第八章CiscoPIX防火墙上的AAA配置.ppt

第八章 Cisco PIX防火墙上的AAA配置 本章包含下列主题： 定义AAA 直通式代理 支持的AAA服务器 认证、授权、审计 AAA配置的故障排除 定义AAA 认证(authentication)可以确定用户的身份，并对信息进行验证。传统的认证方法使用一个用户(或者某个唯一的标识符)和一个固定的口令。利用一个用户ID来访问一台设备或网络，可以识别用户是谁。一旦用户被认证，认证服务器就可以被配置成根据该用户ID和口令，允许指定的授权行为。 授权(authorization)定义了用户可以作什么。当一个用户已经登录进来，并正在访问一种服务、主机或网络时，这个用户正在做什么的记录可以被保存下来。 审计(accounting)是跟踪记录用户在做什么的一种行为。如果拥有一条审计记录，它记录了网络中的哪些资源正在被访问，这将非常有帮助。如果网络中发生了故障，拥有历史记录将有助于确定并最终排除这些故障。审计记录也可以用来计费、提供法律依据和进行规划。 当AAA用于PIX时，通常按照下列方式对AAA进行处理： 1、客户端请求访问某项服务。PIX防火墙作为客户端和服务所驻留的设备之间的网关，要求客户端发送一个用户ID和口令。 2、PIX防火墙收到这些信息后，将它转发给AAA服务器，在那里确定对该请求是允许还是拒绝。服务器被定义为一个逻辑实体，它可以提供三个AAA功能中的任意一个。AAA服务器可以拥有用户ID/口令数据库，用来确认客户端是否可以访问所请求的服务。 PIX防火墙使用认证、授权和审计(AAA)，来确定用户是谁，用户可以做什么，以及用户曾经做过什么。PIX自身的基本访问控制是基于IP地址和端口的。这些访问控制不能提供一种机制来标识每个用户，并根据那个用户进行数据流量控制。 在没有授权的情况下，认证也是有效的。但在没有认证的情况下，授权永远不会是有效的。 PIX防火墙支持的认证(AAA)用户名可以最多具有127个字符，口令可以最多具有63个字符。因为当使用AAA时，对通过FTP或HTTP登录要进行的特殊处理，所以口令或用户名不可以包含”@”字符，不可以将该字符作为口令或用户名字符串的一部分。 直通式代理的操作运行 在PIX防火墙上配置认证和授权，这也被称为设置一个叫作直通式代理的进程。由于采用直通式代理，PIX防火墙相对于其他防火墙产品可以获得极大的性能优势，直通式代理是一种获得专利的方法，它在防火墙上透明地验证用户的身份，允许或拒绝对任何基于TCP或UDP应用的访问。 使用这种技术的一个典型设计是，Internet上的一个用户访问位于公司停火区(DMZ)中的HTTP服务器。如图8-2，Internet上的用户输入适当的URL，想要到达XYZ公司的web服务器。 PIX防火墙上的AAA要求将强制用户输入用户名和口令。用户输入信息，这些信息以明文的形式被传送到PIX防火墙，然后PIX防火墙将信息转发给AAA服务器，在这个例子中，AAA服务器运行CSACS软件。 如果用户被认证通过，将允许这个用户与目标服务器进行交互操作。如果目标web服务器也要求认证，则远程用户名和口令将被传递过去。 支持的AAA服务器 PIX防火墙支持下列AAA协议和服务器： 增强的终端访问控制器访问控制系统 ——用于Windows NT的Cisco 安全访问控制服务器 ——用于UNIX的Cisco安全访问控制服务器 ——TACACS+免费软件 远程接入拨号用户服务： ——用于Windows NT的Cisco安全访问控制服务器 ——用于UNIX的Cisco安全访问控制服务器 ——Livingston ——Interlink Network的Merit ——Funk Software的Steel Belted Radius 配置认证 一旦配置了CSACS，必须将一个用于AAA服务器的相应配置条目输入到PIX服务器的配置中。对于AAA，PIX防火墙管理员可以为之配置许多不同的选项。 首先，必须创建一个AAA组，并指定一个认证协议。其次，创建一个AAA服务器，并将它分配到AAA组中。 可以将多个AAA服务器定义成为同一个AAA组的成员。这样就允许服务器访问失败时的接续处理。如果第一个AAA服务器不可达，PIX防火墙将把请求发送给下一个定义的AAA服务器。 使用aaa-server命令，可以指定AAA服务器组。对于PIX防火墙，管理员可以定义单独的TACACS+或RADIUS服务器组，用来指定不同类型的数据流，比如一个TACACS+服务