防火墙的用户认证管理基础，附加用户认证策略实验

防火墙认证策略基础-----------------------------------------------------------

1、状态检测机制的拓展：           ---在快速包交换技术中，在数据包传输的过程中会有状态检测机制的使用

--1、检测数据报是否符合协议的逻辑顺序

--2、检测是否是逻辑上的首包，只有是首包才可以创建会话表。

---1、状态检测机制，对所有首包都会创建会话表，只有一种特殊情况不会创建回话表：ICMP中除ping回显请求报文的其他包，如icmp重定向；因为这种数据报可能会出现攻击行为；状态检测机制会为ICMP的ping回显请求报文和其他所有包创建会话表

---2、当第一个包不是逻辑首包时，则丢弃

当第一个包是逻辑首包，但是他是本身就不能创建会话表的包时(icmp重定向这种)， 则丢弃；

--3、检测回来的包是否符合回包要求；

--4、会话表的匹配机制

2、ASPF  ---应用于会产生随机端口的协议中

ASPF作用：

1、实时过滤数据报的信息，对有用信息进行一个提取记录，包括端口号，然后生成一个server map表；

2、server map表的作用：1、在防火墙中开放一个隐形通道，符合server map表的数据流都可以在无安全策略的情况下通过防火墙；

2、server map表可以用来生成会话表，从而提高这个数据流的传输效率；

---综下：ASPF是针对多通道协议中生成的随机端口进行一个生成server map表，其中就是通过多通道的其中一个专业通道对随机端口号进行获取

 

---通过这里我们可以发现没有安全策略的放行也能通过防火墙的方法有两种：

1、ASPF的server map技术，开放隐形通道，同时也可生成会话表，提高转发效率；

2、状态检测技术，对于满足回包要求的数据包，就可以无需安全策略放行也能回来；

 

 

ASPF作用的体现：

---1、FTP的两种工作模式:

1、主动模式：

主动模式：

--控制连接：客户端发起数据请求，tcp三次握手连接；

--数据传输连接:客户端自己开放了一个随机端口，并主动告诉服务端，

服务器来对客户端发起tcp三次握手；

此时服务的端口号是：20

控制连接用来传输：FTP数据传输过程所需要的各种指令和参数；

数据传输连接用来传输：数据文件

 

 

 

2、被动模式：

 

被动模式：

--控制连接：同样是客户端向服务器发送tcp三次握手连接请求；

--数据传输连接：服务器生成一个随机端口号，客户端被动接收控制连接传过来的服务器的随机端口号；客户端发送tcp三次握手；

 

 

----2、ASPF的真正体现：

我们不难看出FTP的两种传输模式都是有随机端口号的产生，那么防火墙的安全策略本来是不能放行这个随机端口号的数据包的；这个数据包本来是会被防火墙阻止的；

所以此时我们ASPF就起作用了：ASPF是数据流在防火墙中进行通过时，他都会对数据包进行一个数据的提取，包括端口号这些；从而他就会提取到用来作数据传输的随机端口号（通过控制连接数据包进行提取的），把他记录，生成server map表；

server map表：有了server map表，这个ftp的随机端口号的数据流就可以正常通过防火墙了；且还可以对于该随机端口的数据流居于server map生成会话表，提高转发效率；

 

---综上：ASPF是针对多通道协议中生成的随机端口进行一个生成server map表，其中就是通过多通道的其中一个专业通道对随机端口号进行获取

 

 

 

 

 

3、用户认证   ---防火墙很多时候是充当边界，所以我们可以在防火墙上面做一些上网验证

 

---用户认证的三种情况：

1、上网用户认证 --三层认证；--当你进行了跨网段通信时需要进行上网用户认证

2、入网用户认证 --二层认证；--当你连接到我们的局域网中，如插线/WiFi等，都属于入网用户认证；当你通过这个局域网的边界进行了跨网段通信，那么此时的行为你也属于上网；可能会需要上网用户认证

3、接入用户认证 --vpn /远程接入；--当你通过远程接入某个设备时，你需要进行接入用户认证；

 

认证方式：

1、本地认证  ---用户密码信息都是存储在防火墙本身的，防火墙来进行认证

2、服务器认证  ---信息存储在单独一个服务器的，这个服务器和防火墙进行连接的，服务器来进行认证，认证完了之后，再把认证的正确与否结果发给防火墙

3、单点登录    ---和服务器的认证逻辑类似；在一个服务器上面注册之后，其他同一个公司的服务器可以直接用开始的信息进行直接登录；如支付宝进行注册后，后面淘宝可以直接用支付宝进行登录而不需要在进行注册；

就是单处注册，多处使用

 

 

 

4、安全组和用户组的区别：

安全组和用户组都可以关联认证策略，但是用户组关联的策略将进行递归执行，即其子用户组均需遵循认证策略，安全组则只关系当前组，子组不管；

-------认证域：是树型组织架构

 

 

5、单项绑定和双向绑定：

单项绑定：用户只能使用设定的固定的IP或者MAC进行对设备进行登录；

双向绑定过：用户和IP/MAC进行了双向的绑定；这个用户只能用这个IP/MAC进行登录，这个IP/MAC只能由这个用户进行登录；

 

 

6、认证策略：

portal认证：网页认证；类似于连接校园网，会进行身份验证和上网行为管理；需要用户进行手动进行填写用户密码认证信息；

免认证：认证透明化，无需进行手动登录验证，IP/MAC和用户“双向绑定”，就是直接通过IP/MAC地址进行对用户进行绑定；适合IP/mac和用户双向绑定的情况

匿名认证：当你的用户的IP地址固定的时候，可以采用匿名认证；

匿名认证和免认证极为相似；不同之处：

 

 

认证域的认证方式和认证策略的认证方式：

---1、认证域的认证方式：是针对一个用户刚刚接入本局域网的一个认证，如一个用户刚刚接入到本局域网的WiFi，需要进行一个认证；

认证策略里面的认证方式：针对用户的跨区域的一个用户认证；如：从trust区域的流量进入untrust区域需要进行一个认证策略里面的认证；

---2、当认证域里面选择的portal认证，则认证策略里面也必须选择portal认证；

就是认证域里面和认证策略里面的认证方式必须保持一样；

---3、间接说明一个认证域里面的用户是一个集体；

如：公司里面的人都可以进行免认证，那么公司里面的所有人就是一个整体；

我们应当把这个整体放到一个认证域里面，因为一个认证域只能选中一个认证 方式；

(补充：其实即使认证域的认证方式和认证策略里面的认证方式不一样，也可以的；

防火墙主要是看认证策略里面的认证方式)

 

认证域Portal认证 --- 则认证策略里面的动作需要选择protal；

认证域免认证、单点登录 --- 则认证策略里面需要选择免认证

 

 

看了防火墙认证策略基础知识之后，我们来上实验--------------------

问题：

 

问题1：首先办公区的访问DMZ区域的时间进行一个控制

我们发现是对一个数据流量的控制，办公区的数据流量只能在规定时间内才能进行发送到DMZ区域，所以我们这里应当使用安全策略，来对数据流量进行一个时间上的控制

写策略之前我首先要强调一个事情：两个设备想要进行通信，那么这两个设备必须属于某个区域

（补充：同一个区域的设备互相通信不需要进行安全策略的匹配，不同区域之间的设备互相通信会进行安全策略的匹配）

---1、

---2、

---这里可以对源区域和目标区域的选择，更细一点的可以直接针对区域里面的某个用户进行一个选择；

---下面可以选择规定时间段才可以对数据流量进行一个传输

---最后选择允许通过

 

 

问题2：针对某个区域能/不能访问互联网，这里同样也是针对数据流量的一个控制，所以也选择安全策略

1、源区域   2、目标区域   3、放行或禁止的服务  4、允许或禁止  

 

 

问题3：针对某个IP地址不能对某个区域里面的设备进行通信，很显然，也是通过安全策略完成

通过区域和地址进行一个更精准的数据流量的一个控制；

其中这里说的不能访问但是可以ping通过；而我们的防火墙安全策略和ACL类似，是从上往下匹配原则，一旦匹配直接退出，不会进行先下一次匹配；

我们这里应当注意将icmp的ping策略放在阻止通信的策略的上面！！

 

问题4：

---1、办公区分为市场部和研发部，说明这里已经是牵扯到用户和用户组了；

        所以此时我们应当关注用户方向了！

--这里来对用户和用户组进行一个创建：市场部和研发部分别创建一个市场组和研发组

---或许有人会问？为什么市场部和研发部就牵扯到了用户组，为什么不能是区域；其实你也可以为市场部和研发部创建区域，但是后面会对市场部的用户进行一个操作，所以创建一个市场组是为了方便管理；我们就不专牛角尖了哈哈~~

---2、研发部IP固定，访问DMZ区域需要进行一个匿名认证

IP固定就是所有用户只能使用这个IP进行登录，所以这里我们选择单项绑定：

 

---匿名认证这种认证方式肯定是用认证策略来管理

 

这里通过认证策略来对某个IP进行一个认证方式的控制

 

后面问题是：有一个游客区，且账号都是固定guest，密码固定Admmin@123

这里很显然是创建一个游客组，且里面只有一个游客用户；所以是允许多人同时使用该账号

 

解释：不绑定---用户和IP都是动态的，没有固定的用户和固定的IP；多对多

                单项绑定---IP是固定的，所有用户只能通过这一个IP对某个区域进行访问；多绑1

                双向绑定---用户和IP都是固定的，用户和IP进行了绑定；1对1，也是：1绑1

 

 

问题5：创建用户和用户组不再多说，我们这里只讲首次登录需要修改密码，且用户过期时间为10天

--1、首次登录修改密码：

 

--2、用户过期时间：在创建用户的时候进行设置用户过期时间

 

 

问题6：创建一个管理员不允许拥有系统管理的功能(就是不能拥有所有功能)：

创建一个管理员，最后在创建的时候，不给这个管理员的所有权限即可；

 

 

 

 

----------------------------------我们只讲思路，不讲详细过程；

                                          过程是背，思路是理解；

                                           想要走多远，10%背+90%理解

祝你年薪百万，成绩辉煌！！！