實(shí)驗(yàn)六 訪問(wèn)控制權(quán)限

1、李昕昕李昕昕實(shí)驗(yàn)六實(shí)驗(yàn)六 認(rèn)證及訪問(wèn)控制認(rèn)證及訪問(wèn)控制四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院AAA認(rèn)證vAAA是Authentication，Authorization and Accounting（認(rèn)證、授權(quán)和統(tǒng)計(jì)）的簡(jiǎn)稱(chēng)，它提供了一個(gè)對(duì)認(rèn)證認(rèn)證、授權(quán)授權(quán)和統(tǒng)計(jì)統(tǒng)計(jì)這三種安全功能進(jìn)行配置的一致性框架，實(shí)際上是對(duì)網(wǎng)絡(luò)安全的一種管理。vAAA一般采用客戶端/服務(wù)器結(jié)構(gòu)：客戶端運(yùn)行于被管理的資源側(cè)，服務(wù)器上集中存放用戶信息。因此，AAA框架具有良好的可擴(kuò)展性，并且容易實(shí)現(xiàn)用戶信息的集中管理。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v功能： 哪些用戶可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器； 具有訪問(wèn)權(quán)的用戶可以得到哪些服務(wù)； 如何對(duì)

2、正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行計(jì)費(fèi)。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v認(rèn)證方式： 不認(rèn)證不認(rèn)證：對(duì)用戶非常信任，不對(duì)其進(jìn)行合法檢查。一般情況下不采用這種方式。 本地認(rèn)證本地認(rèn)證：將用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在設(shè)備上。本地認(rèn)證的優(yōu)點(diǎn)是速度快，可以降低運(yùn)營(yíng)成本；缺點(diǎn)是存儲(chǔ)信息量受設(shè)備硬件條件限制。 遠(yuǎn)端認(rèn)證遠(yuǎn)端認(rèn)證：支持通過(guò)RADIUS協(xié)議或TACACS協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證，設(shè)備作為客戶端，與RADIUS服務(wù)器或TACACS服務(wù)器通信。對(duì)于RADIUS協(xié)議，可以采用標(biāo)準(zhǔn)或擴(kuò)展的RADIUS協(xié)議。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v授權(quán)方式： 直接授權(quán)直接授權(quán)：對(duì)用戶非常信任，直接授

3、權(quán)通過(guò)。 本地授權(quán)本地授權(quán)：根據(jù)設(shè)備上為本地用戶帳號(hào)配置的相關(guān)屬性進(jìn)行授權(quán)。 RADIUS授權(quán)授權(quán)：RADIUS協(xié)議的認(rèn)證和授權(quán)是綁定在一起的，不能單獨(dú)使用RADIUS進(jìn)行授權(quán)。 TACACS授權(quán)授權(quán)：由TACACS服務(wù)器對(duì)用戶進(jìn)行授權(quán)。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v計(jì)費(fèi)方式： 不計(jì)費(fèi)不計(jì)費(fèi)：不對(duì)用戶計(jì)費(fèi)。 遠(yuǎn)端計(jì)費(fèi)遠(yuǎn)端計(jì)費(fèi)：支持通過(guò)RADIUS服務(wù)器或TACACS服務(wù)器進(jìn)行遠(yuǎn)端計(jì)費(fèi)。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院RADIUSvRADIUS（Remote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)）是一種分布式的、客戶端/服務(wù)器結(jié)構(gòu)的信息

4、交互協(xié)議，能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問(wèn)的干擾，常被應(yīng)用在既要求較高安全性、又要求維持遠(yuǎn)程用戶訪問(wèn)的各種網(wǎng)絡(luò)環(huán)境中。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院RADIUS服務(wù)的結(jié)構(gòu)vRADIUS服務(wù)包括三個(gè)組成部分：v協(xié)議協(xié)議v服務(wù)器服務(wù)器v客戶端客戶端四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院vRADIUS基于客戶端/服務(wù)器模型。v交換機(jī)作為RADIUS客戶端，負(fù)責(zé)傳輸用戶信息到指定的RADIUS服務(wù)器，然后根據(jù)從服務(wù)器返回的信息對(duì)用戶進(jìn)行相應(yīng)處理（如接入/掛斷用戶）。RADIUS服務(wù)器負(fù)責(zé)接收用戶連接請(qǐng)求，認(rèn)證用戶，然后給交換機(jī)返回所有需要的信息。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院RADIUS服務(wù)器的數(shù)據(jù)存儲(chǔ)vRAD

5、IUS服務(wù)器通常要維護(hù)三個(gè)數(shù)據(jù)庫(kù)。 第一個(gè)數(shù)據(jù)庫(kù)“Users”用于存儲(chǔ)用戶信息（如用戶名、口令以及使用的協(xié)議、IP地址等配置）。 第二個(gè)數(shù)據(jù)庫(kù)“Clients”用于存儲(chǔ)RADIUS客戶端的信息（如共享密鑰）。 第三個(gè)數(shù)據(jù)庫(kù)“Dictionary”存儲(chǔ)的信息用于解釋RADIUS協(xié)議中的屬性和屬性值的含義四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院RADIUS的消息交互流程四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v 基本交互步驟： 用戶輸入用戶名和口令。 RADIUS客戶端根據(jù)獲取的用戶名和口令，向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求包（Access-Request）。 RADIUS服務(wù)器將該用戶信息與Users數(shù)據(jù)庫(kù)信息

6、進(jìn)行對(duì)比分析，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包（Access-Accept）發(fā)送給RADIUS客戶端；如果認(rèn)證失敗，則返回Access-Reject響應(yīng)包。 RADIUS客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/拒絕用戶。如果可以接入用戶，則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)開(kāi)始請(qǐng)求包（Accounting-Request），Status-Type取值為start。 RADIUS服務(wù)器返回計(jì)費(fèi)開(kāi)始響應(yīng)包（Accounting-Response）。 用戶開(kāi)始訪問(wèn)資源。 RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求包（Accounting-Request），Status-T

7、ype取值為stop。 RADIUS服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包（Accounting-Response）。 用戶訪問(wèn)資源結(jié)束。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院RADIUS的特點(diǎn)vRADIUS是由LIVINGSTON公司最早提出的，后來(lái)由IETF列入Internet標(biāo)準(zhǔn)，定義在RFC2138和RFC2139中。vRADIUS中采用UDP作為客戶端與服務(wù)器端的數(shù)據(jù)傳輸協(xié)議。vRADIUS導(dǎo)致用戶的認(rèn)證和授權(quán)過(guò)程往往無(wú)法分開(kāi)。vRADIUS服務(wù)器可以充當(dāng)代理客戶端。 四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院TACAS和RADIUS的區(qū)別v TACACS是私有的協(xié)議，RADIUS是一種開(kāi)放的標(biāo)準(zhǔn)；v TACAC

8、S分離了驗(yàn)證、授權(quán)和統(tǒng)計(jì)的功能；v TACACS使用TCP協(xié)議，RADIUS使用UDP協(xié)議；v RADIUS是目前支持無(wú)線驗(yàn)證協(xié)議的惟一安全協(xié)議；v RADIUS服務(wù)器可以充當(dāng)代理客戶端；v TACACS采用MD5算法對(duì)整個(gè)報(bào)文加密，RADIUS采用MD5算法對(duì)用戶口令加密。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院?jiǎn)栴}的提出如何讓研發(fā)部員工在工作日的早如何讓研發(fā)部員工在工作日的早8 8點(diǎn)到晚點(diǎn)到晚6 6點(diǎn)都不能訪問(wèn)點(diǎn)都不能訪問(wèn)internet?internet?四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院訪問(wèn)控制列表vACL（Access Control List，訪問(wèn)控制列表）主要用來(lái)實(shí)現(xiàn)流識(shí)別功能。網(wǎng)絡(luò)設(shè)備為

9、了過(guò)濾數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識(shí)別需要過(guò)濾的報(bào)文。在識(shí)別出特定的報(bào)文之后，才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過(guò)。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院ACL的基本原理vACL使用包過(guò)濾包過(guò)濾技術(shù)，在路由器上讀取第第三層三層及第四層第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪問(wèn)控制的目的。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院ACL的功能v網(wǎng)絡(luò)中的節(jié)點(diǎn)通常分為資源節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶節(jié)用戶節(jié)點(diǎn)點(diǎn)兩大類(lèi)。vACL的功能： 保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對(duì)資源節(jié)點(diǎn)的訪問(wèn)； 限制特定的用戶節(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。 四川大學(xué)錦城學(xué)院四川大學(xué)

10、錦城學(xué)院ACL的分類(lèi)v 根據(jù)應(yīng)用目的，可將ACL分為下面幾種： 基本ACL：只根據(jù)三層源IP地址制定規(guī)則。 高級(jí)ACL：根據(jù)數(shù)據(jù)包的源IP地址信息、目的IP地址信息、IP承載的協(xié)議類(lèi)型、協(xié)議特性等三、四層信息制定規(guī)則。 二層ACL：根據(jù)源MAC地址、目的MAC地址、VLAN優(yōu)先級(jí)、二層協(xié)議類(lèi)型等二層信息制定規(guī)則。 用戶自定義ACL：以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個(gè)字節(jié)開(kāi)始進(jìn)行“與”操作，將從報(bào)文提取出來(lái)的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報(bào)文。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院ACL的配置原則v最小特權(quán)原則：只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限v最靠近受控對(duì)象原則四川大學(xué)錦城學(xué)院四

11、川大學(xué)錦城學(xué)院ACL的配置步驟v配置ACL作用的時(shí)間段v配置ACL規(guī)則v在端口上應(yīng)用ACL規(guī)則四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院配置ACL時(shí)間段v基于時(shí)間段的ACL使用戶可以區(qū)分時(shí)間段對(duì)報(bào)文進(jìn)行ACL控制。 周期時(shí)間段 絕對(duì)時(shí)間段四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v時(shí)間段：工作日早8點(diǎn)到晚6點(diǎn) system-viewH3C time-range deny 8:00 to 18:00 working-day四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院配置ACL規(guī)則v定義基本ACL 基本ACL只根據(jù)三層源IP制定規(guī)則，對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的分析處理。 基本ACL的序號(hào)取值范圍為20002999。四川大學(xué)錦城學(xué)院四川大

12、學(xué)錦城學(xué)院v定義高級(jí)ACL 高級(jí)ACL可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP承載的協(xié)議類(lèi)型、針對(duì)協(xié)議的特性，例如TCP或UDP的源端口、目的端口，ICMP協(xié)議的類(lèi)型、code等內(nèi)容定義規(guī)則。 高級(jí)ACL序號(hào)取值范圍30003999（ACL 3998與3999是系統(tǒng)為集群管理預(yù)留的編號(hào)，用戶無(wú)法配置）。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v定義二層ACL 二層ACL根據(jù)源MAC地址、目的MAC地址、VLAN優(yōu)先級(jí)、二層協(xié)議類(lèi)型等二層信息制定規(guī)則，對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理。 二層ACL的序號(hào)取值范圍為40004999。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v用戶自定義ACL 用戶自定義ACL以數(shù)據(jù)包的頭部

13、為基準(zhǔn)，指定從第幾個(gè)字節(jié)開(kāi)始進(jìn)行“與”操作，將從報(bào)文提取出來(lái)的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報(bào)文，然后進(jìn)行相應(yīng)的處理。 用戶自定義ACL的序號(hào)取值范圍為50005999。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v規(guī)則要求：禁止研發(fā)部人員在工作日早8點(diǎn)到晚6點(diǎn)訪問(wèn)internet system-viewH3C acl number 2000H3C-acl-basic-2000 rule deny source 10.1.6.0 0.0.0.255四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院反向掩碼v0表示需要匹配，1表示不需要匹配v基本計(jì)算規(guī)則：v跟子網(wǎng)掩碼的和為255.255.255.255v如何用

14、反向掩碼檢查多個(gè)連續(xù)網(wǎng)段？四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院檢查檢查 10.1.16.0 /24 to 10.1.31.0 /240 0 0 010.1.16.0 0.0.15.255四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院應(yīng)用ACL規(guī)則v針對(duì)端口應(yīng)用ACL規(guī)則v針對(duì)VLAN應(yīng)用ACL規(guī)則四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v在以太網(wǎng)端口1上應(yīng)用ACL規(guī)則 system-viewH3C interface ethernet 1/0/1H3C-Ethernet1/0/1 packet-filter inbound ip-group 2000 system-viewH3C firewall enableH3C

15、interface ethernet 0/1H3C-Ethernet0/1 firewall packet-filter 2000 inbound四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院允許研發(fā)部經(jīng)理訪問(wèn)Internetv假設(shè)研發(fā)部經(jīng)理的主機(jī)IP地址是：10.1.6.3/24 H3C-acl-basic-2000 rule permit source 10.1.6.3 0 H3C-acl-basic-2000 rule deny source 10.1.6.0 0.0.0.255 H3C-acl-basic-2000 rule permit source 10.1.6.3 0四川大學(xué)錦城學(xué)院四川大學(xué)錦

16、城學(xué)院實(shí)驗(yàn)二 配置基本ACLv實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容： 配置基本ACLv實(shí)驗(yàn)要求實(shí)驗(yàn)要求： 使同一VLAN/網(wǎng)段下的主機(jī)不能互訪。使用路由器配置使用路由器配置ACLACL需先啟動(dòng)防火墻需先啟動(dòng)防火墻四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院ACL的執(zhí)行順序vACL的執(zhí)行順序?yàn)椤睆纳舷蛳聫纳舷蛳隆?被拒絕的數(shù)據(jù)包丟棄 允許的數(shù)據(jù)包進(jìn)入路由選擇狀態(tài)v數(shù)據(jù)包一旦與ACL出現(xiàn)匹配，就執(zhí)行相應(yīng)的操作，而此時(shí)對(duì)此數(shù)據(jù)包的檢測(cè)就到此為止了，后面不管出現(xiàn)多少不匹配的情況將不作檢測(cè)。 S3600S3600交換機(jī)由于是硬件交換機(jī)由于是硬件ACLACL，所以其執(zhí)行順序是：，所以其執(zhí)行順序是：后配置的先匹配，先配置的后匹配后配置的先

17、匹配，先配置的后匹配四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院ACL包含多條規(guī)則的匹配v ACL可能會(huì)包含多個(gè)規(guī)則，而每個(gè)規(guī)則都指定不同的報(bào)文范圍。這樣，在匹配報(bào)文時(shí)就會(huì)出現(xiàn)匹配順序的問(wèn)題。v ACL支持兩種匹配順序：v 配置順序：根據(jù)配置順序匹配ACL規(guī)則。v 自動(dòng)排序：根據(jù)“深度優(yōu)先”規(guī)則匹配ACL規(guī)則。v “深度優(yōu)先”順序的判斷原則如下： 先比較規(guī)則的協(xié)議范圍。IP協(xié)議的范圍為1255，其他協(xié)議的范圍就是自己的協(xié)議號(hào)；協(xié)議范圍小的優(yōu)先； 再比較源IP地址范圍。源IP地址范圍小(掩碼長(zhǎng))的優(yōu)先； 然后比較目的IP地址范圍。目的IP地址范圍小(掩碼長(zhǎng))的優(yōu)先； 最后比較四層端口號(hào)（TCP/UDP端口號(hào)

18、）范圍。四層端口號(hào)范圍小的優(yōu)先；四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院v如果規(guī)則A與規(guī)則B按照原有匹配順序進(jìn)行配置時(shí)，協(xié)議范圍、源IP地址范圍、目的IP地址范圍、四層端口號(hào)范圍完全相同，并且其它的元素個(gè)數(shù)相同，將按照加權(quán)規(guī)則進(jìn)行排序。加權(quán)規(guī)則如下： 設(shè)備為每個(gè)元素設(shè)定一個(gè)固定的權(quán)值，最終的匹配順序由各個(gè)元素的權(quán)值和元素取值來(lái)決定。各個(gè)元素自身的權(quán)值從大到小排列：DSCP、ToS、ICMP、established、precedence、fragment。 設(shè)備以一個(gè)固定權(quán)值依次減去規(guī)則各個(gè)元素自身的權(quán)值，剩余權(quán)值越小的規(guī)則越優(yōu)先。 如果各個(gè)規(guī)則中元素個(gè)數(shù)、元素種類(lèi)完全相同，則這些元素取值的累加和越小越優(yōu)先。四川大學(xué)錦城學(xué)院四川大學(xué)錦城學(xué)院配置ACL注意事項(xiàng)v同一同一ACL中多條規(guī)則的匹配順序默認(rèn)為中多條規(guī)則的匹配順序默認(rèn)為config：先配置的先匹配，后配置的后匹先配置的先匹配，后配置的后匹配配vS3600交換機(jī)由于是硬件交換機(jī)由于是硬件ACL，所以其執(zhí)，所以其執(zhí)行順序是：行順序是：后配置的先匹配，先配置的后后配置的先匹配，先配置的后匹配匹配v在同一個(gè)名字下可以配置多個(gè)時(shí)間段，這在同一個(gè)名字下可以配置多個(gè)時(shí)間段，這些些時(shí)間段是時(shí)間段是“或或”關(guān)系關(guān)系。 v若在路由器上應(yīng)用若在路由器上應(yīng)