SACG认证原理

最新推荐文章于 2022-09-03 09:34:50 发布
最新推荐文章于 2022-09-03 09:34:50 发布
阅读量1.3k 收藏 6
点赞数 1
原文链接:https://blog.csdn.net/qq_38265137/article/details/90723304
版权

SACG技术简介

什么是SACG认证?

SACG认证(华为私有):使用防火墙作为接入控制设备,对用户接入网络进行身份认证和安全检查。部署在数据中心或网络出口位置,方便维护。适用于大中型园区,网络环境复杂,对网络安全要求适中的场景。

SACG是指设备通过在SACG认证系统中承担SACG的角色,协助SACG认证系统实现内网终端用户的安全控制。

SACG准入,是Controller和和防火墙配合实现的用户准入控制,主要针对的是有线网络,并且不改造网络架构的常见,实现对有线网络接入用户的准入控制。本质上是通过防火墙上的ACL来控制用户的权限。

 

SACG基本概念:

  • 认证前域:在身份认证前,终端用户只能访问认证前域的网络资源。
  • 隔离域:身份认证通过单安全检查未通过,终端用户可以访问认证前域和隔离域的网络资源。
  • 认证后域:身份认证和安全检查均通过,终端用户可以访问认证前域和认证后域的网络资源。
  • 如果终端用户使用Web客户端认证,则只进行身份认证,不进行安全检查。

它将网络划分为以下几类区域:

  • 用户域

所有接入企业内网的终端设备,例如台式机、便携机以及通过Internet接入的出差员工、驻外机构、合作伙伴等。

  • 网络域

进行流量转发的网络设备所组成的域,承载业务流量,实现各网络的互联。SACG就部署在这个域中。

  • 认证前域

认证前域是终端设备在完成认证之前可以访问的区域。该区域主要用于对终端设备和用户进行认证、授权、策略管理、补丁下发等。SACG联动方案的中大部分组件都部署在该区域中。

  • 受控域

受控域是终端在完成认证之后才可以访问的区域。包括两种:

  • 隔离域

隔离域是指在终端用户通过了身份认证但未通过授权时可以访问的区域。通常将能够帮助终端用户消除安全隐患的相关资源(如补丁服务器、防病毒服务器等)部署在本区域。

  • 认证后域

认证后域是企业真正的核心资源所在的区域,终端设备和用户都必须进行认证和授权之后才能访问自己的权限相对应的安全区域。

 

SACG认证特点:

  • 支持身份认证和安全检查,可以根据安全检查结果规划隔离域和认证后域。
  • 安全性相对于802.1X低,只能用于有线接入,一般用于大中型企业。
  • 支持逃生通道,支持客户端类型有Web、AnyOffice、Web Agent。
  • 通常要求部署NAC客户端。

SACG约束:

  • SACG不支持对哑铃终端实施控制,该方案不适用于终端区域使用IP Phone的场景。(只支持AnyOffice,web认证)
  • 如果网络中实施了IP电话,则需要把SACG部署在数据中心前,避免因为SACG隔离了IP Phone的流量。
  • SACG设备不支持MPLS VPN网络。
  • SACG设备不支持侧挂在PE/P节点。


SACG应用场景:

  • 旁路部署(华为推荐):不改变当前网络,但需要额外的防火墙作为认证控制设备;支持逃生通道,SC故障时保证业务不中断,可靠性高。

核心层交换机旁路部署SACG网关,通过策略路由将用户上的流量引流到SACG网关进行控制。

  • 直路部署:同时使用防火墙的安全防护和SACG接入控制功能;不支持逃生通道,SC故障时业务中断,可靠性低。

旁路部署会存在来回路径不一致的常见,所以需要关闭硬件SACG(FW)状态检测功能

undo firewall session link-state check

 

SACG认证原理

SACG本质通过ACL控制:

通过在SACG上配置Controller联动功能,将SACG上的ACL30093999作为接纳Controller下发控制策略的容器,这901条ACL分别对应ID号为0-900的901种角色,每种角色对应Controller系统中的一个受控域。

其中ACL3099对应角色0,是所有接入用户的缺省角色,可以用来允许未经认真的用户访问认证前域。剩余的ACL3000-3999对应1-900号角色,这些角色是由Controller系统下发的普通角色。

受控域与FW上的ACL的对应关系:每一个受控域对应FW上的两个ACL,奇数号对应Deny规则,偶数号对应Permit规则。

隔离域常用的控制方式:只允许访问受控域列表中的资源,其他资源全部不允许访问。

认证后域常用的控制方式:禁止访问受控域列表中的资源,其他的资源全部允许访问。

 

SACG接入控制认证流程:

SACG准入包括三个实体:客户端、设备端(SACG)和认证服务器。

一个终端设备接入后,通过SACG向Controller服务器发起认证请求,认证通过后,Controller服务器将该终端设备的IP地址以及对应的角色信息发给SACG。

图:SACG接入控制流程

  1. SACG向Agile Controller-Campus请求同步认证前域的规则、隔离域的规则和认证后域的规则,把规则转换为ACL。管理员配置完交换机、防火墙的接口,防火墙安全策略后,防火墙定期(每10分钟)主动向Agile Controller-Campus发起连接请求,因此在配置防火墙时需要允许Local安全区域(防火墙自身)访问Agile Controller-Campus所在的安全区域。
  2. 连接成功后Agile Controller-Campus向防火墙下发配置的认证前域、隔离域和认证后域的规则。
  3. 终端用户在AnyOffice或其他客户端输入帐号密码发起身份认证请求。若终端用户未安装AnyOffice则向终端用户推送在防火墙上配置的URL链接(Web或Web Agent),方便终端用户通过Web页面进行身份认证。
  4. Agile Controller-Campus返回认证结果,如果认证失败,那么终端用户只能访问认证前域的资源。终端用户身份认证成功后,向Agile Controller-Campus发起安全认证请求。
  5. 终端用户通过AnyOffice从业务控制器下载并执行安全策略以进行安全检查,并将安全检查结果上报Agile Controller-Campus。所谓安全认证是指在终端用户通过身份认证后,AnyOffice将从业务控制器接收并执行管理员配置的策略及执行参数,如果未发现终端主机存在严重违规,则表明终端主机通过安全认证。通过安全认证的终端用户允许访问认证后域,访问权限的大小受限于管理员在业务控制器配置的受控域。
  6. Agile Controller-Campus根据安全检查结果,通知SACG将终端用户的IP切换至对应的域。
    如果安全检查通过,Agile Controller-Campus通知SACG将终端用户的IP地址切换至认证后域。
    如果安全检查不通过,Agile Controller-Campus通知SACG将终端用户的IP地址切换至隔离域。
  7. SACG将终端用户的IP地址切换至对应的域,并将执行结果返回至Agile Controller-Campus。
  8. Agile Controller-Campus将服务器端策略与终端本地策略比较,如果策略不一致,则将最新的安全策略下发给客户端;如果策略一致,则不执行下发策略操作,返回给客户端响应报文。
  9. 终端用户访问网络,当报文经过SACG时,SACG将使用认证域对应的ACL限制终端用户能够访问的网络资源。

 

SACG认证过程:

图:SACG认证过程动态图

  • 如果终端IP地址未通过身份认证,SACG将会使用认证前域对应的ACL对报文进行处理。该条ACL与管理员在SM上配置的认证前域相对应,终端用户只能访问认证前域的网络资源。
  • 如果终端IP地址已经通过身份认证,但未通过安全检查,SACG将该报文从认证前域切换至隔离域,并根据隔离域对应的ACL对报文进行处理,终端用户可以访问认证前域和隔离域的网络资源。
  • 如果终端IP地址同时通过身份认证和安全检查,SACG将该报文从认证前域或隔离域切换至认证后域,并根据认证后域对应的ACL对报文进行处理,终端用户可以访问认证前域和认证后域的网络资源。


部署SACG认证配置思路

配置步骤: 

第一步:基本配置

路由  策略

第二步:重定向流量

SW1

acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255

interface Ethernet0/0/9

traffic-redirect inbound acl 3000 ip-nexthop 10.1.3.10

第三步:关闭硬件SACG(FW)状态检测功能
undo firewall session link-state check

第四步:配置AC

1. 创建硬件SACG

2. 定义认证前域

3. 受控域

隔离域

后域

4.分别各自调用

隔离域调用隔离域

后域调用后域

5. 创建SACG策略

把隔离和后域都调用

6. 创建用户组,用户用户名和密码

7. 用户组对应策略

第五步:防火墙S

配置与TSM联动

1.开启功能

2.联动AC的硬件SACG

3.联动关联

第六步:使用PC的 Anyoffice测试


SACG配置示例

配置拓扑如下:

图:SACG配置拓扑

要求: 配置SACG,认证前域为192.168.1.100/32,隔离域为192.168.1.1/32,认证后域为202.100.1.10/24以及10.1.0.0/16。

SW1配置:

acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255

interface Ethernet0/0/9

traffic-redirect inbound acl 3000 ip-nexthop 10.1.3.10


AC上配置:

  1. AC上配置与FW联动
  2. 配置前域、受控域
  3. 配置部门、用户、账号
  4. 配置SACG策略组


FW与AC联动配置:

  1. TSM联动
  2. 域间应用联动策略
  3. 安全策略

 

检查测试:

SACG与AC联动信息:

SACG获得的角色列表:

未认证前,只能访问认证前域:

认证后:认证后可以访问认证后域。隔离域只有配置终端安全策略检查才会出现。

SACG上在线用户:

角色6拿到的授权列表:

参考文档:华为HedEx文档
 

宇寒
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为设备软件SACG认证
Tony_long7483的博客
08-24 804
1.基本IP地址和连通性配置 (1)LSW1的基本配置 [LSW1]vlan batch 12 14 to 16 [LSW1-Vlanif12]ip add 10.1.12.1 24 [LSW1-Vlanif14]ip add 10.1.14.1 24 [LSW1-Vlanif15]ip add 10.1.15.1 24 [LSW1-Vlanif16]ip add 10.1.16.1 24 [LSW1-GigabitEthernet0/0/1]port link-type access [LSW1-Gig.
离散数学 --- 二元关系 --- 关系的运算
最新发布
qq_51947882的博客
09-06 1万+
进行关系A和关系B进行关系的复合运算的前提是关系A的后域是关系B的前域,且最终得到的复合关系C的前域是关系A的前域,后域是关系B的后域(且这个前域值在关系A中对应的后域值与这个后域值在关系B中对应的前域值相等)关系的复合运算对于关系矩阵而言直接就是布尔矩阵求积(此时我们得到的新的矩阵C是满足复合运算的定义的矩阵)对于关系矩阵而言,关系R逆的关系矩阵(邻接矩阵)是关系R的关系矩阵的转置矩阵。1.上面那个R的n次幂的基数是指通过R的n次幂求得的集合中的序偶的个数。1.分配律对于并集成立对于交集不成立。
华为设备硬件SACG认证
Tony_long7483的博客
08-24 989
1.基本配置 (1)LSW1的配置 [LSW1]vlan batch 12 14 15 16 17 51 [LSW1-Vlanif12]ip add 10.1.12.1 24 [LSW1-Vlanif14]ip add 10.1.14.1 24 [LSW1-Vlanif16]ip add 10.1.16.1 24 [LSW1-Vlanif17]ip add 10.1.17.1 24 [LSW1-Vlanif15]ip add 10.1.15.1 24 [LSW1-Vlanif51]ip add 10.1..
离散数学学习笔记——第六讲——二元关系(4.2 序偶和笛卡儿积)
预见未来to50的专栏
10-22 1033
1. 什么是二元关系?(关系、前域、后域) 2. 二元关系的数学符号 3. 枚举二元关系 4. 几种重要关系(空关系、全关系、恒等关系)和有限集合的二元关系数量 5. 定义域和值域 6. 二元关系的推广(n元关系) ...
华为HCIE-Security培训视频汇总集【共6期90集】.rar
09-15
目录:网盘文件,永久连接 ...5_sacg_portal_mac认证技术讲解 6_802.1x配置讲解 7_sacg_实验演示_无终端安全检查 8_终端安全检查 9_终端安全检查_域切换 10_访客管理 11_portal认证实验演示 12_portal_访客管理
华为HCNP-Security LVC公开课培训视频教程汇总集【共3科84集】.rar
09-24
5.1_SACG认证技术_SACG原理 5.2_SACG认证技术_SACG配置部署 5.3_SACG认证技术_SACG故障处理 6.1_Portal认证技术_Portal技术原理 6.2.1_Portal认证技术_Portal配置部署1 6.2.2_Portal认证技术_Portal配置部署2 ...
华为HCIP-Security V3.0培训PPT和实验指导手册全集.rar
10-06
305 SACG认证技术 ISSUE 3.0 306 Portal认证技术 ISSUE 3.0 307 访客管理技术 ISSUE 3.0 308 敏捷网络技术 ISSUE 3.0 309 终端安全管理 ISSUE 3.0 310 BYOD移动办公系统 ISSUE 3.0 311 无线网络安全技术 ISSUE...
华为HCIE-Security面试培训视频教程【共28集】.rar
10-17
03 Agile Controlle认证方式 04 SACG 05 准入排错 06 AV和NIP处理流程 07 NIP 08 DSVPN 09 IPSec NAT-T 10 L2TP 11 Lab中IPSec排错 12 SSLVPN 13 SSLVPN排错 14 对称非对称密钥 15 ASPF 16 SIP排错 17...
PCS7 中文版安装步骤说明
05-30
PCS7 中文版安装步骤说明
华为认证723
giaogiaogioao的博客
06-02 572
1、 2、3、SACG认证:一般用于稳定的网络进行有线准入控制的场景,一般采用旁挂部署,不改变原有拓扑网络结构。4、anyoffice:5、portal认证中交换机配置参数:1、portal服务器IP 2、设备和portal服务器通信的IP 3、服务器端口 4、portal预共享密钥 5、portal页面url 检查端口是否被占用6、radius:在测试radius连通性是,如果不带关键字pap,在运行test-aaa时交换机/ac默认使用chap,radius不支持chap进行ad认证
猿创征文|HCIE-Security Day49:AC准入控制SACG
小梁的博客
09-03 1193
通过在路由器或交换机上配置重定向或者策略路由,将Untrust区域的终端设备访问Trust区域的业务系统的流量从路由器或交换机转发到SACG上,由SACG对其进行处理。通过在SACG上配置AC联动功能,将SACG上的acl3099-3999作为接纳controller下发控制策略的容器,这901条acl分别对应ID号为0-900的901种角色,每种角色对应controller系统中的一个受控域。如果勾选只允许访问列表中的受控域资源,禁止访问其他,就会下发给认证后域,即通过认证的设备以下acl内容。
离散数学知识点总结
热门推荐
qq_41368074的博客
07-08 2万+
四.集合 1.N:自然数集,N*:正整数集,R:实数集,Q:有理数集,Z:整数集,C:复数集。 2.基:集合A中不同元素的个数,|A|。 3.幂集:给定集合A,以集合A的所有子集为元素组成的集合,记做P(A)。 4.若集合A中有n个元素,则A有个子集(含空集),则其幂集P(A)中含个元素。 5.集合的分划 ①.由集合A的若干非空子集构成; ②.这几个子集相交为空,相并为A。 6.集合的覆盖 ①.由集合A的若干非空子集构成; ②.这些非空子集的相交未必为空,但相并一定为A ...
无线认证知识点
一个懒鬼的博客
03-16 1614
一、认证、加密 二、配置portal认证步骤 三、802.1X认证配置思路 配置 [AC-wlan-view]security-profile name 123 [AC-wlan-sec-prof-123]security wep share-key [AC-wlan-sec-prof-123]wep key 0 wep-40 hex 1234567890 [AC-wlan-sec-prof-123]security wpa psk pass-phrase 123456789 tkip.
什么是前后端的跨域问题
weixin_30896511的博客
07-12 573
跨域 跨域是浏览器不能执行其他网站的脚本。它是由浏览器的同源(域名,协议,端口)策略造成的,是浏览器对JavaScript施加的安全限制。 当前端调用处于不同域名或者端口的时候,就会出现跨域问题。 这里说的是针对于浏览器,如果不是浏览器向服务器进行交互就不会出现跨域问题。 可以理解是浏览器的url栏与服务器之间路由不同造成跨域的。 跨域分为几种情况: 服务器与浏览器...
安全HCIP之SACG
XiaoHG_CSDN的博客
10-15 1319
SACG SACG认证(华为私有):使用防火墙作为接入控制设备,对用户接入网络进行身份认证和安全检查。部署在数据中心或网络出口位置,方便维护。适用于大中型园区,网络环境复杂,对网络安全要求适中的场景。 SACG是指设备通过在SACG认证系统中承担SACG的角色,协助SACG认证系统实现内网终端用户的安全控制。 SACG准入,是Controller和和防火墙配合实现的用户准入控制,主要针对的是有线网络,并且不改造网络架构的常见,实现对有线网络接入用户的准入控制。本质上是通过防火墙上的ACL来控制用户的权限。
【WLAN从入门到精通-基础篇】第11期——WLAN接入认证-Portal
qliu83的专栏
05-19 9350
【转自】http://support.huawei.com/huaweiconnect/enterprise/thread-149867.html 1.1 无处不在的Portal认证 场景一:北京国际机场,岩松打开iPhone搜索Wi-Fi信号,看到机场Wi-Fi登录页面,输入手机号获取密码,输入密码后连接Internet刷微博。 场景二:某餐馆,顾客小e拿出手机扫了餐桌
ldaps 认证环境
smartresister的专栏
02-22 2336
前言: 一般提到SSL,都要证书,至少是服务器需要有证书。当热客户端在认证的时候,可以忽略是否认证服务器。 认证方法 1、ldap 简单密码 simple authortization port:389 2、基于SSL的ldap(ldaps) port:636 3、SASL simle authortization security layer 4、基...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值