誉天Security技术专栏：防火墙用户管理技术

思维导图

01

AAA简介

AAA 是身份验证、授权和计费的缩写。 它是一种网络安全管理机制，提供三种安全功能：认证、授权和计费。

身份验证：验证用户是否可以访问并确定哪些用户可以访问网络；

授权：授权用户可以使用哪些服务；

计费：记录用户对网络资源的使用情况。

02

AAA常见应用场景

通过RADIUS服务器实现用户在线管理

通过本地认证实现网络管理员权限控制

03

AAA的基本结构

AAA的基本架构包括用户、NAS和AAA服务器。

NAS对用户进行域管理，每个域可以配置不同的认证、授权和计费方案，对域内用户进行认证、授权和计费。

认证

防火墙支持的三种认证方式：

授权的

授权表示用户可以使用哪些服务ldap认证缺点，例如公共服务和敏感服务。

防火墙支持的授权方式有：不授权、本地授权和远程授权。 授权内容包括：用户组、VLAN、ACL号等。

计费

防火墙支持的AAA计费方式有：不计费、远程计费。 计费功能用于监控授权用户的网络行为和网络资源的使用情况。

计费主要有以下三个含义：

04

AAA通用技术方案

目前ldap认证缺点，华为设备支持基于RADIUS、HWTACACS、LDAP或AD的AAA。 在实际应用中，RADIUS是最常用的。

05

RADIUS协议概述

AAA 可以通过各种协议实现。 在实际应用中，最常用的是RADIUS协议。 RADIUS是一种分布式的、客户端/服务器结构的信息交换协议，可以保护网络免受未经授权的访问，常用于各种对安全性要求高、允许远程用户访问的网络环境中。

该协议定义了基于UDP（User Datagram Protocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812和1813分别为默认的认证端口和计费端口。

RADIUS协议的主要特点如下：

RADIUS 有时使用 1645 和 1646 分别作为默认的认证和计费端口。

AAA 实现协议 - RADIUS 认证过程

06

LDAP简介

LDAP是Lightweight Directory Access Protocol的缩写，LDAP是基于C/S架构的。 LDAP 服务器负责对来自应用服务器的请求进行认证，并指定用户访问的资源范围。 LDAP定义了多种操作来实现LDAP的各种功能，其中LDAP绑定和查询操作可以用来实现用户认证和授权功能。

应用场景：网络接入设备连接LDAP服务器，通过LDAP绑定查询操作实现用户认证授权功能。

LDAP目录

目录是一组具有相似属性的信息，按逻辑和层次结构分组。 LDAP协议中的目录是按照树形结构组织的，目录由条目（Entry）组成，条目是具有可分辨名称DN的属性集合。 属性由一个类型和多个值组成。

LDAP 认证过程

认证过程描述如下：

07

防火墙用户认证及应用

用户组织结构与管理

用户是网络访问的主体，是防火墙控制网络行为、分配网络权限的基本单位。 用户组织结构涉及三个概念：

系统默认有一个默认的认证域，每个用户组可以包含多个用户和用户组。 每个用户组只能属于一个父用户组，每个用户至少属于一个用户组，也可以属于多个用户组。

认证域：

用户分类

行政人员

互联网用户

访问用户

08

用户认证过程

管理员认证登录方式

管理员主要对设备进行管理、配置和维护。 登录方式可分为：

管理员身份验证方法 - SSH

SSH（Secure Shell）安全外壳协议是一种基于应用层的安全协议，它避免了明文数据的传输。 SSH 具有很高的可靠性，是一种旨在为远程登录会话和其他网络服务提供安全性的协议。 使用SSH协议可以有效防止远程管理过程中的信息泄露。

SSH安全验证方法：

简单的说，SSH是一种计算机间加密登录的网络协议。 如果用户从本地计算机使用SSH协议登录到另一台远程计算机，我们可以认为这次登录是安全的，即使中途被拦截，密码也不会泄露。

SSH基于密码的安全验证登录步骤：

SSH基于密钥的安全认证登录步骤：

上网用户认证方式

内置Portal认证-session认证

会话认证是指用户不主动进行身份认证，而是先进行HTTP服务访问，然后在访问过程中进行认证。 认证通过后，进行业务访问。

当防火墙收到用户的第一个HTTP服务访问数据流时，将HTTP请求重定向到认证页面，触发访问者身份认证。 认证通过后，即可访问HTTP服务和其他服务。

内置Portal认证-预认证

前置认证是指访问者在访问网络资源之前，主动进行身份认证，认证通过后，再访问网络资源。

用户主动向防火墙提供的认证页面发起认证请求。 防火墙收到认证请求后，进行身份认证。 认证通过后，即可上网。

接入用户认证方式

接入用户认证是指对各种VPN接入用户的认证。

包括 SSL VPN、L2TP VPN、IPSec VPN、PPPoE

SSL VPN

用户从外网通过SSL VPN拨入防火墙，满足访问内网资源的需要。