NGFW的用户认证

Posted 坏坏-5

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了NGFW的用户认证相关的知识,希望对你有一定的参考价值。

目录

用户组织架构

用户的分类

认证流程

单点登录

接收PC消息模式

查询AD服务器安全日志模式

防火墙监控AD认证报文

Portal认证

接入用户认证

认证策略

配置流程


用户认证分类

  • 本地认证
  • 服务器认证
  • 单点登录
  • 短信认证

用户组织架构

  • 用户是网络访问的主体,使用用户可以更细化的进行网络行为控制和权限分配
  • 与用户组织结构
    • 认证域:用户组织结构的容器,防火墙存在默认的Default认证域,可以根据需求新建认证域
    • 用户组/用户:按树形结构组织,用户隶属于组
    • 安全组:横向组织结构的跨部门群组
  • 防火墙默认有一个缺省认证域,每个用户组包括多个用户和用户组
  • 用户组只能属于一个父用户组,用户至少属于一个组,也可以属于多个组

用户的分类

  • 管理员
    • 通过Console接口、Telnet、SSH、Web、FTP等登录到设备,对设备进行配置或操作的用户
  • 上网用户
    • 内部网络中访问网络资源的主体
  • 接入用户
    • 外部网络中访问网络资源的主体

认证流程

  • 单点登录是只要用户通过了其他认证系统(AD、AC、Radius)的认证,就相当于通过了防火墙的认证,防火墙只需要基于用户进行安全策略的放行
  • 免认证:将用户名与IP或MAC地址绑定,防火墙通过识别IP/MAC与用户的绑定关系,实现自动认证。与不认证不同
  • 会话认证:用户访问http业务时,防火墙会向用户通用Web认证页面,触发身份认证
    • 短信认证:通过用户输入手机号,再根据收到的验证码进行认证
    • Portal认证:防火墙内置Portal认证页面,当用户使用http/https的流量触发上网行为时,就会重定向到Portal认证页面
  • 事前认证:用户访问非http业务时,需要主动访问认证页面进行身份认证
    • 本地认证:用户名和密码信息保存在本地,根据本地的用户名和密码信息进行认证
    • 服务器认证:用户名和密码保存在服务器上,需要将认证信息提交到服务器,由服务器进行认证
  • 接入用户认证:VPN接入用户在接入过程中,防火墙对用户进行认证,为实现用户访问资源时,需要在次认证,可以配置二次认证
  • 认证策略
    • 上网用户使用免认证或会话认证方式触发认证过程,以及已经接入FW的接入用户使用会话认证方式触发认证过程时,必须经过认证策略的处理
    • 认证策略的作用是选出需要进行免认证或会话认证的数据流,对免认证的数据流,FW根据用户与IP/MAC地址的绑定关系来识别用户;对会话认证的数据流,FW会推送认证页面。认证策略对单点登录或事前认证方式不起作用
  • 本地认证/服务器认证
    • 决定用户认证时采用本地认证方式还是服务器认证方式,如果是服务器认证方式还包含了使用哪个认证服务器
  • 单点登录用户
    • 单点登录用户的认证过程FW不参与,只是从认证服务器接收用户登录/注销消息,所以认证域中的认证方式配置对单点登录用户不起作用。但是在与用户域名(dc字段)同名的认证域中配置的新用户选项对单点登录用户生效

单点登录

  • 防火墙不是认证点,防火墙通过获取其他认证系统的用户登录消息,来确认用户是否通过防火墙的认证
  • AD单点登录中,用户通过AD服务器的认证后,就会自动通过防火墙的认证
  • AD单点登录的实现方式
    • 接收PC消息模式
    • 查询AD服务器的安全日志模式
    • 防火墙监控AD认证报文

接收PC消息模式

  • 用户登录AD域,AD服务器向用户返回登录成功消息,并下发登录脚本
  • 用户的PC执行登录脚本,将用户登录信息发送给AD监视器
  • AD监视器连接到AD服务器,查询用户的登录信息,如果可以查询到用户的登录信息,咱将用户登录信息转发到防火墙
  • 防火墙从登录信息中提取出用户名和IP的对应关系,添加到在线用户列表中
  • 如果用户PC、AD服务器、AD监控器之间交互的报文经过了防火墙设备,则需要在防火墙上配置安全策略,放行这类报文

查询AD服务器安全日志模式

  • 访问者登录AD域,AD服务器上记录用户上线信息到安全日志中
  • AD监控器通过AD服务器提供的WIMI(Windows Management Instrumentation)接口,连接到AD服务器,查询安全日志,获取用户的登录信息
  • AD监控器从AD单点登录服务启动的时间为七点,定时查询AD服务器上产生的安全日志
  • AD监控器转发用户登录的消息到防火墙上,防火墙将用户上线

防火墙监控AD认证报文

  • 防火墙部署在用户和AD服务器之间,防火墙可以直接获取认证报文。如果认证报文不经过防火墙,可以配置镜像接口,将AD服务器发送给用户的认证结果报文镜像到防火墙
  • 防火墙无法获取到用户的注销信息时,只能根据在线用户的超时时间将用户下线
  • 防火墙需要使用独立的二层接口接收镜像认证报文,此接口不能与其它业务口公用

Portal认证

  • 由防火墙或第三方服务器提供Portal认证界面对用户进行认证
    • 会话认证:用户访问HTTP业务时触发
    • 事前认证:用户访问其他非HTTP业务之前,需要手动访问Portal认证页面
  • Portal认证触发方式-会话认证

  • 防火墙收到用户的访问HTTP业务数据流时,将HTTP请求重定向到认证页面,触发访问者身份认证
  • Portal认证触发方式-事前认证

  • 用户主动向防火墙提供的认证页面发起认证请求,防火墙收到认证请求后,对用户的身份进行认证

接入用户认证

  • 指对各类VPN接入的用户进行认证,触发认证的方式由接入的方式决定
    • SSL VPN
    • L2TP VPN
    • IPSec VPN
    • PPPoE
  • 认证流程
    • 用户登录设备,提交用户名和密码信息
    • 防火墙通知客户端通过认证
    • 允许用户访问
    • 防火墙虽然认证通过了,但是客户端需要访问相应的服务,还需要再防火墙上配置安全策略

认证策略

  • 用于决定防火墙需要对哪些数据流进行认证,匹配认证策略的数据流经过防火墙的身份认证后,才能通过
    • 安全策略用于不同区域间的流量访问
    • NAT策略用于防火墙需要针对哪些数据流量进行地址转换
  • 认证方式
    • 会话认证:用户访问HTTP业务时,触发认证,防火墙推送认证页面要求用户登录认证
    • 事前认证:用户访问非HTTP业务之前需要手动访问防火墙提供的认证页面,进行登录认证
    • 免认证:用户访问业务时,不需要输入用户名和密码信息,防火墙会根据用户与IP/MAC地址的关系进行认证
    • 单点登录:用户访问业务时,用户上线不受认证策略控制,但是用户业务流量必须匹配认证策略才能基于用户进行策略管控
  • 认证策略是多个认证策略规则的集合,由条件和动作组成
  • 认证策略组成
    • 条件
      • 源/目安全区域
      • 源/目地址
    • 动作
      • Portal认证
      • 短信认证
      • 免认证
      • 不认证

配置流程

  • 配置认证方式,本地认证或服务器认证
    • 服务器认证需要配置单点登录服务器或第三方认证服务器(Radius、LDAP)
  • 配置认证域,即针对哪个区域、哪个地址段进行认证
  • 配置认证的组/用户
    • 可以直接手动创建用户组和用户
    • 可以从服务器进行导入(支持CSV和数据库的dbm格式)
  • 配置认证选项,可以配置用户登录需要修改密码、错误登录最大次数、Portal的端口等信息
  • 配置认证策略,匹配的数据流,使用什么认证动作(Portal认证、短信认证、免认证、不认证)
  • Radius服务器提供认证服务时,使用1812端口,提供计费服务时,使用1813端口

以上内容均属原创,如有不详或错误,敬请指出。

本文作者: 坏坏

本文链接:http://t.csdn.cn/oJlTo

版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接!

以上是关于NGFW的用户认证的主要内容,如果未能解决你的问题,请参考以下文章

NGFW的用户认证

总部与分支机构之间建立点到点IPSec ***(预共享密钥认证)

NGFW的Portal认证实验

NGFW的Portal认证实验

NGFW的Portal认证实验

shiro的认证