【强叔侃墙第二季】17 IP渐欲迷人眼,认证方能辨真身---用户与认证基础

digest [复制链接]
发表于 : 2016-4-13 15:24:22 最新回复:2019-08-16 09:27:34
8640 6
强叔侃墙
强叔侃墙 官方号

强叔第二季已经奉上了IPSAVURL过滤、邮件过滤、审计等内容安全特性大餐,我想大家应该已经发现,保护企业网络安全,内控与外防同样重要,有很多攻击都是因为企业内部员工有意或无意造成的。

内控的主要手段就是对企业内部员工进行权限控制和行为审计,杜绝非法操作。由于IP地址动态变化,传统防火墙以IP地址作为管控对象已经无法满足精细化管控的需求,根据用户帐号管控才是王道。华为NGFW支持通过多种认证方式获取用户信息,并基于用户配置安全策略、审计策略等安全功能,基本过程如下:

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-1

从上图可以看出实施基于用户的管控,有两个关键因素:

1、在NGFW上部署认证功能,将流量的源IP识别为用户。当IP地址变化时,更新IP地址和用户的对应关系。

2、在各类策略中引用用户,这就要求NGFW上需要有一套用户组织结构,方便企业管理员分级、分层对用户行为进行监控和管理。

为了让大家先有个直观的认识,首先来介绍一下NGFW上的用户组织结构。

用户组织结构

NGFW中的用户组织结构是实际企业中组织结构的映射,是基于用户进行权限管控的基础。用户组织结构分为按部门进行组织的树形维度、按跨部门群组进行组织的横向维度。

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-2

用户组织结构中涉及如下三个概念:

认证域

树形组织结构的树根,就是大家已经很熟悉的AAA中的domainNGFW缺省存在default认证域,可以根据需求新建认证域。

每个认证域是一个独立的树形组织结构,类似于AD/LDAP等认证服务器上的域结构。各认证域的用户账号独立,不同认证域的账号允许重名。

用户组/用户

认证域的下级就是用户组、用户,可以理解为企业的部门、员工。这里的用户与大家熟悉的其他数通产品AAAlocal-user是不同的,local-user是扁平结构的,NGFW的用户组织结构是树形的,方便分级控制,而且用户的属性更丰富。

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-3

安全组

对应横向组织结构的跨部门群组。当需要基于部门以外的维度对用户进行管理可以创建跨部门的安全组。

另外当企业通过第三方认证服务器存储组织结构时,服务器上也存在类似的横向群组,为了基于这些群组配置策略,NGFW上也需要创建安全组与服务器上的组织结构保持一致。

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-4

NGFW如此划分组织结构,一方面是与企业实际组织结构对应,另一方面是为了与认证服务器对应,以便更好地支撑服务器认证。当企业部署了认证服务器时,需要将服务器上的组织结构导入NGFW才能基于用户配置各类策略。

例如AD服务器上的组织单元对应NGFW的用户组,安全组对应NGFW的静态安全组。

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-5

再例如Sun ONE LDAP服务器中,组织单元对应NGFW的用户组,静态组对应NGFW的静态安全组,动态安全组对应NGFW的动态安全组。

静态安全组组好理解,就是在安全组中加入固定的用户成员;动态安全组定义了一个过滤条件,所有匹配条件的用户都是该组的成员。所以称之为动态组,是因为每次读取其组员名单时,要动态计算过滤条件。下图中就显示了Sun ONE LDAP服务器动态组的过滤条件,用户ID包含“user”的用户都属于该动态组。过滤条件由一些属性过滤语句组成,LDAP服务器上每个条目都有很多属性及其属性值,后续讲服务器认证时还将会详细介绍。

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-6

 

所有用户/用户组/安全组信息都保存在设备内部数据库中,不体现在配置文件中。

认证类型

认证的主要目的是将IP识别为用户,NGFW既支持直接对用户认证,也支持从已经部署好的认证系统中同步用户上线信息(单点登录SSO)。

认证类型

用户接入方式

适用场景

内置Portal认证(本地认证、服务器认证)

NGFW提供内置Portalhttps://接口IP地址:8887),用户访问HTTP业务时NGFW将其重定向到此Portal页面。

本地认证:通过本地用户校验用户名、密码。

服务器认证:将用户名、密码转发至认证服务器校验。

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-7

适用于将NGFW作为认证接入设备,直接由NGFW认证用户的场景。

免认证

用户直接访问网络资源,感知不到认证过程。

NGFW将用户名与IP/MAC地址双向绑定,NGFW通过识别绑定关系,使用户自动通过认证。

一般适用于企业的高级管理者,既可以简化认证过程,又只能使用固定IP/MAC地址登录提高安全性。

单点登录(AD/RADIUS/TSM单点登录)

用户使用已有的认证系统的接入方式,感知不到防火墙的认证。

?AD SSO:用户登录AD域,由AD服务器认证用户。

?TSM SSO:华为公司的Agile Controller认证用户。

?RADIUS单点登录:用户接入NAS设备,NAS设备转发认证请求到RADIUS服务器认证。

适用于企业已经部署好了认证系统,但是需要通过防火墙进行策略控制的场景。

NGFW间接获取用户上线信息,不参与认证。

自定义Portal认证

NGFW与自定义Portal联动,用户访问HTTP业务时NGFW将其重定向到自定义Portal页面

自定义Portal可以是NGFW本地存储的页面,也可以是外部Portal服务器。

适用于内置Portal不符合需求,使用其他Portal对用户认证的场景。

目前比较常用的是Agile Controller作为外部Portal的场景。

以上认证方式的实现过程可以简单用一张图概括:

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-8

说明:

上图中出现了几个概念,这里先简单解释下,强叔后续在详细介绍各种认证方式时都会详解,莫急~

会话认证、事前认证:NGFW只支持对HTTP流量重定向,例如用户访问http://www.baidu.comNGFW向用户推送Portal页面,用户通过认证后才能继续访问,这种认证叫会话认证。对于FTP等非HTTP流量NGFW不支持重定向,此时用户需要事先访问Portal页面进行认证,然后才能访问业务,这种认证叫事前认证。

上网用户、接入用户:用户的组织结构及创建方式都是一样的,只是按业务类型将用户划分成两类,上网用户指的是企业内部网络中访问网络资源的用户,用户访问网络资源时NGFW对其进行认证;接入用户指的是通过VPN接入NGFW的用户,接入过程中NGFW对其进行认证。

接入用户VPN接入成功后,下一步就是访问网络资源,此时又相当于上网用户,这之间有着剪不断理还乱的关系,强叔在讲完上网用户的各类认证方式后会专门开一篇介绍。

认证策略

讲到这里有的人可能要问了,VPN认证我们都熟悉,协议实现中已经定义好了哪个环节对用户进行认证,用户在客户端侧必须先认证才能接入VPN。但是这个上网认证,NGFW是怎么控制要对哪些流量进行认证的呢?认证策略闪亮登场!

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-9

认证策略是用户认证、基于用户的策略管控的入口条件:

l  匹配认证策略的流量必须经过NGFW的身份认证才能通过NGFW。当用户访问HTTP业务时NGFW会向用户推送Portal页面要求进行认证;当用户访问非HTTP业务时,用户需要主动访问Portal页面进行认证。认证后NGFW记录源IP与用户名的对应关。

l  用户流量必须匹配认证策略,基于用户的策略配置才生效。

NGFW存在一条缺省的认证策略default,动作为不认证。当需要进行身份认证时,按需配置动作为认证的认证策略。

image013

为了避免用户误配置认证策略,NGFW还贴心地直接将一些不需要受认证策略控制的流量直接Bypass,以下流量即使匹配了认证策略也不会要求进行认证:

?访问设备本身或设备本身发起的流量

?DHCPBGPOSPFLDP报文

?触发认证的第一条HTTP业务数据流对应的DNS报文不受认证策略控制,用户认证通过上线后的DNS报文受认证策略控制。

 

在内部实现上,认证策略的处理位于安全策略之前获取用户信息,否则安全策略中的用户匹配条件就无法匹配了。所以当发现流量无法通过防火墙时,除了检查安全策略还要检查是否误配置了认证策略。

下边我们看一个小例子:

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-11

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-12

缺省包过滤已经放开,但是PC却无法访问服务器,查看流量统计发现UM_FIRST_PROCCESS_FAIL模块存在丢包,UM模块就是用户管理模块,据此可以判定流量被认证策略丢包。

[FW-diagnose] display firewall statistic acl source-ip 192.168.0.2

Current Show sessions count: 1

 Protocol(ICMP) SourceIp(192.168.0.2) DestinationIp(10.2.1.1)  

 SourcePort(1) DestinationPort(2048) VpnIndex(public)  

                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag  

 Obverse(pkts) : 4           0           0           4           0             

 Reverse(pkts) : 0           0           0           0           0         

  

 Discard detail information:

  UM_FIRST_PROCCESS_FAIL        :     4

查看认证策略的配置,发现配置了源IP192.168.0.2的流量需要进行认证才能通过NGFW。如果确认该流量不需要认证,删除认证策略即可。

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-13

上述例子中的问题,对非HTTP流量尤为明显,因为此时NGFW不会向用户推送Portal页面,管理员往往很难想到是认证策略的问题。还是那句话,一旦配置了认证策略,匹配认证策略的流量必须通过会话或事前认证的方式进行身份认证。

在线用户

用户访问网络资源前,首先需要经过NGFW的认证,目的是识别这个用户当前在使用哪个IP地址。对于通过认证的用户,NGFW还会检查用户的属性(用户状态、账号过期时间、IP/MAC地址绑定、是否允许多人同时使用该账号登录),只有认证和用户属性检查都通过的用户,该用户才能上线,称为在线用户。

NGFW上的在线用户表记录了用户和该用户当前所使用的地址的对应关系,对用户实施策略,也就是对该用户对应的IP地址实施策略。

【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-1050819-14

 

用户上线后,如果在线用户表项超时时间内(缺省30分钟)没有发起业务流量,则该用户对应的在线用户表项将被删除。当该用户下次再发起业务访问时,需要重新进行认证。

 

至此,本篇将用户与认证相关的基础知识介绍完了,大家先有个印象。接下来几篇强叔会具体介绍每种认证方式的原理和配置。

 

【返回汇总贴】

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
li yue
li yue   发表于 2016-4-13 15:41:35 已赞(0) 赞(0)

多谢强叔!

  • x
  • 常规:

点评 回复

zjmx_wuhan
zjmx_wuhan   发表于 2016-6-12 16:07:34 已赞(0) 赞(0)

非常实用,学习一下

  • x
  • 常规:

点评 回复

雪糕杀手
雪糕杀手   发表于 2016-7-19 10:18:46 已赞(0) 赞(0)

支持强叔的精彩文章!
  • x
  • 常规:

点评 回复

lirongxuan
lirongxuan   发表于 2016-8-5 14:28:10 已赞(0) 赞(0)

支持强叔,学习一下~

  • x
  • 常规:

点评 回复

GhostBoy
GhostBoy   发表于 2019-8-16 09:25:33 已赞(0) 赞(0)

学习【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-3035723-1【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-3035723-2【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-3035723-3【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-3035723-4【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-3035723-5【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-3035723-6
  • x
  • 常规:

点评 回复

Yep
Yep   发表于 2019-8-16 09:27:34 已赞(0) 赞(0)

强叔的标题很个性【强叔侃墙第二季】17  IP渐欲迷人眼,认证方能辨真身---用户与认证基础-3035741-1
  • x
  • 常规:

点评 回复

福建龙田网络科技
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录