實驗六 訪問控制權(quán)限

1、實驗六 認(rèn)證及訪問控制AAA認(rèn)證AAA是Authentication，Authorization and Accounting（認(rèn)證、授權(quán)和統(tǒng)計）的簡稱，它提供了一個對認(rèn)證、授權(quán)和統(tǒng)計這三種安全功能進(jìn)行配置的一致性框架，實際上是對網(wǎng)絡(luò)安全的一種管理。AAA一般采用客戶端/服務(wù)器結(jié)構(gòu)：客戶端運(yùn)行于被管理的資源側(cè)，服務(wù)器上集中存放用戶信息。因此，AAA框架具有良好的可擴(kuò)展性，并且容易實現(xiàn)用戶信息的集中管理。2功能：哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器；具有訪問權(quán)的用戶可以得到哪些服務(wù)；如何對正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行計費(fèi)。3認(rèn)證方式：不認(rèn)證：對用戶非常信任，不對其進(jìn)行合法檢查。一般情況下不采用這種方式。本地

2、認(rèn)證：將用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在設(shè)備上。本地認(rèn)證的優(yōu)點是速度快，可以降低運(yùn)營成本；缺點是存儲信息量受設(shè)備硬件條件限制。遠(yuǎn)端認(rèn)證：支持通過RADIUS協(xié)議或TACACS協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證，設(shè)備作為客戶端，與RADIUS服務(wù)器或TACACS服務(wù)器通信。對于RADIUS協(xié)議，可以采用標(biāo)準(zhǔn)或擴(kuò)展的RADIUS協(xié)議。4授權(quán)方式：直接授權(quán)：對用戶非常信任，直接授權(quán)通過。本地授權(quán)：根據(jù)設(shè)備上為本地用戶帳號配置的相關(guān)屬性進(jìn)行授權(quán)。RADIUS授權(quán)：RADIUS協(xié)議的認(rèn)證和授權(quán)是綁定在一起的，不能單獨(dú)使用RADIUS進(jìn)行授權(quán)。TACACS授權(quán)：由TACACS服務(wù)器對用戶進(jìn)行授權(quán)。5計

3、費(fèi)方式：不計費(fèi)：不對用戶計費(fèi)。遠(yuǎn)端計費(fèi)：支持通過RADIUS服務(wù)器或TACACS服務(wù)器進(jìn)行遠(yuǎn)端計費(fèi)。6RADIUSRADIUS（Remote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號用戶服務(wù)）是一種分布式的、客戶端/服務(wù)器結(jié)構(gòu)的信息交互協(xié)議，能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問的干擾，常被應(yīng)用在既要求較高安全性、又要求維持遠(yuǎn)程用戶訪問的各種網(wǎng)絡(luò)環(huán)境中。7RADIUS服務(wù)的結(jié)構(gòu)RADIUS服務(wù)包括三個組成部分：協(xié)議服務(wù)器客戶端8RADIUS基于客戶端/服務(wù)器模型。交換機(jī)作為RADIUS客戶端，負(fù)責(zé)傳輸用戶信息到指定的RADIUS服務(wù)器，然后根據(jù)從服務(wù)器返回的信息對

4、用戶進(jìn)行相應(yīng)處理（如接入/掛斷用戶）。RADIUS服務(wù)器負(fù)責(zé)接收用戶連接請求，認(rèn)證用戶，然后給交換機(jī)返回所有需要的信息。9RADIUS服務(wù)器的數(shù)據(jù)存儲RADIUS服務(wù)器通常要維護(hù)三個數(shù)據(jù)庫。第一個數(shù)據(jù)庫“Users”用于存儲用戶信息（如用戶名、口令以及使用的協(xié)議、IP地址等配置）。第二個數(shù)據(jù)庫“Clients”用于存儲RADIUS客戶端的信息（如共享密鑰）。第三個數(shù)據(jù)庫“Dictionary”存儲的信息用于解釋RADIUS協(xié)議中的屬性和屬性值的含義10RADIUS的消息交互流程11基本交互步驟：用戶輸入用戶名和口令。RADIUS客戶端根據(jù)獲取的用戶名和口令，向RADIUS服務(wù)器發(fā)送認(rèn)證請求包（

5、Access-Request）。RADIUS服務(wù)器將該用戶信息與Users數(shù)據(jù)庫信息進(jìn)行對比分析，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包（Access-Accept）發(fā)送給RADIUS客戶端；如果認(rèn)證失敗，則返回Access-Reject響應(yīng)包。RADIUS客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/拒絕用戶。如果可以接入用戶，則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計費(fèi)開始請求包（Accounting-Request），Status-Type取值為start。RADIUS服務(wù)器返回計費(fèi)開始響應(yīng)包（Accounting-Response）。用戶開始訪問資源。RADIUS客戶端向RADIUS服務(wù)器

6、發(fā)送計費(fèi)停止請求包（Accounting-Request），Status-Type取值為stop。RADIUS服務(wù)器返回計費(fèi)結(jié)束響應(yīng)包（Accounting-Response）。用戶訪問資源結(jié)束。12RADIUS的特點RADIUS是由LIVINGSTON公司最早提出的，后來由IETF列入Internet標(biāo)準(zhǔn)，定義在RFC2138和RFC2139中。RADIUS中采用UDP作為客戶端與服務(wù)器端的數(shù)據(jù)傳輸協(xié)議。RADIUS導(dǎo)致用戶的認(rèn)證和授權(quán)過程往往無法分開。RADIUS服務(wù)器可以充當(dāng)代理客戶端。 13TACAS和RADIUS的區(qū)別TACACS是私有的協(xié)議，RADIUS是一種開放的標(biāo)準(zhǔn)；TACAC

7、S分離了驗證、授權(quán)和統(tǒng)計的功能；TACACS使用TCP協(xié)議，RADIUS使用UDP協(xié)議；RADIUS是目前支持無線驗證協(xié)議的惟一安全協(xié)議；RADIUS服務(wù)器可以充當(dāng)代理客戶端；TACACS采用MD5算法對整個報文加密，RADIUS采用MD5算法對用戶口令加密。14問題的提出如何讓研發(fā)部員工在工作日的早8點到晚6點都不能訪問internet?15訪問控制列表ACL（Access Control List，訪問控制列表）主要用來實現(xiàn)流識別功能。網(wǎng)絡(luò)設(shè)備為了過濾數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識別需要過濾的報文。在識別出特定的報文之后，才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過。16ACL

8、的基本原理ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。17ACL的功能網(wǎng)絡(luò)中的節(jié)點通常分為資源節(jié)點和用戶節(jié)點兩大類。ACL的功能：保護(hù)資源節(jié)點，阻止非法用戶對資源節(jié)點的訪問；限制特定的用戶節(jié)點所能具備的訪問權(quán)限。 18ACL的分類根據(jù)應(yīng)用目的，可將ACL分為下面幾種：基本ACL：只根據(jù)三層源IP地址制定規(guī)則。高級ACL：根據(jù)數(shù)據(jù)包的源IP地址信息、目的IP地址信息、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。二層ACL：根據(jù)源MAC地址、目的MAC地址、VLAN優(yōu)先級、二

9、層協(xié)議類型等二層信息制定規(guī)則。用戶自定義ACL：以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個字節(jié)開始進(jìn)行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報文。19ACL的配置原則最小特權(quán)原則：只給受控對象完成任務(wù)所必須的最小的權(quán)限最靠近受控對象原則20ACL的配置步驟配置ACL作用的時間段配置ACL規(guī)則在端口上應(yīng)用ACL規(guī)則21配置ACL時間段基于時間段的ACL使用戶可以區(qū)分時間段對報文進(jìn)行ACL控制。周期時間段絕對時間段22時間段：工作日早8點到晚6點 system-viewH3C time-range deny 8:00 to 18:00 working-day23配置AC

10、L規(guī)則定義基本ACL基本ACL只根據(jù)三層源IP制定規(guī)則，對數(shù)據(jù)包進(jìn)行相應(yīng)的分析處理?；続CL的序號取值范圍為20002999。24定義高級ACL高級ACL可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP承載的協(xié)議類型、針對協(xié)議的特性，例如TCP或UDP的源端口、目的端口，ICMP協(xié)議的類型、code等內(nèi)容定義規(guī)則。高級ACL序號取值范圍30003999（ACL 3998與3999是系統(tǒng)為集群管理預(yù)留的編號，用戶無法配置）。25定義二層ACL 二層ACL根據(jù)源MAC地址、目的MAC地址、VLAN優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則，對數(shù)據(jù)進(jìn)行相應(yīng)處理。二層ACL的序號取值范圍為40004999

11、。26用戶自定義ACL用戶自定義ACL以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個字節(jié)開始進(jìn)行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報文，然后進(jìn)行相應(yīng)的處理。用戶自定義ACL的序號取值范圍為50005999。27規(guī)則要求：禁止研發(fā)部人員在工作日早8點到晚6點訪問internet system-viewH3C acl number 2000H3C-acl-basic-2000 rule deny source 10.1.6.0 0.0.0.25528反向掩碼0表示需要匹配，1表示不需要匹配基本計算規(guī)則：跟子網(wǎng)掩碼的和為255.255.255.255如何用反向掩碼檢查多個

12、連續(xù)網(wǎng)段？29檢查 10.1.16.0 /24 to 10.1.31.0 /24000100000001111110.1.16.0 0.0.15.2550000111130應(yīng)用ACL規(guī)則針對端口應(yīng)用ACL規(guī)則針對VLAN應(yīng)用ACL規(guī)則31在以太網(wǎng)端口1上應(yīng)用ACL規(guī)則 system-viewH3C interface ethernet 1/0/1H3C-Ethernet1/0/1 packet-filter inbound ip-group 2000 system-viewH3C firewall enableH3C interface ethernet 0/1H3C-Ethernet0/1

13、firewall packet-filter 2000 inbound32允許研發(fā)部經(jīng)理訪問Internet假設(shè)研發(fā)部經(jīng)理的主機(jī)IP地址是：10.1.6.3/24H3C-acl-basic-2000 rule permit source 10.1.6.3 0H3C-acl-basic-2000 rule deny source 10.1.6.0 0.0.0.255H3C-acl-basic-2000 rule permit source 10.1.6.3 033實驗二 配置基本ACL實驗內(nèi)容：配置基本ACL實驗要求：使同一VLAN/網(wǎng)段下的主機(jī)不能互訪。使用路由器配置ACL需先啟動防火墻34A

14、CL的執(zhí)行順序ACL的執(zhí)行順序為”從上向下”被拒絕的數(shù)據(jù)包丟棄允許的數(shù)據(jù)包進(jìn)入路由選擇狀態(tài)數(shù)據(jù)包一旦與ACL出現(xiàn)匹配，就執(zhí)行相應(yīng)的操作，而此時對此數(shù)據(jù)包的檢測就到此為止了，后面不管出現(xiàn)多少不匹配的情況將不作檢測。 S3600交換機(jī)由于是硬件ACL，所以其執(zhí)行順序是：后配置的先匹配，先配置的后匹配35ACL包含多條規(guī)則的匹配ACL可能會包含多個規(guī)則，而每個規(guī)則都指定不同的報文范圍。這樣，在匹配報文時就會出現(xiàn)匹配順序的問題。ACL支持兩種匹配順序：配置順序：根據(jù)配置順序匹配ACL規(guī)則。自動排序：根據(jù)“深度優(yōu)先”規(guī)則匹配ACL規(guī)則?！吧疃葍?yōu)先”順序的判斷原則如下：先比較規(guī)則的協(xié)議范圍。IP協(xié)議的范圍

15、為1255，其他協(xié)議的范圍就是自己的協(xié)議號；協(xié)議范圍小的優(yōu)先；再比較源IP地址范圍。源IP地址范圍小(掩碼長)的優(yōu)先；然后比較目的IP地址范圍。目的IP地址范圍小(掩碼長)的優(yōu)先；最后比較四層端口號（TCP/UDP端口號）范圍。四層端口號范圍小的優(yōu)先；36如果規(guī)則A與規(guī)則B按照原有匹配順序進(jìn)行配置時，協(xié)議范圍、源IP地址范圍、目的IP地址范圍、四層端口號范圍完全相同，并且其它的元素個數(shù)相同，將按照加權(quán)規(guī)則進(jìn)行排序。加權(quán)規(guī)則如下：設(shè)備為每個元素設(shè)定一個固定的權(quán)值，最終的匹配順序由各個元素的權(quán)值和元素取值來決定。各個元素自身的權(quán)值從大到小排列：DSCP、ToS、ICMP、established、precedence、fragment。設(shè)備以一個固定權(quán)值依次減去規(guī)則各個元素自身的權(quán)值，剩余權(quán)值越小的規(guī)則越優(yōu)先。如果各個規(guī)則中元素個數(shù)、元素種類完全相同，則這些元素取值的累加和越小越優(yōu)先。37配置ACL注意事項同一ACL中多條規(guī)則的匹配順序默認(rèn)為config：先配置的先匹配，后配置的后匹配S3600交換機(jī)由于是硬件ACL，所以其執(zhí)行順序是：后配置的先匹配，先配置的后匹配在同一個名字下可以配置多個時間段，這些時間段是“或”關(guān)系。 若在路由器