HCNASecurity认证（社会培训）冗余资源HCNASecurity认证（社会培训）冗余资源防火墙用户认证.docxVIP

防火墙用户认证 用户认证的背景 当前网络环境中，网络安全的威胁更多的来源于应用层，这也使得企业对于网络访问控制提出更高的要求。如何精确的识别出用户，保证用户的合法应用正常进行，阻断 用户有安全隐患的应用等问题，已成为现阶段企业对网络安全关注的焦点。但IP不等于用户、端口不等于应用，传统防火墙基于IP/端口的五元组访问控制策略已不能有效的应对现阶段网络环境的巨大变化。 什么是AAA？ 身份验证(Authentication) 授权 (Authorization) 统计 (Accounting) 举例： 1. 当用户希望访问Internet访问资源。首先使用Authentication认证技术，用户输 入用户名密码。 2. 当通过认证后，通过Authorization 授权，授权不同用户访问的资源，可以访问 百度，或者Google。 3. 在客户访问期间，通过Accounting 计费，记录所做的操作和时长。 认证的方式包括： 我知道：用户所知道的信息（如：密码、个人识别号（PIN）等） 我拥有：用户所拥有的信息（如：令牌卡、智能卡或银行卡） 我具有：用户所具有的生物特征（如：指纹、声音、视网膜、DNA） 授权用户可以使用哪些业务，公共业务，还是敏感业务。 授权用户管理设备，可以使用那些命令。如，可以是Display命令，不能是用delete， copy命令。 计费主要的含义有三个： 1. 用户用多长时间 2. 用户花了多少钱 3. 用户做了哪些操作 不认证： 对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。 本地认证： 用户信息（包括本地用户的用户名、密码和各种属性）配置在网络接入服务器 上。本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备 硬件条件限制。 远端认证： 将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服务器上。 AAA支持通过RADIUS（Remote Authentication Dial In User Service）协议或 HWTACACS （HuaW ei Terminal Access Controller Access Control System）协议进行远端认证。