华为防火墙用户与认证
用户:
用户指的是访问网络资源的主体,表示“谁”在进行访问,是网络访问行为的重要标识。FW上的用户包括上网用户和接入用户两种形式:
上网用户:
内部网络中访问网络资源的主体,如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。
接入用户:
外部网络中访问网络资源的主体,如企业的分支机构员工和出差员工。接入用户需要先通过SSL VPN、L2TP VPN或IPSec VPN方式接入到FW,然后才能访问企业总部的网络资源。
认证:
FW通过认证来验证访问者的身份,FW对访问者进行认证的方式包括︰
本地认证:
访问者通过Porta认证页面将标识其身份的用户名和密码发送给FW,FW上存储了密码,验证过程在FW上进行,该方式称为本地认证。
服务器认证:
访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW ,FW上没有存储密码,FW将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行,该方式称为服务器认证。
单点登录:
访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三方认证服务器将访问者的身份信息发送给FW,FW只记录访问者的身份信息不参与认证过程,该方式称为单点登录( Single Sign-On ).
对于上网用户,访问网络资源时FW会对其进行认证。对于接入用户,接入FW时FW会对其进行认证;访问网络资源时,FW还可以根据需要来对其进行二次认证。
在FW上部署用户与认证的目的:
在FW上部署用户管理与认证,将网络流量的IP地址识别为用户,为网络行为控制和网络权限分配提供了基于用户的管理维度,实现精细化的管理:
1.基于用户进行策略的可视化制定,提高策略的易用性。
2.解决了IP地址动态变化带来的策略控制问题,即以不变的用户应对变化的IP地址。
防火墙用户与认证应用场景:
1.上网用户访问网络资源
2.接入用户使用接入设备后访问网络资源
上网用户访问网络资源:
介绍上网用户访问网络资源时,如何实施用户管理与认证机制。
FW作为企业的出口网关,内部网络中的访问者通过FW访问资源服务器或Internet时,为了实现基于用户的访问行为控制,需要在FW上完成如下任务:
1.存储用户信息,使用户可以被安全策略、策略路由、带宽策略、SSL加密流量检测、审计策略以及配额控制策略所引用。
2.对访问者进行认证,验证访问者的身份,同时获取用户与IP地址的对应关系。
在不同的网络环境下,针对这两个任务也有不同的实现方式,下面分情况介绍。
FW内置portal认证:(相当于本地认证)(也有服务器认证)
FW作为企业的出口网关,已部署了内置Portal认证页面用于对用户进行认证,FW接收到认证请求后可转发认证请求至本地用户数据库、认证服务器,由FW、认证服务器完成用户认证。
本地认证:
管理员依据企业的组织结构,在FW上创建相应的用户/组,并设置用户的密码。认证时,由FW来验证访问者使用的用户和密码,对访问者进行认证。如图所示,FW提供了内置Portali认证页面,访问者主动访问认证页面或者访问者访问HTTP业务被FW重定向到认证页面,由FW完成用户认证。
认证成功后,FW记录访问者使用的用户和IP地址之间的对应关系。访问者访问网络资源时,FW上基于此用户或用户所属组的策略决定了访问者的权限和行为。
服务器认证:
企业已经部署了RADIUS(Remote Authentication Dial In User Service)、HWTACACS(HuaWei Terminal Access Controller Access Control System)、AD、LDAP(Lightweight Directory Access Protocol)认证服务器,并在认证服务器上存储了用户/组和密码等信息。对于RADIUS、HWTACACS服务器,管理员需要根据现有的组织结构,在FW上手动创建或者使用文件批量导入相应的用户/组。对于AD或LDAP服务器,管理员可以将AD或LDAP服务器中的用户信息导入到FW上,以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。
如图2所示,FW提供了内置Portal认证页面,访问者主动访问认证页面或者访问者访问HTTP业务被FW重定向到认证页面,FW作为认证服务器的代理客户端,将用户名和密码发送给认证服务器进行认证。
访问者经过认证服务器认证成功后,FW会记录访问者使用的用户和IP地址之间的对应关系。访问者访问网络资源时,FW上基于此用户或用户所属组的策略决定了访问者的权限和行为。
自定义Portal认证:(属于服务器认证)
企业已部署了外部Portal服务器,用于和FW联动对用户进行认证,例如,部署Agile Controller作为外部Portal服务器参与用户认证。
如图3所示,FW收到访问者的HTTP业务时,将HTTP请求重定向到Agile Controller的Portal认证页面,由Agile Controller处理认证请求。
用户认证通过后可以访问网络资源。
免认证:
企业高级管理者希望不输入用户名和密码就可以完成认证并访问网络资源,FW提供免认证满足此需求。管理员在FW上创建高级管理者对应的用户,并将用户与IP、MAC或IP-MAC进行双向绑定。高级管理者访问网络资源时,FW通过识别IP/MAC和用户的双向绑定关系,确定访问者的身份。进行免认证的访问者只能使用特定的IP/MAC地址来访问网络资源。
AD单点登录:
企业已经部署了AD(Active Directory)身份验证机制,AD服务器上存储了用户/组和密码等信息。管理员可以将AD服务器上的组织结构和账号信息导入到FW。对于AD服务器上新创建的用户信息,还可以按照一定的时间间隔定时导入。以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。
认证时,由AD服务器对访问者进行认证,并将认证信息发送至FW,使FW能够获取用户与IP地址的对应关系。访问者通过AD服务器的认证后,就可以直接访问网络资源,无需再由FW进行认证,这种认证方式也称为“AD单点登录”。
如图4所示,AD服务器上存储了用户/组和密码等信息,FW上可以存储用户/组信息以及组织结构关系。内部网络中的访问者使用AD域账号和密码进行认证,认证通过后,AD服务器将域账号和IP地址发送至FW,FW记录访问者使用的用户和IP地址之间的对应关系。访问者访问网络资源时,FW上基于此用户或用户所属组的策略决定了访问者的权限和行为。
注:此处以AD服务器位于访问者所在的网络为例进行说明,如果AD服务器位于资源服务器所在的网络,则需要在FW上配置认证策略时,不对访问者与AD服务器之间的认证报文进行认证,同时在安全策略中保证这类报文可以正常通过FW。
NTLM认证:
NTLM(NT LAN Manager)是Windows的安全协议,用于验证用户。当已经登录AD域的用户通过浏览器上网时,FW作为NTLM认证代理,触发并中转浏览器与AD服务器之间的NTLM认证,在认证过程中获取用户身份。此种场景不用再次要求用户输入用户名、密码,直接复用用户登录AD域时的身份。
如图7所示,用户登录AD域然后通过浏览器上网,FW收到流量后要求浏览器进行NTLM认证。然后FW作为NTLM代理将浏览器的认证请求发送至AD服务器,AD服务器NTLM认证通过后用户就同时在FW认证通过。
此种场景要求浏览器必须支持NTLM认证,用户登录AD域后用户的身份可以自动通过浏览器传递给AD服务器。
管理员可以将AD服务器上的组织结构和账号信息导入到FW,从而通过策略来控制不同用户/组的上网行为。
NTLM优缺点:NTLM认证的优点是部署简单,不用安装额外程序,但是局限于用户通过浏览器上网的场景,而且对浏览器有要求。
接入用于使用VPN(这里以SSL VPN为例)接入设备访问网络资源:
FW作为企业的VPN接入网关,接入用户使用SSL VPN接入FW并访问网络资源时,整体过程可以分为接入(建立隧道)和访问资源两个阶段:
1.接入阶段:
在接入阶段,访问者登录SSL VPN认证页面,FW对访问者进行身份验证,建立SSL VPN隧道。
2.访问资源阶段:
接入后,访问者可以使用Web代理、文件共享、端口转发或网络扩展业务来访问网络资源。FW针对不同的业务资源的权限控制方式不同:
(1)Web代理、文件共享和端口转发业务:
访问者通过FW中转来访问网络资源,用户权限由SSL VPN虚拟网关的“角色”模块来分配。
(2)网络扩展业务:
FW会为访问者分配私网IP地址,访问者可以像在内网一样访问网络资源。如果需要控制用户访问权限,可以基于用户配置策略。
为了保证访问者正常接入,以及对访问者使用网络扩展业务访问资源时进行控制,需要在FW上完成如下任务:
1.存储用户/组信息,使用户/组可以被安全策略、策略路由、带宽策略、SSL加密流量检测策略、审计策略以及配额控制策略所引用。另外,配置SSL VPN功能时也要引用用户/组。
2.在接入阶段,对访问者进行认证,防止非授权的访问者接入。在访问资源阶段,对于使用网络扩展业务的访问者,获取其用户与IP地址的对应关系。
为了便于描述,下面以本地认证为例来进行说明,即FW上已经创建了相应的用户/组,并设置了用户的密码,由FW来完成验证密码的过程。下文的描述同样适用于服务器认证的情况,不同之处在于服务器认证是由认证服务器来完成验证密码的过程。
如图1所示,分支机构员工或出差员工接入时,必须先通过FW的认证。认证成功后,对于使用网络扩展业务的访问者,FW会为其分配私网IP地址,同时会记录访问者使用的用户和私网IP地址之间的对应关系。
在访问资源阶段,由于FW已经记录了访问者使用的用户和私网IP地址的对应关系,FW上基于此用户或用户所属组的策略决定了访问者的权限和行为,在这一阶段无需对访问者进行二次认证。
用户组织结构:
FW中的用户组织结构是实际企业中组织结构的映射,是基于用户进行权限管控的基础。如图1所示,用户组织结构分为按部门进行组织的树形维度、按跨部门群组进行组织的横向维度。
用户组织结构中涉及如下概念:
1.认证域:用户组织结构的容器,类似于Microsoft Active Directory (AD)服务器中的域。FW缺省存在default认证域,用户可以根据需求新建认证域。
2.用户组/用户:用户按树形结构组织,用户隶属于组(部门)。管理员可以根据企业的组织结构来创建部门和用户。这种方式易于管理员查询、定位,是常用的用户组织方式。
3.安全组:横向组织结构的跨部门群组。当需要基于部门以外的维度对用户进行管理可以创建跨部门的安全组,例如企业中跨部门成立的群组。另外当企业通过第三方认证服务器存储组织结构时,服务器上也存在类似的横向群组,为了基于这些群组配置策略,FW上需要创建安全组与服务器上的组织结构保持一致。
认证流程:
认证分类:
实验:上网用户本地认证
拓扑:
在server2012上搭建web服务:
确定对应的IP地址是正确的,下一步
FW配置认证策略:
创建用户用于本地认证:
新建用户属于group组
新建策略(trust-local):放行目的端口为8887端口,源端口任意
配置安全策略(trust-untrust)
配置安全策略(trust-dmz)
由于trust-local的安全策略只定义了源地址为10.1.1.0/24的win7的地址,没有定义物理机的192.168.0.0/24源地址,所以导致物理机访问不了192.168.0.1的8887端口,所以需要修改trust-local的安全策略,加上一条地址为192.168.0.0/24的源地址
此时物理机通过浏览器访问https://192.168.0.1:8887可以进行portal认证
win7通过浏览器访问https://192.168.137.1时,被重定向到防火墙的https://10.1.1.2:8887进行portal认证
在没有进行portal认证的情况下,win7去ping 192.168.137.1是不通的
portal认证成功以后win7就可以ping通server 2012的192.168.137.1
防火墙上可以查看当前有哪些用户登录
win7也可以访问dmz区域的172.16.30.1
