防火墙热备技术与用户认证管理
1、防火墙实现双机热备可以使用类似于路由协议中的VRRP技术,通过绑定虚拟IP的手段进行主备节点的配置,虚拟IP没有实际的接口但是协议会将流量导向一个实际的Master主节点的接口,当主节点挂掉后,无法向备用节点发送通知时VRRP协议会把指向虚拟IP的流量导向一个实际的备节点的接口。
2、但是对于防火墙而言存在一个回包是否允许通过的问题,如果在主节点允许从Trust区域通往Untrust区域的首包通过后并且记录在会话表项,但是主节点挂了,备用节点无主节点表项因此不允许Untrast区域的回包到Trust,连接就会中断。因此出现了VGMP协议对主备防火墙的状态实现统一切换与HRP协议实现防火墙动态数据与关键配置命令的备份,通过心跳线的方式对主备防火墙之间的会话表项实现统一。
3、HRP的接口有5种状态:Invalid物理接口OK,协议不通。Down物理与协议都不通。Peerdown本地物理与协议都OK,对端DOWN了。Ready表示发送了,也能收到回文。Running是配置虚拟绑定接口时正在工作的接口。
4、所谓AAA 技术是指对使用者分别进行认证、授权与计费。三A认证通常分为两种形式,本地认证与服务器认证,还包括单点登录与短信认证两种方式。服务器认证的主要协议有RADIUS和HWTACACS协议,这两者的主要区别是HWTACACS分离的认证与授权,而RADIUS将其放在一个请求回答里。802.1X通常是用来传输用户名密码到防火墙的协议,Portal则是用来通过WEB传输用户名密码的协议,主要提供了一个WEB界面,具体的认证方式还是需要通过RADIUS等认证协议执行。
5、LDAP协议,一个轻量级目录访问协议,从X.500目录访问协议发展而来,LDAP目录条目可描述一个层次结构,这个结构可以反映一个政治、地理或者组织的范畴。同样可以实现身份认证与访问控制。
6、用户组织结构主要包括认证域、用户/用户组、安全组。
系统默认有一个缺省的认证域,一个认证域相当于一个公司,用户/用户组相当于下属部门或者员工、安全组是一个横向跨越用户组的独立出来的群组,也可以理解为一拨用户组成的用户组。用户通常可以分为管理员、上网用户、接入用户。
7、单点登录是指防火墙不是认证点,防火墙通过获取其他认证系统的登陆消息使用户在防火墙种获取权限。AD单点登录是用户希望通过AD服务器认证后自动获得防火墙的认证然后可以访问对应的网络资源。AD单点登录主要有:接收PC消息模式、查询AD服务器安全日志模式、防火墙监控AD认证报文三种方式。
8、配置单点登录时的配置流程:首先配置单点登录服务器、第三方服务器。随后配置认证域。再配置用户/用户组。再配置认证选项如单点登录参数,全局参数等。最后配置认证策略。
扫一扫
269
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
