下载掌阅APP,畅读海量书库
立即打开
Portal认证也被称为Web认证。用户上网或访问资源服务器时,必须在Portal认证页面进行认证,认证成功后才能访问网络资源。防火墙提供内置Portal认证页面,当流量经过防火墙时可以触发Portal认证。
根据用户接入Portal认证页面的方式,内置Portal认证分为会话认证和事前认证两类。
会话认证: 当用户访问HTTP/HTTPS的网页时,流量匹配认证策略,防火墙将用户的访问请求重定向到内置Portal认证页面(https://防火墙接口IP地址:8887)。用户通过认证后才能继续访问网页。在默认情况下,防火墙只重定向HTTP请求,可以按需开启HTTPS请求重定向。
事前认证: 当用户访问FTP(File Transfer Protocol,文件传送协议)、SMTP(Simple Mail Transfer Protocol,简单邮件传送协议)等其他非HTTP/HTTPS业务时,用户必须事先主动访问Portal认证页面进行认证,通过认证后再访问业务。
我们以图1-12所示的用户上网场景为例,通过内置Portal认证的基础配置过程来直观了解内置Portal认证。
图1-12 内置Portal认证组网示意图
① 新建认证策略,如图1-13所示,控制流量必须通过Portal认证才能通过防火墙。
② 新建(本地)用户,如图1-14所示。
③ 配置Portal认证的安全策略,允许防火墙对用户上网流量重定向,如表1-3所示。
其中,第一条是允许用户访问防火墙内置Portal认证页面的安全策略,第二条是允许用户客户端的DNS请求报文通过防火墙的安全策略。用户发起HTTP连接时,用户客户端需要通过DNS请求报文获取域名对应的IP地址,然后才能发起HTTP连接,触发重定向认证。
图1-13 新建认证策略
图1-14 新建用户
表1-3 配置Portal认证的安全策略
在默认情况下,防火墙以接收用户HTTP流量的接口IP地址作为Portal认证页面的地址。但是,如果用户客户端与这个接口地址之间路由不可达,则需要自行设置与用户客户端路由可达的接口IP地址为Portal认证页面地址。
[sysname] user-manage redirect-authentication ipv4 10.1.1.1
执行如上命令后,需要将第一条安全策略中的目的IP地址指定为此命令中配置的地址。
④ 用户通过浏览器上网时,被重定向至Portal认证页面进行认证。用户在Portal认证页面中输入用户账号、密码,通过认证后,在防火墙上生成在线用户表,如图1-15所示。之后用户就可以正常访问资源。
图1-15 在线用户表
在默认情况下,用户通过Portal认证后,浏览器显示用户上线成功的页面。对于会话认证,可以使用命令调整认证通过后浏览器显示的页面。
浏览器直接显示Portal认证前用户要访问的页面,简化用户操作:
[sysname] user-manage redirect
浏览器显示指定URL(Uniform Resource Locator,统一资源定位符)的页面,例如企业需要定制认证成功页面:
[sysname] user-manage redirect url
在默认情况下,防火墙只将目的端口为80的HTTP业务请求重定向至Portal认证页面,对目的端口为443的HTTPS业务请求不进行重定向。针对HTTPS业务请求,用户必须主动访问防火墙的Portal认证页面进行认证,再发起业务请求,否则业务请求将被阻断。
使用命令 https { enable | disable action { bypass | block } },可以修改HTTPS业务请求的处理方式。
● enable 表示对HTTPS业务请求进行重定向。
● disable action bypass 表示直接放行HTTPS业务请求,用户不进行认证即可访问HTTPS业务。
● disable action block 表示阻断HTTPS业务请求,用户必须主动访问Portal认证页面进行认证,认证成功后才可以访问业务。
若要启用HTTPS重定向,需要创建自定义Portal认证模板,在自定义模板中设置Portal认证页面的URL,并启用HTTPS重定向。
[sysname] user-manage portal-template test //创建自定义Portal认证模板 [sysname-portal-template-test] portal-url https://192.168.0.6:8887 //在自定义模板中指定内置Portal认证页面的URL [sysname-portal-template-test] https enable //启用HTTPS重定向
然后,在认证策略中引用自定义Portal认证模板,如图1-16所示。
图1-16 在认证策略中引用自定义Portal认证模板
为满足企业个性化定制的需求,防火墙支持修改内置Portal认证页面的样式,具体如图1-17所示。
图1-17 自定义Portal认证页面
前文介绍了内置Portal认证的基本过程,那么防火墙如何校验用户输入的用户账号和密码呢?从这个角度划分,内置Portal认证可分为本地认证和服务器认证两种方式。
● 本地认证: 防火墙通过本地用户校验用户账号和密码。
● 服务器认证: 防火墙将用户账号和密码转发至认证服务器校验。防火墙支持RADIUS、HWTACACS(Huawei Terminal Access Controller Access Control System,华为终端访问控制器访问控制系统)、LDAP、AD服务器认证。
本地认证比较好理解,就是在防火墙上创建用户、认证用户。第1.2.1节就是以本地认证为例讲解的。但是大中型企业通常都会部署认证服务器,此时就涉及防火墙与认证服务器的对接。
在内置Portal认证中,防火墙使用AAA机制对用户进行认证,管理员需要在认证域中设置使用的认证方式,包括本地认证和服务器认证。
当用户输入用户账号和密码时,防火墙根据用户账号中携带的“@”后的字符串将用户“分流”到对应的认证域中。例如,zhangsan@research的认证域是research。如果用户账号中没有携带“@”,则属于默认的default认证域。然后,防火墙根据认证域中配置的认证方式,对用户进行本地认证或服务器认证,如图1-18所示。
图1-18 认证域与认证方式
本地认证需要在防火墙中创建本地用户,服务器认证需要在认证域中引用认证服务器的配置。下面就分别介绍这两种认证方式的配置方法。
如果防火墙采用本地认证,则需要管理员按照第1.1.2节的内容在防火墙中规划并创建用户、用户组和安全组。
① 可选:按需新建认证域,如图1-19所示。如果使用default认证域则不必新建认证域。
② 在认证域下,指定认证方式为本地认证,并根据用户组织结构新建用户、用户组、安全组,如图1-20所示。
图1-20所示的“用户所在位置”配置项,对应AAA的认证方案和认证模式配置。因为配置了test认证域,所以用户输入用户账号时必须输入“用户名@test”。
图1-19 新建认证域
图1-20 本地认证
[sysname] aaa [sysname-aaa] authentication-scheme newscheme //创建一个认证模板newscheme,并指定认证方式为本地认证 [sysname-aaa-authen-newscheme] authentication-mode local [sysname-aaa-authen-newscheme] quit [sysname-aaa] domain test //创建一个认证域test,引用前面创建的认证模板newscheme [sysname-aaa-domain-test] authentication-scheme newscheme
如果防火墙采用服务器认证,则需要配置认证服务器对接、从认证服务器导入用户等。服务器认证相对复杂,这里主要以微软的AD服务器认证为例讲解。
AD服务器与LDAP服务器类似,都是以目录的形式存储用户信息。如图1-21所示,AD服务器中有以域名为顶级节点的树形目录结构,域名下级有组织单位(部门)和用户。
图1-21 AD服务器
配置防火墙与AD服务器对接的前提是了解AD服务器的属性。AD服务器的属性信息不直观,推荐使用AD Explorer工具查看。通过AD Explorer连接AD服务器,可以看到AD服务器的每一个条目都是由一些属性和对应的属性值组成的。AD服务器常用属性如表1-4所示。
表1-4 AD服务器常用属性
借助AD Explorer可以非常方便地完成防火墙与AD服务器对接配置,配置对应关系如图1-22所示。
另外,出于安全性考虑,防火墙与AD服务器之间的LDAP认证过程默认采用LDAP over SSL(Secure Socket Layer,安全套接字层),也就是图1-22所示的“启用SSL”开关。因此,还需要将可以验证AD服务器证书的CA证书导入防火墙。
上文介绍了防火墙与AD服务器对接的过程。LDAP服务器常用属性如表1-5所示,防火墙与LDAP服务器对接的配置方法同防火墙与AD服务器对接的配置方法类似,本书不展开做具体介绍。
图1-22 配置防火墙与AD服务器对接
表1-5 LDAP服务器常用属性
通过防火墙认证用户的最终目的是控制用户可访问的资源,也就是基于用户或用户所在的用户组来配置策略。根据前文的讲解,当采用服务器认证时,防火墙将用户账号和密码转发给认证服务器去认证。但是,防火墙设备中并没有用户及用户组织结构的信息,配置策略时如何引用这些用户呢?
为了解决这一问题,我们还需要将认证服务器中的组织结构导入防火墙。防火墙支持配置服务器导入策略,将AD/LDAP服务器中的组织结构导入防火墙;对于RADIUS、HWTACACS服务器,则需要管理员自行在防火墙上创建与服务器对应的组织结构。
服务器导入策略支持不同的导入类型。
仅导入用户组: 仅将服务器中的树形组织结构(OU)导入防火墙。
仅导入安全组: 仅将服务器中的安全组导入防火墙。
同时导入用户和用户组: 同时导入服务器中的用户及树形组织结构。
同时导入用户和安全组: 同时导入服务器中的用户及安全组。
仅导入用户: 将服务器的所有用户导入防火墙的某个组下。这相当于将所有用户平铺,没有树形组织结构,使用场景较少。
全部导入: 将服务器的所有用户组、安全组和用户,按服务器上的组织结构导入防火墙。
管理员可以根据防火墙的策略控制规划,选择不同的导入类型。前两种比较常用,因为企业一般通过部门或群组控制用户权限,很少基于具体用户控制权限。
我们先来看服务器导入策略,如图1-23所示。
图1-23 服务器导入策略
服务器路径: 默认将服务器Base DN,也就是整个域下的对象导入防火墙。建议根据实际需要导入的范围指定服务器路径,避免导入时间过长,而且有超出防火墙支持规格的风险。
导入到用户组: 指的是将服务器上的组织结构或用户导入到防火墙的位置。对于AD/LDAP服务器,该用户组只能是与服务器域名同名的认证域下的用户组或default认证域下的用户组。什么叫“与服务器域名同名的认证域”呢?例如AD服务器的域名是“DC=cce,DC=com”,那么防火墙上与其同名的认证域就是“cce.com”。
过滤参数: 用于从AD/LDAP服务器过滤需要导入防火墙的信息。在执行导入操作时,服务器会根据该过滤条件搜索满足条件的用户、用户组、安全组信息,将其发送给防火墙。
过滤参数是由一系列属性以及运算符组成的过滤语句。语句中的ou、cn、sAMAccountName属性分别代表服务器上的组织单位、通用名和用户登录名(参见表1-4)。接着介绍objectClass和groupType。
在AD/LDAP服务器中,一个条目必须包含一个objectClass属性,且至少需要赋予一个值。objectClass属性的每个值都相当于一个数据存储的模板,类似于软件中的Class,模板中规定了属于这个objectClass属性的条目需要包含的属性。
例如,在图1-24所示的AD服务器上,用户的objectClass属性包含top、person、organizationalPerson、user。在过滤参数中指定objectClass属性,就确定了防火墙在AD服务器上的搜索范围。
图1-24 objectClass示例
介绍完objectClass再来介绍groupType。在第1.1.2节中介绍过,防火墙的安全组对应AD服务器的安全组、LDAP服务器的静态组/动态组。AD服务器的安全组分为本地域安全组、全局安全组和通用安全组,安全组使用groupType属性标识组类型。
● 本地域安全组:groupType=-2147483644。
● 全局安全组:groupType=-2147483646。
● 通用安全组:groupType=-2147483640。
例如,图1-25所示的groupType的组类型是本地域安全组。
图1-25 groupType示例
除属性外,在过滤参数中还有=(等于)、>=(大于等于)、<=(小于等于)、*(通配符)、&(与)、|(或)、!(非)等运算符。属性和运算符组成的表达式,确定了服务器导入策略的过滤条件。
现在我们回过头来看AD服务器导入策略的4个默认过滤参数的含义,如表1-6所示。
表1-6 AD服务器导入策略默认过滤参数
在一般情况下,防火墙为各种服务器预置的过滤参数已经可以满足需要。如果管理员非常了解AD/LDAP服务器的过滤语法,可以根据需要修改。例如,查询AD服务器上所有姓张且邮件地址中包含163的用户,用户的过滤语句为:(&(sn=张*)(mail=163*))。
在防火墙上创建认证服务器、服务器导入策略之后,就可以进入图1-26所示的认证域界面,完成服务器认证的完整配置了。推荐创建并使用与认证服务器域名同名的认证域。
图1-26 认证域界面
说明: 认证域界面中的认证策略和服务器导入策略并不需要被认证域引用,只是在同一个界面提供所有配置入口,方便管理员一站式配置。
首先,在认证域中关联使用的认证服务器,如图1-27所示。
图1-27 在认证域中关联认证服务器
图1-27所示界面对应AAA的如下配置。
[sysname] aaa [sysname-aaa] authentication-scheme newscheme [sysname-aaa-authen-newscheme] authentication-mode ad [sysname-aaa-authen-newscheme] quit [sysname-aaa] domain cce.com [sysname-aaa-domain-cce.com] authentication-scheme newscheme [sysname-aaa-domain-cce.com] ad-server ad-server
在认证域界面中还有一个关键选项“新用户认证选项”。在解释新用户认证选项的含义之前,先总结一下用户认证通过后被赋予权限的过程。如图1-28所示,用户认证通过后在防火墙上线,在线用户信息中包含用户的所属组,因此用户享有所属组中用户组或安全组的权限。
图1-28 在线用户所属组
那么,如果本地不存在这个用户,防火墙就不清楚这个用户应该属于哪个用户组。为了解决这个问题,需要配置新用户认证选项,指定当用户在防火墙中不存在时,用户属于哪个用户组或安全组。
如图1-29所示,新用户认证选项的处理方式包括如下3种。
图1-29 新用户认证选项
● 不允许新上网用户登录 (默认值):这里的上网用户是和接入用户对应的,上网用户代表本章讲解的内网访问网络资源的用户,接入用户一般是分支机构或出差员工通过VPN接入内网的用户。防火墙中两类用户的创建方式一致,只是在一些处理方式上有所不同。例如,之所以将“不允许新上网用户登录”设置为默认值,就是为了使接入用户能顺利完成VPN接入,而上网用户则需要管理员自行配置新用户认证选项。
● 不允许新用户登录: 不允许所有用户上线,包括上网用户和接入用户。要谨慎选择此种方式,以防影响用户通过VPN接入内网。
● 仅作为临时用户,不添加到本地用户列表中: 此时可以指定“使用该用户组权限”或“使用该安全组权限”,也就是使用户在指定的组上线,不将用户添加到防火墙中。
前文提到过,认证服务器中用户数量巨大,而且根据具体用户授权的场景也很少。因此,管理员通常会选择只将服务器中的组织结构导入防火墙,然后通过用户组或安全组控制用户权限。在这种情况下,相当于所有认证通过的用户都是“新用户”,如果仅指定“使用该用户组权限”或“使用该安全组权限”,那么所有用户权限相同,将无法实现分层、分级管控。
为了解决这一问题,需要在新用户认证选项中关联服务器导入策略,也就是设置“优先使用服务器上的用户组和安全组进行策略管理”。当用户认证通过后,防火墙通过服务器导入策略获取用户在服务器上所属的用户组或安全组,然后将用户在防火墙上同名的用户组或安全组中上线。如果防火墙上没有同名用户组或安全组,则使用“使用该用户组权限”或“使用该安全组权限”的配置。
到这里,关于服务器认证的讲解就告一段落,综合起来就是防火墙的Portal认证策略与AAA功能配合,实现内置Portal认证功能。最后,使用图1-30总结一下服务器认证的要素。
图1-30 服务器认证
● 在认证域中配置认证方式,指定认证方式为服务器认证。
● 配置认证服务器对接,用于防火墙转发用户账号和密码至目标服务器。本书没有详细介绍AD、LDAP、RADIUS、HWTACACS的具体内容及认证交互过程,如需学习,请查阅通用的RFC(Request For Comments,征求意见稿)文档。
● 配置服务器导入策略,将服务器组织结构导入防火墙,从而基于组织结构进行策略控制。
● 配置新用户认证选项,当防火墙本地不存在用户时,指定如何根据用户组或安全组进行策略控制。在服务器认证场景下,一般不会将海量用户导入防火墙,新用户认证选项配置很重要。
免认证是内置Portal认证中的一种特殊场景。有些企业的高级管理者希望简化认证过程,同时对安全要求又更加严格,一般都拥有专用设备。在防火墙上,将本地用户与IP地址或者MAC地址双向绑定,或者将本地用户同时与IP/MAC地址双向绑定。然后,防火墙通过识别IP/MAC地址与用户的双向绑定关系确定用户的身份。采用免认证方式,用户只能使用特定的IP/MAC地址来访问网络资源,并且其他用户也不允许使用该IP/MAC地址。用户在访问网络资源时不弹出Portal认证页面,无须输入用户账号和密码即可访问资源。可见,免认证并不是不认证,而是不需要用户输入用户账号和密码。
① 新建用户,将免认证用户与IP/MAC地址双向绑定,如图1-31所示。因为在免认证时无须输入密码,此处的密码只要符合要求即可。
② 新建认证策略,认证动作为免认证,如图1-32所示。
图1-31 免认证用户与IP/MAC地址双向绑定
图1-32 免认证的认证策略
完成图1-32所示的配置后,用户访问业务时流量经过防火墙,防火墙通过源IP/MAC地址识别用户,并使其上线,不再弹出Portal认证页面。
既然防火墙需要识别免认证用户的IP/MAC地址,那势必要求地址是固定的。
● 当配置了用户与MAC地址的双向绑定关系时,必须确保防火墙能获取用户的真实MAC地址。如果用户与防火墙之间存在其他三层设备,由于三层设备转发报文时改变了源MAC地址,用户就无法在防火墙上线。
● 当配置了用户与IP地址的双向绑定关系时,需要确保用户的IP地址是固定的,而非动态分配的。如果在网络中使用DHCP方式动态分配IP地址,则需要在DHCP服务器上为免认证用户分配固定的IP地址。