用戶分類:
上網用戶
內部網絡中訪問網絡資源的主體,如企業總部的內部員工。上網用戶可以直接通過FW訪問網絡資源。
接入用戶
外部網絡中訪問網絡資源的主體,如企業的分支機構員工和出差員工。接入用戶需要先通過SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到FW,然後才能訪問企業總部的網絡資源。
管理用戶
認證分類:
防火墻通過認證來驗證訪問者的身份,防火墻對訪問正進行的認證方式有:
本地認證
訪問者通過Portal認證頁面將標識其身份的用戶名和密碼發送給FW,FW上存儲了密碼,驗證過程在FW上進行,該方式稱為本地認證。
服務器認證(Radius,LDAP等)
訪問者通過Portal認證頁面將標識其身份的用戶名和密碼發送給FW,FW上沒有存儲密碼,FW將用戶名和密碼發送至第三方認證服務器,驗證過程在認證服務器上進行,該方式稱為服務器認證。
RADIUS(Remote Authentication Dial In User Service)、HWTACACS(HuaWei Terminal Access Controller Access Control System)、AD、LDAP(Lightweight Directory Access Protocol)認證服務器,並在認證服務器上存儲了用戶/組和密碼等信息。對於RADIUS、HWTACACS服務器,管理員需要根據現有的組織結構,在FW上手動創建或者使用文件批量導入相應的用戶/組。對於AD或LDAP服務器,管理員可以將AD或LDAP服務器中的用戶信息導入到FW上,以便後續管理員可以在FW上通過策略來控制不同用戶/組對網絡的訪問行為。
單點登錄
訪問者將標識其身份的用戶名和密碼發送給第三方認證服務器,認證通過後,第三方認證服務器將訪問者的身份信息發送給FW。FW只記錄訪問者的身份信息不參與認證過程,該方式稱為單點登錄(Single Sign-On)。
短信認證
訪問者通過Portal認證頁面獲取短信驗證碼,然後輸入短信驗證碼即通過認證。FW通過校驗短信驗證碼認證訪問者。
認證的目的:
在FW上部署用戶管理與認證,將網絡流量的IP地址識別為用戶,為網絡行為控制和網絡權限分配提供了基於用戶的管理維度,實現精細化的管理:
基於用戶進行策略的可視化制定,提高策略的易用性。基於用戶進行威脅、流量的報表查看和統計分析,實現對用戶網絡訪問行為的追蹤審計。解決了IP地址動態變化帶來的策略控制問題,即以不變的用戶應對變化的IP地址。上網用戶訪問網絡的認證方式:
免認證:
FW通過識別IP/MAC和用戶的雙向綁定關系,確定訪問者的身份。進行免認證的訪問者只能使用特定的IP/MAC地址來訪問網絡資源。
會話認證:
當用戶訪問HTTP業務時,FW向用戶推送認證頁面,觸發身份認證。
壹般指的都是本地認證) ----內置Portal認證
先發起HTTP/HTTPS業務訪問-------防火墻推送重定向認證頁面-----------客戶輸入用戶名和密碼----------認證成功,如果設置跳轉到最近的頁面,就跳轉。如果沒有設置跳轉,就不跳轉
事前認證
當用戶訪問非HTTP業務時,只能主動訪問認證頁面進行身份認證。
單點認證
AD單點登錄:企業已經部署了AD(Active Directory)身份驗證機制,AD服務器上存儲了用戶/組和密碼等信息。管理員可以將AD服務器上的組織結構和賬號信息導入到FW。對於AD服務器上新創建的用戶信息,還可以按照壹定的時間間隔定時導入。以便後續管理員可以在FW上通過策略來控制不同用戶/組對網絡的訪問行為。
認證時,由AD服務器對訪問者進行認證,並將認證信息發送至FW,使FW能夠獲取用戶與IP地址的對應關系。訪問者通過AD服務器的認證後,就可以直接訪問網絡資源,無需再由FW進行認證,這種認證方式也稱為“AD單點登錄”。
Agile Controller單點登錄
RADIUS單點登錄
RADIUS認證原理:
圖:旁路模式下RADIUS單點登錄示意圖
RADIUS單點登錄交互過程如下:
訪問者向接入設備NAS發起認證請求。
NAS設備轉發認證請求到RADIUS服務器,RADIUS服務器對用戶賬號和密碼進行校驗,並將認證通過的結果返回給NAS設備。NAS設備向RADIUS服務器發送計費開始報文,標識用戶上線。
FW解析計費開始報文獲取用戶和IP地址的對應關系,同時在本地生成在線用戶信息。不同部署方式,FW獲取計費開始報文的方式不同:
直路:FW直接對經過自身的RADIUS計費開始報文進行解析。
旁路:NAS設備向RADIUS服務器發送計費開始報文的同時還會向FW發送壹份,FW對計費開始報文進行解析並對NAS設備做出應答。
此種部署方式需要NAS設備支持向FW發送計費開始報文的功能。
鏡像引流:NAS設備和RADIUS服務器之間交互的計費開始報文不經過FW,需要通過交換機鏡像或分光器分光的方式復制壹份計費開始報文到FW。FW對計費開始報文進行解析後丟棄。
訪問者註銷時,NAS設備向RADIUS服務器發送計費結束報文,標識用戶下線。FW獲取計費結束報文並解析用戶和IP對應關系,然後刪除本地保存的在線用戶信息,完成註銷過程。
另外在用戶在線期間,NAS設備還會定時向RADIUS服務器發送計費更新報文維持計費過程,FW獲取計費更新報文後將刷新在線用戶的剩余時間。
接入用戶訪問網絡資源的認證方式:
使用SSL VPN 技術
訪問者登錄SSL VPN模塊提供的認證頁面來觸發認證過程,認證完成後,SSL VPN接入用戶可以訪問總部的網絡資源。
使用IPSec VPN技術
分支機構與總部建立IPSec VPN隧道後,分支機構中的訪問者可以使用事前認證、會話認證等方式觸發認證過程,認證完成後,IPSec VPN接入用戶可以訪問總部的網絡資源。
L2TP VPN接入用戶
用戶認證原理用戶組織結構:
用戶是網絡訪問的主體,是FW進行網絡行為控制和網絡權限分配的基本單元。
認證域:用戶組織結構的容器。區分用戶,起到分流作用
用戶組/用戶:分為: 父用戶組 子用戶組 。
註意:壹個子用戶組只能屬於壹個父用戶組
用戶: 必配: 用戶名 密碼,其它都可以可選
用戶屬性:賬號有效期 允許多人登錄 IP/MAC綁定(不綁定 單向 雙向)
安全組:橫向組織結構的跨部門群組。指跨部門的用戶
規劃樹形組織結構時必須遵循如下規定:default認證域是設備默認自帶的認證域,不能被刪除,且名稱不能被修改。設備最多支持20層用戶結構,包括認證域和用戶,即認證域和用戶之間最多允許存在18層用戶組。每個用戶組可以包括多個用戶和用戶組,但每個用戶組只能屬於壹個父用戶組。壹個用戶只能屬於壹個父用戶組。用戶組名允許重名,但所在組織結構的全路徑必須確保唯壹性。用戶和用戶組都可以被策略所引用,如果用戶組被策略引用,則用戶組下的用戶繼承其父組和所有上級節點的策略。用戶、用戶組、安全的來源:手動配置CSV格式導入(批量導入)服務器導入設備自動發現並創建在線用戶:
用戶訪問網絡資源前,首先需要經過FW的認證,目的是識別這個用戶當前在使用哪個IP地址。對於通過認證的用戶,FW還會檢查用戶的屬性(用戶狀態、賬號過期時間、IP/MAC地址綁定、是否允許多人同時使用該賬號登錄),只有認證和用戶屬性檢查都通過的用戶,該用戶才能上線,稱為在線用戶。
FW上的在線用戶表記錄了用戶和該用戶當前所使用的地址的對應關系,對用戶實施策略,也就是對該用戶對應的IP地址實施策略。
用戶上線後,如果在線用戶表項超時時間內(缺省30分鐘)沒有發起業務流量,則該用戶對應的在線用戶監控表項將被刪除。當該用戶下次再發起業務訪問時,需要重新進行認證。
管理員可以配置在線用戶信息同步,查看到已經通過認證的在線用戶,並進行強制註銷、全部強制註銷、凍結和解凍操作。
用戶認證總體流程:
圖:認證流程示意圖認證策略:
認證策略用於決定FW需要對哪些數據流進行認證,匹配認證策略的數據流必須經過FW的身份認證才能通過。
缺省情況下,FW不對經過自身的數據流進行認證,需要通過認證策略選出需要進行認證的數據流。
如果經過FW的流量匹配了認證策略將觸發如下動作:
會話認證:訪問者訪問HTTP業務時,如果數據流匹配了認證策略,FW會推送認證頁面要求訪問者進行認證。事前認證:訪問者訪問非HTTP業務時必須主動訪問認證頁面進行認證,否則匹配認證策略的業務數據流訪問將被FW禁止。免認證:訪問者訪問業務時,如果匹配了免認證的認證策略,則無需輸入用戶名、密碼直接訪問網絡資源。FW根據用戶與IP/MAC地址的綁定關系來識別用戶。單點登錄:單點登錄用戶上線不受認證策略控制,但是用戶業務流量必須匹配認證策略才能基於用戶進行策略管控。
認證匹配依據:
源安全區域、目的安全區域、源地址/地區、目的地址/地區。
註意:認證策略在匹配是遵循從上往下的匹配策略。
缺省情況下,FW通過8887端口提供內置的本地Portal認證頁面,用戶可以主動訪問或HTTP重定向至認證頁面(https://接口IP地址:8887)進行本地Portal認證。
在線用戶信息同步功能的服務端口,缺省值是8886。
用戶認證配置思路會話認證配置思路:第壹步: 基本配置(通信正常) 第二步:新建用戶(供本地認證使用) 第三步:認證選項設置重定向跳轉到最近的頁面 註意:要點應用 第四步:默認重定向的認證端口為8887,需要放行安全策略 ip service-set authro_port type object service 0 protocol tcp source-port 0 to 65535 destination-port 8887 sec-policy rule name trust_loacl source-zone trust destination-zone local service authro_port action permit 第五步:配置認證策略 auth-policy rule name trust_untrust source-zone trust destination-zone untrust source-address 10.1.1.0 mask 255.255.255.0 action auth -------------------默認不認證,修改為認證 第六步:檢查 成功以後必須要有在線用戶 12345678910111213141516171819202122232425262728291234567891011121314151617181920212223242526272829免認證配置思路:配置: auth-policy rule name no_auth source-zone trust destination-zone untrust source-address 10.1.1.2 mask 255.255.255.255 action no-auth 12345671234567AD單點登錄配置流程:
插件
Server服務器部分
第壹步:安裝AD域
第二步:安裝DNS服務器----配置轉發器
第三步:下載AD SSO(在防火墻下載)
第四步:AD域新建組織單元,新建組,新建用戶(關聯權限)
第五步:PC 加域(DNS修改為服務器地址)
第六步:安裝AD SSO (建議安裝二次AD SSO)
聯動AD域聯動FW
第七步:組策略配置登錄和註銷腳本
調用AD SSO產生的login
格式;
服務器地址 運行端口(AD SSO是壹樣) 0/1 設置密鑰(Huawei@123)
第八步:PC刷新組策略
防火墻部分
第壹步:新建防火墻與AD服務器聯動
第二步:新建認證域
第三步:把AD服務器用戶導入FW ,新建導入策略
第四步: 修改認證域新用戶,新用戶調用導入策略
第五步:導入用戶,到用戶列表檢查
第六步:配置認證策略
Trust區域到服務器區域(DMZ)不能做認證
第七步:配置安全策略,匹配條件只能是AD域的用戶
註意:
FW本地到AD服務器的安全策略
AD服務器到FW本地安全策略
DNS的策略
檢查:
壹定要看到在線用戶-----采用單點登錄
參考文檔:華為HedEx防火墻文檔。