网络安全篇 Download ACL-19

目录

一、实验原理

二、实验拓扑

三、实验步骤

四、实验过程

总结


实验难度4
实验复杂度4

 

 

一、实验原理

认证与授权的区别:认证是验证用户的合法身份,就像我们与人交易一样,首先是要确定对方的身份,然后才会谈及交易的事情,而授权是验证用户的合法身份后,授予这个用户的某些权限,可大可小,一般地,认证与授权经常是一齐配合使用的。思科ASA防火墙上提供用户授权的方式有两种:(1)在认证的时候从Radius AAA服务器上下载一个每用户的访问控制列表(个人推荐使用这个方法),(2)在Tacacs+ AAA服务器上配置用户授权规则,并且按需的控制每一个会话(不推荐这个方法)。

现在我们来了解一下这个Download ACL吧。

当用户在思科ASA上认证成功之后,授权使用每用户的Download ACL:(1)首先ASA发送认证请求到AAA服务器;(2)AAA服务器回应一个认证包,里面包含一个用户的访问控制列表(这个是基于每用户发放的,不是同时都下发的)(3)ASA使用这个ACL来进行过滤相关的数据流量

每用户覆盖:允许一个下载的ACL覆盖在一个接口应用的ACL,用于放行某一个用户的流量。若每用户覆盖特性没有被配置,流量需要被每用户的ACL和接口存在的访问控制列表放行。

DACL的简略工作流程:

(1)虚拟telnet预认证

(2)防火墙提示用户login认证

(3)ASA请求ACS认证用户

(4)ACS认证回应包含DACL名

接下来的实验中,主要的需求就是配置了Download ACL后,user1只可以访问与ping通Server1,user2只可以访问与ping通Server2.

 

注意:每用户指的是单个用户,可以是一个,也可以是多个单一的个体。

二、实验拓扑

三、实验步骤

1.搭建如图所示的网络拓扑;

2.初始化路由器,配置相关路由器的IP地址;

3.配置ASA的初始相关参数:

防火墙的名称为ASA

接口接口名称安全级别IP地址
G0inside100192.168.1.254/24
G1dmz50192.168.100.254/24
G2outside050.100.200.254/24

 

 

 

 

 

4.配置好四个路由器的默认路由,下一跳都指向ASA;

5.配置AAA服务器,相关的配置信息如下:

配置设备的名称为ASA,采用 RADIUS协议认证,认证的设备防火墙的IP地址为192.168.100.254,认证密码为ccie;

配置验证用户名分别为dmz/outside/inside,它们的密码都为ccie;

6.配置防火墙ASA与ACS的认证信息:

(1)认证的密码为ccie; 

(2)aaa服务器的名称为ACS,协议为radius; 

(3)与aaa服务器连接的接口为inside,服务器IP地址为192.168.100.1;

(4)测试ASA防火墙与ACS服务器是否验证成功。

7.在ASA配置虚拟telnet地址为50.100.200.100;

8.配置名称为ic的全局ACL,放行所有的ICMP协议流量;

9.配置名称为in-out的扩展ACL,放行192.168.1.0/24到主机50.100.200.100的虚拟telnet流量;

10.匹配in-out的ACL流量,把它放到ACS服务器上认证;

11.在ACS服务器上创建两个组,一个是guser1,另一个是guser2;

12.在ACS上创建两个用户,用户/组,user1/guser1、user2/guser2; 

13.在ACS上创建2条Download ACL,要求如下:

名称:user1

放行192.168.1.0/24到50.100.200.100与50.100.200.1的telnet流量

放行192.168.1.0/24到50.100.200.1的ICMP流量

名称:user2

放行192.168.1.0/24到50.100.200.100与50.100.200.2的telnet流量

放行192.168.1.0/24到50.100.200.2的ICMP流量

14.配置授权Profile,名字分别为user1、user2; 

15.配置应用策略。

规则名字为:puser1

授权profile为:user1

组:guser1

 

规则名字为:puser2

授权profile为:user2

组:guser2

 

四、实验过程

1.搭建如图所示的网络拓扑;

使用GNS3来搭建网络拓扑图,过程略。

2.初始化路由器,配置相关路由器的IP地址;

user1:

user2:

Server1:

Server2:

3.配置ASA的初始相关参数:

防火墙的名称为ASA

接口接口名称安全级别IP地址
G0inside100192.168.1.254/24
G1dmz50192.168.100.254/24
G2outside050.100.200.254/24

 

 

 

 

 

4.配置好四个路由器的默认路由,下一跳都指向ASA;

5.配置AAA服务器,相关的配置信息如下:

配置设备的名称为ASA,采用 RADIUS协议认证,认证的设备防火墙的IP地址为192.168.100.254,认证密码为ccie;

配置验证用户名分别为dmz/outside/inside,它们的密码都为ccie;

6.配置防火墙ASA与ACS的认证信息:

(1)认证的密码为ccie; 

(2)aaa服务器的名称为ACS,协议为radius; 

(3)与aaa服务器连接的接口为inside,服务器IP地址为192.168.100.1;

(4)测试ASA防火墙与ACS服务器是否验证成功。

7.在ASA配置虚拟telnet地址为50.100.200.100;

8.配置名称为ic的全局ACL,放行所有的ICMP协议流量;

测试:

9.配置名称为in-out的扩展ACL,放行192.168.1.0/24到主机50.100.200.100的虚拟telnet流量;

10.匹配in-out的ACL流量,把它放到ACS服务器上认证;

11.在ACS服务器上创建两个组,一个是guser1,另一个是guser2;

12.在ACS上创建两个用户,用户/组,user1/guser1、user2/guser2; 

13.在ACS上创建2条Download ACL,要求如下:

名称:user1

放行192.168.1.0/24到50.100.200.100与50.100.200.1的telnet流量

放行192.168.1.0/24到50.100.200.1的ICMP流量

名称:user2

放行192.168.1.0/24到50.100.200.100与50.100.200.2的telnet流量

放行192.168.1.0/24到50.100.200.2的ICMP流量

14.配置授权Profile,名字分别为user1、user2;

这里应用是 Download ACL分别为user1、user2; 

15.配置应用策略。

规则名字为:puser1

授权profile为:user1

组:guser1

规则名字为:puser2

授权profile为:user2

组:guser2

测试:

(1)在user1上:

(2)查看ASA的认证信息与ACL:

这里在user2上的效果是类似的:

代码解析:

ASA(config)# access-group in-out in interface inside per-user-override   //允许每个用户的ACL覆盖,也就是说,可以为每个用户设定相应的权限,这里是为匹配到in-out流量的相应用户进行授权

 

总结

本章节使用的Download ACL与之前我们在ASA上配置的ACL有点不一样的地方,那就是这次的ACL是在ACS服务器上配置的。这次在ACS服务器上配置的信息量会有点多,所以这次的实验难度是比较大的,各位朋友们记得要多操作。根据用户来提供不同的访问权限这种技术是可以优化设备性能的,这个与路由器上的基于角色来授予一定的权限是一样的原理,不过这个技术的实现难度要远远大于路由器上的。好了,我们在下一个章节再见,加油!

 

已标记关键词 清除标记
【为什么还需要学习C++?】 你是否接触很多语言,但从来没有了解过编程语言的本质? 你是否想成为一名资深开发人员,想开发别人做不了的高性能程序? 你是否经常想要窥探大型企业级开发工程的思路,但苦于没有基础只能望洋兴叹?   那么C++就是你个人能力提升,职业之路进阶的不二之选。 【课程特色】 1.课程共19大章节,239课时内容,涵盖数据结构、函数、类、指针、标准库全部知识体系。 2.带你从知识与思想的层面从0构建C++知识框架,分析大型项目实践思路,为你打下坚实的基础。 3.李宁老师结合4大国外顶级C++著作的精华为大家推出的《征服C++11》课程。 【学完后我将达到什么水平?】 1.对C++的各个知识能够熟练配置、开发、部署; 2.吊打一切关于C++的笔试面试题; 3.面向物联网的“嵌入式”和面向大型化的“分布式”开发,掌握职业钥匙,把握行业先机。 【面向人群】 1.希望一站式快速入门的C++初学者; 2.希望快速学习 C++、掌握编程要义、修炼内功的开发者; 3.有志于挑战更高级的开发项目,成为资深开发的工程师。 【课程设计】 本课程包含3大模块 基础篇 本篇主要讲解c++的基础概念,包含数据类型、运算符等基本语法,数组、指针、字符串等基本词法,循环、函数、类等基本句法等。 进阶篇 本篇主要讲解编程中常用的一些技能,包含类的高级技术、类的继承、编译链接和命名空间等。 提升篇: 本篇可以帮助学员更加高效的进行c++开发,其中包含类型转换、文件操作、异常处理、代码重用等内容。
©️2020 CSDN 皮肤主题: 设计师:佐德将军 返回首页