防火墙用户管理

aaa原理

用户认证技术

实现用户认证相关配置

 

aaa原理

aaa是认证授权和计费的简称,是网络安全的一种管理机制,基本架构包括用户、NAS、AAA服务器

NAS负责集中收集和管理用户的访问请求,常见的NAS有交换机防火墙等

aaa服务器负责集中管理用户信息

windows标识SID,admin 500 ; guest 501

身份标识---认证--授权--计费

身份标识:通过账号密码标识用户身份。

认证:识别和认证试图访问资源的用户

授权:确定访问是否获得授权

计费:检测和记录访问情况

认证:验证用户是否可以获得访问权,确定哪些用户可以访问网络

防火墙认证方式:不认证,本地认证,远端认证。本地认证配置在本地防火墙上认证速度快,但存储小。

远端认证配置在aaa服务器上,将用户密码发给aaa服务器由aaa服务器认证返回结果

授权:授权用户可以使用哪些服务

防火墙授权方式:不授权,本地授权,远端授权。授权内容包括用户组,vlan,acl编号等

计费:记录用户使用网络资源的情况和网络行为

计费方式:不

计费,远端计费。

技术方案 交互协议 认证 授权 计费
radius UDP
hwtacacs TCP
LDAP TCP  
AD TCP  
本地认证授权 /  

 

 

 

 

 

 

radius是分布式的客户端/服务器结构的信息交互协议,保护网络不受未授权访问的干扰,要求较高安全性

udp端口1812(授权认证)、1813(计费);或1645、1646

 

ldap基于 C/S架构

cn dc ou dn

 

用户是网络的访问主体,是防火墙进行网络控制和网络权限分配的基本单元

认证域:用户组织结构的容器

用户组:用户按树形结构组织,用户隶属于组(部门)

安全组:横向结构的跨部门群组。

每个用户组可以包括多个用户和用户组,每个用户组只能属于一个父用户组,每个用户

至少属于一个用户组,也可以属于多个用户组

用户分类:

管理员:通过telnet、ssh、web、ftp等协议使用console接口访问设备对设备配置、操作

ssh安全外壳协议建立在应用层;防止远程信息泄露。包括基于口令和基于密钥的两种验证方式

公钥加密,私钥解密;私钥加密,公钥解密

上网用户:

接入用户:外部网络中访问网络资源的主体ssl vpn、L2TP VPN、 ipsec vpn 或pppoe访问

 接入用户认证:对各类vpn接入用户进行认证

 

AD单点登录

RADIUS单点登录

内置portal认证:会话认证,事前认证

  会话认证是用户不主动进行身份认证,先进行http业务访问,在访问过程中认证,通过后在进行业务访问

  事前认证:用户在访问网络资源之前先主动进行身份认证,通过后在访问网络资源

自定义portal认证:

用户免认证

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  1. RADIUS:它是一种标准协议,主要用于网络访问服务器对用户进行身份验证、授权和记账。RADIUS使用用户数据报协议(UDP)端口1812进行身份验证和授权,使用UDP端口1813进行记账。它的优点是得到了广泛的应用,可以与多种设备和服务集成。
  2. HWTACACS:这是一种Cisco设备特有的身份验证协议,用于验证尝试访问网络设备的用户的身份。HWTACACS通过TCP连接与TACACS+服务器通信,它支持更多的身份验证方法,包括令牌卡、一次性密码等。
  3. LDAP:轻量级目录访问协议(LDAP)是一种用于查询和修改项(如用户信息)的目录服务协议。在身份验证方面,LDAP通常用于企业环境中,允许客户端访问和管理分布式目录信息服务中的信息。
  4. AD:Active Directory是微软提供的目录服务,用于Windows网络中用户的认证和授权。它存储了网络对象的信息,并允许管理员管理网络环境,例如用户账户、计算机、打印机和其他资源。
  5. 本地认证授权:这是指在设备或系统本地进行的用户身份验证和授权。例如,在交换机上配置本地用户,需要设置本地用户名和密码,以及配置本地用户级别。本地认证通常用于小规模的网络环境或作为备用认证方法。
  • TACACS:全称为"Terminal Access Controller Access-Control System",是一种较早的AAA(认证、授权、计费)协议,它用于UNIX网络中的身份验证服务器通信,以决定用户是否有权限访问网络。
  • TACACS+:是思科(Cisco)公司对原始TACACS协议的扩展,提供了更多的身份验证方法和更高的安全性。
  • HWTACACS:是华为公司为实现TACACS协议而开发的,它与TACACS+在功能上相似,但可能在实现细节和兼容性方面存在差异。
  1. 功能和特点:
  • 功能上:都支持对试图访问网络设备的用户进行身份验证、授权和记账。
  • 特点上:HWTACACS特别适用于华为的网络设备,而TACACS+则广泛应用于思科设备。
  1. 实际应用:
  • 配置方式:在华为设备上配置HWTACACS通常涉及到设置与TACACS服务器对接的相关参数,以确保正确的身份验证和授权过程。
  • 兼容性:虽然HWTACACS旨在与TACACS+兼容,但在具体的实现上可能会有细微的差别,因此在使用时需要确保服务器和客户端之间的版本和配置相匹配。

 

posted @ 2024-04-12 13:22  光璃  阅读(28)  评论(0编辑  收藏  举报