21-用户身份识别与管理配置
本章节下载: 21-用户身份识别与管理配置 (385.98 KB)
通过用户身份识别与管理功能,设备可以将网络流量的IP地址或MAC地址识别为用户,并与安全特性(用户黑名单、对象组等)相配合基于用户进行网络访问控制。此功能便于网络管理员基于用户进行安全管理功能策略的制定,以及基于用户进行网络攻击行为以及流量的统计和分析,解决了用户IP地址或MAC地址变化带来的策略控制问题。
基于用户身份的访问控制流程主要包括如下步骤:
(1) 用户身份认证:网络接入用户完成身份验证,并成为在线用户。
(2) 用户身份识别:设备记录在线用户的用户名和IP地址、MAC地址等信息,并与本地的身份识别用户账户和身份识别用户组进行关联,实现IP地址或MAC地址和用户的映射。管理员也可以直接配置用户和IP地址或MAC地址的映射关系,便于无需认证的网络接入用户使用。
(3) 安全管理功能策略执行:在线用户访问网络服务时,设备识别出用户流量的源IP地址或源MAC地址,并根据已建立IP地址或MAC地址和用户的映射关系解析出对应的用户名以及所属的用户组,然后按照安全管理特性(用户黑名单、对象组等)对用户/用户组的策略配置,对该用户的网络访问权限进行控制。
设备上的所有身份识别用户按树形结构组织,按照身份识别用户、身份识别用户组以及身份识别域的递进关系进行管理:
· 每个身份识别用户可以隶属于一个或多个身份识别用户组;
· 每个身份识别用户组可以隶属于一个或多个更高结构层次的身份识别用户组;
· 每个身份识别用户以及身份识别用户组可以隶属于一个域或不属于任何域,该域称为身份识别域。身份识别域是整个用户身份识别管理架构中最高级别的管理单元。设备通过域名和用户名的组合,以及域名和用户组名的组合唯一标识一个被管理对象。
这种树形组织结构易于管理员查询、定位,是企业内常用的用户组织方式。网络管理员可以根据企业的组织结构在设备上管理身份识别用户组和身份识别用户,分别对应不同管理级别的部门和员工,如图1-1所示:
身份识别用户账户用于存储和管理不同来源的网络接入用户身份信息,包括用户名、用户组名以及所属身份识别域名。设备上,不同来源的身份识别用户账户被身份识别模块统一管理。
目前,支持以下几种方式生成身份识别用户账户:
· 从本地用户数据库学习:用户身份识别模块学习设备上的网络接入类本地用户信息,将其保存为身份识别用户账户。关于网络接入类本地用户的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
· 从CSV文件中导入:管理员将记录了用户信息的CSV文件导入到设备中,实现批量创建身份识别用户账户。
· 从远程服务器导入:通过向远程服务器发起用户信息请求,将服务器上的网络接入用户账户信息直接导入本地,并生成对应的身份识别用户账户。如果实际网络环境中的用户信息存放在远程服务器上,则可采用此方式统一管理。支持的服务器包括LDAP服务器和iMC RESTful服务器。
通过用户身份识别模块管理的网络接入类(包括Portal、PPP、IPoE、SSL VPN、802.1X、MAC地址认证)在线用户,被称为在线身份识别用户。设备记录的在线身份识别用户信息可包括用户名、身份识别域名、IP地址、MAC地址等。在线身份识别用户有动态和静态两种类型。
动态在线身份识别用户包括以下两种类型:
· 在本设备接入的在线网络接入用户。用户通过本地或远程服务器认证上线后,用户身份识别模块会在本地身份识别用户账户中查询该用户名和域名对应的表项,如果查询成功,则会生成一条在线身份识别用户表项。
· 从远程服务器上获取的在线网络接入用户。设备获得远程服务器的在线用户信息后,用户身份识别模块会在本地身份识别用户账户中查询用户名和域名对应的表项,如果查询成功,则会生成对应的在线身份识别用户表项。可采用此方式将远程服务器上的在线用户信息(包括其它接入设备上的在线用户信息)导入到本机进行统一管理和监控。
支持互通远程服务器为iMC RESTful服务器和Security Manage服务器,具体交互情况如下:
¡ 设备主动从iMC RESTful服务器上导入在线网络接入用户信息。
¡ 设备接收由Security Manage服务器推送的在线网络接入用户信息,但不支持主动获取。
网络管理员可以手工配置静态类型的身份识别用户,每个用户表项中记录了用户名和IP地址或MAC地址的绑定关系。一个静态类型的身份识别用户创建后,用户身份识别模块会在本地身份识别用户账户中查询该用户名和域名对应的表项,如果查询成功,则会生成一条静态类型的在线身份识别用户表项。一些组网需求下,例如有少量指定人员临时接入网络时,网络管理员希望这些用户无需进行认证也能够在安全特性的管理下访问网络,则可以通过配置静态类型的身份识别用户满足该需求。
在线身份识别用户可被应用模块引用进行相关安全业务的处理。在线身份识别用户被应用模块引用之后,基于该用户的安全业务将会生效。在线身份识别用户表项被删除后,用户身份识别模块将通知应用模块停止该用户相关的业务处理。
在用户身份识别业务中,可以将用户加入到组中进行批量配置和层级式管理,这样的组称为身份识别用户组。设备上,不同来源的身份识别用户组被用户身份识别模块统一管理。
目前,支持以下几种方式生成身份识别用户组:
· 从本地用户数据库学习:当设备上创建本地用户组时,会通知用户身份识别模块生成相应的身份识别用户组。关于本地用户组的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
· 从CSV文件中导入:设备在从CSV文件中导入身份识别用户账户的同时,可以根据管理员的配置自动生成相应的身份识别用户组。
· 从远程服务器导入:
¡ 设备在从iMC RESTful服务器或LDAP服务器上导入身份识别用户账户的同时,会根据账户中的组信息自动生成相应的身份识别用户组。
¡ 设备直接从LDAP服务器上获取用户组信息,并生成相应的身份识别用户组。
身份识别用户组可被应用模块引用进行相关安全业务的处理。身份识别用户组被应用模块引用之后,该用户组将处于激活状态,所有基于该组的业务将会生效。当应用模块取消对该身份识别用户组的引用,该身份识别用户组将处于非激活状态。
身份识别角色是特定用户或用户组的身份特征。通过为身份识别用户绑定角色,并为角色赋予权限,建立“用户<->角色<->权限”的关联关系,可协助应用模块实现基于角色的在线用户授权,典型应用场景为SSL VPN接入业务。身份识别角色的引入,采用了权限与用户分离的思想,提高了用户权限分配的灵活性。
在SSL VPN接入业务中,设备作为SSL VPN网关,基于策略组控制用户访问的网络资源。SSL VPN用户登录SSL VPN网关时,SSL VPN网关根据用户所属的SSL VPN访问实例对用户进行认证和授权,授权结果为策略组名称。用户被授权访问的策略组下定义了Web资源、TCP接入服务资源、IP接入服务资源等。
SSL VPN网关为用户授权策略组有如下三种方式:
· 基于角色授权策略组:用户认证通过后,SSL VPN网关通过用户身份识别模块查询到用户所属身份识别角色(可多个),然后在用户所属的SSL VPN访问实例下将这些身份识别角色关联的策略组授权给用户。
· AAA授权策略组:用户认证通过后,由认证服务器直接为用户授权策略组。
· 系统缺省的策略组:如果AAA没有为用户授权策略组,则SSL VPN网关为用户下发缺省SSL VPN策略组。
以上三种授权策略组的方式中,基于角色授权策略组优先级最高,其次是AAA授权策略组,最后是系统缺省的策略组。
目前,本特性与远程服务器的互通情况如下:
· 支持从iMC RESTful服务器导入身份识别用户账户、身份识别用户组和在线身份识别用户;
· 支持从LDAP服务器导入身份识别用户账户和身份识别用户组;
· 支持从Security Manage服务器上获取到在线身份识别用户。
本特性支持的iMC RESTful服务器必须为支持SSM E0503P04组件的iMC PLAT 7.3 (E0605P04)版本或者支持EIA E0512组件的iMC PLAT 7.3(E0605)。
本特性不支持对基于MAC地址的快速认证Portal用户的身份识别与管理。关于基于MAC地址的快速认证的详细介绍,请参见“用户接入与认证配置指导”中的“Portal”。
用户身份识别与管理配置任务如下:
(1) 开启用户身份识别功能
仅当设备需要从RESTful服务器和LDAP服务器导入用户信息时,才需要进行此配置。
a. 配置远程服务器参数
b. 配置身份识别用户导入策略
仅当设备需要与Security Manage服务器互通来获取在线用户信息时,才需要进行此配置。
(4) (可选)管理身份识别用户账户
(5) (可选)管理在线身份识别用户
(6) (可选)配置身份识别角色
(7) (可选)删除身份识别用户组
开启用户身份识别功能后,用户身份识别模块才会与接入模块(包括PPP、Portal、IPoE、SSL VPN、802.1X、MAC地址认证)以及应用模块一起联动实现基于用户身份的访问控制。
(1) 进入系统视图。
system-view
(2) 开启用户身份识别功能。
user-identity enable
缺省情况下,用户身份识别功能处于关闭状态。
RESTful服务器视图用于定义设备与RESTful服务器交互的相关参数,包括登录账户和服务器URI等。设备与RESTful服务器成功建立连接之后,可以从该服务器上手工或定期导入身份识别用户账户、身份识别用户组和在线身份识别用户。
系统中仅能存在一个RESTful服务器。
(1) 进入系统视图。
system-view
(2) 创建RESTful服务器,并进入RESTful服务器视图。
user-identity restful-server server-name
(3) 配置登录到RESTful服务器所需的用户名和密码。
login-name user-name password { cipher | simple } string
缺省情况下,未配置登录到RESTful服务器所需的用户名和密码。
指定的用户名和密码必须是RESTful服务器上已存在的,否则无法与RESTful服务器建立连接。
(4) 指定RESTful服务器的URI。
uri { get-online-user | get-user-database | get-user-group-database | put-offline-user | put-online-user } uri-string
缺省情况下,未指定RESTful服务器的URI。
指定的URI必须与RESTful服务器上提供各类用户资源服务的URI保持一致,否则将会导致用户信息交互失败。
可以通过多次执行本命令指定多个不同类型的URI。
(5) 配置RESTful服务器所属的VPN。
vpn-instance vpn-instance-name
缺省情况下,未配置RESTful服务器的VPN,表示RESTful服务器位于公网。
(6) (可选)配置对RESTful服务器的探测功能。
a. 开启对RESTful服务器的探测功能。
connection-detect enable
缺省情况下,对RESTful服务器的探测功能处于关闭状态。
b. 配置对RESTful服务器的探测参数。
connection-detect { interval interval | maximum max-times }
缺省情况下,对RESTful服务器的探测周期为5分钟,每周期内的最大探测次数为3。
LDAP方案用于指定与设备通信的LDAP服务器以及相关参数。设备与LDAP服务器成功建立连接之后,管理员可以从该服务器上导入身份识别用户账户和身份识别用户组。
关于LDAP方案及其相关配置的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
目前,系统不支持从LDAP服务器上导入在线身份识别用户。
缺省情况下,系统从LDAP服务器上导入身份识别用户账户或身份识别用户组时,并不会携带其父组信息。如果希望导入的身份识别用户和身份识别用户组信息中携带其父组信息,则需要配置用户组类型的LDAP属性映射表,并在LDAP方案中引用该映射表。
(1) 进入系统视图。
system-view
(2) 配置LDAP服务器。
LDAP服务器的配置包括服务器IP地址、与LDAP服务器建立连接所使用的管理员DN和密码、DN查询策略以及用户组的过滤条件等。具体配置请参见“用户接入与认证配置指导”中的“AAA”。
(3) 创建LDAP的属性映射表,并进入属性映射表视图。
ldap attribute-map map-name
(4) 配置用户组类型的LDAP属性映射表。
map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute user-group
(5) 创建LDAP方案,并进入LDAP方案视图。
ldap scheme ldap-scheme-name
(6) 指定LDAP认证服务器。
authentication-server server-name
缺省情况下,未指定LDAP认证服务器。
(7) 引用LDAP属性映射表。
attribute-map map-name
缺省情况下,未引用LDAP属性映射表。
引用了LDAP属性映射表的情况下,导入的身份识别用户和身份识别用户组信息中会携带其父组信息,但设备不会根据它自动生成相应的身份识别用户组。
若要从服务器导入身份识别用户账户、在线身份识别用户或身份识别用户组,则需要配置服务器身份识别用户导入策略,该策略主要用于设置连接RESTful服务器和LDAP服务器的相关参数。
系统中仅能存在一个身份识别用户导入策略。配置新策略之前,必须首先删除当前策略。
(1) 进入系统视图。
system-view
(2) 创建身份识别用户导入策略,并进入身份识别用户导入策略视图。
user-identity user-import-policy policy-name
(3) 指定RESTful服务器。
restful-server server-name
缺省情况下,未指定RESTful服务器。
最多只能指定一个RESTful服务器。如需指定其它的RESTful服务器,必须首先删除已指定的RESTful服务器。
(4) 指定LDAP方案。
ldap-scheme ldap-scheme-name
缺省情况下,未指定LDAP方案。
最多可指定16个LDAP方案。
(5) (可选)配置自动导入身份识别用户账户的周期。
account-update-interval interval
缺省情况下,自动导入身份识别用户账户的周期为24小时。
(6) 配置从LDAP服务器上导入的用户信息类型。
import-type { all | group | user }
缺省情况下,未配置从LDAP服务器上导入的用户信息类型,允许导入用户和用户组信息。
Security Manage服务器集视图中定义了Security Manage服务器的相关参数,包括服务器的IP地址、设备和服务器通信报文的加密算法、监听服务器报文的端口号。
设备与Security Manage服务器成功建立连接之后,可以接收该服务器推送给设备的用户上线报文和用户下线报文。设备通过解析用户上线报文来获取在线用户信息,并在完成身份识别用户账户匹配后添加在线身份识别用户表项;设备通过解析下线报文来删除对应的在线身份识别用户表项。
系统中仅能存在一个Security Manage服务器集。
(1) 进入系统视图。
system-view
(2) 创建Security Manage服务器集,并进入Security Manage服务器集视图。
user-identity security-manage-server server-set-name
(3) 配置Security Manage服务器的IP地址。
ip ip-address&<1-10>
缺省情况下,未配置Security Manage服务器的IP地址。
(4) 配置与Security Manage服务器交互使用的加密算法与共享密钥。
encryption algorithm { 3des | aes128 } key { simple | cipher } string
缺省情况下,未配置与Security Manage服务器交互时使用的加密算法与共享密钥。
(5) 配置设备监听Security Manage服务器的端口号。
listen-port port-num
缺省情况下,设备监听Security Manage服务器的端口号为8001。
开启指定策略的身份识别用户账户自动导入功能后,设备首先会从该策略指定的服务器上导入所有身份识别用户账户和所有在线身份识别用户信息,然后定期从该服务器上自动导入身份识别用户账户(导入周期由身份识别用户导入策略中的account-update-interval命令配置)。
如果开启此功能时,用户身份识别功能处于关闭状态,则仅能从服务器上导入身份识别用户账户。
如果开启了指定策略的身份识别用户账户自动导入功能,且同时开启了对该策略中指定的RESTful服务器的探测功能,则当该RESTful服务器状态由不可达变为可达时,设备会主动同步一次该服务器上的在线身份识别用户信息。
(1) 进入系统视图。
system-view
(2) 开启身份识别用户账户自动导入功能。
user-identity user-account auto-import policy policy-name
缺省情况下,身份识别用户自动账户导入功能处于关闭状态。
可以通过执行本命令向远程服务器发起用户信息请求,将服务器上的网络接入用户账户信息直接导入本地,并生成对应的身份识别用户账户。在导入过程中,若某个账户导入失败,则跳过该账户,继续导入。
本命令中指定的身份识别用户导入策略必须已经存在,且该策略中必须指定了有效的RESTful服务器的URI或LDAP服务器IP地址。
(1) 进入系统视图。
system-view
(2) 导入服务器上的身份识别用户账户。
user-identity user-account import policy policy-name
可以通过执行本命令从CSV文件中导入身份识别用户账户。在导入过程中,若某个账户导入失败,则立即停止导入。
查看由user-identity user-account export url命令导出的标准模板,确保使用的CSV文件格式合法。
(1) 进入系统视图。
system-view
(2) 从CSV文件中导入身份识别用户账户。
user-identity user-account import url url-string [ vpn-instance vpn-instance-name ] [ auto-create-group | override | start-line line-number ] *
可以通过执行本命令将设备上的身份识别用户账户导出到一个CSV文件中保存。导出的CSV文件可直接或在编辑之后用于导入到本设备或其它接入设备上使用。
若执行本命令时指定了template参数,则导出一个标准的CSV文件模板,此模板可用于指导管理员编辑符合设备要求的CSV文件。
(1) 进入系统视图。
system-view
(2) 将身份识别用户账户导出到CSV文件。
user-identity user-account export url url-string [ { domain domain-name | null-domain } [ user user-name ] | template ] [ vpn-instance vpn-instance-name ]
可以通过以下方式删除身份识别用户账户:
· 手工删除:管理员通过命令行删除从服务器或者从CSV文件导入的身份识别用户账户。
· 动态删除:本地用户数据库中删除某网络接入类本地用户之后,用户身份识别模块会同步删除对应的身份识别用户账户。
请在用户视图下执行本命令,删除身份识别用户账户。
reset user-identity user-account { all | { domain domain-name | null-domain } [ name user-name ] }
一个用户名可以绑定多个IP地址、多个MAC地址或者多个IP地址和MAC地址的组合,但同一个IP地址、MAC地址或者IP地址和MAC地址的组合不能被多个用户名绑定。
(1) 进入系统视图。
system-view
(2) 配置静态类型的身份识别用户。
user-identity static-user user-name [ domain domain-name ] bind { { ipv4 ipv4-address | ipv6 ipv6-address } | mac mac-address } *
设备创建一条在线身份识别用户表项之前,首先检查该用户是否能够匹配上本地的身份识别用户账户,如果能够匹配上,才会生成对应的在线身份识别用户表项。本功能来用来配置设备采用哪种用户名格式去匹配身份识别用户账户。
本功能仅对本设备接入的动态在线身份识别用户生效。
(1) 进入系统视图。
system-view
(2) 配置在线用户身份识别的用户名匹配模式。
user-identity online-user-name-match { keep-original | with-domain | without-domain }
缺省情况下,在线用户身份识别的用户名匹配模式为keep-original。
可以通过执行本命令向指定的远程服务器实时发起在线用户请求,实现导入服务器上当前所有在线用户信息的目的。
目前,仅支持从iMC的RESTful服务器上导入在线身份识别用户。
若未开启用户身份识别功能,则本命令执行失败。
本命令中指定的身份识别用户导入策略必须已经存在,且该策略中必须指定了有效的RESTful服务器的URI。
(1) 进入系统视图。
system-view
(2) 导入服务器上的在线身份识别用户。
user-identity online-user import policy policy-name
可以通过以下方式删除在线身份识别用户:
· 手工删除:管理员通过命令行删除从服务器导入的动态在线身份识别用户,以及通过匹配静态身份识别用户表项生成的静态在线身份识别用户。
· 动态删除:
¡ 本设备接入的用户下线后,接入模块通知用户身份识别模块删除对应的在线身份识别用户。
¡ 设备重启后,所有动态类型的在线身份识别用户均被删除。
¡ 用户身份识别功能关闭,所有在线身份识别用户均被删除。
¡ 远程服务器上用户下线时,服务器会主动通知设备删除相应的在线身份识别用户。
在用户视图下执行本命令,删除动态在线身份识别用户。
reset user-identity dynamic-online-user { all | { domain domain-name | null-domain } [ name user-name ] | { { ip ipv4-address | ipv6 ipv6-address } | mac mac-address } * }
(1) 进入系统视图。
system-view
(2) 删除静态在线身份识别用户。
undo user-identity static-user [ domain domain-name ] [ bind { { ipv4 ipv4-address | ipv6 ipv6-address } | mac mac-address } * ]
一个身份识别角色视图下,可以引用多个身份识别用户和身份识别用户组,它们可以是从本地用户数据库学习的、从CSV文件导入的或者从远程服务器导入的任何一种身份识别用户以及身份识别用户组。
为了简化配置,可以直接将一个身份识别用户组与身份识别角色进行关联。该组内的用户将自动属于组所关联的身份识别角色。
对于未属于任何身份识别角色的身份识别用户,系统默认为其关联一个名称为default的缺省身份识别角色。该default角色由系统预定义,不能被配置、修改和删除。一旦一个用户被成功关联一个非默认的身份识别角色,则会自动脱离所属的default角色。
系统中,最多可以支持配置63个身份识别角色。
修改身份识别角色配置或者删除身份识别角色后,用户身份识别模块会主动通知业务模块,更改在线用户的授权信息。
一个身份识别角色下,最多可以同时引用的身份识别用户和身份识别用户组数目之和为256。
(1) 进入系统视图。
system-view
(2) 创建一个身份识别角色,并进入身份识别角色视图。
user-identity role name role-name
缺省情况下,存在一个缺省身份识别角色,名称为default。
(3) 引用身份识别用户。
user name user-name [ domain domain-name ]
缺省情况下,身份识别角色未引用身份识别用户。
(4) 引用身份识别用户组。
user-group name group-name [ domain domain-name ]
缺省情况下,身份识别角色未引用身份识别用户组。
可以通过以下方式删除身份识别用户组:
· 手工删除:管理员通过命令行删除从服务器或者从CSV文件导入的身份识别用户组。
· 动态删除:本地用户数据库中删除本地用户组之后,用户身份识别模块会同步删除对应的身份识别用户组。
在用户视图下执行本命令,删除身份识别用户组。
reset user-identity user-group { all | { domain domain-name | null-domain } [ name group-name ] }
可在任意视图下执行以下命令:
· 显示指定的身份识别用户或身份识别用户组。
display user-identity { domain domain-name | null-domain } { user [ user-name [ group | role ] ] | user-group [ group-name [ member { group | user } | role ] ] }
· 显示激活的身份识别用户组。
display user-identity active-user-group { all | domain domain-name | null-domain }
· 显示所有身份识别用户或身份识别用户组。
display user-identity all { user | user-group }
· 显示在线身份识别用户。
display user-identity online-user { all | { domain domain-name | null-domain } name user-name }
· 显示RESTful服务器配置。
display user-identity restful-server [ server-name ]
· 显示身份识别角色。
display user-identity role [ name role-name ]
· 显示Security Manage服务器集的配置信息。
display user-identity security-manage-server [ server-set-name ]
· 显示身份识别用户导入策略。
display user-identity user-import-policy [ policy-name ]
管理员要求用户不需要经过身份认证即可通过设备访问网络,但其网络访问权限需要接受安全策略的控制。具体要求为:IP地址为1.2.3.4、MAC地址为0001-0001-0001、用户名为usera的用户只有在工作日才可以访问外部网络。
图1-2 静态类型用户的身份识别与管理配置组网图
(1) 配置接口IP地址、路由保证网络可达,具体配置步骤略
(2) 配置用户身份识别
# 创建网络接入类本地用户usera。
<Device> system-view
[Device] local-user usera class network
[Device-luser-network-usera] quit
# 配置一个静态类型的身份识别用户:IP地址为1.2.3.4,MAC地址为0001-0001-0001、用户名为usera。
[Device] user-identity static-user usera bind ipv4 1.2.3.4 mac 0001-0001-0001
# 开启用户身份识别功能。
[Device] user-identity enable
(3) 配置时间段和对象组
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
[Device] time-range work 08:00 to 18:00 working-day
# 创建名为ipgroup1的IP地址对象组,并定义网络用户名称为usera。
[Device] object-group ip address ipgroup1
[Device-obj-grp-ip-ipgroup1] network user usera
[Device-obj-grp-ip-ipgroup1] quit
(4) 配置安全域
# 创建名为trust的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 创建名为untrust的安全域,并将接口GigabitEthernet1/0/2入该安全域中。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(5) 配置安全策略及规则
# 进入IPv4安全策略视图。
[Device] security-policy ip
# 制定只允许用户在工作时间访问外部网络的安全策略ippolicy1。
[Device-security-policy-ip] rule 1 name ippolicy1
[Device-security-policy-ip-1-ippolicy1] source-zone trust
[Device-security-policy-ip-1-ippolicy1] destination-zone untrust
[Device-security-policy-ip-1-ippolicy1] action pass
[Device-security-policy-ip-1-ippolicy1] source-ip ipgroup1
[Device-security-policy-ip-1-ippolicy1] time-range work
[Device-zone-pair-security-Trust-Untrust] quit
# 以上配置完成后,可通过如下显示命令查看静态类型的在线身份识别用户信息。该用户只有在工作日才可以访问外部网络。
[Device] display user-identity online-user null-domain name usera
User name: usera
IP : 1.2.3.4
MAC : 0001-0001-0001
Type: Static
Total 1 records matched.
配置设备对Portal用户进行身份识别和访问控制,具体要求如下:
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
· 用户通过DHCP获取的公网IP地址进行Portal认证。
· 对所有Portal在线用户进行身份识别和基于组的访问控制,要求它们只有在工作日才可以访问外部网络。
图1-3 Portal用户的身份识别与管理配置组网图
(1) 配置接口IP地址、路由保证网络可达,具体配置步骤略
(2) 配置Portal认证
完成Portal认证相关的所有配置,保证用户Host A、Host B、Host C分别使用用户名usera、userb、userc正常通过Portal认证。Portal认证详细配置请参见“用户接入与认证配置指导”中的“Portal”,具体配置步骤略。
(3) 配置用户身份识别
# 创建网络接入类本地用户usera、userb、userc。
<Device> system-view
[Device] local-user usera class network
[Device-luser-network-usera] quit
[Device] local-user userb class network
[Device-luser-network-userb] quit
[Device] local-user userc class network
[Device-luser-network-userc] quit
# 创建本地用户组group1。
[Device] user-group group1
# 将本地用户usera、userb、userc加入用户组group1。
[Device-ugroup-group1] identity-member user usera
[Device-ugroup-group1] identity-member user userb
[Device-ugroup-group1] identity-member user userc
[Device-ugroup-group1] quit
# 开启用户身份识别功能。
[Device] user-identity enable
(4) 配置对象策略及规则
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
[Device] time-range work 08:00 to 18:00 working-day
# 创建名为ipgroup1的IP地址对象组,并定义网络用户组名称为group1。
[Device] object-group ip address ipgroup1
[Device-obj-grp-ip-ipgroup1] network user-group group1
[Device-obj-grp-ip-ipgroup1] quit
# 制定只允许用户在工作时间访问外部网络的对象策略ippolicy1。
[Device] object-policy ip ippolicy1
[Device-obj-policy-ip-ippolicy1] rule pass source-ip ipgroup1 time-range work
[Device-obj-policy-ip-ippolicy1] quit
(5) 配置安全域间实例并应用对象策略
# 创建名为zone1的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
[Device] security-zone name zone1
[Device-security-zone-zone1] import interface gigabitethernet 1/0/1
[Device-security-zone-zone1] quit
# 创建名为zone2的安全域,并将接口GigabitEthernet1/0/2入该安全域中。
[Device] security-zone name untrust
[Device-security-zone-zone2] import interface gigabitethernet 1/0/2
[Device-security-zone-zone2] quit
# 创建源安全域zone1到目的安全域zone2的安全域间实例,并应用对象策略ippolicy1。
[Device] zone-pair security source zone1 destination zone2
[Device-zone-pair-security-zone1-zone2] object-policy apply ip ippolicy1
[Device-zone-pair-security-zone1-zone2] quit
# 以上配置完成后,可通过如下显示命令查看身份识别用户组group1的所有身份成员信息。
[Device] display user-group name group1 identity-member all
Total 1 user groups matched.
User group: group1
Identity groups: 0
Identity users: 3
User ID Username
0x1 usera
0x2 userb
0x3 userc
# 当有Portal用户成功上线,可通过如下显示命令查看当前的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name usera
User name: usera
IP : 2.2.2.2
MAC : 0001-0002-0003
Type: Dynamic
Total 1 records matched
以上显示信息中查看到的用户将会受到对象策略的控制,只有在工作日才可以访问外部网络。
Device为SSL VPN网关设备,连接公网用户和企业私有网络。其中,企业私有网络内部提供了Web服务器资源供远程用户访问(通过HTTP协议和80端口号)。配置Device对用户进行本地认证和本地授权,具体要求如下:
· Device从本地用户数据库学习身份识别账户。
· Device基于角色为SSL VPN用户授权策略组,使得用户可以通过Device安全地访问位于私有网络内部的Web server。
图1-4 SSL VPN用户的身份识别与管理配置组网图
Device已获取到CA证书ca.cer和服务器证书server.pfx,若SSL VPN网关不引用SSL服务端策略,则使用设备缺省证书。
根据组网图中规划的信息,确保用户主机、Device与Web server之间路由可达。
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] ip http enable
[Device] ip https enable
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(3) 配置安全策略放行Untrust与Local安全域之间的流量,用于用户访问SSL VPN网关设备。
# 配置名称为sslvpnlocalout1的安全策规则,使Device可以向用户发送报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name sslvpnlocalout1
[Device-security-policy-ip-1-sslvpnlocalout1] source-zone local
[Device-security-policy-ip-1-sslvpnlocalout1] destination-zone untrust
[Device-security-policy-ip-1-sslvpnlocalout1] source-ip-host 2.1.1.1
[Device-security-policy-ip-1-sslvpnlocalout1] destination-ip-host 4.4.4.1
[Device-security-policy-ip-1-sslvpnlocalout1] destination-ip-host 4.4.4.2
[Device-security-policy-ip-1-sslvpnlocalout1] destination-ip-host 4.4.4.3
[Device-security-policy-ip-1-sslvpnlocalout1] action pass
[Device-security-policy-ip-1-sslvpnlocalout1] quit
# 配置名称为sslvpnlocalin1的安全策略规则,使用户可以向Device发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name sslvpnlocalin1
[Device-security-policy-ip-2-sslvpnlocalin1] source-zone untrust
[Device-security-policy-ip-2-sslvpnlocalin1] destination-zone local
[Device-security-policy-ip-2-sslvpnlocalin1] source-ip-host 4.4.4.1
[Device-security-policy-ip-2-sslvpnlocalin1] source-ip-host 4.4.4.2
[Device-security-policy-ip-2-sslvpnlocalin1] source-ip-host 4.4.4.3
[Device-security-policy-ip-2-sslvpnlocalin1] destination-ip-host 2.1.1.1
[Device-security-policy-ip-2-sslvpnlocalin1] action pass
[Device-security-policy-ip-2-sslvpnlocalin1] quit
# 配置名称为sslvpnlocalout2的安全策规则,使Device可以向Web server发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name sslvpnlocalout2
[Device-security-policy-ip-3-sslvpnlocalout2] source-zone local
[Device-security-policy-ip-3-sslvpnlocalout2] destination-zone trust
[Device-security-policy-ip-3-sslvpnlocalout2] source-ip-host 3.3.3.3
[Device-security-policy-ip-3-sslvpnlocalout2] destination-ip-host 20.2.2.2
[Device-security-policy-ip-3-sslvpnlocalout2] action pass
[Device-security-policy-ip-3-sslvpnlocalout2] quit
# 配置名称为sslvpnlocalin2的安全策略规则,使Web server可以向Device发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name sslvpnlocalin2
[Device-security-policy-ip-4-sslvpnlocalin2] source-zone trust
[Device-security-policy-ip-4-sslvpnlocalin2] destination-zone local
[Device-security-policy-ip-4-sslvpnlocalin2] source-ip-host 20.2.2.2
[Device-security-policy-ip-4-sslvpnlocalin2] destination-ip-host 3.3.3.3
[Device-security-policy-ip-4-sslvpnlocalin2] action pass
[Device-security-policy-ip-4-sslvpnlocalin2] quit
[Device-security-policy-ip] quit
(4) 配置PKI域,设置证书申请所需的相关参数
[Device] pki domain sslvpn
[Device-pki-domain-sslvpn] public-key rsa general name sslvpn
[Device-pki-domain-sslvpn] undo crl check enable
[Device-pki-domain-sslvpn] quit
[Device] pki import domain sslvpn der ca filename ca.cer
[Device] pki import domain sslvpn p12 local filename server.pfx
(5) 配置SSL服务器端策略,引用PKI域
[Device] ssl server-policy ssl
[Device-ssl-server-policy-ssl] pki-domain sslvpn
[Device-ssl-server-policy-ssl] quit
(6) 配置用户身份识别角色
# 创建网络接入类本地SSL VPN用户usera、userb、userc。
[Device] local-user usera class network
[Device-luser-network-usera] password simple a123456
[Device-luser-network-usera] service-type sslvpn
[Device-luser-network-usera] quit
[Device] local-user userb class network
[Device-luser-network-userb] password simple b123456
[Device-luser-network-userb] service-type sslvpn
[Device-luser-network-userb] quit
[Device] local-user userc class network
[Device-luser-network-userc] password simple c123456
[Device-luser-network-userc] service-type sslvpn
[Device-luser-network-userc] quit
# 创建本地用户组group1,将本地用户usera、userb、userc加入用户组group1。
[Device] user-group group1
[Device-ugroup-group1] identity-member user usera
[Device-ugroup-group1] identity-member user userb
[Device-ugroup-group1] identity-member user userc
[Device-ugroup-group1] quit
# 创建身份识别角色r1。
[Device] user-identity role name r1
# 引用身份识别用户组group1。
[Device-identity-role-r1] user-group name group1
[Device-identity-role-r1] quit
# 开启用户身份识别功能。
[Device] user-identity enable
(7) 配置SSL VPN网关,为用户提供登录SSL VPN网关的入口
# 配置SSL VPN网关gw的IP地址为2.1.1.1,端口号为2000。
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] ip address 2.1.1.1 port 2000
[Device-sslvpn-gateway-gw] service enable
[Device-sslvpn-gateway-gw] quit
(8) 配置SSL VPN访问实例,为用户提供SSL VPN Web接入服务
# 配置SSL VPN访问实例ctx1引用SSL VPN网关gw。
[Device] sslvpn context ctx1
[Device-sslvpn-context-ctx1] url-item urlitem
[Device-sslvpn-context-ctx1-url-item-urlitem] url http://20.2.2.2
[Device-sslvpn-context-ctx1-url-item-urlitem] quit
[Device-sslvpn-context-ctx1] url-list urllist
[Device-sslvpn-context-ctx1-url-list-urllist] heading web
[Device-sslvpn-context-ctx1-url-list-urllist] resources url-item urlitem
[Device-sslvpn-context-ctx1-url-list-urllist] quit
[Device-sslvpn-context-ctx1] policy-group p1
[Device-sslvpn-context-ctx1-policy-group-p1] resources url-list urllist
[Device-sslvpn-context-ctx1-policy-group-p1] quit
# 配置SSL VPN基于角色r1授权策略组p1。
[Device-sslvpn-context-ctx1] role r1
[Device-sslvpn-context-ctx1-role-r1] resources policy-group p1
[Device-sslvpn-context-ctx1-role-r1] web-access enable
[Device-sslvpn-context-ctx1-role-r1] quit
[Device-sslvpn-context-ctx1] service enable
[Device-sslvpn-context-ctx1] quit
# 以上配置完成后,可通过如下显示命令查看身份识别角色引用信息。
[Device] display user-identity role
--------------------------------------------------------------------------
Role name: default
This role is assigned to all identity users that do not obtain an administer-defined role.
--------------------------------------------------------------------------
Role name: r1
User group name Domain name
group1 N/A
Total 2 records matched.
SSL VPN用户在浏览器上输入https://2.1.1.1:2000/后,输入对应的本地用户名及密码即可成功登录网关。之后,该用户就能够通过浏览器访问网关为其所属角色授权的远端Web服务器资源。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!