置或操作的用户。 管理员用户：管理员主要为了实现对设备的管理、配置和维护，登录方式可以分为： Console Web Telnet FTP SSH 接入用户主要为了实现访问网络， 802.1X接入用户 PPP接入用户 SSL接入用户 上网用户 上网用户是网络访问的标识主体，是设备进行网络权限管理的基本单元。设备通过对 访问网络的用户进行身份认证，从而获取用户身份，并针对用户的身份进行相应的策 略控制。

18 目录 用户认证和AAA技术原理 用户认证管理及应用 2.1 用户分类 2.2 管理员用户认证流程和配置 2.3 上网用户认证流程和配置
2.4 接入用户认证流程和配置

19 管理员登录方式 Console Telnet SSH FTP Web 管理员主要为了实现对设备的管理、配置和维护，登录方式可以分为：
设备的第一次配置。或者设备配置文件丢失，没有任何配置。 当设备系统无法启动时，可通过Console口进行诊断或进入BootRom进行升级。 Web 终端通过HTTP/HTTPS方式登录到设备进行远程配置和管理。 Telnet Telnet是一种传统的登录方式，通常用于通过命令行方式对设备进行配置和管理 。 FTP FTP管理员主要对设备存储空间里的文件进行上传和下载。 SSH SSH提供安全的信息保障和强大的认证功能，在不安全的网络上提供一个安全的 “通道”。此时，设备作为SSH服务器。

20 Console/telnet/Ftp设备管理类型
新建管理员Client01，并设置设备管理类型Console, Telnet, FTP。 Notes: 默认Console, telnet, ftp配置，无需要另外配置。 用户级别设置为管理级别，不仅可以配置设备，而且可以管理文件系统，用于软件升级。 步骤1: User-interface Console: [sysname] user-interface console 0 [sysname-ui-con0] authentication-mode aaa Telnet: [sysname] user-interface vty 0 3 [sysname-ui-vty0] authentication-mode aaa [sysname-ui-vty0] protocol inbound all 步骤2: AAA View [USG] aaa [USG-aaa] local-user client001 password cipher [USG-aaa] local-user user-name service-type telnet terminal ftp [USG-aaa] local-user client001 level 3 [USG-aaa] local-user admin ftp-directory flash: 设置信任主机IP，指定特定的主机访问

21 SSH设备管理类型 必须设置SSH认证方式 设置认证方式为Password 创建管理员Client01，并设置设备管理类型为SSH
SSH option（Notes: 默认Console, telnet, ftp配置，无需另外配置) 启用Stelnet和SFTP服务 配置RSA本地密钥对。 <USG> system-view [USG] rsa local-key-pair create It will take a few minutes. Input the bits in the modulus[default = 512]:512 Generating keys 配置VTY用户界面。 [USG] user-interface vty 0 4 [USG-ui-vty0-4] authentication-mode aaa [USG-ui-vty0-4] protocol inbound ssh 新建用户名为Client001的SSH用户，且认证方式为password。 [USG] ssh user client001 [USG] ssh user client001 authentication-type password [USG] aaa [USG-aaa] local-user client001 password cipher [USG-aaa] local-user client001 service-type ssh

22 Web设备管理类型 用户级别设置为管理级别，不仅可以配置设备，而且可以管理文件系统，用于软件升级。
创建管理员Client01，设置用户级别。 设置Https服务端口 启动Web管理功能。 [USG] web-manager security enable port 6666 配置Web用户。 [USG] aaa [USG-aaa] local-user webuser password cipher [USG-aaa] local-user webuser service-type web [USG-aaa] local-user webuser level 3 启用HTTPS服务，设置HTTPS服务端口

23 目录 用户认证和AAA技术原理 用户认证管理及应用 2.1 用户分类 2.2 管理员用户认证流程和配置 2.3 上网用户认证流程和配置
2.4 接入用户认证流程和配置

24 上网用户上线流程 1 访问Internet 1.1.1.1 首先Http：// 192.168.1.1 Internet应用服务器
2 推送认证界面，User=？ Password=？ Firewall 3 User=*** Password=*** 4 认证通过，建立连接 5 访问internet 创建Session表 推送认证页面 上网用户上线的流程如下： 访问Internet 首先Http 推送认证界面，User=？ Password=？ User=*** Password=*** 认证通过，建立连接 访问internet ，设备创建Session表

25 组织结构管理 系统默认有一个根用户组 每个用户组可以包括多个用户和用户组 每个用户组只能属于一个父用户组；
每个用户至少属于一个用户组，也可以属于多个用户组； User Sub Group Default Group sunxing development root zhansan firewall Leader-svn SVN Leader 为了给不同的用户或部门进行差异化管理，分配不同的权限，需要对组织结构进行规 划和管理。防火墙支持创建树型的组织结构，这种结构和通常的行政架构比较类似，非常 方便规划和管理。 系统默认有一个根用户组，其余所有用户组都是根用户组的子组，或者子组的子组； 每个用户组可以包括多个用户和用户组，但每个用户组只能属于一个父用户组； 每个用户至少属于一个用户组，也可以属于多个用户组； 每个用户（组）可以被安全策略、限流策略、等引用，从而实现基于用户的权限和带 宽资源控制。

26 单点登录 用户和AD认证服务器组网需求为: 用户管理需求
员工登录成功后, 自动将其用户信息导入到本地, 且添加到指定的用户组中。 设备通过启用单点登录功能，可以识别出经过这些身份认证系统认证通过的用户，避 免用户上网时再次要求输入用户名/密码。

27 单点登录认证流程 用户直接向AD服务器认证,设备不干涉用户认证过程; AD监控服务处理:
客户端认证成功后, 主动给AD 监控服务发送用户认证成功消息，AD监控服务从 该消息中获取对应的用户名和IP地址信息; AD监控服务使用获取的用户在AD服务器上查找用户的组信息; AD监控服务将获取到用户名、用户组名、用户IP发送到设备（支持丢包重传机 制）； 设备侧处理: 接收并解析AD服务器发送过来的报文； 根据收到的用户登录信息创建在线用户监控表项;

28 WEB重定向密码认证 用户不主动进行认证，先进行业务访问，设备推送“重定向”到认证页面。
注：只有用户进行目的端口是80的HTTP业务访问时，系统才支持“重定向”到认证页面，进行会话认证。 Web重定向密码认证处理过程: PC访问 设备收到用户访问baidu的业务报文后, 将该报文丢弃, 然后构造HTTP重定向报文回应 用户, 将页面重定向至”设备认证页面” 用户输入用户名,密码信息进行认证; 认证成功后,页面将自动跳转到用户只见访问的baidu页面,或者管理员指定的业务(管理 员可配)。

29 上网用户认证 配置引导 典型配置举例-免认证 典型配置举例-密码认证 典型配置举例-单点登录

30 配置引导 配置用户/用户组 配置认证豁免IP（可选） 配置认证策略 配置认证选项 手动配置用户组/用户 免认证方式 配置单点登录参数
本地导入 服务器导入 免认证方式 本地密码认证/服务器认证方式 单点登录方式 配置单点登录参数 配置全局参数 配置用户/用户组 配置认证豁免IP（可选） 配置认证策略 配置认证选项 配置组/用户：设备实施基于用户/用户组的管理之前，必须先创建用户/用户组。设备 支持管理员手动配置、本地导入和服务器导入多种创建方式。 手动配置组/用户 缺省情况下，设备默认自带根用户组root组。 当需要根据企业组织结构创建用户组时，并基于用户组进行网络权限分配等管理 时，该步骤必选。 当对用户进行本地密码认证时，必须要在本地创建用户，并配置本地密码信息。 本地导入 本地导入支持将CSV格式文件和数据库dbm文件的用户信息导入到设备本地。 服务器导入 网络中，使用第三方认证服务器的情况非常多，很多公司的网络都存在认证服务 器，认证服务器上存放着所有用户和用户组信息。从认证服务器上批量导入用户 是指通过服务器导入策略，将认证服务器上用户（组）信息导入到设备上。

31 创建用户和用户组 表示用户，列表中除能直接显示用户所属组、绑定信息、账号过期时间、描述信息以及当前的用户状态，还能修改用户状态。
组/用户 设备实施基于用户/用户组的管理之前，该用户/用户组必须在设备上存在。通过 组/用户节点，在设备上手动创建用户/用户组。 新建用户组 root组是设备默认自带的根用户组，不能删除，也无需创建。root组的组名不能修改 ，但可以配置其描述信息，方便识别。 所有创建的用户组都是root组的子组，或者子组的子组。 选择“用户 > 上网用户 > 组/用户”。 可选：在“组织结构”中选择需要添加子组的用户组。 窍门： 新建前，如果预先选定所属的用户组，则设备会自动将该用户组指定为所 属组。 在“成员管理”中单击“新建”，选择“新建组”。 新建单个用户 新建单个用户是指同一时刻只能创建一个用户。与新建多个用户不同的是，新建单个 用户时，除能完成新建多个用户涉及的配置项外，还能配置用户显示名、IP/MAC地址双 向绑定。 表示用户组，列表中只显示该用户组的所属组和描述信息。其他参数均显示为“--”，即表示非用户组相关参数，不可配置。 表示用户，列表中除能直接显示用户所属组、绑定信息、账号过期时间、描述信息以及当前的用户状态，还能修改用户状态。

32 配置用户属性 用户的账号过期时间 如果该用户是MAC地址双向绑定免认证用户，当用户和设备之间存在三层设备时，则该用户将登录失败；
用户的账号过期时间。 允许多人同时使用该账号登录 选中该参数，表示允许多人同时使用该用户的登录名登录，即允许该登录名同时 在多台计算机上登录。 去选中该参数，表示同一时刻仅允许该登录名在一台计算机上登录。 IP/MAC绑定方式 用户与IP/MAC地址的绑定方式。 选中“单向绑定”，表示用户只能使用指定的IP/MAC地址进行认证，但同 时允许其他用户也使用该IP/MAC地址进行认证。 选中“双向绑定”，表示用户只能使用指定的IP/MAC地址进行认证，并且 指定的IP/MAC地址仅供该用户使用。当一个IP/MAC地址被双向绑定后， 其他单向绑定此IP/MAC地址的用户将无法登录。 IP/MAC地址 与用户绑定的IP地址、MAC地址或IP/MAC地址对。 如果该用户是MAC地址双向绑定免认证用户，当用户和设备之间存在三层设备时，则该用户将登录失败； 如果该用户是MAC地址绑定用户，但采用了单点登录方式进行认证，此时，MAC地址绑定属性不生效。 允许该登录名同时在多台计算机上登录

33 配置认证策略-免认证 免认证：表示用户不需要进行基于Web的用户名密码认证。
如果设备同时启用了单点登录，则优先通过单点登录功能对用户进行认证。 免认证 表示用户不需要进行基于Web的用户名密码认证。如果设备同时启用了单点登录，则 优先通过单点登录功能对用户进行认证。在没有单点登录或者单点登录不成功的情况下， 设备根据数据包的源IP地址、源MAC地址来识别用户。

34 配置认证策略-密码认证 选择用户>上网用户>认证策略 选择用户>认证服务器>RADIUS服务器 选择认证服务器类型
密码认证：表示用户需要进行基于Web的用户名密码认证，包括本地密码认证和服务 器认证。 如果设备同时启用了单点登录，则优先通过单点登录功能对用户进行认证。 在没有单点登录或者单点登录不成功的情况下，设备在本地查找用户： 如果用户在本地存在且已配置本地密码，则进行本地密码认证。 如果用户在本地不存在，或者在本地存在但是没有配置本地密码，则向认证服务 器认证。 选择认证服务器类型 RADIUS 设置RADIUS共享密钥，密钥和RADIUS服务器一致

35 配置认证策略-密码认证 设置认证策略的认证服务器类型LDAP或者AD 设置AD或LDAP认证参数 选择认证参数 选择认证参数
在Web配置界面中，配置密码认证的步骤为: 选择用户>上网用户>认证策略 设置认证策略的认证服务器类型为LDAP或者AD 选择用户>认证服务器>LDAP或者AD服务器 设置LDAP或者AD认证参数 选择认证参数 选择认证参数

36 配置认证策略-单点登录 新建认证策略 选择认证方式为单点登录 设置接入用户的IP地址
只允许单点登录：表示只允许用户通过单点登录方式进行认证。 选择认证方式为单点登录 设置接入用户的IP地址

37 上网用户-WEB重定向密码认证 选择“用户 > 上网用户 > 认证选项> 全局配置”。 跳转到最近使用的Web页面
跳转到自定义URL页面 选择Web重定向方式 在Web配置界面中，配置Web重典型密码认证的步骤为： 选择“用户 > 上网用户 > 认证选项”。 选择“全局配置”页签。 跳转到最近使用的Web页面 认证方式为密码认证的用户认证通过后的跳转页面为最近使用的Web页面 ，即用户认证通过后，Web页面跳转到用户认证前请求的页面。 跳转到自定义URL页面 针对密码认证用户，用户认证通过后的跳转页面为自定义URL页面。针对 免认证用户，当用户上线后第一次访问HTTP（80端口）业务时，系统将给 用户推送该URL页面。 以“ 认证端口 用户管理Web认证端口。 当设备正在处理业务时，修改Web认证端口将可能影响用户业务

38 通过本地和服务器导入用户 选择“用户 > 上网用户 > 用户导入”。
本地导入:本地导入支持将CSV格式文件和数据库dbm文件的用户信息导入到设备本地。 服务器导入:从认证服务器上批量导入用户是指通过服务器导入策略，将认证服务器上用户（组）信息导入到设备上。 CSV支持登录名、显示名、所属组、描述信息、密码、IP/MAC绑定信息、绑定模式 、帐号状态、有效期信息 DBM导出是从Ramdisk导出用户数据库文件到指定目录 用户导入是指批量导入用户信息到设备，支持本地导入和服务器导入。其中，本地导 入支持CSV格式文件；服务器导入支持LDAP服务器和AD服务器导入。 从CSV格式文件中批量导入用户 CSV格式文件导入是指： 将用户信息（登录名、显示名、所属组路径、用户描述 、本地密码等）按照指定格式的CSV表格文件预先编辑完成，再将CSV格式文件 中的用户信息导入到设备内存中。 将之前从设备上导出的CSV格式文件中的用户信息导入到设备内存中。 选择“用户 > 上网用户 > 用户导入”。 选择“本地导入”页签。 从认证服务器上批量导入用户 网络中，使用第三方认证服务器的情况非常多，很多公司的网络都存在认证服务 器，认证服务器上存放着所有用户和用户组信息。从认证服务器上批量导入用户 是指通过服务器导入策略，将认证服务器上用户（组）信息导入到设备上。 下载CSV模板，补充完整数据后，点击浏览，并上传数据。

39 在线用户管理 若需要限制某些用户在某段时间内所有上网行为，可以冻结指定的在线用户。
若管理员觉察到某些用户不可信，可以强制注销指定的在线用户。 勾选某个用户，可以强制注销某个用户 通过在线用户列表，可以查看已经通过设备认证的在线用户。管理员可对在线用户进 行相关的管理操作，例如强制注销。 查看在线用户 只能查看已经通过设备认证的在线用户。 选择“用户 > 上网用户 > 监控”。 在“组织结构”中，使用以下方式的一种来查看指定用户组的在线用户的信息： 查看已经通过设备认证的在线用户。 执行命令display user-manage [ vpn-instance { public | vpn-instance-name } ] online-user [ verbose ] [ group group-name | ip-range start-ip-address end-ip- address | user user-name ]，查看在线用户信息。 强制注销在线用户 执行命令system-view，进入系统视图。 执行命令user-manage cut online-user [ vpn-instance vpn-instance-name ] { group group-name | user user-name | ip ip-address }，强制注销在线用户。 强制注销全部在线用户 执行命令reset user-manage online-user [ vpn-instance { public | vpn-instance- name } ]，强制注销全部在线用户 在线用户被冻结后，在冻结时间内，该用户不能访问网络资源，不能自行注销，也不能重新发起用户认证申请。

40 目录 用户认证简介和AAA技术原理 用户认证管理及应用 2.1 用户分类 2.2 管理员用户认证流程和配置 2.3 上网用户认证流程和配置
2.4 接入用户认证流程和配置

41 创建PPP/802.1X类型接入用户 PPP: 新建PPP类型接入用户 不需要指定PPP用户类型 802.1X:新建802.1X类型接入用户
[USG] aaa [USG-aaa] local-user client001 password cipher [USG-aaa] local-user user-name service-type ppp 802.1X: [USG-aaa] local-user user-name service-type 802.1X 不需要指定802.1X用户类型

42 802.1X这个东西是从什么地方来的？ 802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入（微软的Windows XP，以及cisco，北电，港湾等厂商的设备已经开始支持802.1X协议）。 在802.1x出现之前，企业网上有线LAN应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。

43 802.1X这个东西是做什么用的？ 802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略
802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。

44 SSL用户 Firewall Internet Application server (1) 登录设备，提交账户和密码 …...
防火墙验证用户账号和密码 账户A的访问资源 账户B的访问资源 … 用户账号 (1) 登录设备，提交账户和密码 …... (2) 通过用户认证 SSL VPN是以HTTPS为基础的VPN技术，工作在传输层和应用层之间，在Internet基 础上提供机密性的安全协议。主要提供业务有Web代理、网络扩展、文件共享和端口转发。 SSL协议通信的握手步骤如下： SSL客户端向SSL服务器发起连接，并要求服务器验证自身的身份。 服务器通过发送自身的数字证书证明身份。 服务器发出一个请求，对客户端的证书进行验证。 验证通过后，协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常 由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。 客户端和服务器通过以下步骤生成会话密钥： 客户端生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对 它加密，以送到服务器上。 服务器用随机数据（客户端的密钥可用时则使用客户端密钥，否则以明文 方式发送数据）响应。 使用哈希函数从随机数据中生成密钥。 (3) 允许访问.

45 SSL协议通信的握手步骤： SSL客户端向SSL服务器发起连接，并要求服务器验证自身的身份。 服务器通过发送自身的数字证书证明身份。
SSL VPN是以HTTPS为基础的VPN技术，工作在传输层和应用层之间，在Internet基础上提供机密性的安全协议。主要提供业务有Web代理、网络扩展、文件共享和端口转发。 SSL客户端向SSL服务器发起连接，并要求服务器验证自身的身份。 服务器通过发送自身的数字证书证明身份。 服务器发出一个请求，对客户端的证书进行验证。 验证通过后，协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。 客户端和服务器通过以下步骤生成会话密钥： 客户端生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对它加密，以送到服务器上。 服务器用随机数据（客户端的密钥可用时则使用客户端密钥，否则以明文方式发送数据）响应。 使用哈希函数从随机数据中生成密钥。

46 创建SSL用户 SSL本地用户： VPNDB SSL外部用户：外部组配置RADUIS，LADP
选择“VPN > SSL VPN > 虚拟网关列表”。 认证方式 VPNDB本地认证 VPNDB用于本地VPN数据库认证。 本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设备 硬件条件限制。 远端认证 支持通过RADIUS协议进行远端认证。 支持通过LDAP协议进行远端认证。 证书认证 支持对证书进行有效性认证。 授权方式 VPNDB本地授权 VPNDB用于本地VPN数据库授权，管理员通过管理用户和组来维护 VPNDB。当用户接入时，根据本地配置的用户信息（包括用户名、密码及 其他属性）进行授权。 远端授权 支持通过RADIUS和LDAP进行远端授权。 本地认证 远端认证

47 总结 用户认证简介 AAA技术原理 用户认证管理及应用

48 思考题 什么是AAA认证，有哪些典型的AAA认证方式？ 用户管理有哪些分类? 单点登录认证流程是什么？

49