防御保护--用户认证和NAT转换

目录

 一,FTP和TFTP区别

二,ASPF

三,防火墙的用户认证

四,认证策略 


 一,FTP和TFTP区别

FTP--文件传输协议---有认证系统,有完整的命令集可以查看文件,TCP--20,21

        FTP工作过程中存在两个进程:一个控制进程,一个数据传输进程,所以需要使用两个端口号20,21并且FTP存在两个工作模式,一种主动模式,一种被动模式

TFTP--简单文件传输协议---没有认证系统,没有完整的命令集只会上传和下载,UDP

主动模式

防御保护--用户认证和NAT转换_第1张图片

防御保护--用户认证和NAT转换_第2张图片 像FTP这种使用多个端口号的协议叫做多通道协议(双通道协议)

二,ASPF

ASPF--针对应用层的包过滤--用来抓取多通道中的协商端口的关键数据包,之后将端口算出

将结果记录到sever-map表中,想当于开辟一条隐形的通道

防御保护--用户认证和NAT转换_第3张图片

防御保护--用户认证和NAT转换_第4张图片

三,防火墙的用户认证

防火墙管理员登录认证--检验身份的合法性,划分身份权限

用户认证:--上网行为管理的一部分        用户,行为,流量--上网行为管理三要素

用户认证的分类:

上网用户认证:三层认证--所有的跨网段的通信都可以是上网行为,对于这些行为我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。

入网用户认证:二层认证--我们的设备在接入网络中,比如插入交换机或者接入wifi后需要进行认证才能正常使用网络。

接入用户认证:远程接入--VPN---主要是校验身份的合法性

上网用户认证的方式:

1.本地认证:用户信息在防火墙上,整个认证在防火墙上执行

2.服务器认证:对接第三方服务器:防火墙将用户信息传递给服务器,之后,服务器将认证结果返回,防火墙执行对应的动作即可

3.单点登录:和第三方服务器认证类似。

防御保护--用户认证和NAT转换_第5张图片

认证域:它可以决定认证的方式和组织结构

登录名(账号)--作为登录凭证使用,一个认证域下不能重复

显示名(昵称)--显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也 可以不用写显示名。显示名可以重复。

账号过期时间--可以设定一个时间点到期,但是,如果到期前账号已登录,到期后,防火墙 不会强制下线该用户。

允许多人同时使用该账号登录

        私有用户--仅允许一个人使用,第二个人使用时,将顶替到原先的登录

        公有用户--允许多个人同时使用一个账户

防御保护--用户认证和NAT转换_第6张图片

四,认证策略 

防御保护--用户认证和NAT转换_第7张图片

Portal--这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网 认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。 

免认证--需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以 选择免认证,不做认证。

匿名认证--和免认证的思路相似,认证动作越透明越好,选择透明认证,则登录者不需要输入登录名和密码,直接选择IP地址进行登录

防御保护--用户认证和NAT转换_第8张图片

如果这里的上网方式选择protal认证,则认证策略里面也要选择portal认证

如果这里的上网方式选择免认证或者单点登录,则认证策略中对应动作为免认证

如果认证策略中选择的是匿名认证,则不触发这里的认证动作

防御保护--用户认证和NAT转换_第9张图片

你可能感兴趣的:(防御保护,网络,服务器)