https://www.cnblogs.com/zylsec/p/15518084.html

信息安全基础知识笔记08 防火墙用户管理以及应用

　　用户管理将分为不同的用户组，通过对用户认证，将用户打上标签，并且为用户组赋予不同的权限和应用，从而实现安全的目标。

　　本笔记主要介绍用户组织架构以及分类，管理员认证流程和配置，上网用户及接入用户认证流程，用户认证策略和上网用户认证配置。

　　用户组织架构及分类

　　（1）用户组织架构

　　用户是网络访问的主体，是防火墙进行网络行为控制和网络权限分配的基本单元。

　　用户组织结构中涉及如下三个概念：

　　① 认证域：用户组织结构的容器，防火墙缺省存在default认证域，用户可以根据需求新建认证域。

　　② 用户组/用户：用户按树形结构组织，用户隶属于组（部门）。管理员可以根据企业的组织结构来创建部门和用户。

　　③ 安全组：横向组织结构的跨部门群组。当需要基于部门以外的维度对用户进行管理可以创建跨部门的安全组。例如企业中跨部门成立的群组。

　　Tips：当企业通过第三方认证服务器存储组织结构时，服务器上也存在类似的横向群组，为了基于这些群组配置策略，防火墙上需要创建安全组与服务器上的组织结构保持一致。

　　（2）组织结构管理

　　系统默认有一个缺省认证域，每个用户组可以包括多个用户和用户组。

　　每个用户组只能属于一个父用户组，每个用户至少属于一个用户组，也可以属于多个用户组。

　　mportant"/>

　　Tips：认证域的概念

　　认证域是认证流程中的重要环节，认证域上的配置决定了对用户的认证方式以及用户的组织结构。

　　① 对于不同认证方式的用户，认证域的作用不尽相同。

　　② 防火墙通过识别用户名中包含的认证域，将所有待认证的用户“分流”到对应的认证域中，根据认证域上的配置来对用户进行认证。

　　③ 为了给不同的用户或部门进行差异化管理，分配不同的权限，需要对组织结构进行规划和管理。防火墙支持创建树型的组织结构，这种结构和通常的行政架构比较类似，非常方便规划和管理。

　　④ 每个用户（组）可以被安全策略、限流策略等引用，从而实现基于用户的权限和带宽资源控制。

　　⑤ 如果管理员使用缺省的default认证域对用户进行认证，用户登录时只需要输入用户名；如果管理员使用新创建的认证域对用户进行认证，则用户登录时需要输入“用户名@认证域名”。

　　（3）用户分类

　　用户分类主要分为管理员，上网用户和接入用户。

　　① 管理员用户：为了实现对设备的管理、配置和维护而设立的用户角色。登录方式可以分为

　　Console、Web、Telnet、FTP、SSH

　　② 上网用户：内部网络中访问网络资源的主体，如企业总部的内部员工。上网用户可以直接通过防火墙访问网络资源。

　　上网用户是网络访问的标识主体，是设备进行网络权限管理的基本单元。设备通过对访问网络的用户进行身份认证，从而获取用户身份，并针对用户的身份进行相应的策略控制。

　　③ 接入用户：外部网络中访问网络资源的主体，如企业的分支机构员工和出差员工。为了实现访问内部网络，主要有：

　　通过SSL VPN接入设备后访问网络资源

　　通过L2TP VPN接入设备后访问网络资源

　　通过IPSec VPN接入设备后访问网络资源

　　通过PPPoE接入设备后访问网络资源

　　管理员认证流程和配置

　　管理员主要为了实现对设备的管理、配置和维护，登录方式可以分为：

　　① Console

　　Console接口提供命令行方式对设备进行管理，通常用于设备的第一次配置，或者设备配置文件丢失，没有任何配置。当设备系统无法启动时，可通过Console口进行诊断或进入BootRom进行升级。

　　② Web

　　终端通过HTTP/HTTPS方式登录到设备进行远程配置和管理。

　　③ Telnet

　　Telnet是一种传统的登录方式，通常用于通过命令行方式对设备进行配置和管理。

　　④ FTP

　　FTP管理员主要对设备存储空间里的文件进行上传和下载。

　　⑤ SSH

　　SSH提供安全的信息保障和强大的认证功能，在不安全的网络上提供一个安全的“通道”。此时，设备作为SSH服务器。

　　（1）Console/Telnet/Ftp设备管理类型

　　I、命令行方式

　　Step 1: 配置登录方式

　　Console：

　　[USG] user-interface console 0

　　[USG-ui-con0] authentication-mode aaa

　　Telnet:

　　[USG] user-interface vty 0 3

　　[USG-ui-vty0] authentication-mode aaa

　　Step 2: AAA认证视图

　　[USG] aaa

　　[USG -aaa]manager-user client001

　　[USG -aaa-manager-user-client001]password cipher Admin@123

　　[USG -aaa-manager-user-client001]service-type terminal telnet ftp

　　[USG -aaa-manager-user-client001]level 3

　　[USG -aaa-manager-user-client001]ftp-directory hda1:

　　II、Web方式

　　在“系统 > 管理员 > 管理员 > 新建”，新建管理员Client01，并设置设备管理类型Console, Telnet, FTP。

　　（2）SSH设备管理类型

　　I、命令行方式

　　Step 1：启动SSH服务

　　[USG]stelnet server enable

　　Info: The Stelnet server is already started.

　　Step 2：为SSH用户sshuser配置密码为Admin@123。

　　[USG] aaa

　　[USG-aaa] manager-user sshuser

　　[USG-aaa-manager-user-client001] ssh authentication-type password

　　[USG-aaa-manager-user-client001] password cipher Admin@123

　　[USG-aaa-manager-user-client001] service-type ssh

　　以上配置完成后，运行支持SSH的客户端软件，建立SSH连接

　　II、Web方式

　　创建管理员Client01，并设置设备管理类型为SSH。

　　（4）Web设备管理类型

　　I、命令行方式

　　Step 1：启动Web管理功能。

　　[USG] web-manager security enable port 6666

　　Step 2：配置Web用户。

　　[USG] aaa

　　[USG-aaa]manager-user webuser

　　[USG-aaa-manager-user-webuser]password cipher Admin@123

　　[USG-aaa-manager-user-webuser]service-type web

　　[USG-aaa-manager-user-webuser]level 3

　　II、Web方式

　　Step 1：创建管理员webuser，设置用户级别。

　　Step 2：在“系统 > 管理员 > 设置”设置HTTPS/HTTP服务端口,当使用HTTP登录设备后，不可以关闭HTTP服务，同时不能修改HTTP服务端口；当使用HTTPS登录设备后，不可以关闭HTTPS服务，同时不能修改HTTPS服务端口。

　　上网用户及接入用户认证流程

　　（1）基本概念

　　上网用户认证的方式有多种，主要可以通过单点登录，防火墙内置portal认证，以及对各类VPN接入的用户进行认证等。

　　① 上网用户单点登录

　　用户只要通过了其他认证系统的认证就相当于通过了防火墙的认证。用户认证通过后防火墙可以获知用户和IP的对应关系，从而基于用户进行策略管理。此种方式适用于部署防火墙用户认证功能之前已经部署认证系统的场景。

AD单点登录：用户登录AD域，由AD服务器进行认证。
Agile Controller单点登录：用户由华为公司的Agile Controller系统（Policy Center或Agile Controller）进行认证。
RADIUS单点登录：用户接入NAS设备，NAS设备转发认证请求到RADIUS服务器进行认证。

　　② 上网用户内置Portal认证

　　防火墙提供内置Portal认证页面（缺省为https://接口IP地址:8887）对用户进行认证。防火墙可转发认证请求至本地用户数据库、认证服务器。此种方式适用于通过防火墙对用户进行认证的场景。

会话认证：当用户访问HTTP业务时，防火墙向用户推送认证页面，触发身份认证。
事前认证：当用户访问非HTTP业务时，只能主动访问认证页面进行身份认证。

　　③ 上网用户自定义Portal认证

　　防火墙与自定义Portal联动对用户进行认证。例如：Agile Controller可以作为外部Portal服务器对用户进行认证。目前存在两种类型的自定义Portal认证。

　　用户访问HTTP业务时，防火墙向用户推送自定义Portal认证页面，触发身份认证。

　　④ 上网用户免认证（注意与不认证的区别）

　　用户不输入用户名和密码就可以完成认证并访问网络资源。

　　免认证与不认证有差别，免认证是指用户无需输入用户名、密码，但是防火墙可以获取用户和IP对应关系，从而基于用户进行策略管理。

　　将用户名与IP或MAC地址双向绑定，防火墙通过识别IP/MAC地址与用户的绑定关系，使用户自动通过认证。此种方式一般适用于高级管理者。

　　⑤ 上网用户短信认证

　　防火墙通过短信验证码对用户进行认证。用户在防火墙提供的短信认证Portal页面中获取短信验证码，输入后通过认证。用户通过认证后作为临时用户在防火墙上线。

会话认证：当用户访问HTTP业务时，防火墙向用户推送认证页面，触发身份认证。
事前认证：当用户访问非HTTP业务时，只能主动访问认证页面进行身份认证。

　　⑥ 接入用户认证

　　VPN接入用户接入过程中防火墙对用户进行认证。如果期望接入认证成功后、访问资源前再次进行认证，可以配置二次认证。

　　本地认证、服务器认证。

　　Tips：补充概念

　　① 认证策略

　　上网用户使用免认证或会话认证方式触发认证过程、以及已经接入防火墙的接入用户使用会话认证方式触发认证过程时，必须经过认证策略的处理。

　　认证策略的作用是选出需要进行免认证或会话认证的数据流，对免认证的数据流，防火墙根据用户与IP/MAC地址的绑定关系来识别用户；对会话认证的数据流，防火墙会推送认证页面。认证策略对单点登录或事前认证方式不起作用。

　　② 本地认证/服务器认证用户

　　决定用户认证时采用本地认证方式还是服务器认证方式，如果是服务器认证方式还包含了使用哪个认证服务器。

　　③ 单点登录用户

　　单点登录用户的认证过程防火墙不参与，只是从认证服务器接收用户登录/注销消息，所以认证域中的认证方式配置对单点登录用户不起作用。但是在与用户域名（dc字段）同名的认证域中配置的新用户选项对单点登录用户生效。

　　（2）单点登录

　　单点登录是指防火墙不是认证点，防火墙通过获取其他认证系统的用户登录消息，使用户在防火墙上线。

　　AD单点登录是用户希望经过AD服务器的认证后，就会自动通过防火墙的认证，然后可以访问所有的网络资源。AD单点登录主要有三种登录实现方式：

接受PC消息模式
查询AD服务器安全日志模式
防火墙监控AD认证报文

　　访问者可以使用AD单点登录的方式来触发防火墙上的认证。设备通过启用单点登录功能，可以识别出经过这些身份认证系统认证通过的用户，避免用户上网时再次要求输入用户名/密码。AD单点登录时，防火墙支持通过多种方式获取用户认证通过的消息。

　　① AD单点登录 (接收PC消息模式)

　　管理员需要在AD监控器上部署AD单点登录服务，在AD服务器（AD域控制器）上设置登录脚本和注销脚本，同时在防火墙上配置AD单点登录参数，接收AD单点登录服务发送的用户登录/注销消息。

　　具体登录过程如下:

　　Step 1：访问者登录AD域，AD服务器向用户返回登录成功消息并下发登录脚本。

　　Step 2：访问者PC执行登录脚本，将用户登录信息发送给AD监控器。

　　Step 3：AD监控器连接到AD服务器查询登录用户信息，如果能查询到该用户的信息则转发用户登录信息到防火墙。

　　Step 4：防火墙从登录信息中提取用户和IP的对应关系添加到在线用户表。

　　Tips：

AD监控器可以是AD域控制器也可以是AD域中其他机器。
如果访问者与AD服务器、访问者与AD监控器、AD监控器与AD服务器之间的交互报文经过了防火墙，则需要确保防火墙上的认证策略不对这些报文进行认证，同时在安全策略中保证这类报文可以正常通过防火墙。
关于域（windows域，AD域）和组的概念，可以参考网络上大神提供的答案，链接如下：

　　关于AD域的介绍 https://blog.csdn.net/weixin_43926268/article/details/89923406

windows域，AD域以及AD域部署 https://zhuanlan.zhihu.com/p/45553448

　　② AD单点登录 (查询AD服务器安全日志模式)

　　管理员需要在AD监控器上部署AD单点登录服务，同时在防火墙上配置AD单点登录参数，接收AD单点登录服务发送的用户登录消息。

　　具体登录过程如下：

　　Step 1：访问者登录AD域，AD服务器记录用户上线信息到安全日志中。

　　Step 2：AD监控器通过AD服务器提供的WMI（Windows Management Instrumentation）接口，连接到AD服务器查询安全日志，获取用户登录消息。

　　Step 3：AD监控器从AD单点登录服务开始启动的时间点为起点，定时查询AD服务器上产生的安全日志。

　　Step 4：AD监控器转发用户登录消息到防火墙，用户在防火墙上线。

　　③ AD单点登录 (防火墙监控AD认证报文)

　　管理员无需在AD服务器上安装程序。防火墙通过监控访问者登录AD服务器的认证报文获取认证结果，如果认证成功将用户和IP对应关系添加到在线用户表。

　　当防火墙部署在访问者和AD服务器之间时，防火墙可以直接获取认证报文；如果认证报文未经过防火墙，则需要将AD服务器发给访问者的认证结果报文镜像到防火墙。

　　当使用该方式实现AD单点登录时：

防火墙无法获取用户的注销消息，因此只能根据在线用户超时时间使用户下线。
存在认证报文被恶意篡改、用户身份被伪造的风险，请谨慎使用。
防火墙需要使用独立的二层接口接收镜像认证报文，该接口不能与其他业务口共用。不支持配置管理口GigabitEthernet 0/0/0接收镜像报文。

　　除了AD单点登录，防火墙还提供TSM单点登录和RADIUS单点登录。

　　（3）上网用户Portal认证

　　Portal认证是指由防火墙或第三方服务器提供Portal认证页面对用户进行认证。

　　防火墙内置Portal认证的触发方式包括：

会话认证：会话认证是用户不主动进行身份认证，先进行HTTP业务访问，在访问过程中进行认证。认证通过后，再进行业务访问。
事前认证：事前认证是指访问者在访问网络资源之前，先主动进行身份认证。认证通过后，再访问网络资源。

　　① 内置Portal认证触发方式 - 会话认证

　　当防火墙收到用户的第一条HTTP业务访问数据流时，将HTTP请求重定向到认证页面，触发访问者身份认证。认证通过后，就可以访问HTTP业务以及其他业务。

　　当防火墙收到访问者的第一条目的端口为80的HTTP业务访问数据流时，将HTTP请求重定向到认证页面，触发访问者身份认证。认证通过后，就可以访问HTTP业务以及其他业务。

　　② 内置Portal认证触发方式 - 事前认证

　　用户主动向防火墙提供的认证页面发起认证请求。防火墙收到认证请求后，对其进行身份认证。认证通过后，就可以访问Internet。

　　Tips：

　　防火墙还支持自定义Portal认证，目前存在两种类型的自定义Portal认证。

　　采用这两种类型的自定义Portal认证时，企业需要单独部署外部Portal服务器，例如，都可以部署Agile Controller作为Portal服务器。

　　（4）接入用户认证

　　接入用户认证指的是对各类VPN接入用户进行认证。触发认证的方式由接入方式决定，包括:

　　SSL VPN、L2TP VPN、IPSec VPN、PPPoE

　　① SSL VPN接入用户

　　访问者登录SSL VPN模块提供的认证页面来触发认证过程，认证完成后，SSL VPN接入用户可以访问总部的网络资源。

　　② L2TP VPN接入用户

　　对于LAC自主拨号方式，在接入阶段，分支机构的LAC通过拨号方式触发认证过程，与LNS建立L2TP VPN隧道。在访问资源阶段，分支机构中的访问者可以使用事前认证、会话认证等方式触发认证过程，认证完成后，L2TP VPN接入用户可以访问总部的网络资源。

　　对于NAS-Initiated/Client-Initiated方式，在接入阶段，访问者通过拨号方式触发认证过程，与LNS建立L2TP VPN隧道。在访问资源阶段，分支机构中的访问者可以直接访问总部的网络资源；也可以使用事前认证、会话认证等方式触发二次认证，通过二次认证后，访问总部的网络资源。

　　③ IPSec VPN接入用户

　　分支机构与总部建立IPSec VPN隧道后，分支机构中的访问者可以使用事前认证、会话认证等方式触发认证过程，认证完成后，IPSec VPN接入用户可以访问总部的网络资源。

　　Tips：SSL接入用户访问内部资源举例

　　SSL VPN是以HTTPS为基础的VPN技术，工作在传输层和应用层之间，在Internet基础上提供机密性的安全协议。主要提供业务有Web代理、网络扩展、文件共享和端口转发。

　　SSL协议通信的握手步骤如下：

　　Step 1：SSL客户端向SSL服务器发起连接，并要求服务器验证自身的身份。

　　Step 2：服务器通过发送自身的数字证书证明身份。

　　Step 3：服务器发出一个请求，对客户端的证书进行验证。

　　Step 4：验证通过后，协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。

　　Step 5：客户端和服务器通过以下步骤生成会话密钥：

客户端生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对它加密，以送到服务器上。
服务器用随机数据（客户端的密钥可用时则使用客户端密钥，否则以明文方式发送数据）响应。
使用哈希函数从随机数据中生成密钥。

　　关于非对称加密算法（公私钥加密）的详细介绍，后面会单独开一期进行阐述。

　　如上图所示，某企业在网络边界处部署了防火墙作为VPN接入网关，连接内部网络与Internet。出差员工通过SSL VPN接入到防火墙后，使用网络扩展业务访问网络资源。

　　用户认证策略

　　（1）认证策略

　　认证策略用于决定防火墙需要对哪些数据流进行认证，匹配认证策略的数据流必须经过防火墙的身份认证才能通过。缺省情况下，防火墙不对经过自身的数据流进行认证，需要通过认证策略选出需要进行认证的数据流。如果经过防火墙的流量匹配了认证策略将触发如下动作：

　　会话认证：用户访问HTTP业务时，如果数据流匹配了认证策略，防火墙会推送认证页面要求访问者进行认证。

　　事前认证：用户访问非HTTP业务时必须主动访问认证页面进行认证，否则匹配认证策略的业务数据流访问将被防火墙禁止。

　　免认证：用户访问业务时，如果匹配了免认证的认证策略，则无需输入用户名、密码直接访问网络资源。防火墙根据用户与IP/MAC地址的绑定关系来识别用户。

　　单点登录：单点登录用户上线不受认证策略控制，但是用户业务流量必须匹配认证策略才能基于用户进行策略管控。

　　以下流量即使匹配了认证策略也不会触发认证：

访问设备或设备发起的流量。
DHCP、BGP、OSPF、LDP报文。
触发认证的第一条HTTP业务数据流对应的DNS报文不受认证策略控制，用户认证通过上线后的DNS报文受认证策略控制。

　　（2）认证策略组成信息

　　认证策略是多个认证策略规则的集合，认证策略决定是否对一条流量进行认证。认证策略规则由条件和动作组成。

　　条件指的是防火墙匹配报文的依据，包括：

源/目的安全区域
源地址/地区
目的地址/地区

　　动作指的是防火墙对匹配到的数据流采取的处理方式，包括：

Portal认证：对符合条件的数据流进行Portal认证。
短信认证：对符合条件的数据流进行短信认证，要求用户输入短信验证码。
免认证：对符合条件的数据流进行免认证，防火墙通过其他手段识别用户身份。

　　主要应用于以下情况：

　　① 对于企业的高级管理者来说，一方面他们希望省略认证过程；另一方面，他们可以访问机密数据，对安全要求又更加严格。为此，管理员可将这类用户与IP/MAC地址双向绑定，对这类数据流进行免认证，但是要求其只能使用指定的IP或者MAC地址访问网络资源。防火墙通过用户与IP/MAC地址的绑定关系来识别该数据流所属的用户。

　　② 在AD/TSM/RADIUS单点登录的场景中，防火墙已经从其他认证系统中获取到用户信息，对单点登录用户的业务流量进行免认证。