一、认证综述:

**用户与认证:**用户是指访问网络资源的主提,表示“谁”在进行访问,是网络访问行为的重要标识。

A、用户分类和认证分类:

  1. 上网用户:内部网络中访问网络资源的主体,如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。

  2. 接入用户:外部网络中访问网络资源的主体,如企业的分支机构员工和出差员工。接入用户需要先通过SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到FW,然后才能访问企业总部的网络资源。

  3. 管理用户

认证分类:

防火墙通过认证来验证访问者的身份,防火墙对访问正进行的认证方式有:

  • **本地认证:**访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW,FW上存储了密码,验证过程在FW上进行,该方式称为本地认证。

  • **服务器认证(Radius,LDAP等):**访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW,FW上没有存储密码,FW将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行,该方式称为服务器认证。

    RADIUS(Remote Authentication Dial In User Service)、HWTACACS(HuaWei Terminal Access Controller Access Control System)、AD、LDAP(Lightweight Directory Access Protocol)认证服务器,并在认证服务器上存储了用户/组和密码等信息。对于RADIUS、HWTACACS服务器,管理员需要根据现有的组织结构,在FW上手动创建或者使用文件批量导入相应的用户/组。对于AD或LDAP服务器,管理员可以将AD或LDAP服务器中的用户信息导入到FW上,以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。

  • **单点登录:**访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三方认证服务器将访问者的身份信息发送给FW。FW只记录访问者的身份信息不参与认证过程,该方式称为单点登录(Single Sign-On)。

  • **短信认证:**访问者通过Portal认证页面获取短信验证码,然后输入短信验证码即通过认证。FW通过校验短信验证码认证访问者。

B、认证目的和方式:

**认证的目的:**在FW上部署用户管理与认证,将网络流量的IP地址识别为用户,为网络行为控制和网络权限分配提供了基于用户的管理维度,实现精细化的管理:

  • 基于用户进行策略的可视化制定,提高策略的易用性。

  • 基于用户进行威胁、流量的报表查看和统计分析,实现对用户网络访问行为的追踪审计。

  • 解决了IP地址动态变化带来的策略控制问题,即以不变的用户应对变化的IP地址。

上网用户访问网络的认证方式:

  • 免认证:FW通过识别IP/MAC和用户的双向绑定关系,确定访问者的身份。进行免认证的访问者只能使用特定的IP/MAC地址来访问网络资源。

  • 会话认证:当用户访问HTTP业务时,FW向用户推送认证页面,触发身份认证。

    • 一般指的都是本地认证:内置Portal认证

    • 先发起HTTP/HTTPS业务访问——-防火墙推送重定向认证页面———–客户输入用户名和密码———-认证成功,如果设置跳转到最近的页面,就跳转。如果没有设置跳转,就不跳转

  • 事前认证:当用户访问非HTTP业务时,只能主动访问认证页面进行身份认证。

  • 单点认证

    • AD单点登录:企业已经部署了AD(Active Directory)身份验证机制,AD服务器上存储了用户/组和密码等信息。管理员可以将AD服务器上的组织结构和账号信息导入到FW。对于AD服务器上新创建的用户信息,还可以按照一定的时间间隔定时导入。以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。

      认证时,由AD服务器对访问者进行认证,并将认证信息发送至FW,使FW能够获取用户与IP地址的对应关系。访问者通过AD服务器的认证后,就可以直接访问网络资源,无需再由FW进行认证,这种认证方式也称为“AD单点登录”。

    • Agile Controller单点登录

    • RADIUS单点登录

C、RADIUS认证原理:

1、认证简要:

DIUS(Remote Authentication Dial-In User Server,远程认证拨号用户服务)是一种分布式的、C/S架构的信息交互协议,能包含网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口1812认证端口、1813为计费端口。

如果是思科设备:认证和授权端口为UDP 1645,计费端口1646。

RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入等。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。

2、认证架构和特点:

RADIUS客户端:一般位于网络接入服务器NAS(Network Access Server)上,可以遍布整个网络,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。

设备作为RADIUS协议的客户端,实现以下功能:

  • 支持标准RADIUS协议及扩充属性,包括RFC(Request For Comments)2865、RFC2866。

  • 支持华为扩展的私有属性。

  • 对RADIUS服务器状态的主动探测功能。

  • 计费结束报文的本地缓存重传功能。

  • RADIUS服务器的自动切换功能。

RADIUS服务器:一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS服务器通常要维护三个数据库。

image.png

RADIUS的特点:

  • 网络安全:RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,RADIUS协议利用共享密钥对RADIUS报文中的密码进行了加密。

  • 良好的扩展性:RADIUS报文是由包头和一定数目的属性(Attribute)构成,新属性的加入不会破坏协议的原有实现。

3、报文格式:

各字段的解释如下:

  • Code:长度为1个字节,用来说明RADIUS报文的类型

  • Identifier:长度为1个字节,用来匹配请求报文和响应报文,以及检测在一段时间内重发的请求报文。客户端发送请求报文后,服务器返回的响应报文中的Identifier值应与请求报文中的Identifier值相同。

  • Length:长度为2个字节,用来指定RADIUS报文的长度。超过Length取值的字节将作为填充字符而忽略。如果接收到的报文的实际长度小于Length的取值,则该报文会被丢弃。

  • Authenticator:长度为16个字节,用来验证RADIUS服务器的响应报文,同时还用于用户密码的加密。

  • Attribute:不定长度,为报文的内容主体,用来携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节。Attribute可以包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示。

image.png

4、RADIUS认证、授权和计费:

接入设备作为RADIUS客户端,负责收集用户信息(例如:用户名、密码等),并将这些信息发送到RADIUS服务器。RADIUS服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。用户、RADIUS客户端和RADIUS服务器之间的交互流程如下:

image.png

5、RADIUS单点登录:

RADIUS单点登录交互过程如下:

  1. 访问者向接入设备NAS发起认证请求。

  2. NAS设备转发认证请求到RADIUS服务器,RADIUS服务器对用户账号和密码进行校验,并将认证通过的结果返回给NAS设备。NAS设备向RADIUS服务器发送计费开始报文,标识用户上线。

  3. FW解析计费开始报文获取用户和IP地址的对应关系,同时在本地生成在线用户信息。不同部署方式,FW获取计费开始报文的方式不同:

    • 直路:FW直接对经过自身的RADIUS计费开始报文进行解析。

    • 旁路:NAS设备向RADIUS服务器发送计费开始报文的同时还会向FW发送一份,FW对计费开始报文进行解析并对NAS设备做出应答。

      此种部署方式需要NAS设备支持向FW发送计费开始报文的功能。

    • 镜像引流:NAS设备和RADIUS服务器之间交互的计费开始报文不经过FW,需要通过交换机镜像或分光器分光的方式复制一份计费开始报文到FW。FW对计费开始报文进行解析后丢弃。

访问者注销时,NAS设备向RADIUS服务器发送计费结束报文,标识用户下线。FW获取计费结束报文并解析用户和IP对应关系,然后删除本地保存的在线用户信息,完成注销过程。

另外在用户在线期间,NAS设备还会定时向RADIUS服务器发送计费更新报文维持计费过程,FW获取计费更新报文后将刷新在线用户的剩余时间。

Untitled

D、接入用户访问网络资源的认证方式:

  1. 使用SSL VPN 技术:访问者登录SSL VPN模块提供的认证页面来触发认证过程,认证完成后,SSL VPN接入用户可以访问总部的网络资源。

  2. 使用IPSec VPN技术:分支机构与总部建立IPSec VPN隧道后,分支机构中的访问者可以使用事前认证、会话认证等方式触发认证过程,认证完成后,IPSec VPN接入用户可以访问总部的网络资源。

  3. L2TP VPN接入用户

E、用户认证原理:

用户组织结构:

用户是网络访问的主体,是FW进行网络行为控制和网络权限分配的基本单元。

  • 认证域:用户组织结构的容器。区分用户,起到分流作用

  • 用户组/用户:分为: 父用户组 子用户组 。

    注意:一个子用户组只能属于一个父用户组

    用户: 必配: 用户名 密码,其它都可以可选

    用户属性:账号有效期 允许多人登录 IP/MAC绑定(不绑定 单向 双向)

  • 安全组:横向组织结构的跨部门群组。指跨部门的用户

规划树形组织结构时必须遵循如下规定:

  • default认证域是设备默认自带的认证域,不能被删除,且名称不能被修改。

  • 设备最多支持20层用户结构,包括认证域和用户,即认证域和用户之间最多允许存在18层用户组。

  • 每个用户组可以包括多个用户和用户组,但每个用户组只能属于一个父用户组。

  • 一个用户只能属于一个父用户组。

  • 用户组名允许重名,但所在组织结构的全路径必须确保唯一性。

  • 用户和用户组都可以被策略所引用,如果用户组被策略引用,则用户组下的用户继承其父组和所有上级节点的策略。

用户、用户组、安全的来源:

  1. 手动配置

  2. CSV格式导入(批量导入)

  3. 服务器导入

  4. 设备自动发现并创建

在线用户:

用户访问网络资源前,首先需要经过FW的认证,目的是识别这个用户当前在使用哪个IP地址。对于通过认证的用户,FW还会检查用户的属性(用户状态、账号过期时间、IP/MAC地址绑定、是否允许多人同时使用该账号登录),只有认证和用户属性检查都通过的用户,该用户才能上线,称为在线用户

FW上的在线用户表记录了用户和该用户当前所使用的地址的对应关系,对用户实施策略,也就是对该用户对应的IP地址实施策略。

用户上线后,如果在线用户表项超时时间内(缺省30分钟)没有发起业务流量,则该用户对应的在线用户监控表项将被删除。当该用户下次再发起业务访问时,需要重新进行认证。

管理员可以配置在线用户信息同步,查看到已经通过认证的在线用户,并进行强制注销、全部强制注销、冻结和解冻操作。

Untitled

F、认证策略:

认证策略用于决定FW需要对哪些数据流进行认证,匹配认证策略的数据流必须经过FW的身份认证才能通过。

缺省情况下,FW不对经过自身的数据流进行认证,需要通过认证策略选出需要进行认证的数据流。

如果经过FW的流量匹配了认证策略将触发如下动作:

  • 会话认证:访问者访问HTTP业务时,如果数据流匹配了认证策略,FW会推送认证页面要求访问者进行认证。

  • 事前认证:访问者访问非HTTP业务时必须主动访问认证页面进行认证,否则匹配认证策略的业务数据流访问将被FW禁止。

  • 免认证:访问者访问业务时,如果匹配了免认证的认证策略,则无需输入用户名、密码直接访问网络资源。FW根据用户与IP/MAC地址的绑定关系来识别用户。

  • 单点登录:单点登录用户上线不受认证策略控制,但是用户业务流量必须匹配认证策略才能基于用户进行策略管控。

认证匹配依据:

源安全区域、目的安全区域、源地址/地区、目的地址/地区。

注意:认证策略在匹配是遵循从上往下的匹配策略。

缺省情况下,FW通过8887端口提供内置的本地Portal认证页面,用户可以主动访问或HTTP重定向至认证页面(https://接口IP地址:8887)进行本地Portal认证。

在线用户信息同步功能的服务端口,缺省值是8886。

防火墙用户与认证

RADIUS协议基础原理