实验六访问控制权限.ppt

实验六 认证及访问控制,四川大学锦城学院,AAA认证,AAA是Authentication，Authorization and Accounting（认证、授权和统计）的简称，它提供了一个对认证、授权和统计这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。AAA一般采用客户端/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中管理。,四川大学锦城学院,功能：哪些用户可以访问网络服务器；具有访问权的用户可以得到哪些服务；如何对正在使用网络资源的用户进行计费。,四川大学锦城学院,认证方式：不认证：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设备上。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设备硬件条件限制。远端认证：支持通过RADIUS协议或TACACS协议进行远端认证，设备作为客户端，与RADIUS服务器或TACACS服务器通信。对于RADIUS协议，可以采用标准或扩展的RADIUS协议。,四川大学锦城学院,授权方式：直接授权：对用户非常信任，直接授权通过。本地授权：根据设备上为本地用户帐号配置的相关属性进行授权。RADIUS授权：RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。TACACS授权：由TACACS服务器对用户进行授权。,四川大学锦城学院,计费方式：不计费：不对用户计费。远端计费：支持通过RADIUS服务器或TACACS服务器进行远端计费。,四川大学锦城学院,RADIUS,RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。,四川大学锦城学院,RADIUS服务的结构,RADIUS服务包括三个组成部分：协议服务器客户端,四川大学锦城学院,RADIUS基于客户端/服务器模型。交换机作为RADIUS客户端，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息对用户进行相应处理（如接入/挂断用户）。RADIUS服务器负责接收用户连接请求，认证用户，然后给交换机返回所有需要的信息。,四川大学锦城学院,RADIUS服务器的数据存储,RADIUS服务器通常要维护三个数据库。第一个数据库“Users”用于存储用户信息（如用户名、口令以及使用的协议、IP地址等配置）。第二个数据库“Clients”用于存储RADIUS客户端的信息（如共享密钥）。第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属性值的含义,四川大学锦城学院,RADIUS的消息交互流程,四川大学锦城学院,基本交互步骤：用户输入用户名和口令。RADIUS客户端根据获取的用户名和口令，向RADIUS服务器发送认证请求包（Access-Request）。RADIUS服务器将该用户信息与Users数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（Access-Accept）发送给RADIUS客户端；如果认证失败，则返回Access-Reject响应包。RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户，则RADIUS客户端向RADIUS服务器发送计费开始请求包（Accounting-Request），Status-Type取值为start。RADIUS服务器返回计费开始响应包（Accounting-Response）。用户开始访问资源。RADIUS客户端向RADIUS服务器发送计费停止请求包（Accounting-Request），Status-Type取值为stop。RADIUS服务器返回计费结束响应包（Accounting-Response）。用户访问资源结束。,四川大学锦城学院,RADIUS的特点,RADIUS是由LIVINGSTON公司最早提出的，后来由IETF列入Internet标准，定义在RFC2138和RFC2139中。RADIUS中采用UDP作为客户端与服务器端的数据传输协议。RADIUS导致用户的认证和授权过程往往无法分开。RADIUS服务器可以充当代理客户端。,四川大学锦城学院,TACAS和RADIUS的区别,TACACS是私有的协议，RADIUS是一种开放的标准；TACACS分离了验证、授权和统计的功能；TACACS使用TCP协议，RADIUS使用UDP协议；RADIUS是目前支持无线验证协议的惟一安全协议；RADIUS服务器可以充当代理客户端；TACACS采用MD5算法对整个报文加密，RADIUS采用MD5算法对用户口令加密。,四川大学锦城学院,问题的提出,如何让研发部员工在工作日的早8点到晚6点都不能访问internet?,四川大学锦城学院,访问控制列表,ACL（Access Control List，访问控制列表）主要用来实现流识别功能。网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的报文。在识别出特定的报文之后，才能根据预先设定的策略允许或禁止相应的数据包通过。,四川大学锦城学院,ACL的基本原理,ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。,四川大学锦城学院,ACL的功能,网络中的节点通常分为资源节点和用户节点两大类。ACL的功能：保护资源节点，阻止非法用户对资源节点的访问；限制特定的用户节点所能具备的访问权限。,四川大学锦城学院,ACL的分类,根据应用目的，可将ACL分为下面几种：基本ACL：只根据三层源IP地址制定规则。高级ACL：根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。二层ACL：根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。用户自定义ACL：以数据包的头部为基准，指定从第几个字节开始进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。,四川大学锦城学院,ACL的配置原则,最小特权原则：只给受控对象完成任务所必须的最小的权限最靠近受控对象原则,四川大学锦城学院,ACL的配置步骤,配置ACL作用的时间段配置ACL规则在端口上应用ACL规则,四川大学锦城学院,配置ACL时间段,基于时间段的ACL使用户可以区分时间段对报文进行ACL控制。周期时间段绝对时间段,四川大学锦城学院,时间段：工作日早8点到晚6点,system-viewH3C time-range deny 8:00 to 18:00 working-day,四川大学锦城学院,配置ACL规则,定义基本ACL基本ACL只根据三层源IP制定规则，对数据包进行相应的分析处理。基本ACL的序号取值范围为20002999。,四川大学锦城学院,定义高级ACL高级ACL可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性，例如TCP或UDP的源端口、目的端口，ICMP协议的类型、code等内容定义规则。高级ACL序号取值范围30003999（ACL 3998与3999是系统为集群管理预留的编号，用户无法配置）。,四川大学锦城学院,定义二层ACL 二层ACL根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则，对数据进行相应处理。二层ACL的序号取值范围为40004999。,四川大学锦城学院,用户自定义ACL用户自定义ACL以数据包的头部为基准，指定从第几个字节开始进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文，然后进行相应的处理。用户自定义ACL的序号取值范围为50005999。,四川大学锦城学院,规则要求：禁止研发部人员在工作日早8点到晚6点访问internet,system-viewH3C acl number 2000H3C-acl-basic-2000 rule deny source 10.1.6.0,四川大学锦城学院,反向掩码,0表示需要匹配，1表示不需要匹配基本计算规则：跟子网掩码的和为如何用反向掩码检查多个连续网段？,四川大学锦城学院,检查 10.1.16.0/24 to 10.1.31.0/24,四川大学锦城学院,应用ACL规则,针对端口应用ACL规则针对VLAN应用ACL规则,四川大学锦城学院,在以太网端口1上应用ACL规则,system-viewH3C interface ethernet 1/0/1H3C-Ethernet1/0/1 packet-filter inbound ip-group 2000,system-viewH3C firewall enableH3C interface ethernet 0/1H3C-Ethernet0/1 firewall packet-filter 2000 inbound,四川大学锦城学院,允许研发部经理访问Internet,假设研发部经理的主机IP地址是：H3C-acl-basic-2000 rule permit source 10.1.6.3 0H3C-acl-basic-2000 rule deny source 10.1.6.0 H3C-acl-basic-2000 rule permit source 10.1.6.3 0,四川大学锦城学院,实验二 配置基本ACL,实验内容：配置基本ACL实验要求：使同一VLAN/网段下的主机不能互访。,使用路由器配置ACL需先启动防火墙,四川大学锦城学院,ACL的执行顺序,ACL的执行顺序为”从上向下”被拒绝的数据包丢弃允许的数据包进入路由选择状态数据包一旦与ACL出现匹配，就执行相应的操作，而此时对此数据包的检测就到此为止了，后面不管出现多少不匹配的情况将不作检测。,S3600交换机由于是硬件ACL，所以其执行顺序是：后配置的先匹配，先配置的后匹配,四川大学锦城学院,ACL包含多条规则的匹配,ACL可能会包含多个规则，而每个规则都指定不同的报文范围。这样，在匹配报文时就会出现匹配顺序的问题。ACL支持两种匹配顺序：配置顺序：根据配置顺序匹配ACL规则。自动排序：根据“深度优先”规则匹配ACL规则。“深度优先”顺序的判断原则如下：先比较规则的协议范围。IP协议的范围为1255，其他协议的范围就是自己的协议号；协议范围小的优先；再比较源IP地址范围。源IP地址范围小(掩码长)的优先；然后比较目的IP地址范围。目的IP地址范围小(掩码长)的优先；最后比较四层端口号（TCP/UDP端口号）范围。四层端口号范围小的优先；,四川大学锦城学院,如果规则A与规则B按照原有匹配顺序进行配置时，协议范围、源IP地址范围、目的IP地址范围、四层端口号范围完全相同，并且其它的元素个数相同，将按照加权规则进行排序。加权规则如下：设备为每个元素设定一个固定的权值，最终的匹配顺序由各个元素的权值和元素取值来决定。各个元素自身的权值从大到小排列：DSCP、ToS、ICMP、established、precedence、fragment。设备以一个固定权值依次减去规则各个元素自身的权值，剩余权值越小的规则越优先。如果各个规则中元素个数、元素种类完全相同，则这些元素取值的累加和越小越优先。,四川大学锦城学院,配置ACL注意事项,同一ACL中多条规则的匹配顺序默认为config：先配置的先匹配，后配置的后匹配S3600交换机由于是硬件ACL，所以其执行顺序是：后配置的先匹配，先配置的后匹配在同一个名字下可以配置多个时间段，这些时间段是“或”关系。若在路由器上应用ACL规则需先启动防火墙,四川大学锦城学院,实验三 配置高级ACL,实验内容：配置交换机的远程登录用户功能(telnet)配置高级ACL实验要求：使小组内任意一台主机在今天早9点到晚上6点半之间，不能使用TELNET服务登录交换机。,使用路由器配置ACL需先启动防火墙,H3C-acl-adv-3000 rule permit tcp source 192.168.1.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port eq 23,