《实验六访问控制权限.ppt》由会员分享,可在线阅读,更多相关《实验六访问控制权限.ppt(39页珍藏版)》请在三一办公上搜索。
1、实验六 认证及访问控制,四川大学锦城学院,AAA认证,AAA是Authentication,Authorization and Accounting(认证、授权和统计)的简称,它提供了一个对认证、授权和统计这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。AAA一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。,四川大学锦城学院,功能:哪些用户可以访问网络服务器;具有访问权的用户可以得到哪些服务;如何对正在使用网络资源的用户进行计费。,四川大学锦城学院,认证方式:不认证:对用户非
2、常信任,不对其进行合法检查。一般情况下不采用这种方式。本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。远端认证:支持通过RADIUS协议或TACACS协议进行远端认证,设备作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。,四川大学锦城学院,授权方式:直接授权:对用户非常信任,直接授权通过。本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。RADIUS授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RA
3、DIUS进行授权。TACACS授权:由TACACS服务器对用户进行授权。,四川大学锦城学院,计费方式:不计费:不对用户计费。远端计费:支持通过RADIUS服务器或TACACS服务器进行远端计费。,四川大学锦城学院,RADIUS,RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。,四川大学锦城学院,RADIUS服务的结构,RADIUS服务包括三个组成部分:协议服务器客户端,四川
4、大学锦城学院,RADIUS基于客户端/服务器模型。交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给交换机返回所有需要的信息。,四川大学锦城学院,RADIUS服务器的数据存储,RADIUS服务器通常要维护三个数据库。第一个数据库“Users”用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置)。第二个数据库“Clients”用于存储RADIUS客户端的信息(如共享密钥)。第三个数据库“Dictionary”存储的信息用于解释RADIUS协
5、议中的属性和属性值的含义,四川大学锦城学院,RADIUS的消息交互流程,四川大学锦城学院,基本交互步骤:用户输入用户名和口令。RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(Access-Request)。RADIUS服务器将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(Access-Accept)发送给RADIUS客户端;如果认证失败,则返回Access-Reject响应包。RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accoun
6、ting-Request),Status-Type取值为start。RADIUS服务器返回计费开始响应包(Accounting-Response)。用户开始访问资源。RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request),Status-Type取值为stop。RADIUS服务器返回计费结束响应包(Accounting-Response)。用户访问资源结束。,四川大学锦城学院,RADIUS的特点,RADIUS是由LIVINGSTON公司最早提出的,后来由IETF列入Internet标准,定义在RFC2138和RFC2139中。RADIUS中采用UDP作为
7、客户端与服务器端的数据传输协议。RADIUS导致用户的认证和授权过程往往无法分开。RADIUS服务器可以充当代理客户端。,四川大学锦城学院,TACAS和RADIUS的区别,TACACS是私有的协议,RADIUS是一种开放的标准;TACACS分离了验证、授权和统计的功能;TACACS使用TCP协议,RADIUS使用UDP协议;RADIUS是目前支持无线验证协议的惟一安全协议;RADIUS服务器可以充当代理客户端;TACACS采用MD5算法对整个报文加密,RADIUS采用MD5算法对用户口令加密。,四川大学锦城学院,问题的提出,如何让研发部员工在工作日的早8点到晚6点都不能访问internet?,
8、四川大学锦城学院,访问控制列表,ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。,四川大学锦城学院,ACL的基本原理,ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。,四川大学锦城学院,ACL的功能,网络中的节点通常分为资源节点和用户节点两大类。ACL的功能:保护资源节点,阻止非法用户对资源节点的访问;
9、限制特定的用户节点所能具备的访问权限。,四川大学锦城学院,ACL的分类,根据应用目的,可将ACL分为下面几种:基本ACL:只根据三层源IP地址制定规则。高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。用户自定义ACL:以数据包的头部为基准,指定从第几个字节开始进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。,四川大学锦城学院,ACL的配置原则,最小特权原则:只给受控对象完成任务所必须的最小的权限最靠近受控
10、对象原则,四川大学锦城学院,ACL的配置步骤,配置ACL作用的时间段配置ACL规则在端口上应用ACL规则,四川大学锦城学院,配置ACL时间段,基于时间段的ACL使用户可以区分时间段对报文进行ACL控制。周期时间段绝对时间段,四川大学锦城学院,时间段:工作日早8点到晚6点,system-viewH3C time-range deny 8:00 to 18:00 working-day,四川大学锦城学院,配置ACL规则,定义基本ACL基本ACL只根据三层源IP制定规则,对数据包进行相应的分析处理。基本ACL的序号取值范围为20002999。,四川大学锦城学院,定义高级ACL高级ACL可以使用数据包
11、的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性,例如TCP或UDP的源端口、目的端口,ICMP协议的类型、code等内容定义规则。高级ACL序号取值范围30003999(ACL 3998与3999是系统为集群管理预留的编号,用户无法配置)。,四川大学锦城学院,定义二层ACL 二层ACL根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则,对数据进行相应处理。二层ACL的序号取值范围为40004999。,四川大学锦城学院,用户自定义ACL用户自定义ACL以数据包的头部为基准,指定从第几个字节开始进行“与”操作,将从报文提取出来的字符串和用户定义的字符串
12、进行比较,找到匹配的报文,然后进行相应的处理。用户自定义ACL的序号取值范围为50005999。,四川大学锦城学院,规则要求:禁止研发部人员在工作日早8点到晚6点访问internet,system-viewH3C acl number 2000H3C-acl-basic-2000 rule deny source 10.1.6.0,四川大学锦城学院,反向掩码,0表示需要匹配,1表示不需要匹配基本计算规则:跟子网掩码的和为如何用反向掩码检查多个连续网段?,四川大学锦城学院,检查 10.1.16.0/24 to 10.1.31.0/24,四川大学锦城学院,应用ACL规则,针对端口应用ACL规则针对
13、VLAN应用ACL规则,四川大学锦城学院,在以太网端口1上应用ACL规则,system-viewH3C interface ethernet 1/0/1H3C-Ethernet1/0/1 packet-filter inbound ip-group 2000,system-viewH3C firewall enableH3C interface ethernet 0/1H3C-Ethernet0/1 firewall packet-filter 2000 inbound,四川大学锦城学院,允许研发部经理访问Internet,假设研发部经理的主机IP地址是:H3C-acl-basic-2000
14、rule permit source 10.1.6.3 0H3C-acl-basic-2000 rule deny source 10.1.6.0 H3C-acl-basic-2000 rule permit source 10.1.6.3 0,四川大学锦城学院,实验二 配置基本ACL,实验内容:配置基本ACL实验要求:使同一VLAN/网段下的主机不能互访。,使用路由器配置ACL需先启动防火墙,四川大学锦城学院,ACL的执行顺序,ACL的执行顺序为”从上向下”被拒绝的数据包丢弃允许的数据包进入路由选择状态数据包一旦与ACL出现匹配,就执行相应的操作,而此时对此数据包的检测就到此为止了,后面不管
15、出现多少不匹配的情况将不作检测。,S3600交换机由于是硬件ACL,所以其执行顺序是:后配置的先匹配,先配置的后匹配,四川大学锦城学院,ACL包含多条规则的匹配,ACL可能会包含多个规则,而每个规则都指定不同的报文范围。这样,在匹配报文时就会出现匹配顺序的问题。ACL支持两种匹配顺序:配置顺序:根据配置顺序匹配ACL规则。自动排序:根据“深度优先”规则匹配ACL规则。“深度优先”顺序的判断原则如下:先比较规则的协议范围。IP协议的范围为1255,其他协议的范围就是自己的协议号;协议范围小的优先;再比较源IP地址范围。源IP地址范围小(掩码长)的优先;然后比较目的IP地址范围。目的IP地址范围小
16、(掩码长)的优先;最后比较四层端口号(TCP/UDP端口号)范围。四层端口号范围小的优先;,四川大学锦城学院,如果规则A与规则B按照原有匹配顺序进行配置时,协议范围、源IP地址范围、目的IP地址范围、四层端口号范围完全相同,并且其它的元素个数相同,将按照加权规则进行排序。加权规则如下:设备为每个元素设定一个固定的权值,最终的匹配顺序由各个元素的权值和元素取值来决定。各个元素自身的权值从大到小排列:DSCP、ToS、ICMP、established、precedence、fragment。设备以一个固定权值依次减去规则各个元素自身的权值,剩余权值越小的规则越优先。如果各个规则中元素个数、元素种类
17、完全相同,则这些元素取值的累加和越小越优先。,四川大学锦城学院,配置ACL注意事项,同一ACL中多条规则的匹配顺序默认为config:先配置的先匹配,后配置的后匹配S3600交换机由于是硬件ACL,所以其执行顺序是:后配置的先匹配,先配置的后匹配在同一个名字下可以配置多个时间段,这些时间段是“或”关系。若在路由器上应用ACL规则需先启动防火墙,四川大学锦城学院,实验三 配置高级ACL,实验内容:配置交换机的远程登录用户功能(telnet)配置高级ACL实验要求:使小组内任意一台主机在今天早9点到晚上6点半之间,不能使用TELNET服务登录交换机。,使用路由器配置ACL需先启动防火墙,H3C-acl-adv-3000 rule permit tcp source 192.168.1.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port eq 23,
