网络安全高级应用 第七章 AAA服务器高级应用(35P).ppt
《网络安全高级应用 第七章 AAA服务器高级应用(35P).ppt》由会员分享,可在线阅读,更多相关《网络安全高级应用 第七章 AAA服务器高级应用(35P).ppt(34页珍藏版)》请在三一办公上搜索。
1、第七章 AAA服务器高级应用,理论部分,课程回顾,内容回顾802.1x身份验证包含哪3个主要组件?交换机端口有哪2种状态?命令dot1x port-control有哪3个参数?端口默认处于哪个802.1x状态?要实现用户自己更改密码需要安装什么软件?,2,技能展示,会通过AAA服务器对访问进行控制 会通过AAA服务器为认证用户下发ACL,3,本章结构,AAA服务器高级应用,AAA服务器下发ACL配置,ASA穿越代理的原理,Easy VPN与AAA服务器,使用AAA服务器对通过ASA的流量进行授权,通过AAA服务器为远程接入VPN认证授权,ASA穿越代理的配置,ASA穿越代理的配置实例,SSL
2、VPN与AAA服务器,4,通过ASA的流量进行授权,防火墙一般组网拓扑图 配置ACL控制内网访问服务器的权限,5,ASA穿越代理的原理,1、PC访问Web服务器2、检查流量,发送认证提示给PC3、输入用户名、密码进行认证4、认证成功,进行授权5、PC访问Web服务器正常,inside,DMZ,PC,ACS Server,Web Server,1.连接请求,2.认证提示,3.进行认证,4.认证通过,6,ASA穿越代理的配置2-1,定义触发认证的流量配置AAA服务器,ASA(config)#access-list http extended permit tcp any 192.168.100.0
3、 255.255.255.0 eq 80,ASA(config)#aaa-server server_group protocol RADIUS|TACACS+ASA(config)#aaa-server server_group(interface_name)host server_ipaddressASA(config-aaa-server-host)#key keywordASA(config-aaa-server-host)#authentication-port portASA(config-aaa-server-host)#accounting-port port,配置服务器使用的
4、协议,配置服务器地址,配置共享密钥、认证和统计端口,7,ASA穿越代理的配置2-2,AAA认证配置 AAA认证配置实例AAA授权配置 配置AAA认证超时时间,ASA(config)#aaa authentication match acl_name interface_name server_group,ASA(config)#aaa authentication match http inside acs,ASA(config)#aaa authorization match acl_name interface_name server_group,8,AAA服务器下发ACL配置,使用Dow
5、nloadable IP ACLs动态下发ACL配置AAA Client的认证使用方法配置Downloadable IP ACLs在用户或用户组中配置下发ACL的名称,配置的Downloadable IP ACLs名称,9,动态ACL与本地ACL的关系,本地ACL在端口应用配置配置per-user-override参数只有动态下发的ACL有效不配置per-user-override参数本地ACL和动态下发的ACL同时有效,ASA(config)#access-group acl_name in interface inside per-user-override,10,ASA穿越代理的配置实例
6、6-1,BENET公司网络环境通过ACL来控制员工访问服务器权限使用AAA服务器统一管理,11,ASA穿越代理的配置实例6-2,实验环境服务器安装Windows Server 2003系统在Web Server1和ACS Server上配置IIS搭建Web站点,要求 客户端访问Web服务器必须通过认证服务器认证授权PC1的用户名和密码:benet;PC2的用户名和密码:ciscoPC1权限:访问Web Server1,不能访问ACS ServerPC2权限:访问Web Server1和ACS Server,12,ASA穿越代理的配置实例6-3,配置RADIUS服务器 配置AAA Server和
7、AAA Client 添加用户benet和ciscobenet用户加入组group1cisco用户加入组group2 配置动态下发ACL 配置为用户组下发的ACL,group1:permit tcp any 192.168.100.3 255.255.255.255 eq 80,group2:permit tcp any 192.168.100.2 255.255.255.255 eq 80permit tcp any 192.168.100.3 255.255.255.255 eq 80,13,ASA穿越代理的配置实例6-4,配置ASA穿越代理,ASA(config)#access-list
8、 http permit tcp any 192.168.100.0 255.255.255.0 eq 80ASA(config)#aaa-server acs protocol RADIUS ASA(config-aaa-server-group)#aaa-server acs(dmz)host 192.168.100.2ASA(config-aaa-server-host)#key cisco ASA(config-aaa-server-host)#exitASA(config)#aaa authentication match http inside acsASA(config)#aaa
9、 authentication secure-http-client,定义匹配的流量,配置AAA服务器,配置AAA认证,在客户端和防火墙之间使用HTTPS协议,14,ASA穿越代理的配置实例6-5,验证用户权限 PC1权限验证,在ASA上查看ACLPC2权限验证,在ASA上查看ACL,15,ASA穿越代理的配置实例6-6,本地ACL与动态ACL有效性验证 配置本地ACL在端口应用ACL,不使用per-user-override参数在端口应用ACL,使用per-user-override参数,ASA(config)#access-list test extended deny ip any ho
10、st 192.168.100.2ASA(config)#access-list test extended permit ip any any,16,小结,请思考使用RADIUS服务器动态下发ACL常用方式是什么?在Downloadable IP ACLs方式的配置中,添加AAA Client时,认证使用的协议是选择“RADIUS(Cisco VPN 3000/ASA/PIX 7.x+)”还是标准RADIUS(IETF)?在使用命令access-group acl_name in interface inside per-user-override应用ACL时,本地配置的ACL是否有效?,17
11、,远程接入VPN认证授权2-1,BENET公司网络环境公司要求对通过远程VPN接入的用户进行权限控制,18,远程接入VPN认证授权2-2,实验环境服务器安装Windows Server 2003系统在Web Server1和ACS Server上配置IIS搭建Web站点,要求 由AAA服务器对远程接入VPN用户进行认证授权授权包括客户端的IP地址和访问服务器的权限 远程访问VPN接入用户的用户名:benet,密码:benet;访问权限是只能访问Web Server1,不能访问ACS Server,19,EasyVPN与AAA服务器4-1,配置AAA服务器 配置AAA Server和AAA Cl
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全高级应用 第七章 AAA服务器高级应用35P 网络安全 高级 应用 第七 AAA 服务器 35
三一办公所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
首信企业AAA用户手册v30.docx首信企业AAA用户手册v30.docx
网络安全接入技术.ppt网络安全接入技术.ppt
《云计算架构介绍》 .ppt《云计算架构介绍》 .ppt
无线VPDN内部培训.ppt.ppt无线VPDN内部培训.ppt.ppt
摩托罗拉无线WING5.0培训文档3.ppt摩托罗拉无线WING5.0培训文档3.ppt
基于以太网技术的局域网系统的验收测评规范.ppt基于以太网技术的局域网系统的验收测评规范.ppt
第11章 用户接入管理体系要点课件.ppt第11章 用户接入管理体系要点课件.ppt
新员工天联内部培训.ppt新员工天联内部培训.ppt
PPPOE综合模拟实验.docPPPOE综合模拟实验.doc
链接地址:https://www.31ppt.com/p-2665926.html