防火墙用户认证及应用
用户是网络访问的主体,是防火墙进行网络行为控制和网络权限分配的基本单元。用户组织架构中涉及三个概念:
- 认证域:用户组织结构的容器,防火墙缺省存在default认证域,用户可以根据需求新建认证域;
- 用户组/用户:用户按树形结构组织,用户隶属于组(部门)。管理员可以根据企业的组织结构来创建部门和用户;
- 安全组:横向组织结构的跨部门群组。当需要基于部门以外的维度对用户进行管理可以创建跨部门的安全组。例如企业中跨部门成立的群组。
系统默认有一个缺省认证域,每个用户组可以包括多个用户和用户组。每个用户组只能属于一个父用户组,每个用户至少属于一个用户组,也可以属于多个用户组。
认证域:
- 认证域是认证流程中的重要环节,认证域上的配置决定了对用户的认证方式以及用户的组织结构;
- 对于不同认证方式的用户,认证域的作用不尽相同
用户分类
管理员
- 管理员用户指通过Telnet、SSH、Web、FTP等协议或通过Console接口访问设备并对设备进行配置或操作的用户。
上网用户
- 上网用户是网络访问的标识主体,是设备进行网络权限管理的基本单元;
- 设备通过对访问网络的用户进行身份认证,从而获取用户身份,并针对用户的身份进行相应的策略控制。
接入用户
- 外部网络中访问网络资源的主体,如企业的分支机构员工和出差员工;
- 接入用户需要先通过SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到防火墙,然后才能访问企业总部的网络资源。
管理员认证登录方式
管理员主要为了实现对设备的管理、配置和维护,登录方式可以分为:
- Console:Console接口提供命令行方式对设备进行管理,通常用于设备的第一次配置,或者设备配置文件丢失,没有任何配置。当设备系统无法启动时,可通过Console口进行诊断或进入BootRom进行升级;
- Web:终端通过HTTP/HTTPS方式登录到设备进行远程配置和管理;
- Telnet:Telnet是一种传统的登录方式,通常用于通过命令行方式对设备进行配置和管理;
- FTP:FTP管理员主要对设备存储空间里的文件进行上传和下载;
- SSH:SSH提供安全的信息保障和强大的认证功能,在不安全的网络上提供一个安全的“通道”,此时,设备作为SSH服务器。
管理员认证方式 - SSH
SSH(Secure Shell)安全外壳协议是建立在应用层基础上的安全协议,避免数据的明文传输。SSH可靠性高,是专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
SSH安全验证方式:
- 基于口令的安全验证
- 基于密钥的安全验证
简单说,SSH是一种网络协议,用于计算机之间的加密登录。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。
SSH基于口令的安全验证登录步骤:
- 用户发起登陆请求;
- 远程主机将自己的公钥返回给请求主机;
- 请求主机使用公钥对用户输入的密码进行加密;
- 请求主机将加密后的密码发送给远程主机;
- 远程主机使用私钥对密码进行解密;
- 最后,远程主机判断解密后的密码是否与用户密码一致,一致则登录成功。
认证策略
认证策略用于决定防火墙需要对哪些数据流进行认证,匹配认证策略的数据流必须经过防火墙的身份认证才能通过。缺省情况下,防火墙不对经过自身的数据流进行认证,仅认证匹配认证策略的数据流。如果经过防火墙的流量匹配了认证策略将触发如下动作:
- 会话认证:用户访问HTTP业务时,如果数据流匹配了认证策略,防火墙会推送认证页面要求访问者进行认证;
- 事前认证:用户访问非HTTP业务时必须主动访问认证页面进行认证,否则匹配认证策略的业务数据流将被防火墙禁止;
- 免认证:用户访问业务时,如果匹配了免认证的认证策略,则无需输入用户名、密码直接访问网络资源。防火墙根据用户与IP/MAC的绑定关系来识别用户;
- 单点登录:单点登录用户上线不受认证策略控制,只有当用户业务流量匹配认证策略才进行策略管控。
以下流量即使匹配了认证策略也不会触发认证:
- 访问设备或设备发起的流量;
- DHCP、BGP、OSPF、LDP报文;
- 触发认证的第一条HTTP业务数据流对应的DNS报文不受认证策略控制,用户认证通过上线后的DNS报文受认证策略控制。
认证策略组成信息
认证策略是多个规则的集合。认证策略规则由条件和动作组成,条件指的是防火墙匹配报文的依据,包括:
- 源/目的安全区域
- 源地址/地区
- 目的地址/地区
动作指的是防火墙对匹配到的数据流采取的处理方式,包括:
- Portal认证:对符合条件的数据流进行Portal认证。
- 短信认证:对符合条件的数据流进行短信认证,要求用户输入短信验证码。
- 免认证:对符合条件的数据流进行免认证,防火墙通过其他手段识别用户身份。主要应用于以下情况:
- 对于企业的高级管理者,防火墙通过用户与IP/MAC地址的绑定关系来识别该数据流所属的用户;
- 在AD/RADIUS单点登录的场景中,防火墙已经从其他认证系统中获取到用户信息,对单点登录用户的业务流量进行免认证。
- 不认证:对符合条件的数据流不进行认证,主要应用于以下情况:
- 不需要经过防火墙认证的数据流
- 在AD/RADIUS单点登录的场景中,如果待认证的访问者与认证服务器之间交互的数据流经过防火墙,则要求不对这类数据流进行认证。
- 防火墙上存在一条缺省的认证策略,所有匹配条件均为任意(any),动作为不认证。
