实验六 访问控制权限

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,李昕昕,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,实验六 认证及访问控制,AAA,认证,AAA,是,Authentication,，,Authorization and Accounting,（认证、授权和统计）的简称，它提供了一个对,认证,、,授权,和,统计,这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。,AAA,一般采用客户端,/,服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。因此，,AAA,框架具有良好的可扩展性，并且容易实现用户信息的集中管理。,2,功能：,哪些用户可以访问网络服务器；,具有访问权的用户可以得到哪些服务；,如何对正在使用网络资源的用户进行计费。,3,认证方式：,不认证,：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。,本地认证,：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设备上。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设备硬件条件限制。,远端认证,：支持通过,RADIUS,协议或,TACACS,协议进行远端认证，设备作为客户端，与,RADIUS,服务器或,TACACS,服务器通信。对于,RADIUS,协议，可以采用标准或扩展的,RADIUS,协议。,4,授权方式：,直接授权,：对用户非常信任，直接授权通过。,本地授权,：根据设备上为本地用户帐号配置的相关属性进行授权。,RADIUS,授权,：,RADIUS,协议的认证和授权是绑定在一起的，不能单独使用,RADIUS,进行授权。,TACACS,授权,：由,TACACS,服务器对用户进行授权。,5,计费方式：,不计费,：不对用户计费。,远端计费,：支持通过,RADIUS,服务器或,TACACS,服务器进行远端计费。,6,RADIUS,RADIUS,（,Remote Authentication Dial-In User Service,，远程认证拨号用户服务）是一种分布式的、客户端,/,服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。,7,RADIUS,服务的结构,RADIUS,服务包括三个组成部分：,协议,服务器,客户端,8,RADIUS,基于客户端,/,服务器模型。,交换机作为,RADIUS,客户端，负责传输用户信息到指定的,RADIUS,服务器，然后根据从服务器返回的信息对用户进行相应处理（如接入,/,挂断用户）。,RADIUS,服务器负责接收用户连接请求，认证用户，然后给交换机返回所有需要的信息。,9,RADIUS,服务器的数据存储,RADIUS,服务器通常要维护三个数据库。,第一个数据库“,Users”,用于存储用户信息（如用户名、口令以及使用的协议、,IP,地址等配置）。,第二个数据库“,Clients”,用于存储,RADIUS,客户端的信息（如共享密钥）。,第三个数据库“,Dictionary”,存储的信息用于解释,RADIUS,协议中的属性和属性值的含义,10,RADIUS,的消息交互流程,11,基本交互步骤：,用户输入用户名和口令。,RADIUS,客户端根据获取的用户名和口令，向,RADIUS,服务器发送认证请求包（,Access-Request,）。,RADIUS,服务器将该用户信息与,Users,数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（,Access-Accept,）发送给,RADIUS,客户端；如果认证失败，则返回,Access-Reject,响应包。,RADIUS,客户端根据接收到的认证结果接入,/,拒绝用户。如果可以接入用户，则,RADIUS,客户端向,RADIUS,服务器发送计费开始请求包（,Accounting-Request,），,Status-Type,取值为,start,。,RADIUS,服务器返回计费开始响应包（,Accounting-Response,）。,用户开始访问资源。,RADIUS,客户端向,RADIUS,服务器发送计费停止请求包（,Accounting-Request,），,Status-Type,取值为,stop,。,RADIUS,服务器返回计费结束响应包（,Accounting-Response,）。,用户访问资源结束。,12,RADIUS,的特点,RADIUS,是由,LIVINGSTON,公司最早提出的，后来由,IETF,列入,Internet,标准，定义在,RFC2138,和,RFC2139,中。,RADIUS,中采用,UDP,作为客户端与服务器端的数据传输协议。,RADIUS,导致用户的认证和授权过程往往无法分开。,RADIUS,服务器可以充当代理客户端。,13,TACAS,和,RADIUS,的区别,TACACS,是私有的协议，,RADIUS,是一种开放的标准；,TACACS,分离了验证、授权和统计的功能；,TACACS,使用,TCP,协议，,RADIUS,使用,UDP,协议；,RADIUS,是目前支持无线验证协议的惟一安全协议；,RADIUS,服务器可以充当代理客户端；,TACACS,采用,MD5,算法对整个报文加密，,RADIUS,采用,MD5,算法对用户口令加密。,14,问题的提出,如何让研发部员工在工作日的早,8,点到晚,6,点都不能访问,internet?,15,访问控制列表,ACL,（,Access Control List,，访问控制列表）主要用来实现流识别功能。网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的报文。在识别出特定的报文之后，才能根据预先设定的策略允许或禁止相应的数据包通过。,16,ACL,的基本原理,ACL,使用,包过滤,技术，在路由器上读取,第三层,及,第四层,包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。,17,ACL,的功能,网络中的节点通常分为,资源节点,和,用户节点,两大类。,ACL,的功能：,保护资源节点，阻止非法用户对资源节点的访问；,限制特定的用户节点所能具备的访问权限。,18,ACL,的分类,根据应用目的，可将,ACL,分为下面几种：,基本,ACL,：只根据三层源,IP,地址制定规则。,高级,ACL,：根据数据包的源,IP,地址信息、目的,IP,地址信息、,IP,承载的协议类型、协议特性等三、四层信息制定规则。,二层,ACL,：根据源,MAC,地址、目的,MAC,地址、,VLAN,优先级、二层协议类型等二层信息制定规则。,用户自定义,ACL,：以数据包的头部为基准，指定从第几个字节开始进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。,19,ACL,的配置原则,最小特权原则：只给受控对象完成任务所必须的最小的权限,最靠近受控对象原则,20,ACL,的配置步骤,配置,ACL,作用的时间段,配置,ACL,规则,在端口上应用,ACL,规则,21,配置,ACL,时间段,基于时间段的,ACL,使用户可以区分时间段对报文进行,ACL,控制。,周期时间段,绝对时间段,22,时间段：工作日早,8,点到晚,6,点, system-view,H3C time-range deny 8:00 to 18:00 working-day,23,配置,ACL,规则,定义基本,ACL,基本,ACL,只根据三层源,IP,制定规则，对数据包进行相应的分析处理。,基本,ACL,的序号取值范围为,2000,2999,。,24,定义高级,ACL,高级,ACL,可以使用数据包的源地址信息、目的地址信息、,IP,承载的协议类型、针对协议的特性，例如,TCP,或,UDP,的源端口、目的端口，,ICMP,协议的类型、,code,等内容定义规则。,高级,ACL,序号取值范围,3000,3999,（,ACL 3998,与,3999,是系统为集群管理预留的编号，用户无法配置）。,25,定义二层,ACL,二层,ACL,根据源,MAC,地址、目的,MAC,地址、,VLAN,优先级、二层协议类型等二层信息制定规则，对数据进行相应处理。,二层,ACL,的序号取值范围为,4000,4999,。,26,用户自定义,ACL,用户自定义,ACL,以数据包的头部为基准，指定从第几个字节开始进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文，然后进行相应的处理。,用户自定义,ACL,的序号取值范围为,5000,5999,。,27,规则要求：禁止研发部人员在工作日早,8,点到晚,6,点访问,internet, system-view,H3C acl number 2000,H3C-acl-basic-2000 rule deny source 10.1.6.0,0.0.0.255,28,反向掩码,0,表示需要匹配，,1,表示不需要匹配,基本计算规则：,跟子网掩码的和为,255.255.255.255,如何用反向掩码检查多个连续网段？,29,检查,10.1.,16,.0 /24 to 10.1.,31,.0 /24,0,0,0,1,0,0,0,0,0,0,0,1,1,1,1,1,10.1.16.0 0.0.15.255,0,0,0,0,1,1,1,1,30,应用,ACL,规则,针对端口应用,ACL,规则,针对,VLAN,应用,ACL,规则,31,在以太网端口,1,上应用,ACL,规则, system-view,H3C interface ethernet 1/0/1,H3C-Ethernet1/0/1 packet-filter,inbound,ip-group,2000, system-view,H3C,firewall enable,H3C interface ethernet 0/1,H3C-Ethernet0/1 firewall packet-filter 2000 inbound,32,允许研发部经理访问,Internet,假设研发部经理的主机,IP,地址是：,10.1.6.3/24,H3C-acl-basic-2000 rule permit source 10.1.6.3,0,H3C-acl-basic-2000 rule deny source 10.1.6.0,0.0.0.255,H3C-acl-basic-2000 rule permit source 10.1.6.3,0,33,实验二 配置基本,ACL,实验内容,：,配置基本,ACL,实验要求,：,使同一,VLAN/,网段下的主机不能互访。,使用路由器配置,ACL,需先启动防火墙,34,ACL,的执行顺序,ACL,的执行顺序为”,从上向下,”,被拒绝的数据包丢弃,允许的数据包进入路由选择状态,数据包一旦与,ACL,出现匹配，就执行相应的操作，而此时对此数据包的检测就到此为止了，后面不管出现多少不匹配的情况将不作检测。,S3600,交换机由于是硬件,ACL,，所以其执行顺序是：,后配置的先匹配，先配置的后匹配,35,ACL,包含多条规则的匹配,ACL,可能会包含多个规则，而每个规则都指定不同的报文范围。这样，在匹配报文时就会出现匹配顺序的问题。,ACL,支持两种匹配顺序：,配置顺序：根据配置顺序匹配,ACL,规则。,自动排序：根据“深度优先”规则匹配,ACL,规则。,“深度优先”顺序的判断原则如下：,先比较规则的协议范围。,IP,协议的范围为,1,255,，其他协议的范围就是自己的协议号；协议范围小的优先；,再比较源,IP,地址范围。源,IP,地址范围小,(,掩码长,),的优先；,然后比较目的,IP,地址范围。目的,IP,地址范围小,(,掩码长,),的优先；,最后比较四层端口号（,TCP/UDP,端口号）范围。四层端口号范围小的优先；,36,如果规则,A,与规则,B,按照原有匹配顺序进行配置时，协议范围、源,IP,地址范围、目的,IP,地址范围、四层端口号范围完全相同，并且其它的元素个数相同，将按照加权规则进行排序。加权规则如下：,设备为每个元素设定一个固定的权值，最终的匹配顺序由各个元素的权值和元素取值来决定。各个元素自身的权值从大到小排列：,DSCP,、,ToS,、,ICMP,、,established,、,precedence,、,fragment,。,设备以一个固定权值依次减去规则各个元素自身的权值，剩余权值越小的规则越优先。,如果各个规则中元素个数、元素种类完全相同，则这些元素取值的累加和越小越优先。,37,配置,ACL,注意事项,同一,ACL,中多条规则的匹配顺序默认为,config,：,先配置的先匹配，后配置的后匹配,S3600,交换机由于是硬件,ACL,，所以其执行顺序是：,后配置的先匹配，先配置的后匹配,在同一个名字下可以配置多个时间段，这些,时间段是“或”关系,。,若在路由器上应用,ACL,规则需先,启动防火墙,38,实验三 配置高级,ACL,实验内容,：,配置交换机的远程登录用户功能,(telnet),配置高级,ACL,实验要求,：,使小组内任意一台主机在今天早,9,点到晚上,6,点半之间，不能使用,TELNET,服务登录交换机。,使用路由器配置,ACL,需先启动防火墙,H3C-acl-adv-3000 rule permit tcp source 192.168.1.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port eq 23,39,