防火牆的AAA認證

2021-09-20 23:40:16 字數 3877 閱讀 4255

防火牆的aaa認證

防火牆的

aaa提供基於三種資料庫認證:local,tacacs+,radius.使用tacacs+,radius兩種認證協議來進行專門的aaa伺服器與nas之間進行接入訪問認證。基本認證原理:客戶機發起驗證請求到nas,而nas幫助收集使用者的驗證資訊並使用pre-share key與aaa伺服器進行互動,aaa會對nas提交上來的帳戶進行匹對,如果認證成功則允許接入網路,相應的還會有一些授權的動作。

防火牆的

aaa認證與路由器作為nas/aaa client認證原理基本一樣,針對不同的認證需求,我們可以選擇tacacs+或者radius兩種不同的認證協議。具體這兩種協議有哪些區別呢:

radius:預設使用

tacacs+:是

總的來說,一般使用

radius來認證使用者,使用tacacs+來授權使用者,而radius是個開放的標準,相對於tacacs+則只瞄準cisco裝置,而且思科裝置也多使用radius協議來進行認證。

在防火牆中,認證有字元模式認證,有包模式的認證,還有隧道模式

(vpn tunnel),cut-through的直通認證(目前只支援http,https,ftp,telnet這四種標準的流量做cut-through),如果其它非標準的認證流量,防火牆還是會對流量進行擷取並執行認證動作,但不會像前面四種流量一樣會彈出圖形化提示認證,所以會影響認證通過)等。

今天我不鋪陳這些理論了,還是看下實驗:

top:

由於我的

acs時常會出現「罷工」的情況,無法對我的認證資訊進行響應,所以沒法使用radius與tacacs+去進行aaa了,甚是遺憾啊,只能用本地資料庫做些畸形的實驗了,不過大家曉得大致原理與命令就差不多了。

需求:1,         user去往

server的流量需要經過asa做認證才能通過

2,         對標準的直通流量做認證

3,         對非標準的直通流量做認證

實現:r1配置

r2配置:

inte***ce fastethernet0/0

ip address 192.168.2.2 255.255.255.0

inte***ce fastethernet0/1

ip address 192.168.4.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.2.1

asa配置:

inte***ce e0

no sh

nameif inside

security-level 100

ip add 192.168.1.2 255.255.255.0

inte***ce e1

no sh

nameif outside

security-level 0

ip add 192.168.2.1 255.255.255.0

放過icmp流量,

我們可以看到當我們訪問

時,屬於正常的標準流量,會彈出認證提示框,認證成功便可以訪問。

使用者資訊會快取在

asa裡面,可以採用show uauth看到:

ciscoasa# show uauth

current    most seen

authenticated users

1          1

authen in progress

0          1

user 'zengfei' at 192.168.4.2, authenticated (idle for 0:00:00)

absolute   timeout: 0:05:00

inactivity timeout: 0:00:00

ciscoasa#

ftp連線:

ftp> open 192.168.1.1

connected to 192.168.1.1.

220-ftp server (user 'zengfei')

220user (192.168.1.1:(none)): cisco

331-password:

331password:

connection closed by remote host.

ftp>

如果把http的流量埠改為8888則變成了防火牆cut-through認證不支援的流量了,

由於對非標準的流量彈不出認證提示框,所以提示出錯,必須先認證流量才能通過,所以我們可以通過

virtual telnet來先認證,然後再訪問就可以過去了。

virtual telnet 192.168.2.3

那麼在做認證的時候首先要放過

virtual telnet的流量。並對它的流量做aaa認證。

記得最重要的一點,由於此

top是由外向內發起的流量,那麼預設virtual telnet是不能為其提供proxy arp的,所以需要static(inside,outside) 192.168.2.3 192.168.2.3 才能telnet上

這樣我們認證成功後就可以訪問了。

ASA防火牆之http的AAA穿越認證配置例項

本篇繼續講asa防火牆,續上篇的telnet穿越認證,本篇基本上配置無所區別,大抵上一致,但是本篇使用xp系統模擬客戶端更為形象具體,也進行一定的配置修改,感興趣的請往下看。需求 為內部 xp 192.168.150.200 到外部 r2 192.168.184.100 的 http 流量配置穿越認...

防火牆認證的型別 Vecloud

防火牆可以支援各種身份驗證方法。防火牆認證意味著使用者聲稱自己是他們所說的身份,並被允許訪問對其進行身份驗證的資源。就像當我們登入到microsoft windows計算機並通過指定使用者名稱然後指定密碼來讓windows知道我們的身份時,我們證明我們的身份。最後,windows僅使我們可以訪問允許...

防火牆 防火牆安全

作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...