上网行为安全之深信服用户认证技术和用户、组管理
文章目錄
- 認證技術框架
- 1.不需要認證技術
- 1.1數據包特征信息
- 1.2不需要認證配置思路
- 1.3不需要認證效果顯示
- 2.IP/MAC地址綁定技術
- 2.1工作原理
- 2.2配置思路
- 2.3 配置結果顯示
- 2.4總結
- (1)設備無法獲取交換機的ARP表的排查思路
- (2)如果以設備網橋模式部署在30位掩碼的網絡環境中如何獲取交換機的 ARP表?
- (3)IP/MAC綁定失敗
- 3.密碼認證技術
- 3.1需求
- 3.2密碼認證實戰分析
- 3.3配置思路
- 3.4密碼認證效果顯示
- 3.5總結
- (1)密碼認證界面無法正常彈出的排查思路
- (2)重定向
- 1.虛擬IP重定向
- 2.DMZ口重定向
- 3.6密碼認證注意事項
- 4.外部認證技術
- 4.1外部認證過程
- 4.2外部認證條件
- 4.3外部認證服務器配置
- 4.4LDAP認證案例
- 4.4.1LDAP認證配置思路
- 4.4.2LDAP認證配置步驟
- 5.用戶和用戶組管理
- 5.1用戶管理
- 5.1.1添加用戶時
- (1)手動添加用戶
- (2)批量導入用戶
- (3)認證策略自動添加用戶
- 5.1.2用戶和用戶組搜索
- 5.1.3用戶如何注銷
- SNMP協議
- MIB庫
- OID值
- SNMP協議數據單元
認證技術框架
根據客戶需求來指定不同的用戶認證技術
1.不需要認證技術
需求:IT部電腦IP不固定,認證不受限制
1.1數據包特征信息
? 設備根據數據包的源IP地址、計算機名、源MAC地址來標識用戶。
? 優點:終端用戶上網認證的過程是透明的,不會感知設備的存在。
? 一般適用于對認證要求不嚴格的場景
1.2不需要認證配置思路
1、 首先為辦公區的用戶建一個用戶組,在【用戶認證與管理】-【用戶管理 】-【組/用戶】中,點新增,選擇【組】,定義組名:IT部 2、新增【認證策略】,選擇認證方式為不需要認證,不綁定任何地址 3、【認證后處理】-【非本地/域用戶使用該組上線】:IT部1.3不需要認證效果顯示
IT部員工通過設備上網時,【在線用戶管理】可以看到用戶已在上線
2.IP/MAC地址綁定技術
需求:辦公區用戶不允許私自修改IP地址, 否則禁止上網
但是由于用戶經過交換機去上網時,MAC地址會發生變化,是如何將IP/MAC地址成功綁定的呢?
是通過SNMP協議來實現該功能的。
2.1工作原理
1、用戶上網的數據經過三層交換機會在 交換機上形成ARP表
2、上網的數據經過AC時,AC看到數據 包的源MAC地址都是三層交換機的MAC ,于是AC會主動通過SNMP協議去讀取 三層交換機的ARP表(要在三層交換機上 先設置允許AC訪問其SNMP服務) 3、AC會將讀取到的ARP條目和AC設備 里面綁定的IP/MAC條目進行對比
4、如果比對結果一致,則允許上 網,否則丟棄數據包禁止上網
2.2配置思路
1、 首先為辦公區的用戶建一個用戶組,在【用戶認證與管理】-【用戶管理 】-【組/用戶】中,點新增,選擇【組】,定義組名:辦公區 2、新增【認證策略】,選擇認證方式為不需要認證 3、【認證后處理】-【非本地/域用戶使用該組上線】選擇:辦公區 4、勾選【自動錄入綁定關系】-【自動錄入IP和MAC的綁定關系】 三層網絡環境下特別注意,需要開啟以下功能: 5、配置【認證高級選項】-【跨三層取MAC】 (注意:要在三層設備上設置允許AC訪問其SNMP服務器)2.3 配置結果顯示
(1)【系統管理】—【在線用戶管理】可以看到用戶認證上線的身份
(2)【用戶管理】—【IP/MAC綁定】可以查看到IP和MAC綁定成功。
2.4總結
(1)設備無法獲取交換機的ARP表的排查思路
1、檢查設備與交換機是否通訊正常 2、檢查交換機的配置(是否允許AC訪問其SNMP服務器)、ACL和團體名 3、檢查中間設備是否有攔截UDP 161端口 4、在電腦上通過BPSNMPUtil工具連接交換機,測試是否可以讀取ARP表 5、AC只支持SNMP V1 V2 V2C版本協議~~
(2)如果以設備網橋模式部署在30位掩碼的網絡環境中如何獲取交換機的 ARP表?
防火墻和交換機啟30位掩碼的地址,我們的AC網橋將不可用, 需要和交換機通過snmp取mac需要用管理口
為什么此時網橋不能用?
30位掩碼下的整個網絡環境,只有兩個可用IP AC是網橋模式部署,所以AC上下的設備都得分配IP,此時 AC分配不到IP,處于無IP網橋模式,因此要用管理口來另接交換機(此時交換機上也要進行配置網口與AC的管理口對接)
(3)IP/MAC綁定失敗
1.查看是否在【跨三層取MAC】中沒有排除三層設備的MAC地址;
2.在【IP/MAC綁定】中,查看PC 的IP或MAC是否已經綁定了其他 MAC或者IP(同時查看三層設備的MAC是否被PC綁定了)
3.密碼認證技術
3.1需求
客戶需求:公共上網區則需要輸入賬號和密碼才 能上網,確保網絡行為能跟蹤到
需求背景:
1.當用戶首次上網時,會要求用戶提交用戶名密碼信息,如果用戶提交的用 戶名密碼信息和本地(或第三方服務器)一致,則給予認證通過。
2.一般適用于對認證要求嚴格,希望上網日志記錄具體的帳號,或希望和客 戶現有的第三方服務器結合認證的場景
主要涉及到HTTP協議,下邊為自己總結的腦圖,供參考回顧HTTP協議。
3.2密碼認證實戰分析
首先我們以訪問www.qq.com為例,回顧一下密碼認證的數據流過程
第一步:PC先進行www.qq.com DNS解析域名過程
第二步:PC向解析出的www.qq.com服務器地址發起tcp三次握手
第三步:PC向www.qq.com 服務器發出GET請求,請求主頁
第四步:AC攔截PC的GET請求,并把AC自己偽裝成服務器(用騰訊服務器的 IP給PC發包),給PC回復HTTP 302 Moved Temporarily ,要求PC重定向請求以下URL http://10.1.3.4:80/ac_portal/proxy.html?template=default&tabs=pwd&v lanid=0&url=http://www.qq.com%2f 其中10.1.3.4就是AC設備的LAN IP、網橋IP或者虛擬IP
第五步:PC自動重定向訪問AC的認證界面,輸入正確的賬號密碼,登錄成功
3.3配置思路
1、 首先為辦公區的用戶建一個用戶組, 在【用戶認證與管理】-【用戶管理 】-【組/用戶】中,點新增,選擇【組】, 定義組名:公共區 2、新增用戶,設置本地密碼 3、新增【認證策略】,選擇認證方式為密碼認證 4、【認證高級選項】-【其他選項】勾選【未認證或被凍結時允許訪問DNS服 務】3.4密碼認證效果顯示
1、用戶去上網的時候,打開網站,重定向到認證界面
2、輸入用戶名和密碼,用戶驗證完成之后,在在線用戶管理里面可以看到這 個用戶已經成功上線
3.5總結
(1)密碼認證界面無法正常彈出的排查思路
先確認網絡環境,手動打開是否可以打開 1、網橋部署虛擬地址是否跟內網沖突,PC瀏覽器是否做了上網代理 2、AC下接的設備是否有做限制 3、需要啟用未通過認證的用戶允許訪問dns服務 4、訪問的如果是https的網站需要啟用HTTPS請求未通過認證時,重定向到認證 頁面(代理時除外) 5、根據關聯的上網策略不能拒絕http應用和dns應用 6、防火墻規則不能拒絕80和53端口【系統管理】-【防火墻】-【LAN-WAN】關于第四條的重定向進行介紹
(2)重定向
1.虛擬IP重定向
1.內網PC認證前的HTTP上網數據經過AC時,AC攔截并記錄 下數據包的源,目的IP,數據包的封裝類型,以及數據包進入AC時的接口。
2. AC回彈portal的重定向認證頁面時,會將記錄下來的數據包的源,目的IP反轉,再從數據包進入的接口直接發出去,其中數據包中的數據字段會替換成AC虛擬IP的重定向URL地址。
(AC只在網橋模式下有虛擬IP重定向)
2.DMZ口重定向
內網PC認證前的HTTP上網數據經過AC時,AC攔截數據包,AC通過查找本身DMZ口的路由表,將portal的重定向認證頁面從 DMZ口發出,其中數據包中的數據字段會替換成AC的DMZ口IP的重定向 URL地址。(一般用在無可用網橋IP時選擇從DMZ口重定向)
3.6密碼認證注意事項
1、如果在認證后處理,需要用戶綁定了mac地址的時候,需要注意內網是否 為三層環境,如果是,則需要啟用跨三層mac地址識別
2、如果內網是DHCP的場景,不要勾選綁定IP地址
3、如果用戶打開HTTPS的網站也要能跳轉到認證頁面,需要在【認證選項】 勾選以下選項:
4.外部認證技術
SANGFOR AC/SG的外部認證,也稱為第三方認證。
用戶的賬號密碼信息保存在第三方服務器上,AC/SG將用戶提交的用戶名密碼信息轉給第三方認證服 務器校驗,通過第三方服務器返回的認證成功與否的信息,決定是否通過 AC/SG的認證,這個過程稱為AC/SG的外部認證。
4.1外部認證過程
1. PC向AC/SG提交用戶名密碼信息 2. AC/SG判斷為外部認證,并把用 戶名密碼信息發給外部認證服務 器校驗 3. 外部認證服務器校驗后,向 AC/SG發送認證失敗或成功的消 息、 4. AC/SG根據外部認證服務器返回 的消息,確定是否讓該PC通過認 證。 5. PC通過認證后,就可直接訪問公網了4.2外部認證條件
滿足如下兩個條件的用戶才會匹配外部認證流程:
1. 認證策略中,認證方式選擇“密碼 認證,認證服務器選擇“第三方服 務器”
2.認證高級選項,未啟用“DKey"
4.3外部認證服務器配置
1、選擇需要新增的外部認證服務器類型【LDAP, RADIUS, POP3服務器】
2、設置外部認證服務器的通信方式,IP,端口等
4.4LDAP認證案例
案例背景:
某公司內網有一臺AD域服務器,域名為mengxuan.com,服務器IP地
址為172.16.100.203。要求內網用戶上網時使用域帳號和密碼來通過
AC設備的認證才可以上網
4.4.1LDAP認證配置思路
1、新建外部認證服務器,設置AD域服務器信息。
2、新建認證策略,選擇“密碼認證”認證服務器選擇上面創建好的
服務器。
4.4.2LDAP認證配置步驟
第一步:新建外部認證服務器,設置AD域服務器相關信息。
(1)測試有效性—賬戶有效性:
可以通過此功能測試域賬號的有效性,如上既測試了 域的管理員賬號administrator是否有權限讀取域的組織結構,又測試了域的用戶 support1賬號密碼是否正確。
(2)測試有效性—修改密碼:如果域上的賬號是允許修改密碼的,可以直接通過 測試有效性修改密碼,修改域上的賬號密碼。
注意:如果客戶的域環境是獨立域,添加外部認證服務器時,認證端口填寫389;如果是父子域,如 父域sangfor.com,子域ac.sangfor.com,ssl.sangfor.com等,則外部認證服務器配置的是父域的地址 ,且端口需要填3268
第二步:新建認證策略,選擇“密碼認證”。
終端電腦輸入域帳號通過AC認證,即可訪問外網。
5.用戶和用戶組管理
5.1用戶管理
界面:
【用戶管理】-【組/用戶】:可以查看、新增、刪除用戶/組信息
5.1.1添加用戶時
【限制在以下地址范圍內登錄】:指的是賬號只能在設置地址范圍的終端上登 錄,其它賬號也可以在這些地址上登錄。
終端綁定(用戶綁定)
:被綁定的地址只能在此賬號登錄,用戶同時可以綁定多終端,可以用于免認證
(1)手動添加用戶
可以一次新建一個用戶或組,也可以一次新建多個組,添加多個組時,名稱用英文逗號隔開
(2)批量導入用戶
如果用戶和組太多,可以將用戶和組格式做成csv表格,一次性導入設備
(3)認證策略自動添加用戶
如果只添加用戶,且認證方式為不需要認證,單點登錄,也可以通過認證策略 自動添加新用戶。
5.1.2用戶和用戶組搜索
【高級搜索】:可以根據指定的查詢條件來搜索特定的用戶
5.1.3用戶如何注銷
1. 在【系統管理】-【在線用戶管理】中強制注銷在線用戶 (臨時用戶,Dkey用戶,無需認證的用戶無法被強制注銷) 2. 在【認證選項】中選擇【無流量時強制注銷用戶】(對所有用戶生效) 3. 在【用戶認證與管理】-【認證高級選項】-【認證選項】里設置【每天強制 注銷】,并設置注銷時間(對所有用戶生效) 4. 設置認證頁面關閉時自動注銷 5. 設置MAC變動時自動注銷SNMP協議
協議概述:
SNMP是基于TCP/IP協議族的網絡管理標準,是一種在IP網絡中管理網絡 節點(如服務器、工作站、路由器、交換機等)的標準協議。SNMP能夠使網 絡管理員提高網絡管理效能,及時發現并解決網絡問題以及規劃網絡的增長。 網絡管理員還可以通過SNMP接收網絡節點的通知消息以及告警事件報告等來 獲知網絡出現的問題。
簡單網絡管理協議(SNMP)是1990年之后TCP/IP網絡中應用最為廣泛的網絡管理協議。1990年5月,RFC1157定義了SNMP(simplenetworkmanagementprotocol)的第一個版本SNMPv1。RFC1157和另一個關于管理信息的文件RFC1155一起,提供了一種監控和管理計算機網絡的系統方法。因此,SNMP得到了廣泛應用,并成為網絡管理的事實上的標準。
SNMP在90年代初得到了迅猛發展,同時也暴露出了明顯的不足,如,難以實現大量的數據傳輸,缺少身份驗證(Authentication)和加密(Privacy)機制。因此,1993年發布了SNMPv2,
SNMP管理的網絡主要由三部分組成:
被管理的設備
SNMP代理
網絡管理系統(NMS)
MIB庫
管理信息庫MIB:任何一個被管理的資源都表示成一個對象,稱為被管理的對象。
MIB是被管理對象的集合。
它定義了被管理對象的一系列屬性:對象的名稱、對象的訪問權限和對象的數據類型等。 每個OID(Object IDentification)都對應一個唯一的對象
OID值
SNMP協議數據單元
SNMP規定了5種協議數據單元PDU(也就是SNMP報文),用來在管理進程 和代理之間的交換。
get-request操作:從代理進程處提取一個或多個參數值。 get-next-request操作:從代理進程處提取緊跟當前參數值的下一個參數值。 set-request操作:設置代理進程的一個或多個參數值。 get-response操作:返回的一個或多個參數值。 trap操作:代理進程主動發出的報文,通知管理進程有某些事情發生。總結
以上是生活随笔為你收集整理的上网行为安全之深信服用户认证技术和用户、组管理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Android 5.0 and late
- 下一篇: ip地址+斜杠数字含义