华为防火墙用户管理

AAA简介

AAA是指：Authentication(认证)、Authorization(授权)、Accounting(计费)。

当用户希望访问Internet访问资源时，首先使用Authentication认证技术，用户输入用户名和密码进行认证；当通过认证后，通过Authorization授权，授权不同用户访问的资源；在客户访问期间，通过Accounting计费，记录所做的操作和时长。

Authorization认证

认证方式包括：

• 我知道(What I know)：用户所知道的信息（如：密码、个人识别号(PIN)等）。
• 我拥有(What I have)：用户所拥有的信息（如：令牌卡、智能卡或银行卡等）。
• 我具有(What I are)：用户所具有的生物特征（如：指纹、声音、视网膜、DNA等）。

Authorization授权

授权用户可以使用哪些业务，是公共业务还是敏感业务。
授权用户管理设备，可以使用哪些命令。

Accounting计费

计费主要含义有三个：

• 用户用了多长时间
• 用户花了多少钱
• 用户做了哪些操作

---

AAA技术

三种认证方式：

• 不认证：对用户非常信任，不对其进行合法性检查，一般情况下不采用这种方式。
• 本地认证：将用户信息(包括本地用户的用户名、密码和各种属性)配置在网络接入服务器上。本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备硬件条件限制。
• 远端认证：将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。AAA支持通过RADIUS(Remote Authentication Dial In User Service)协议、HWTACACS(HuaWei Terminal Access Control System)协议和LDAP(Lightweight Directory Access Protocol)协议进行远端认证。

RADIUS

Radius服务器通过建立一个唯一的用户数据库存储用户名和密码来对用户进行验证。

RADIUS广泛应用于网络接入服务器NAS（Network Access Server）系统。NAS负责把用户的认证和计费信息传递给RADIUS服务器。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息以及认证和计费结果，RADIUS服务器负责接收用户的连接请求，完成认证，并把结果返回给NAS。

RADIUS使用UDP（User Datagram Protocol）作为传输协议，具有良好的实时性；同时也支持重传机制和备用服务器机制，从而具有较好的可靠性。

RADIUS客户端与服务器间的消息流程如下：

1. 用户登录USG或接入服务器等网络设备时，会将用户名和密码发送给该网络接入服务器；
2. 该网络设备中的RADIUS客户端（网络接入服务器）接收用户名和密码，并向RADIUS服务器发送认证请求；
3. RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给客户端；对于非法的请求，RADIUS服务器返回认证失败的信息给客户端。

RADIUS报文结构：

• Code：消息类型，如接入请求、接入允许等。
• Identifier：一般是顺序递增的数字，请求报文和响应报文中该字段必须匹配。
• Length：所有域的总长度。
• Authenticator：验证字，用于验证RADIUS的合法性。
• Attribute：消息的内容主体，主要是用户相关的各种属性

LDAP

LDAP也是基于C/S架构的，LDAP服务器负责对来自应用服务器的请求进行认证，同时还指定用户登录的应用服务器所允许访问的资源范围。

HWTACACS

HWTACACS是在TACACS基础上进行了功能增强的一种安全协议，主要用户接入用户的认证、授权和计费。

HWTACACS协议与TADIUS协议的比较

---

用户认证

AAA技术为用户认证提供了手段

用户认证分类：

• 本地认证：访问者将标识其身份的用户名和密码发给NGFW(下一代防火墙)，NGFW上存储了密码，验证过程在NGFW上进行。
• 服务器认证：访问者将标识其身份的用户名和密码发送给NGFW，NGFW上没有存储密码，NGFW将用户名和密码发送至第三方认证服务器，验证过程在认证服务器上进行。
• 单点登录(尽在上网用户中体现)：访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三方认证服务器将访问者的身份信息发送给NGFW。NGFW记录访问者的身份信息。

注：对于上网用户，访问网络资源时NGFW会对其进行认证。对于接入用户，接入NGFW时NGFW会对其进行认证，访问网络资源时NGFW还可根据需要来对其进行二次认证。

---

用户管理

用户管理分类

• 上网用户管理：内部网络中访问网络资源的主体(如企业总部的内部员工)，是设备进行网络权限管理的基本单元。设备通过对访问网络的用户进行身份认证，从而获取用户身份，并针对用户的身份进行相应的策略控制。上网用户可以直接通过NGFW访问网络资源。
• 接入用户管理：外部网络中访问网络资源的主体(如企业分支机构员工和出差员工)。接入用户需要通过SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到NGFW，然后才能访问企业总部的网络资源。
• 管理员用户：管理员用户是指通过Telnet、SSH、Web、FTP等协议或通过Console接口访问设备并对设备进行配置或操作的用户。

---

管理员用户认证流程和配置

管理员登录方式

• Console：Console接口提供命令行方式对设备进行管理，通常用于：①设备的第一次配置，或者设备配置文件丢失，没有任何配置；②当设备系统无法启动时，可通过Console口进行诊断或进入BootRom进行升级。
• Web：终端通过HTTP/HTTPS方式登录到设备进行远程配置和管理
• Telnet：Telnet是一种传统登录方式，通常用于通过命令行方式对设备进行配置和管理。
• FTP：FTP管理员主要对设备存储空间里的文件进行上传和下载
• SSH：SSH提供安全的信息保障和强大的认证功能，在不安全的网络上提供一个安全的通道。

Console / Telnet / FTP 设备配置

1. 配置用户接口
   Console ：
   [USG] user-interface console 0
   [USG-ui-con0] authentication-mode aaa

Telnet：
[USG] user-interface vty 0 3
[USG-ui-vty0] authentication-mode aaa

2. 进入AAA视图进行配置
   [USG] aaa
   [USG -aaa]manager-user client001
   [USG -aaa-manager-user-client001]password cipher password
   [USG -aaa-manager-user-client001]service-type terminal telnet ftp
   注：此处是配置登录方式。

   [USG -aaa-manager-user-client001]level 3
   [USG -aaa-manager-user-client001]ftp-directory hda1:
   注：此处是设置ftp主目录。

SSH设备管理配置

1. 启动SSH服务
   [USG] stelnet server enable

2. 创建SSH用户，并为SSH用户配置密码
   [USG] aaa
   [USG-aaa] manager-user ssh_user
   [USG-aaa-manager-user-ssh_user] ssh authentication-type password
   [USG-aaa-manager-user-ssh_user] password cipher Admin@123
   [USG-aaa-manager-user-ssh_user] service-type ssh

3. 以上配置完成后，运行支持SSH的客户端软件，建立SSH连接。

Web设备管理配置

1. 启动Web管理功能
   [USG] web-manager security enable port port_number

2. 配置Web用户
   [USG] aaa
   [USG-aaa]manager-user webuser
   [USG-aaa-manager-user-webuser]password cipher password
   [USG-aaa-manager-user-webuser]service-type web
   [USG-aaa-manager-user-webuser]level 3

---

上网用户及接入用户认证流程

认证流程

• 认证策略：上网用户使用免认证或会话认证方式触发认证过程、以及已经接入NGFW的接入用户使用会话认证方式触发认证过程时，必须经过认证策略的处理。

  认证策略的作用是选出需要进行免认证或会话认证的数据流，对免认证的数据流，NGFW根据用户与IP/MAC地址的绑定关系来识别用户；对会话认证的数据流，NGFW会推送认证页面。认证策略对单点登录或事前认证方式不起作用。

• 认证域：认证域是认证流程中的重要环节，认证域上的配置决定了对用户的认证方式以及用户的组织结构。NGFW通过识别用户名中包含的认证域，将所有待认证的用户“分流”到对应的认证域中，根据认证域上的配置来对用户进行认证。

• 本地认证/服务器认证用户：决定用户认证时采用本地认证方式还是服务器认证方式，如果是服务器认证方式还包含了使用哪个认证服务器。

• 单点登录用户：单点登录用户的认证过程NGFW不参与，只是从认证服务器接收用户登录/注销消息，所以认证域中的认证方式配置对单点登录用户不起作用。但是在与用户域名（dc字段）同名的认证域中配置的新用户选项对单点登录用户生效。

组织结构管理

为了给不同的用户或部门进行差异化管理，分配不同的权限，需要对组织结构进行规划和管理。防火墙支持创建树型的组织结构，这种结构和通常的行政架构比较类似，非常方便规划和管理。

• 系统默认有一个缺省认证域，其余所有用户组都是该认证组域中的子组。

• 每个用户组可以包括多个用户和用户组，但每个用户组只能属于一个父用户组。

• 每个用户至少属于一个用户组，也可以属于多个用户组。

• 每个用户（组）可以被安全策略、限流策略、等引用，从而实现基于用户的权限和带宽资源控制。

---

上网用户及接入用户认证配置

配置流程

注：
①配置用户组/用户：设备实施基于用户/用户组的管理之前，必须先创建用户/用户组。设备支持管理员手动配置、本地导入和服务器导入多种创建方式。

• 手动配置：NGFW上默认存在default认证域，可以在其下级创建用户/组，如果需要规划其他认证域的组织结构请先配置认证域。当需要根据企业组织结构创建用户组时，并基于用户组进行网络权限分配等管理时，该步骤必选。当对用户进行本地密码认证时，必须要在本地创建用户，并配置本地密码信息

• 本地导入：本地导入支持将CSV格式文件和数据库dbm文件的用户信息导入到设备本地。

• 服务器导入：网络中，使用第三方认证服务器的情况非常多，很多公司的网络都存在认证服务器，认证服务器上存放着所有用户和用户组信息。从认证服务器上批量导入用户是指通过服务器导入策略，将认证服务器上用户（组）信息导入到设备上。

②配置认证选项包含全局参数、单点登录及定制认证页面三部分内容的配置：

• 全局参数配置主要针对于本地认证及服务器认证方式，其配置包含：

  1. 设置用户密码的强度、用户首次登录必须修改密码以及密码过期的设置；
  2. 设置认证冲突时对当前认证的处理方式；
  3. 定义用户认证后的跳转页面；
  4. 定义认证界面使用的协议和端口；
  5. 定义用户登录错误次数限制、达到限制次数后的锁定时间以及用户在线超时时间。

• 单点登录包含AD单点登录、TSM单点登录和RADIUS单点登录。

• 定制认证页面：可以根据实际情况，设置Logo图片、背景图片、欢迎语或求助语等，满足个性化的页面定制需求。

③认证策略是多条认证策略规则的集合，NGFW匹配报文时总是在多条规则之间进行，从上往下进行匹配。当报文的属性和某条规则的所有条件匹配时，认为匹配该条规则成功，就不会再匹配后续的规则。如果所有规则都没有匹配到，则按照缺省认证策略进行处理。
缺省的认证策略及所有匹配条件均为任意(any)，动作为不认证。