05- 防火墙用户管理

最新推荐文章于 2024-04-26 11:26:25 发布
最新推荐文章于 2024-04-26 11:26:25 发布
阅读量6.7k 收藏 3
点赞数
分类专栏: 华为安全HCIA 文章标签: 网络 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianlai22/article/details/123401880
版权

1.用户认证和AAA技术原理

AAA技术

在这里插入图片描述

  • 不认证:

    • 对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。

  • 本地认证:

    • 将用户信息(包括本地用户的用户名、密码和各种属性)配置在网络接入服务器上。本地认证的优点是速度快,可以为运营降低成本;缺点是存储信息量受设备硬件条件限制。

  • 服务器认证:

    • 将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。AAA支持通过RADIUS(RemoteAuthentication Dial In User Service)协议或HWTACACS(HuaWeiTerminal Access Controller Access Control System)协议进行远端认证。

RADIUS协议概述

RADIUS服务器通过建立一个唯一的用户数据库,存储用户名、密码来对用户进行验证。

在这里插入图片描述

RADIUS使用UDP(UserDatagram Protocol)作为传输协议,具有良好的实时性;同时也支持重传机制和备用服务器机制,从而具有较好的可靠性。

RADIUS报文结构:
在这里插入图片描述

  • **Code:**消息类型,如接入请求、接入允许等。

    • Access-Request——请求认证过程

    • Access-Accept——认证响应过程

    • Access-Reject——认证拒绝过程

    • Accounting-Request——请求计费过程

    • Accounting-Response——计费响应过程

    • Access-Challenge——访问质询

  • Identifier:一般是顺序递增的数字,请求报文和响应报文中该字段必须匹配(请求和回应的id是一样的)。

  • Length:所有域的总长度(97字节)。

  • Authenticator:验证字,用于验证RADIUS的合法性。

  • Attribute:消息的内容主体,主要是用户相关的各种属性。(实现认证,授权,计费)

RADIUS认证、授权和计费的交互流程

在这里插入图片描述

  1. 当用户接入网络时,用户发起连接请求,向RADIUS客户端(即设备)发送用户名和密码。

  2. RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文。

  3. RADIUS服务器对用户身份的合法性进行检验:

    • 如果用户身份合法,RADIUS服务器向RADIUS客户端返回认证接受报文,允许用户进行下一步动作。由于RADIUS协议合并了认证和授权的过程,因此认证接受报文中也包含了用户的授权信息。

    • 如果用户身份不合法,RADIUS服务器向RADIUS客户端返回认证拒绝报文,拒绝用户访问接入网络。

  4. RADIUS客户端通知用户认证是否成功。

  5. RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求报文。

  6. RADIUS服务器返回计费开始响应报文,并开始计费。

  7. 用户开始访问网络资源。

  8. (可选)在使能实时计费功能的情况下,RADIUS客户端会定时向RADIUS服务器发送实时计费请求报文,以避免因付费用户异常下线导致的不合理计费。

  9. (可选)RADIUS服务器返回实时计费响应报文&

最低0.47元/天 解锁文章
我是一条胖咸鱼
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)
小梁的博客
02-22 4323
用户 访问网络资源的主体,表示是谁在访问。 fw上的用户根据接入网络时的位置,分为上网用户和接入用户。 上网用户 内部网络中访问网络资源的主体,比如企业总部的内部员工,上网用户可以直接通过fw访问网络资源。接入用户指的是外部网络中访问网络资源的主体,比如企业的分支机构和出差员工 接入用户 需要通过ssl vqn、l2tp vqn、ipsec vqn或者pppoe方式接入到fw,然后才能访问企业总部的网络资源。 认证 fw通过认证来验证访问者的身份,fw对访问者进行认证的方式包括本地认证、服务
实验2:基于防火墙用户认证.docx
10-24
企业的网络管理员希望利用FW提供的用户管理与认证机制,将内部网络中的IP地址识别为用户,为实现基于用户的网络行为控制和网络权限分配提供基础。具体需求如下: 1. 在FW上存储用户和部门的信息,体现公司的组织结构,供策略引用。 2. 研发部员工和市场部员工访问网络资源之前必须通过FW的认证。 3. 对于来访客户,访问网络资源之前必须通过FW的认证,并且只能使用特定的用户Guest来进行认证。 4. 访问者使用会话认证的方式来触发认证过程,即访问者使用IE浏览器访问某个Web页面,FW会将IE浏览器重定向到认证页面。认证通过后,IE浏览器的界面会自动跳转到先前访问的Web页面。
防火墙用户管理理论+实验
ChenD的学习笔记
11-23 2031
防火墙用户认证的知识点与配置实验
AD对接:华为USG防火墙LDAP用户认证
最新发布
qq948718360的博客
04-26 715
华为USG配置LDAP对接AD进行身份认证
锐捷防火墙(WEB)——账号权限设置、配置备份及恢复
君逍遥o
09-20 3459
设备出厂时设备内置的默认账号为admin(拥有所有权限),默认密码:firewall,现在需求如下 1、修改管理员admin的密码为ruijie@123, 设置管理员admin账号的管理主机IP为172.18.10.108/32,即只有172.18.10.108这台主机可以用admin账号管理设备。 2、添加管理员账号monitor,配置密码为123456a!,权限设置为test,管理主机IP不限,即所有主机都能用此账号登陆设备管理,权限为只读 3、定义密码规则,对密码的复杂度进行限制。
关于win11/win10无法关闭防火墙(提醒需要管理员权限进行管理
Jupac的博客
01-10 9607
win11/win10关闭防火墙,改变改变用户策略。
防火墙问题解决办法-----“出于安全原因,某些设置由系统管理员进行管理
热门推荐
Websec
08-18 3万+
1、进入控制面板->系统和安全->Windows防火墙无法正常打开或关闭,上方显示"出于安全原因 某些设置由系统管理管理”解决方法 将文件夹选项设置成如图方式 2 打开此电脑,将:C:\Windows\System32\GroupPolicyUsers 文件夹清空; 3 打开:C:\Windows\System32\GroupPolicy将文件夹中所有文件删除; 4 在GroupPolicyUsers文件夹中创建cmd的快捷方式
网络安全-防火墙.pptx
06-09
13 包过滤型防火墙 缺点: 包过滤防火墙的维护比较困难 定义数据包过滤器比较复杂,网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解 只能阻止一种类型的IP欺骗 即外部主机伪装内部...
防火墙用户管理.docx
09-06
防火墙用户管理.docx
NGFW用户手册-天融信防火墙
10-31
天融信防火墙,NGFW详细用户手册,包括安装手册、管理配置手册(IPSEC VPN、IPS、SSL VPN、防病毒、基础配置)、命令行手册
firewall-cmd命令 防火墙管理
01-09
firewall-cmd提供了一个动态管理防火墙,支持网络/防火墙区域来定义网络连接或接口的信任级别。它支持IPv4、IPv6防火墙设置和以太网网桥,并将运行时和永久配置选项分开。它还支持服务或应用程序直接添加防火墙...
StoneOS命令行用户手册-全册-5.5R6-5-山石防火墙命令手册
02-01
本手册主要介绍了Hillstone Networks公司旗下的防火墙系统StoneOS的使用方法,旨在帮助用户了解并掌握如何通过命令行界面(CLI)进行防火墙的各种配置与管理操作。 **2. 手册约定** - **内容约定**:手册内容涵盖...
华为防火墙实现远程管理的方式及配置详解
小健健的博客
10-22 6518
关于网络设备或是服务器,管理人员几乎很少会守着设备进行维护及管理,最普遍、应用最广泛的就是——远程管理。下面简单介绍一下华为防火墙管理的几种方式。 博文大纲:一、华为防火墙常见的管理方式;二、各种管理方式配置详解;1.通过Console线进行管理;2.通过Telnet方式管理;3.通过Web方式登录设备;4.配置SSH方式登录设备; 一、华为防火墙常见的管理方式 提到管理,必然会涉及到AAA的...
华为防火墙用户管理
YT的博客
01-16 5315
AAA简介 AAA是指:Authentication(认证)、Authorization(授权)、Accounting(计费)。 当用户希望访问Internet访问资源时,首先使用Authentication认证技术,用户输入用户名和密码进行认证;当通过认证后,通过Authorization授权,授权不同用户访问的资源;在客户访问期间,通过Accounting计费,记录所做的操作和时长。 Auth...
个人防火墙配置实验
AC1145的博客
03-04 7527
简介 实验内容 利用个人防火墙防范不安全程序及端口 利用个人防火墙配置连接安全规则 利用命令行工具netsh配置防火墙 实验环境 可以与互联网相连的win 7虚拟机 实验步骤 查看个人防火墙的默认规则 打开Windows自带的防火墙,界面如下 单击左侧“高级设置”,可以查看防火墙的出入站规则、连接安全规则等 单击左侧的“允许程序和功能通过Windows防火墙”,可以查看系统对程序通信是否允...
​​【认证篇 / 远程】(7.0) ❀ 07. FSSO 单点登录 (中) ❀ FortiGate 防火墙
防火墙技术专栏
05-06 1401
DC代理模式可以捕获所有登录,但是需要在域服务器上安装代理软件,如果对域服务器有控制权的话,建议使用DC代理模式。
HCIA-SEC笔记11------防火墙用户管理
weixin_44747184的博客
11-14 584
HCIA-SEC课程之防火墙用户管理
单点登录(SSO)解决方案
topMan'blog
05-17 362
方案概述   现代企业的信息化建设越来越完善,各种电子邮件系统、网络办公、电子财务、人事管理、针对特定行业的业务系统的信息网络化等进入了千百个企业。而企业业务正常运营时,企业用户需要同时访问多个业务系统,并经常浏览企业内部网中的相关信息资源。由于用户在访问不同业务系统时需要独立访问该业务系统;同时,用户需要在各系统间频繁地切换,操作较复杂,无法快速地获得相关业务信息并加以分析利用,此外,用户在进行...
华为防火墙点对点IPsec隧道
foamy_3379的专栏
04-17 4464
huaweiFW1 基础配置: sysname huaweiFW1 interface GigabitEthernet0/0/1  ip address 192.168.1.10 255.255.255.0 quit interface GigabitEthernet0/0/0  ip address 202.100.1.10 255.255.255.0 quit firewall zone tr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值