信息安全基礎知識筆記08 防火牆用戶管理以及應用

信息安全基礎知識筆記08 防火牆用戶管理以及應用

　　用戶管理將分為不同的用戶組，通過對用戶認證，將用戶打上標簽，並且為用戶組賦予不同的權限和應用，從而實現安全的目標。

　　本筆記主要介紹用戶組織架構以及分類，管理員認證流程和配置，上網用戶及接入用戶認證流程，用戶認證策略和上網用戶認證配置。

 

 

　　用戶組織架構及分類

　　（1）用戶組織架構

　　用戶是網絡訪問的主體，是防火牆進行網絡行為控制和網絡權限分配的基本單元。

　　用戶組織結構中涉及如下三個概念：

　　① 認證域：用戶組織結構的容器，防火牆缺省存在default認證域，用戶可以根據需求新建認證域。

　　② 用戶組/用戶：用戶按樹形結構組織，用戶隸屬於組（部門）。管理員可以根據企業的組織結構來創建部門和用戶。

　　③ 安全組：橫向組織結構的跨部門群組。當需要基於部門以外的維度對用戶進行管理可以創建跨部門的安全組。例如企業中跨部門成立的群組。

　　Tips：當企業通過第三方認證服務器存儲組織結構時，服務器上也存在類似的橫向群組，為了基於這些群組配置策略，防火牆上需要創建安全組與服務器上的組織結構保持一致。

 

　　（2）組織結構管理

　　系統默認有一個缺省認證域，每個用戶組可以包括多個用戶和用戶組。

　　每個用戶組只能屬於一個父用戶組，每個用戶至少屬於一個用戶組，也可以屬於多個用戶組。

 　　

　　Tips：認證域的概念

　　認證域是認證流程中的重要環節，認證域上的配置決定了對用戶的認證方式以及用戶的組織結構。

　　① 對於不同認證方式的用戶，認證域的作用不盡相同。

　　② 防火牆通過識別用戶名中包含的認證域，將所有待認證的用戶“分流”到對應的認證域中，根據認證域上的配置來對用戶進行認證。

　　③ 為了給不同的用戶或部門進行差異化管理，分配不同的權限，需要對組織結構進行規划和管理。防火牆支持創建樹型的組織結構，這種結構和通常的行政架構比較類似，非常方便規划和管理。

　　④ 每個用戶（組）可以被安全策略、限流策略等引用，從而實現基於用戶的權限和帶寬資源控制。

　　⑤ 如果管理員使用缺省的default認證域對用戶進行認證，用戶登錄時只需要輸入用戶名；如果管理員使用新創建的認證域對用戶進行認證，則用戶登錄時需要輸入“用戶名@認證域名”。

 

　　（3）用戶分類

　　用戶分類主要分為管理員，上網用戶和接入用戶。

　　① 管理員用戶：為了實現對設備的管理、配置和維護而設立的用戶角色。登錄方式可以分為

        　　Console、Web、Telnet、FTP、SSH

 

　　② 上網用戶：內部網絡中訪問網絡資源的主體，如企業總部的內部員工。上網用戶可以直接通過防火牆訪問網絡資源。

　　上網用戶是網絡訪問的標識主體，是設備進行網絡權限管理的基本單元。設備通過對訪問網絡的用戶進行身份認證，從而獲取用戶身份，並針對用戶的身份進行相應的策略控制。

 

　　③ 接入用戶：外部網絡中訪問網絡資源的主體，如企業的分支機構員工和出差員工。為了實現訪問內部網絡，主要有：

　　通過SSL VPN接入設備后訪問網絡資源

　　通過L2TP VPN接入設備后訪問網絡資源

　　通過IPSec VPN接入設備后訪問網絡資源

　　通過PPPoE接入設備后訪問網絡資源

 

 

　　管理員認證流程和配置

　　管理員主要為了實現對設備的管理、配置和維護，登錄方式可以分為：

　　① Console

　　Console接口提供命令行方式對設備進行管理，通常用於設備的第一次配置，或者設備配置文件丟失，沒有任何配置。當設備系統無法啟動時，可通過Console口進行診斷或進入BootRom進行升級。

　　② Web

　　終端通過HTTP/HTTPS方式登錄到設備進行遠程配置和管理。

　　③ Telnet

　　Telnet是一種傳統的登錄方式，通常用於通過命令行方式對設備進行配置和管理。

　　④ FTP

　　FTP管理員主要對設備存儲空間里的文件進行上傳和下載。

　　⑤ SSH

　　SSH提供安全的信息保障和強大的認證功能，在不安全的網絡上提供一個安全的“通道”。此時，設備作為SSH服務器。

 　　

 

 

　　（1）Console/Telnet/Ftp設備管理類型

　　I、命令行方式

　　Step 1:  配置登錄方式

　　Console：

　　[USG] user-interface console 0

　　[USG-ui-con0] authentication-mode aaa

　　Telnet:  

　　[USG] user-interface vty 0 3  

　　[USG-ui-vty0] authentication-mode aaa

　　Step 2:  AAA認證視圖

　　[USG] aaa

　　[USG -aaa]manager-user client001

　　[USG -aaa-manager-user-client001]password cipher Admin@123

　　[USG -aaa-manager-user-client001]service-type terminal telnet ftp

　　[USG -aaa-manager-user-client001]level 3

　　[USG -aaa-manager-user-client001]ftp-directory hda1:

 

　　II、Web方式

　　在“系統 > 管理員 > 管理員 > 新建”，新建管理員Client01，並設置設備管理類型Console, Telnet, FTP。 

 　　

 

　　（2）SSH設備管理類型

　　I、命令行方式

　　Step 1：啟動SSH服務

　　[USG]stelnet server enable

　　Info: The Stelnet server is already started.

　　Step 2：為SSH用戶sshuser配置密碼為Admin@123。

　　[USG] aaa

　　[USG-aaa] manager-user sshuser

　　[USG-aaa-manager-user-client001] ssh authentication-type password

　　[USG-aaa-manager-user-client001] password cipher Admin@123

　　[USG-aaa-manager-user-client001] service-type ssh

　　以上配置完成后，運行支持SSH的客戶端軟件，建立SSH連接

 

　　II、Web方式

　　創建管理員Client01，並設置設備管理類型為SSH。

 　　

 

　　（4）Web設備管理類型

　　I、命令行方式

　　Step 1：啟動Web管理功能。

　　[USG] web-manager security enable port 6666

　　Step 2：配置Web用戶。

　　[USG] aaa

　　[USG-aaa]manager-user webuser

　　[USG-aaa-manager-user-webuser]password cipher Admin@123

　　[USG-aaa-manager-user-webuser]service-type web

　　[USG-aaa-manager-user-webuser]level 3

 

　　II、Web方式

　　Step 1：創建管理員webuser，設置用戶級別。

 　　

 

　　Step 2：在“系統 > 管理員 > 設置”設置HTTPS/HTTP服務端口,當使用HTTP登錄設備后，不可以關閉HTTP服務，同時不能修改HTTP服務端口；當使用HTTPS登錄設備后，不可以關閉HTTPS服務，同時不能修改HTTPS服務端口。

 　　

 

 

　　上網用戶及接入用戶認證流程

　　（1）基本概念

　　上網用戶認證的方式有多種，主要可以通過單點登錄，防火牆內置portal認證，以及對各類VPN接入的用戶進行認證等。

 　　

 

　　① 上網用戶單點登錄

　　用戶只要通過了其他認證系統的認證就相當於通過了防火牆的認證。用戶認證通過后防火牆可以獲知用戶和IP的對應關系，從而基於用戶進行策略管理。此種方式適用於部署防火牆用戶認證功能之前已經部署認證系統的場景。

• AD單點登錄：用戶登錄AD域，由AD服務器進行認證。
• Agile Controller單點登錄：用戶由華為公司的Agile Controller系統（Policy Center或Agile Controller）進行認證。
• RADIUS單點登錄：用戶接入NAS設備，NAS設備轉發認證請求到RADIUS服務器進行認證。

 

　　② 上網用戶內置Portal認證

　　防火牆提供內置Portal認證頁面（缺省為https://接口IP地址:8887）對用戶進行認證。防火牆可轉發認證請求至本地用戶數據庫、認證服務器。此種方式適用於通過防火牆對用戶進行認證的場景。

• 會話認證：當用戶訪問HTTP業務時，防火牆向用戶推送認證頁面，觸發身份認證。
• 事前認證：當用戶訪問非HTTP業務時，只能主動訪問認證頁面進行身份認證。

 

　　③ 上網用戶自定義Portal認證

　　防火牆與自定義Portal聯動對用戶進行認證。例如：Agile Controller可以作為外部Portal服務器對用戶進行認證。 目前存在兩種類型的自定義Portal認證。

　　用戶訪問HTTP業務時，防火牆向用戶推送自定義Portal認證頁面，觸發身份認證。

 

　　④ 上網用戶免認證（注意與不認證的區別）

　　用戶不輸入用戶名和密碼就可以完成認證並訪問網絡資源。

　　免認證與不認證有差別，免認證是指用戶無需輸入用戶名、密碼，但是防火牆可以獲取用戶和IP對應關系，從而基於用戶進行策略管理。

　　將用戶名與IP或MAC地址雙向綁定，防火牆通過識別IP/MAC地址與用戶的綁定關系，使用戶自動通過認證。此種方式一般適用於高級管理者。

 

　　⑤ 上網用戶短信認證

　　防火牆通過短信驗證碼對用戶進行認證。用戶在防火牆提供的短信認證Portal頁面中獲取短信驗證碼，輸入后通過認證。用戶通過認證后作為臨時用戶在防火牆上線。

• 會話認證：當用戶訪問HTTP業務時，防火牆向用戶推送認證頁面，觸發身份認證。
• 事前認證：當用戶訪問非HTTP業務時，只能主動訪問認證頁面進行身份認證。

 

　　⑥ 接入用戶認證

　　VPN接入用戶接入過程中防火牆對用戶進行認證。如果期望接入認證成功后、訪問資源前再次進行認證，可以配置二次認證。

　　本地認證、服務器認證。

 

　　Tips：補充概念

　　① 認證策略

　　上網用戶使用免認證或會話認證方式觸發認證過程、以及已經接入防火牆的接入用戶使用會話認證方式觸發認證過程時，必須經過認證策略的處理。

　　認證策略的作用是選出需要進行免認證或會話認證的數據流，對免認證的數據流，防火牆根據用戶與IP/MAC地址的綁定關系來識別用戶；對會話認證的數據流，防火牆會推送認證頁面。認證策略對單點登錄或事前認證方式不起作用。

 

　　② 本地認證/服務器認證用戶

　　決定用戶認證時采用本地認證方式還是服務器認證方式，如果是服務器認證方式還包含了使用哪個認證服務器。

 

　　③ 單點登錄用戶

　　單點登錄用戶的認證過程防火牆不參與，只是從認證服務器接收用戶登錄/注銷消息，所以認證域中的認證方式配置對單點登錄用戶不起作用。但是在與用戶域名（dc字段）同名的認證域中配置的新用戶選項對單點登錄用戶生效。

 

 

　　（2）單點登錄

　　單點登錄是指防火牆不是認證點，防火牆通過獲取其他認證系統的用戶登錄消息，使用戶在防火牆上線。

　　AD單點登錄是用戶希望經過AD服務器的認證后，就會自動通過防火牆的認證，然后可以訪問所有的網絡資源。AD單點登錄主要有三種登錄實現方式：

• 接受PC消息模式
• 查詢AD服務器安全日志模式
• 防火牆監控AD認證報文

 

　　訪問者可以使用AD單點登錄的方式來觸發防火牆上的認證。設備通過啟用單點登錄功能，可以識別出經過這些身份認證系統認證通過的用戶，避免用戶上網時再次要求輸入用戶名/密碼。AD單點登錄時，防火牆支持通過多種方式獲取用戶認證通過的消息。

 

　　① AD單點登錄 (接收PC消息模式)

　　管理員需要在AD監控器上部署AD單點登錄服務，在AD服務器（AD域控制器）上設置登錄腳本和注銷腳本，同時在防火牆上配置AD單點登錄參數，接收AD單點登錄服務發送的用戶登錄/注銷消息。

 

　　具體登錄過程如下:

　　Step 1：訪問者登錄AD域，AD服務器向用戶返回登錄成功消息並下發登錄腳本。

　　Step 2：訪問者PC執行登錄腳本，將用戶登錄信息發送給AD監控器。

　　Step 3：AD監控器連接到AD服務器查詢登錄用戶信息，如果能查詢到該用戶的信息則轉發用戶登錄信息到防火牆。

　　Step 4：防火牆從登錄信息中提取用戶和IP的對應關系添加到在線用戶表。

 　　

 

 

 

　　Tips：

• AD監控器可以是AD域控制器也可以是AD域中其他機器。
• 如果訪問者與AD服務器、訪問者與AD監控器、AD監控器與AD服務器之間的交互報文經過了防火牆，則需要確保防火牆上的認證策略不對這些報文進行認證，同時在安全策略中保證這類報文可以正常通過防火牆。
• 關於域（windows域，AD域）和組的概念，可以參考網絡上大神提供的答案，鏈接如下：

　　關於AD域的介紹 https://blog.csdn.net/weixin_43926268/article/details/89923406

        windows域，AD域以及AD域部署 https://zhuanlan.zhihu.com/p/45553448

 

 

 

　　② AD單點登錄 (查詢AD服務器安全日志模式)

　　管理員需要在AD監控器上部署AD單點登錄服務，同時在防火牆上配置AD單點登錄參數，接收AD單點登錄服務發送的用戶登錄消息。

 

　　具體登錄過程如下：

　　Step 1：訪問者登錄AD域，AD服務器記錄用戶上線信息到安全日志中。

　　Step 2：AD監控器通過AD服務器提供的WMI（Windows Management Instrumentation）接口，連接到AD服務器查詢安全日志，獲取用戶登錄消息。

　　Step 3：AD監控器從AD單點登錄服務開始啟動的時間點為起點，定時查詢AD服務器上產生的安全日志。

　　Step 4：AD監控器轉發用戶登錄消息到防火牆，用戶在防火牆上線。

 　　

 

　　③ AD單點登錄 (防火牆監控AD認證報文)

　　管理員無需在AD服務器上安裝程序。防火牆通過監控訪問者登錄AD服務器的認證報文獲取認證結果，如果認證成功將用戶和IP對應關系添加到在線用戶表。

 　　

　　當防火牆部署在訪問者和AD服務器之間時，防火牆可以直接獲取認證報文；如果認證報文未經過防火牆，則需要將AD服務器發給訪問者的認證結果報文鏡像到防火牆。

　　當使用該方式實現AD單點登錄時：

• 防火牆無法獲取用戶的注銷消息，因此只能根據在線用戶超時時間使用戶下線。
• 存在認證報文被惡意篡改、用戶身份被偽造的風險，請謹慎使用。
• 防火牆需要使用獨立的二層接口接收鏡像認證報文，該接口不能與其他業務口共用。不支持配置管理口GigabitEthernet 0/0/0接收鏡像報文。

　　除了AD單點登錄，防火牆還提供TSM單點登錄和RADIUS單點登錄。

 

　　（3）上網用戶Portal認證

　　Portal認證是指由防火牆或第三方服務器提供Portal認證頁面對用戶進行認證。

　　防火牆內置Portal認證的觸發方式包括：

• 會話認證：會話認證是用戶不主動進行身份認證，先進行HTTP業務訪問，在訪問過程中進行認證。認證通過后，再進行業務訪問。
• 事前認證：事前認證是指訪問者在訪問網絡資源之前，先主動進行身份認證。認證通過后，再訪問網絡資源。

 

　　① 內置Portal認證觸發方式 - 會話認證

　　當防火牆收到用戶的第一條HTTP業務訪問數據流時，將HTTP請求重定向到認證頁面，觸發訪問者身份認證。認證通過后，就可以訪問HTTP業務以及其他業務。

 　　

　　當防火牆收到訪問者的第一條目的端口為80的HTTP業務訪問數據流時，將HTTP請求重定向到認證頁面，觸發訪問者身份認證。認證通過后，就可以訪問HTTP業務以及其他業務。

 

　　② 內置Portal認證觸發方式 - 事前認證

　　用戶主動向防火牆提供的認證頁面發起認證請求。防火牆收到認證請求后，對其進行身份認證。認證通過后，就可以訪問Internet。

 　　

　　Tips：

　　防火牆還支持自定義Portal認證，目前存在兩種類型的自定義Portal認證。

　　采用這兩種類型的自定義Portal認證時，企業需要單獨部署外部Portal服務器，例如，都可以部署Agile Controller作為Portal服務器。

 

　　（4）接入用戶認證

　　接入用戶認證指的是對各類VPN接入用戶進行認證。觸發認證的方式由接入方式決定，包括:

　　SSL VPN、L2TP VPN、IPSec VPN、PPPoE

 

　　① SSL VPN接入用戶

　　訪問者登錄SSL VPN模塊提供的認證頁面來觸發認證過程，認證完成后，SSL VPN接入用戶可以訪問總部的網絡資源。

 

　　② L2TP VPN接入用戶

　　對於LAC自主撥號方式，在接入階段，分支機構的LAC通過撥號方式觸發認證過程，與LNS建立L2TP VPN隧道。在訪問資源階段，分支機構中的訪問者可以使用事前認證、會話認證等方式觸發認證過程，認證完成后，L2TP VPN接入用戶可以訪問總部的網絡資源。

　　對於NAS-Initiated/Client-Initiated方式，在接入階段，訪問者通過撥號方式觸發認證過程，與LNS建立L2TP VPN隧道。在訪問資源階段，分支機構中的訪問者可以直接訪問總部的網絡資源；也可以使用事前認證、會話認證等方式觸發二次認證，通過二次認證后，訪問總部的網絡資源。

 

　　③ IPSec VPN接入用戶

　　分支機構與總部建立IPSec VPN隧道后，分支機構中的訪問者可以使用事前認證、會話認證等方式觸發認證過程，認證完成后，IPSec VPN接入用戶可以訪問總部的網絡資源。

 

 

　　Tips：SSL接入用戶訪問內部資源舉例

　　SSL VPN是以HTTPS為基礎的VPN技術，工作在傳輸層和應用層之間，在Internet基礎上提供機密性的安全協議。主要提供業務有Web代理、網絡擴展、文件共享和端口轉發。

 

　　SSL協議通信的握手步驟如下：

　　Step 1：SSL客戶端向SSL服務器發起連接，並要求服務器驗證自身的身份。

　　Step 2：服務器通過發送自身的數字證書證明身份。

　　Step 3：服務器發出一個請求，對客戶端的證書進行驗證。

　　Step 4：驗證通過后，協商用於加密的消息加密算法和用於完整性檢查的哈希函數。通常由客戶端提供它支持的所有算法列表，然后由服務器選擇最強大的加密算法。

　　Step 5：客戶端和服務器通過以下步驟生成會話密鑰：

• 客戶端生成一個隨機數，並使用服務器的公鑰（從服務器證書中獲取）對它加密，以送到服務器上。
• 服務器用隨機數據（客戶端的密鑰可用時則使用客戶端密鑰，否則以明文方式發送數據）響應。
• 使用哈希函數從隨機數據中生成密鑰。

　　關於非對稱加密算法（公私鑰加密）的詳細介紹，后面會單獨開一期進行闡述。

 　　

　　如上圖所示，某企業在網絡邊界處部署了防火牆作為VPN接入網關，連接內部網絡與Internet。出差員工通過SSL VPN接入到防火牆后，使用網絡擴展業務訪問網絡資源。

 

 

　　用戶認證策略

　　（1）認證策略

　　認證策略用於決定防火牆需要對哪些數據流進行認證，匹配認證策略的數據流必須經過防火牆的身份認證才能通過。缺省情況下，防火牆不對經過自身的數據流進行認證，需要通過認證策略選出需要進行認證的數據流。如果經過防火牆的流量匹配了認證策略將觸發如下動作：

 　　

　　會話認證：用戶訪問HTTP業務時，如果數據流匹配了認證策略，防火牆會推送認證頁面要求訪問者進行認證。

　　事前認證：用戶訪問非HTTP業務時必須主動訪問認證頁面進行認證，否則匹配認證策略的業務數據流訪問將被防火牆禁止。

　　免認證：用戶訪問業務時，如果匹配了免認證的認證策略，則無需輸入用戶名、密碼直接訪問網絡資源。防火牆根據用戶與IP/MAC地址的綁定關系來識別用戶。

　　單點登錄：單點登錄用戶上線不受認證策略控制，但是用戶業務流量必須匹配認證策略才能基於用戶進行策略管控。

 

　　以下流量即使匹配了認證策略也不會觸發認證：

• 訪問設備或設備發起的流量。
• DHCP、BGP、OSPF、LDP報文。
• 觸發認證的第一條HTTP業務數據流對應的DNS報文不受認證策略控制，用戶認證通過上線后的DNS報文受認證策略控制。

 

　　（2）認證策略組成信息

　　認證策略是多個認證策略規則的集合，認證策略決定是否對一條流量進行認證。認證策略規則由條件和動作組成。

 

　　條件指的是防火牆匹配報文的依據，包括：

• 源/目的安全區域
• 源地址/地區
• 目的地址/地區

 

　　動作指的是防火牆對匹配到的數據流采取的處理方式，包括：

• Portal認證：對符合條件的數據流進行Portal認證。
• 短信認證：對符合條件的數據流進行短信認證，要求用戶輸入短信驗證碼。
• 免認證：對符合條件的數據流進行免認證，防火牆通過其他手段識別用戶身份。

　　主要應用於以下情況：

　　① 對於企業的高級管理者來說，一方面他們希望省略認證過程；另一方面，他們可以訪問機密數據，對安全要求又更加嚴格。為此，管理員可將這類用戶與IP/MAC地址雙向綁定，對這類數據流進行免認證，但是要求其只能使用指定的IP或者MAC地址訪問網絡資源。防火牆通過用戶與IP/MAC地址的綁定關系來識別該數據流所屬的用戶。

　　② 在AD/TSM/RADIUS單點登錄的場景中，防火牆已經從其他認證系統中獲取到用戶信息，對單點登錄用戶的業務流量進行免認證。

• 不認證：對符合條件的數據流不進行認證。

　　主要應用於以下情況：

　　① 不需要經過防火牆認證的數據流，例如內網之間互訪的數據流。

　　② 在AD/TSM/RADIUS單點登錄的場景中，如果待認證的訪問者與認證服務器之間交互的數據流經過防火牆，則要求不對這類數據流進行認證。

 

　　Tips：

　　防火牆上存在一條缺省的認證策略，所有匹配條件均為任意（any），動作為不認證。

 

 

 

關於AD域的介紹 https://blog.csdn.net/weixin_43926268/article/details/89923406

windows域，AD域以及AD域部署 https://zhuanlan.zhihu.com/p/45553448