网络安全高级应用 第七章 AAA服务器高级应用(35P).ppt

第七章 AAA服务器高级应用,理论部分,课程回顾,内容回顾802.1x身份验证包含哪3个主要组件？交换机端口有哪2种状态？命令dot1x port-control有哪3个参数？端口默认处于哪个802.1x状态？要实现用户自己更改密码需要安装什么软件？,2,技能展示,会通过AAA服务器对访问进行控制 会通过AAA服务器为认证用户下发ACL,3,本章结构,AAA服务器高级应用,AAA服务器下发ACL配置,ASA穿越代理的原理,Easy VPN与AAA服务器,使用AAA服务器对通过ASA的流量进行授权,通过AAA服务器为远程接入VPN认证授权,ASA穿越代理的配置,ASA穿越代理的配置实例,SSL VPN与AAA服务器,4,通过ASA的流量进行授权,防火墙一般组网拓扑图 配置ACL控制内网访问服务器的权限,5,ASA穿越代理的原理,1、PC访问Web服务器2、检查流量，发送认证提示给PC3、输入用户名、密码进行认证4、认证成功，进行授权5、PC访问Web服务器正常,inside,DMZ,PC,ACS Server,Web Server,1.连接请求,2.认证提示,3.进行认证,4.认证通过,6,ASA穿越代理的配置2-1,定义触发认证的流量配置AAA服务器,ASA(config)#access-list http extended permit tcp any 192.168.100.0 255.255.255.0 eq 80,ASA(config)#aaa-server server_group protocol RADIUS|TACACS+ASA(config)#aaa-server server_group(interface_name)host server_ipaddressASA(config-aaa-server-host)#key keywordASA(config-aaa-server-host)#authentication-port portASA(config-aaa-server-host)#accounting-port port,配置服务器使用的协议,配置服务器地址,配置共享密钥、认证和统计端口,7,ASA穿越代理的配置2-2,AAA认证配置 AAA认证配置实例AAA授权配置 配置AAA认证超时时间,ASA(config)#aaa authentication match acl_name interface_name server_group,ASA(config)#aaa authentication match http inside acs,ASA(config)#aaa authorization match acl_name interface_name server_group,8,AAA服务器下发ACL配置,使用Downloadable IP ACLs动态下发ACL配置AAA Client的认证使用方法配置Downloadable IP ACLs在用户或用户组中配置下发ACL的名称,配置的Downloadable IP ACLs名称,9,动态ACL与本地ACL的关系,本地ACL在端口应用配置配置per-user-override参数只有动态下发的ACL有效不配置per-user-override参数本地ACL和动态下发的ACL同时有效,ASA(config)#access-group acl_name in interface inside per-user-override,10,ASA穿越代理的配置实例6-1,BENET公司网络环境通过ACL来控制员工访问服务器权限使用AAA服务器统一管理,11,ASA穿越代理的配置实例6-2,实验环境服务器安装Windows Server 2003系统在Web Server1和ACS Server上配置IIS搭建Web站点,要求 客户端访问Web服务器必须通过认证服务器认证授权PC1的用户名和密码：benet；PC2的用户名和密码：ciscoPC1权限：访问Web Server1，不能访问ACS ServerPC2权限：访问Web Server1和ACS Server,12,ASA穿越代理的配置实例6-3,配置RADIUS服务器 配置AAA Server和AAA Client 添加用户benet和ciscobenet用户加入组group1cisco用户加入组group2 配置动态下发ACL 配置为用户组下发的ACL,group1：permit tcp any 192.168.100.3 255.255.255.255 eq 80,group2：permit tcp any 192.168.100.2 255.255.255.255 eq 80permit tcp any 192.168.100.3 255.255.255.255 eq 80,13,ASA穿越代理的配置实例6-4,配置ASA穿越代理,ASA(config)#access-list http permit tcp any 192.168.100.0 255.255.255.0 eq 80ASA(config)#aaa-server acs protocol RADIUS ASA(config-aaa-server-group)#aaa-server acs(dmz)host 192.168.100.2ASA(config-aaa-server-host)#key cisco ASA(config-aaa-server-host)#exitASA(config)#aaa authentication match http inside acsASA(config)#aaa authentication secure-http-client,定义匹配的流量,配置AAA服务器,配置AAA认证,在客户端和防火墙之间使用HTTPS协议,14,ASA穿越代理的配置实例6-5,验证用户权限 PC1权限验证，在ASA上查看ACLPC2权限验证，在ASA上查看ACL,15,ASA穿越代理的配置实例6-6,本地ACL与动态ACL有效性验证 配置本地ACL在端口应用ACL，不使用per-user-override参数在端口应用ACL，使用per-user-override参数,ASA(config)#access-list test extended deny ip any host 192.168.100.2ASA(config)#access-list test extended permit ip any any,16,小结,请思考使用RADIUS服务器动态下发ACL常用方式是什么？在Downloadable IP ACLs方式的配置中，添加AAA Client时，认证使用的协议是选择“RADIUS(Cisco VPN 3000/ASA/PIX 7.x+)”还是标准RADIUS(IETF)？在使用命令access-group acl_name in interface inside per-user-override应用ACL时，本地配置的ACL是否有效？,17,远程接入VPN认证授权2-1,BENET公司网络环境公司要求对通过远程VPN接入的用户进行权限控制,18,远程接入VPN认证授权2-2,实验环境服务器安装Windows Server 2003系统在Web Server1和ACS Server上配置IIS搭建Web站点,要求 由AAA服务器对远程接入VPN用户进行认证授权授权包括客户端的IP地址和访问服务器的权限 远程访问VPN接入用户的用户名：benet，密码：benet；访问权限是只能访问Web Server1，不能访问ACS Server,19,EasyVPN与AAA服务器4-1,配置AAA服务器 配置AAA Server和AAA Client 配置Downloadable IP ACLs 配置IP地址池 添加用户，配置用户组,20,EasyVPN与AAA服务器4-2,在ASA上配置EasyVPN,ASA(config)#aaa-server aaa protocol RADIUS ASA(config-aaa-server-group)#aaa-server aaa(dmz)host 192.168.100.2ASA(config-aaa-server-host)#key ciscoASA(config)#crypto isakmp enable outsideASA(config)#crypto isakmp policy 10ASA(config-isakmp-policy)#authentication pre-shareASA(config-isakmp-policy)#encryption aesASA(config-isakmp-policy)#hash shaASA(config-isakmp-policy)#group 2,21,EasyVPN与AAA服务器4-3,在ASA上配置EasyVPN,ASA(config)#tunnel-group ezvpn type ipsec-raASA(config)#tunnel-group ezvpn general-attributesASA(config-tunnel-general)#authentication-server-group aaaASA(config)#tunnel-group ezvpn ipsec-attributesASA(config-tunnel-ipsec)#pre-shared-key cisco123ASA(config)#crypto ipsec transform-set test esp-aes esp-sha-hmac ASA(config)#crypto dynamic-map map1 10 set transform-set testASA(config)#crypto map cisco 1000 ipsec-isakmp dynamic map1ASA(config)#crypto map cisco interface outside,22,EasyVPN与AAA服务器4-4,验证PC远程接入权限在PC上安装VPN Client接入VPN，在ASA上查看ACL在PC上查看获得的IP地址 PC只能访问Web Server1,23,SSL VPN与AAA服务器3-1,配置AAA服务器在ASA上配置SSL VPN,ASA(config)#aaa-server aaa protocol RADIUS ASA(config-aaa-server-group)#aaa-server aaa(dmz)host 192.168.100.2ASA(config-aaa-server-host)#key ciscoASA(config)#webvpnASA(config-webvpn)#port 444ASA(config-webvpn)#enable outsideASA(config-webvpn)#svc image disk0:/sslclient-win-1.1.3.173.pkg ASA(config-webvpn)#svc enable,24,SSL VPN与AAA服务器3-2,在ASA上配置SSL VPN,ASA(config)#group-policy sslvpn-group-policy internalASA(config)#group-policy sslvpn-group-policy attributesASA(config-group-policy)#vpn-tunnel-protocol webvpn svcASA(config-group-policy)#webvpnASA(config-group-webvpn)#svc ask enableASA(config)#tunnel-group sslvpn-group type webvpnASA(config)#tunnel-group sslvpn-group general-attributesASA(config-tunnel-general)#default-group-policy sslvpn-group-policyASA(config-tunnel-general)#authentication-server-group aaa,25,SSL VPN与AAA服务器3-3,在ASA上配置SSL VPN验证PC远程接入权限在PC上接入SSLVPN，在ASA上查看ACL无客户端和安装SSL客户端后的访问,ASA(config)#tunnel-group sslvpn-group webvpn-attributesASA(config-tunnel-webvpn)#group-alias groups enableASA(config-tunnel-webvpn)#exitASA(config)#webvpnASA(config-webvpn)#tunnel-group-list enableASA(config-webvpn)#exit,26,限制无客户端SSLVPN的访问2-1,关闭SSLVPN页面的地址输入栏 在ASA防火墙上定义一个URL列表XML文件模版将XML文件url_list1.xml导入到ASA防火墙FTP的用户名为ftp，密码为123456,ASA(config)#group-policy sslvpn-group-policy attributesASA(config-group-policy)#webvpn ASA(config-group-webvpn)#url-entry disableASA(config-group-webvpn)#file-entry disable ASA(config-group-webvpn)#file-browsing disable,ASA#import webvpn url-list url_list1 ftp:/ftp:123456192.168.100.3/url_list1.xml,禁用HTTP和HTTPS,禁用文件地址输入,禁用文件浏览,27,限制无客户端SSLVPN的访问2-2,应用URL列表在ASA上配置通过AAA服务器授权URL列表 认证使用方法选择RADIUS(Cisco VPN 3000/ASA/PIX 7.x+)配置026/3076/071 WebVPN-Url-List属性验证用户的访问权限,ASA(config)#group-policy sslvpn-group-policy attributesASA(config-group-policy)#webvpn ASA(config-group-webvpn)#url-list value url_list1,28,本章总结,AAA服务器高级应用,AAA服务器下发ACL配置,ASA穿越代理的原理,Easy VPN与AAA服务器,使用AAA服务器对通过ASA的流量进行授权,通过AAA服务器为远程接入VPN认证授权,ASA穿越代理的配置,ASA穿越代理的配置实例,SSL VPN与AAA服务器,29,第七章 AAA服务器高级应用,上机部分,实验案例1：加强内部访问服务器安全2-1,需求描述客户端访问服务器必须通过ASA认证授权PC1用户名：benet，密码：benet；只能访问Web ServerPC2用户名：cisco，密码：cisco；可以访问Web和ACS服务器,31,实现思路配置穿越代理配置AAA服务器使用RADIUS协议授权验证用户权限学员练习,40分钟完成,实验案例1：加强内部访问服务器安全2-2,32,实验案例2：限制远程VPN访问权限2-1,需求描述配置SSLVPN接入，通过认证服务器对用户认证授权用户名和密码benet，只能访问Web Server用户名和密码cisco，可以访问Web Server和ACS服务器,33,实验案例2：限制远程VPN访问权限2-2,实现思路配置URL列表限制用户benet使用无客户端的SSLVPN访问ACS服务器关闭地址栏输入功能配置SSL VPN配置AAA服务器使用RADIUS协议授权验证用户权限学员练习,40分钟完成,34,