防御保护-----第六章：防火墙用户认证

第六章：防火墙用户认证

用户和认证的概念

用户：

​ 用户指的是访问网络资源的主体。

• 管理员
• 上网用户------可以直接通过FW访问网络资源的用户
• 接入用户------通过VPN连接防火墙，访问网络资源的用户

认证：

• 本地认证-----Portal认证—>将认证页面发送给用户，然后由用户在页面上填写相关认证信息。
• 服务器认证-----防火墙本地不会储存密码信息，而是由防火墙将用户名发送个第三方认证设备。
• 单点登录-----访问者直接将账号密码信息发送给第三方服务器，然后服务器把认证结果反馈给防火墙。防火墙不需要参与认证过程。

​ 防火墙的目的：对网络资源进行保护。----->必须实现对用户的精细化管理。

例：
	台账：使用者姓名、办公室、工位、电脑、计算机型号、设备连接节点、IP地址、MAC地址、电话号码.........

• 认证域
  • 可以理解为“用户组织结构的”容器，一系列用户或用户组的集合。
  • 在一个认证域下，实现相同的认证标准。
  • 防火墙认证域的规划方案：
    • 每个认证域拥有独立的用户账号—>建议使用这一种。
    • 所有认证域共享default认证域的用户账号---->只有default认证域一个树形组织结构。
    • default认证域是设备默认自带的认证域，不能被删除，且名字不能被修改。
• 用户组/用户
  • 按照树形结构在认证域下建立的组织关系。
  • 最多支持20层用户结构。并且，每个用户组可以包含多个用户和用户组。一个用户只能属于一个父用户组，一个用户也只能属于一个父用户组。
• 安全组
  • 横向的一种安全策略机制。
  • 安全组的定位：针对不同用户组的用户，可以实现跨纬度的用户管控机制。

认证流程

​ 认证策略：用于决定FW需要对那些数据流量进行认证，匹配认证策略的数据流量必须经过FW的身份认证才能通过。----->默认情况下，FW不对经过自身的数据流量进行认证。

• 条件：防火墙匹配报文的依据-------源目安全区域、源目地址信息
• 动作：指的是防火墙对匹配上的流量采用的处理方式

  • 会话认证-----特指HTTP业务，FW会主动推送认证页面

  • 事前认证-----非HTTP业务，访问者必须主动访问认证页面

  • 免认证------如果匹配免认证策略，则无需输入用户名/密码，直接可以访问网络资源，但是免认证不属于“不认证”范畴，因为免认证是存在前提的，也会匹配免认证策略的。

  • 

    • 对于企业高级管理者而言，使用免认证。
    • 免认证是指防火墙通过识别IP/MAC和用户的双向绑定关系，确定访问者的身份。即访问者只能使用某个IP或某个MAC来访问网络资源。

  • 单点登录：用户上线不受认证策略控制

  • 不认证------对符合条件的数据流不进行认证

    • 1，不经过防火墙的流量；
    • 2，在单点登录场景中。

  • 匿名认证-------用户无需输入用户名和密码信息即可完成认证，此时防火墙将用户的IP地址识别为用户身份。

​ 上述四种认证方案，属于相同地位。---->如果存在某个用户，同时匹配多个认证策略，则按照认证策略的顺序执行。当数据流量与某个认证策略的所有条件均匹配时，则认为匹配成功，不会匹配后续策略。如果所有策略都没有匹配上，则按照**缺省认证策略（匹配条件any，动作为不认证）**来处理。

Portal认证

​ Portal认证是指防火墙或第三方服务器提供的认证页面，来对用户进行认证。

• 内置认证-----一般使用该方式。
• 自定义认证------使用自定义时，前提—>企业单独购买并部署portal服务器。

​ 在ensp中，是由防火墙直接接收用户的任意HTTP访问连接请求，从而建立三次握手，并由防火墙将portal认证的页面返回给用户终端，在用户端上会显示出防火墙的IP地址，以及该认证界面；在抓包信息中，可以清楚看到200字符。

配置

1、配置IP及接口划分安全区域
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 192.168.25.254 255.255.255.0
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 192.168.1.254 255.255.255.0

2、默认策略--->修改为允许
[Fw]security-policy
[Fw-policy-security]default action permit

3、NAT
nat-policy
 rule name policy_nat_1
  source-zone trust
  destination-zone untrust
  source-address 192.168.25.0 mask 255.255.255.0
  action source-nat easy-ip
4、配置用户认证与管理

5、安全策略
	a.用户访问流量	Trust--->Unturst
	b.认证页面流量	Trust----Local