实验六访问控制权限

李昕昕李昕昕实验六实验六 认证及访问控制认证及访问控制四川大学锦城学院四川大学锦城学院AAA认证vAAA是Authentication，Authorization and Accounting（认证、授权和统计）的简称，它提供了一个对认证认证、授权授权和统计统计这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。vAAA一般采用客户端/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中管理。四川大学锦城学院四川大学锦城学院v功能：哪些用户可以访问网络服务器；具有访问权的用户可以得到哪些服务；如何对正在使用网络资源的用户进行计费。四川大学锦城学院四川大学锦城学院v认证方式：不认证不认证：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。本地认证本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设备上。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设备硬件条件限制。远端认证远端认证：支持通过RADIUS协议或TACACS协议进行远端认证，设备作为客户端，与RADIUS服务器或TACACS服务器通信。对于RADIUS协议，可以采用标准或扩展的RADIUS协议。四川大学锦城学院四川大学锦城学院v授权方式：直接授权直接授权：对用户非常信任，直接授权通过。本地授权本地授权：根据设备上为本地用户帐号配置的相关属性进行授权。RADIUS授权授权：RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。TACACS授权授权：由TACACS服务器对用户进行授权。四川大学锦城学院四川大学锦城学院v计费方式：不计费不计费：不对用户计费。远端计费远端计费：支持通过RADIUS服务器或TACACS服务器进行远端计费。四川大学锦城学院四川大学锦城学院RADIUSvRADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。四川大学锦城学院四川大学锦城学院RADIUS服务的结构vRADIUS服务包括三个组成部分：v协议协议v服务器服务器v客户端客户端四川大学锦城学院四川大学锦城学院vRADIUS基于客户端/服务器模型。v交换机作为RADIUS客户端，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息对用户进行相应处理（如接入/挂断用户）。RADIUS服务器负责接收用户连接请求，认证用户，然后给交换机返回所有需要的信息。四川大学锦城学院四川大学锦城学院RADIUS服务器的数据存储vRADIUS服务器通常要维护三个数据库。第一个数据库“Users”用于存储用户信息（如用户名、口令以及使用的协议、IP地址等配置）。第二个数据库“Clients”用于存储RADIUS客户端的信息（如共享密钥）。第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属性值的含义四川大学锦城学院四川大学锦城学院RADIUS的消息交互流程四川大学锦城学院四川大学锦城学院v 基本交互步骤：用户输入用户名和口令。RADIUS客户端根据获取的用户名和口令，向RADIUS服务器发送认证请求包（Access-Request）。RADIUS服务器将该用户信息与Users数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（Access-Accept）发送给RADIUS客户端；如果认证失败，则返回Access-Reject响应包。RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户，则RADIUS客户端向RADIUS服务器发送计费开始请求包（Accounting-Request），Status-Type取值为start。RADIUS服务器返回计费开始响应包（Accounting-Response）。用户开始访问资源。RADIUS客户端向RADIUS服务器发送计费停止请求包（Accounting-Request），Status-Type取值为stop。RADIUS服务器返回计费结束响应包（Accounting-Response）。用户访问资源结束。四川大学锦城学院四川大学锦城学院RADIUS的特点vRADIUS是由LIVINGSTON公司最早提出的，后来由IETF列入Internet标准，定义在RFC2138和RFC2139中。vRADIUS中采用UDP作为客户端与服务器端的数据传输协议。vRADIUS导致用户的认证和授权过程往往无法分开。vRADIUS服务器可以充当代理客户端。四川大学锦城学院四川大学锦城学院TACAS和RADIUS的区别v TACACS是私有的协议，RADIUS是一种开放的标准；v TACACS分离了验证、授权和统计的功能；v TACACS使用TCP协议，RADIUS使用UDP协议；v RADIUS是目前支持无线验证协议的惟一安全协议；v RADIUS服务器可以充当代理客户端；v TACACS采用MD5算法对整个报文加密，RADIUS采用MD5算法对用户口令加密。四川大学锦城学院四川大学锦城学院问题的提出如何让研发部员工在工作日的早如何让研发部员工在工作日的早8 8点到晚点到晚6 6点都不能访问点都不能访问internet?internet?四川大学锦城学院四川大学锦城学院访问控制列表vACL（Access Control List，访问控制列表）主要用来实现流识别功能。网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的报文。在识别出特定的报文之后，才能根据预先设定的策略允许或禁止相应的数据包通过。四川大学锦城学院四川大学锦城学院ACL的基本原理vACL使用包过滤包过滤技术，在路由器上读取第第三层三层及第四层第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。四川大学锦城学院四川大学锦城学院ACL的功能v网络中的节点通常分为资源节点资源节点和用户节用户节点点两大类。vACL的功能：保护资源节点，阻止非法用户对资源节点的访问；限制特定的用户节点所能具备的访问权限。四川大学锦城学院四川大学锦城学院ACL的分类v 根据应用目的，可将ACL分为下面几种：基本ACL：只根据三层源IP地址制定规则。高级ACL：根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。二层ACL：根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。用户自定义ACL：以数据包的头部为基准，指定从第几个字节开始进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。四川大学锦城学院四川大学锦城学院ACL的配置原则v最小特权原则：只给受控对象完成任务所必须的最小的权限v最靠近受控对象原则四川大学锦城学院四川大学锦城学院ACL的配置步骤v配置ACL作用的时间段v配置ACL规则v在端口上应用ACL规则四川大学锦城学院四川大学锦城学院配置ACL时间段v基于时间段的ACL使用户可以区分时间段对报文进行ACL控制。周期时间段 绝对时间段四川大学锦城学院四川大学锦城学院v时间段：工作日早8点到晚6点 system-viewH3C time-range deny 8:00 to 18:00 working-day四川大学锦城学院四川大学锦城学院配置ACL规则v定义基本ACL 基本ACL只根据三层源IP制定规则，对数据包进行相应的分析处理。基本ACL的序号取值范围为20002999。四川大学锦城学院四川大学锦城学院v定义高级ACL 高级ACL可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性，例如TCP或UDP的源端口、目的端口，ICMP协议的类型、code等内容定义规则。高级ACL序号取值范围30003999（ACL 3998与3999是系统为集群管理预留的编号，用户无法配置）。四川大学锦城学院四川大学锦城学院v定义二层ACL 二层ACL根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则，对数据进行相应处理。二层ACL的序号取值范围为40004999。四川大学锦城学院四川大学锦城学院v用户自定义ACL 用户自定义ACL以数据包的头部为基准，指定从第几个字节开始进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文，然后进行相应的处理。用户自定义ACL的序号取值范围为50005999。四川大学锦城学院四川大学锦城学院v规则要求：禁止研发部人员在工作日早8点到晚6点访问internet system-viewH3C acl number 2000H3C-acl-basic-2000 rule deny source 10.1.6.0 四川大学锦城学院四川大学锦城学院反向掩码v0表示需要匹配，1表示不需要匹配v基本计算规则：v跟子网掩码的和为v如何用反向掩码检查多个连续网段？四川大学锦城学院四川大学锦城学院检查检查 10.1.16.0/24 to 10.1.31.0/240 0 0 0四川大学锦城学院四川大学锦城学院应用ACL规则v针对端口应用ACL规则v针对VLAN应用ACL规则四川大学锦城学院四川大学锦城学院v在以太网端口1上应用ACL规则 system-viewH3C interface ethernet 1/0/1H3C-Ethernet1/0/1 packet-filter inbound ip-group 2000 system-viewH3C firewall enableH3C interface ethernet 0/1H3C-Ethernet0/1 firewall packet-filter 2000 inbound四川大学锦城学院四川大学锦城学院允许研发部经理访问Internetv假设研发部经理的主机IP地址是：H3C-acl-basic-2000 rule permit source 10.1.6.3 0 H3C-acl-basic-2000 rule deny source 10.1.6.0 H3C-acl-basic-2000 rule permit source 10.1.6.3 0四川大学锦城学院四川大学锦城学院实验二 配置基本ACLv实验内容实验内容：配置基本ACLv实验要求实验要求：使同一VLAN/网段下的主机不能互访。使用路由器配置使用路由器配置ACLACL需先启动防火墙需先启动防火墙四川大学锦城学院四川大学锦城学院ACL的执行顺序vACL的执行顺序为”从上向下从上向下”被拒绝的数据包丢弃 允许的数据包进入路由选择状态v数据包一旦与ACL出现匹配，就执行相应的操作，而此时对此数据包的检测就到此为止了，后面不管出现多少不匹配的情况将不作检测。S3600S3600交换机由于是硬件交换机由于是硬件ACLACL，所以其执行顺序是：，所以其执行顺序是：后配置的先匹配，先配置的后匹配后配置的先匹配，先配置的后匹配四川大学锦城学院四川大学锦城学院ACL包含多条规则的匹配v ACL可能会包含多个规则，而每个规则都指定不同的报文范围。这样，在匹配报文时就会出现匹配顺序的问题。v ACL支持两种匹配顺序：v 配置顺序：根据配置顺序匹配ACL规则。v 自动排序：根据“深度优先”规则匹配ACL规则。v“深度优先”顺序的判断原则如下：先比较规则的协议范围。IP协议的范围为1255，其他协议的范围就是自己的协议号；协议范围小的优先；再比较源IP地址范围。源IP地址范围小(掩码长)的优先；然后比较目的IP地址范围。目的IP地址范围小(掩码长)的优先；最后比较四层端口号（TCP/UDP端口号）范围。四层端口号范围小的优先；四川大学锦城学院四川大学锦城学院v如果规则A与规则B按照原有匹配顺序进行配置时，协议范围、源IP地址范围、目的IP地址范围、四层端口号范围完全相同，并且其它的元素个数相同，将按照加权规则进行排序。加权规则如下：设备为每个元素设定一个固定的权值，最终的匹配顺序由各个元素的权值和元素取值来决定。各个元素自身的权值从大到小排列：DSCP、ToS、ICMP、established、precedence、fragment。设备以一个固定权值依次减去规则各个元素自身的权值，剩余权值越小的规则越优先。如果各个规则中元素个数、元素种类完全相同，则这些元素取值的累加和越小越优先。四川大学锦城学院四川大学锦城学院配置ACL注意事项v同一同一ACL中多条规则的匹配顺序默认为中多条规则的匹配顺序默认为config：先配置的先匹配，后配置的后匹先配置的先匹配，后配置的后匹配配vS3600交换机由于是硬件交换机由于是硬件ACL，所以其执，所以其执行顺序是：行顺序是：后配置的先匹配，先配置的后后配置的先匹配，先配置的后匹配匹配v在同一个名字下可以配置多个时间段，这在同一个名字下可以配置多个时间段，这些些时间段是时间段是“或或”关系关系。v若在路由器上应用若在路由器上应用ACL规则需先规则需先启动防火启动防火墙墙四川大学锦城学院四川大学锦城学院实验三 配置高级ACLv实验内容实验内容：配置交换机的远程登录用户功能(telnet)配置高级ACLv实验要求实验要求：使小组内任意一台主机在今天早9点到晚上6点半之间，不能使用TELNET服务登录交换机。使用路由器配置使用路由器配置ACLACL需先启动防火墙需先启动防火墙H3C-acl-adv-3000 rule permit tcp source 192.168.1.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port eq 23