第一篇:45-基于SSID的Web界面访问控制典型配置举例
基于SSID的Web界面访问控制典型配置举例
Copyright © 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目 录 简介 ······························································································································· 1 2 配置前提 ························································································································· 1 3 配置举例 ························································································································· 1
3.1 组网需求 ······················································································································ 1 3.2 配置思路 ······················································································································ 1 3.3 配置注意事项 ················································································································ 1 3.4 配置步骤 ······················································································································ 2
3.4.1 AC的配置 ··········································································································· 2 3.4.2 Switch的配置 ······································································································ 4 3.5 验证配置 ······················································································································ 4 3.6 配置文件 ······················································································································ 6 相关资料 ························································································································· 7
i 1 简介
本文档介绍基于SSID的Web界面访问控制的典型配置举例。配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解WLAN接入,WLAN ACL和HTTP特性。配置举例
3.1 组网需求
如图1所示,AC通过Switch与AP相连,DHCP服务器为AP和Client分配IP地址。需要控制不同SSID接入的无线客户端通过Web页面对AC的访问权限,具体实现如下:
当Client通过名为“service2”的SSID接入无线网络时,可以通过Web访问AC。而当Client通过名为“service1”的SSID接入时,不能通过Web访问AC。
图1 基于SSID的Web界面访问控制组网图
DHCP serverGE1/0/3Vlan-int100192.168.1.1/24Vlan-int300192.168.3.1/24GE1/0/1GE1/0/2ACSwitchAPClient
3.2 配置思路
为了使关联SSID为service2的Client能够通过Web访问AC,需要在AC上配置WLAN ACL,仅允许关联SSID为service2的Client报文通过,并将HTTP服务与WLAN ACL相关联。
3.3 配置注意事项
WLAN ACL中有默认规则rule 0 deny,需要执行undo rule 0命令删除该默认规则。 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
3.4 配置步骤
3.4.1 AC的配置
(1)配置AC接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。
[AC] vlan 200 [AC-vlan200] quit # 创建VLAN 300作为Client接入的业务VLAN,配置VLAN 300的接口IP地址。
[AC] vlan 300 [AC-vlan300] quit [AC] interface vlan-interface 300 [AC-Vlan-interface300] ip address 192.168.3.1 24 [AC-Vlan-interface300] quit # 配置GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 300通过,配置PVID为100。
[AC] interface gigabitethernet 1/0/1 [AC-GigabitEthernet1/0/1] port link-type trunk [AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1 [AC-GigabitEthernet1/0/1] port trunk permit vlan 100 300 [AC-GigabitEthernet1/0/1] port trunk pvid vlan 100 [AC-GigabitEthernet1/0/1] quit # 创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid类型。
[AC] interface wlan-ess 1 [AC-WLAN-ESS1] port link-type hybrid # 配置当前Hybrid端口的PVID为VLAN 200,禁止VLAN 1通过并允许VLAN 200不带tag通过。
[AC-WLAN-ESS1] undo port hybrid vlan 1 [AC-WLAN-ESS1] port hybrid vlan 200 untagged [AC-WLAN-ESS1] port hybrid pvid vlan 200 # 使能MAC VLAN功能。
[AC-WLAN-ESS1] mac-vlan enable [AC-WLAN-ESS1] quit # 创建WLAN-ESS2接口,并设置端口的链路类型为Hybrid类型。[AC] interface wlan-ess 2 [AC-WLAN-ESS2] port link-type hybrid # 配置当前Hybrid端口的PVID为VLAN 200,禁止VLAN 1通过并允许VLAN 200不带tag通过。
[AC-WLAN-ESS2] undo port hybrid vlan 1 [AC-WLAN-ESS2] port hybrid vlan 200 untagged [AC-WLAN-ESS2] port hybrid pvid vlan 200 # 使能MAC VLAN功能。
[AC-WLAN-ESS2] mac-vlan enable [AC-WLAN-ESS2] quit(2)配置无线服务
# 创建clear类型的服务模板1。
[AC] wlan service-template 1 clear # 设置当前服务模板的SSID为service1。
[AC-wlan-st-1] ssid service1 # 将WLAN-ESS1接口绑定到服务模板1。
[AC-wlan-st-1] bind wlan-ess 1 # 启用无线服务。
[AC-wlan-st-1] service-template enable [AC-wlan-st-1] quit # 创建clear类型的服务模板2。
[AC] wlan service-template 2 clear # 设置当前服务模板的SSID为service2。
[AC-wlan-st-2] ssid service2 # 将WLAN-ESS2接口绑定到服务模板2。
[AC-wlan-st-2] bind wlan-ess 2 # 启用无线服务。
[AC-wlan-st-2] service-template enable [AC-wlan-st-2] quit(3)配置射频接口并绑定服务模板
# 创建AP的管理模板,名称为officeap,型号选择WA2620E-AGN。
[AC] wlan ap officeap model WA2620E-AGN # 设置AP的序列号为210235A29G007C000020。
[AC-wlan-ap-officeap] serial-id 210235A29G007C000020 # 进入radio 2射频视图。
[AC-wlan-ap-officeap] radio 2 # 将在AC上配置的clear类型的服务模板1和服务模板2与射频2进行关联,设置绑定到射频接口的VLAN编号为VLAN 300。
[AC-wlan-ap-officeap-radio-2] service-template 1 vlan-id 300 [AC-wlan-ap-officeap-radio-2] service-template 2 vlan-id 300 # 使能AP的radio 2。
[AC-wlan-ap-officeap-radio-2] radio enable [AC-wlan-ap-officeap-radio-2] quit(4)配置WLAN ACL # 创建WLAN ACL 199,并删除ACL 199中的默认规则0。
[AC] acl number 199 [AC-acl-wlan-199] undo rule 0 # 配置规则1:允许SSID名称为service2的WLAN用户报文通过。
[AC-acl-wlan-199] rule 1 permit ssid service2 [AC-acl-wlan-199] quit # 将HTTP服务与ACL 199关联。
[AC] ip http acl 199 3.4.2 Switch的配置
# 创建VLAN 100和VLAN 300,其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量,VLAN 300为无线客户端接入的VLAN。
[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1 [Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 300 [Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100 [Switch-GigabitEthernet1/0/1] quit # 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。
[Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access [Switch-GigabitEthernet1/0/2] port access vlan 100 # 配置Switch与AP相连的GigabitEthernet1/0/2接口使能PoE功能。
[Switch-GigabitEthernet1/0/2] poe enable [Switch-GigabitEthernet1/0/2] quit # 配置Switch与DHCP服务器相连的GigabitEthernet1/0/3接口属性为Access,并允许VLAN 100通过。
[Switch] interface gigabitethernet 1/0/3 [Switch-GigabitEthernet1/0/3] port link-type access [Switch-GigabitEthernet1/0/3] port access vlan 100 [Switch-GigabitEthernet1/0/3] quit 3.5 验证配置
# 无线客户端关联SSID service2后,可以通过Web正常访问AC。
# 无线客户端关联SSID service1后,无法通过Web访问AC。3.6 配置文件
AC:
# ip http acl 199 # acl number 199 rule 1 permit ssid service2 # vlan 100 # vlan 200 # vlan 300 # wlan service-template 1 clear ssid service1 bind WLAN-ESS 1 service-template enable # wlan service-template 2 clear ssid service2 bind WLAN-ESS 2 service-template enable # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 300 undo port trunk permit vlan 1 port trunk pvid vlan 100 # interface Vlan-interface100 ip address 192.168.1.1 255.255.255.0 # interface Vlan-interface300 ip address 192.168.3.1 255.255.255.0 # interface WLAN-ESS1 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 200 untagged port hybrid pvid vlan 200 mac-vlan enable # interface WLAN-ESS2 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 200 untagged port hybrid pvid vlan 200 mac-vlan enable # wlan ap officeap model WA2620E-AGN id 1 serial-id 210235A29G007C000020 radio 1 radio 2 service-template 1 vlan-id 300 service-template 2 vlan-id 300 radio enable #
# Switch:
vlan 100 # vlan 300 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 300 undo port trunk permit vlan 1 port trunk pvid vlan 100 # interface GigabitEthernet1/0/2 port link-type access port access vlan 100 poe enable # interface GigabitEthernet1/0/3 port link-type access port access vlan 100 # 4 相关资料
《H3C WX系列无线控制器产品配置指导》“基础配置指导”。《H3C WX系列无线控制器产品命令参考》“基础配置命令参考”。《H3C WX系列无线控制器产品配置指导》“ACL和QoS配置指导”。《H3C WX系列无线控制器产品命令参考》“ACL和QoS命令参考”。《H3C WX系列无线控制器产品配置指导》“WLAN配置指导”。《H3C WX系列无线控制器产品命令参考》“WLAN命令参考”。
第二篇:防火墙访问控制规则配置--教案
访问控制规则配置
访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后,将顺序匹配访问规则表中所设定规则。一旦寻找到匹配的规则,则按照该策略所规定的操作(允许或丢弃)处理该报文,不再进行区域缺省属性的检查。如果不存在可匹配的访问策略,网络卫士防火墙将根据目的接口所在区域的缺省属性(允许访问或禁止访问),处理该报文。在进行访问控制规则查询之前,网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。如果符合目的地址转换规则,网络卫士防火墙将把接收的报文的目的IP 地址转换为预先设置的IP 地址(一般为真实IP)。因此在进行访问规则设置时,系统一般采用的是真实的源和目的地址(转换后目的地址)来设置访问规则;同时,系统也支持按照转换前的目的地址设置访问规则,此时,报文将按照转换前的目的地址匹配访问控制规则。
根据源、目的配置访问控制规则
基本需求
系统可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配,访问控制规则的源和目的既可以是已经定义好的VLAN 或区域,也可以细化到一个或多个地址资源以及用户组资源。与包过滤策略相同,访问控制规则也是顺序匹配的,系统首先检查是否与包过滤策略匹配,如果匹配到包过滤策略后将停止访问控制规则检查。但与包过滤策略不同的是访问控制规则没有默认规则。也就是说,如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话,系统将根据目的接口所在区域的缺省属性(允许访问或禁止访问)处理该报文。
案例:某企业的网络结构示意图如下图所示,网络卫士防火墙工作在混合模式。Eth0 口属于内网区域(area_eth0),为交换trunk 接口,同时属于VLAN.0001 和VLAN.0002,vlan.0001 IP 地址为192.168.1.1,连接研发部门文档组所在的内网(192.168.1.0/24);vlan.0002 IP 地址为192.168.2.1,连接研发部门项目组所在的内网(192.168.2.0/24)。
图 25 根据源、目的进行访问控制示意图
Eth1 口IP 地址为192.168.100.140,属于外网area_eth1 区域,公司通过与防火墙Eth1口相连的路由器连接外网。Eth2 口属于area_eth2 区域,为路由接口,其IP 地址为172.16.1.1,为信息管理部所在区域,有多台服务器,其中Web 服务器的IP 地址:172.16.1.3。
用户要求如下:
内网文档组的机器可以上网,允许项目组领导上网,禁止项目组普通员工上网。
外网和area_eth2 区域的机器不能访问研发部门内网;
内外网用户均可以访问area_eth2 区域的WEB 服务器。
配置要点
设置区域对象的缺省访问权限:area_eth0、area_eth2 为禁止访问,area_eth1 为允许访问。
定义源地址转换规则,保证内网用户能够访问外网;定义目的地址转换规则,使得外网用户可以访问area_eth2 区域的WEB 服务器。
定义访问控制规则,禁止项目组除领导外的普通员工上网,允许内网和外网用户访问area_eth2 区域的WEB 服务器。
WebUI 配置步骤
1)设定物理接口eth1 和eth2 的IP 地址。
选择 网络管理 > 接口,激活“物理接口”页签,然后点击Eth1、Eth2 端口后的“设 置”字段图标,添加接口的IP 地址。如下图所示。
2)添加VLAN 虚接口,设定VLAN 的IP 地址,再选择相应的物理接口加入到已添 加的VLAN 中。
a)选择 网络管理 > 二层网络,激活“VLAN”页签,然后点击“添加/删除VLAN 范围”,如下图所示。
b)设定VLAN 虚接口的IP 地址。
点击VLAN 虚接口的“修改”字段图标,在弹出界面中设置VLAN.0001 的IP 为:
192.168.1.1,掩码为:255.255.255.0;VLAN.0002 的IP 为:192.168.2.1,掩码为:255.255.255.0。如下图所示。
c)设定VLAN 和物理接口的关系。
选择 网络管理 > 接口,激活“物理接口”页签,然后点击eth0 接口后的“设置” 字段图标,设置接口信息,如下图所示。3)定义主机、子网地址对象。
a)选择 资源管理 > 地址,选择“主机”页签,定义主机地址资源。定义WEB 服 务器主机名称设为172.16.1.3,IP 为172.16.1.3;定义虚拟WEB 服务器(即WEB 服务器 的在外网区域的虚拟IP 地址)主机名称设为192.168.100.143, IP 为192.168.100.143;定义 接口主机地址资源192.168.100.140(也可以是其他字符串),主机名称设为192.168.100.140, IP 为192.168.100.140;定义文档服务器,主机名称设为doc_server, IP 为10.10.10.3。定义 完成后的界面如下图所示:
b)选择 资源管理 > 地址,选择“子网”页签,点击“添加”定义子网地址资源。资源名称rd_group,以及网络地址192.168.2.0、子网掩码255.255.255.0 以及排除领导地 址:10.10.11.2 和10.10.11.3。
4)定义区域资源的访问权限(整个区域是否允许访问)。
选择 资源管理 > 区域,设定外网区域area_eth1 的缺省属性为“允许”访问,内网 区域area_eth0 和area_eth2 的缺省属性为“禁止”访问。以area_eth1 为例,设置界面如 下图所示。
设置完成后的界面如下图所示。5)选择 防火墙 > 地址转换,定义地址转换规则。a)定义源地址转换规则,使得内网用户能够访问外网: 选择“源转换”。
① 选择“源”页签,参数设置如下图所示。不设置参数,表示不对报文的源进行限 制。
② 选择“目的”页签,参数设置如下图所示。
③ 选择“服务”页签,参数设置如下图所示。
转换源地址对象为“192.168.100.140”。设置完成后的规则如下图所示。
b)定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2 区域 的 WEB 服务器。选择“目的转换”
① 选择“源”页签,设置参数如下图所示。不设置参数,表示不对报文的源进行限 制。
② 选择“目的”页签,设置参数如下图所示。
③ 选择“服务”页签,设置参数如下图所示。“目的地址转换”为地址资源“172.16.1.3”。设置完成后的界面如下图所示。
6)选择菜单 防火墙 > 访问控制,定义访问控制规则。a)允许内网和外网用户均可以访问WEB 服务器
由于Web 服务器所在的area_eth2 区域禁止访问,所以要允许内网和外网用户均可以 访问Web 服务器,需要定义访问控制规则如下。① 选择“源”页签,参数设置如下图所示。
源VLAN 和源区域不选择,表示不对区域加以限制; ② 选择“目的”页签,参数设置如下图所示。③ 选择“服务”页签,参数设置如下图所示。
b)允许项目组领导访问外网,禁止项目组普通员工rd_group 访问外网。由于外网区域允许访问,所以需要添加禁止访问外网的规则如下: ① 选择“源”页签,参数设置如下图所示。
② 选择“目的”页签设置如下图所示。
③ 选择“服务”页签,参数设置如下图所示。
CLI 配置步骤
1)设定物理接口eth1 和eth2 的IP 地址。#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2)添加VLAN 虚接口,设定VLAN 的IP 地址,再选择相应的物理接口加入到已添 加的VLAN 中。
#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3)定义主机、子网地址资源。
#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except ‘10.10.11.2 10.10.11.3’
4)设置区域资源的缺省访问权限:area_eth0、area_eth2 为禁止访问,area_eth1 为允 许访问(缺省权限,无需再设定)。
#define area add name area_eth0 access off attribute eth0(不允许访问内网)#define area add name area_eth2 access off attribute eth2(不允许访问内网)5)定义地址转换规则。
定义源地址转换规则,使得内网用户能够访问外网。
#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2 区域的 WEB 服务器。
#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6)定义访问控制规则。
允许内网和外网用户均可以访问WEB 服务器
#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允许项目组领导访问外网,禁止项目组普通员工访问外网
#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事项
1)目的地址需要选择WEB 服务器的真实IP 地址,因为防火墙要先对数据包进行目 的地址转换处理,当内网用户利用http://192.168.100.143 访问SSN 区域的Web 服务器时,由于符合NAT 目的地址转换规则,所以数据包的目的地址将被转换为172.16.1.3。然后才 进行访问规则查询,此时只有设定为WEB 服务器的真实IP 地址才能达到内网用户访问 SSN 区域WEB 服务器的目的。网络卫士系列防火墙处理数据包的流程请参考用户手册相 关章节。
2)定义目的地址转换规则时,不能选择目的区域与目的VLAN。
根据源端口配置访问控制规则
基本需求
案例:某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信,为 了保证数据及设备的安全,禁止其他对于业务主机和服务器的访问。网络结构示意图如下所示。
图 26 根据源端口进行访问控制示意图
业务主机可以使用特殊端口访问服务器,不能使用其他端口。业务主机区域和服务器 区域禁止其他类型的访问。
配置要点
定义区域:area_eth1、area_eth2。
定义服务端口:FS_port
设置访问控制规则
WebUI 配置步骤
1)定义区域area_eth1 为禁止访问,并与属性eth1 绑定。选择 资源管理 > 区域,点击“添加”,如下图所示。
2)定义区域area_eth2 为禁止访问,并与属性eth2 绑定。
具体操作与area_eth1 相似,请参考area_eth1 的定义过程完成。3)定义服务端口
由于系统使用的通信端口是:4500,不是通常使用的协议端口,在设置规则前需要自 定义端口。
选择 资源管理 > 服务,激活“自定义服务”页签,进入自定义服务页面。点击右 侧“添加”,如下图所示。
选择类型:TCP,设置名称:FS_port,服务器实际使用的端口:4500。完成后点击“确 定”按钮。
4)定义访问控制规则
该规则为来自area_eth1 区域使用源端口为4500 的数据包允许通过防火墙访问 area_eth2 区域。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,参数设置如下图所示。
c)选择“服务”页签,参数设置如下图所示。
d)选择“选项”页签设置参数如下。由于所使用的软件系统所建立的连接需要长时期保持,在“连接选项”中选择“长连 接”,根据需要选择“日志记录”。点击“确定”完成ACL 规则设置。
CLI 配置步骤
1)定义区域:area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2)定义服务端口:FS_port #define service add name FS_port protocol 6 port 4500 3)设置访问控制规则
#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes
注意事项
由于环境所限此案例未能进行实际测试,仅供参考使用。
根据特定服务配置访问控制规则
基本需求
在进行访问控制规则的设置时,可以对用户所能访问的服务进行控制,系统预定义了
可控制的常见服务,可以实现二到七层的访问控制,用户也可以自定义服务进行访问控制。案例:某企业网络被防火墙化分为三个区域area_eth0、area_eth1 和area_eth2,三个
区域分别与接口Eth0、Eth1 和Eth2 绑定,area_eth0 连接外网,允许用户访问,area_eth1 和area_eth2 区域禁止用户访问。服务器位于area_eth1,IP 地址为192.168.100.140,内网 位于area_eth2,网络地址为192.168.101.0。企业的网络结构如下图所示。
要求:
允许内网用户访问服务器的TELNET、SSH、FTP 和Web_port 服务,其中Web_port 服务为自定义服务,端口号为8080;但不能访问Eth1 口的其他服务器和其他服务。不允许外网用户访问Eth1 口服务器的TELNET 和SSH 服务。图 27 根据服务设置访问控制规则示意图
配置要点
定义区域和地址资源
定义服务资源
定义服务组资源 设置访问控制规则
WebUI 配置步骤
1)定义区域和地址资源
a)定义区域资源area_eth0、area_eth1 和area_eth2,分别与Eth0、Eth1 和Eth2 绑定。区域权限均为“允许”。
选择 资源管理 > 区域,点击“添加”添加区域资源,界面如下图。① 添加区域area_eth0。② 添加区域area_eth1。③ 添加区域area_eth2。
服务热线:8008105119 183 设置完成后界面如下图所示。b)定义IP 地址资源
选择 资源管理 > 地址,选择“主机”页签,点击“添加”,如下图所示。c)定义子网资源
选择 资源管理 > 地址,选择“子网”页签,点击“添加”,如下图所示。
2)设置自定义服务
选择 资源管理 > 服务,激活“自定义服务”页签,配置自定义服务“Web_port” 如下图所示。
3)设置服务组资源
选择 资源管理 > 服务,激活“服务组”页签,配置服务组“内网访问服务”如下 图所示。
本例中服务组名称为“内网访问服务”,包括“Web_port、SSH、TELNET、FTP”。4)设置访问控制规则。由于服务器所在区域area_eth1 禁止访问,所以只要定义允许 访问的规则即可。
a)设置允许内网area_eth2 的网段为192.168.101.0/24 的用户访问area_eth1 的服务器(192.168.100.140)SSH、TELNET、FTP 以及8080 端口服务的访问控制规则 选择 防火墙 > 访问控制,点击“添加”按钮,设置访问控制规则。① 选择“源”页签,参数设置如下图所示。
② 选择“目的”页签,参数设置如下图所示。
服务热线:8008105119 187 ③ 选择“服务”页签,参数设置如下图所示。
服务热线:8008105119 188 设置完成的ACL 规则如下图所示。
b)设置仅允许外网区域(area_eth0)的用户访问服务器的8080 端口的服务访问控制 规则。
选择 防火墙 > 访问控制,点击“添加”按钮,设置访问控制规则。① 选择“源”页签,参数设置如下图所示。
服务热线:8008105119 189 ② 选择“目的”页签,参数设置如下图。
服务热线:8008105119 190 ③ 选择“服务”页签,参数设置如下图。
服务热线:8008105119 191 设置完成后的ACL 规则如下图所示。
CLI 配置步骤
1)定义区域资源
#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2)定义主机和子网地址资源
#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 内网 ipaddr 192.168.101.0 mask 255.255.255.0 3)设置自定义服务,服务名为Web_port,端口号为8080。#difine service add name Web_port protocol tcp port 8080 4)设置服务组资源,组名称为“内网访问服务”,包括Web_port、FTP、TELNET 和SSH 服务。
#difine group_service add name 内网访问服务 member Web_port,FTP,TELNET,SSH 5)设置访问控制规则
a)区域“area_eth2”的子网对象“内网”(192.168.101.0/24)允许访问区域“area_eth1” 的服务器的Web_port、FTP、TELNET 和SSH 服务(有自定义服务组“内网访问服务”绑 定),服务器的IP 地址为192.168.100.140。
#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 内网dst 192.168.100.140 service 内网访问服务 enable yes
服务热线:8008105119 192 b)设置仅允许外网用户访问服务器192.168.100.140 的8080 端口的服务访问控制规 则。
#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事项
如果只允许开放某些服务,其他服务均被禁止,可以设置目的区域的默认访问权限为 “禁止”,系统在匹配完访问控制规则后将自动匹配区域的默认访问权限。
根据转换前目的地址配置访问控制规则
基本需求
背景:某企业的WEB 服务器(IP:192.168.83.56)通过防火墙将其IP 地址MAP 为
202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口(IP:192.168.83.2),且防火墙通过Eth0 口(IP:202.45.56.3)与Internet 相连,如下图所示。
图 28 根据转换前目的进行访问控制示意图
需求:为了保护企业网络的安全,网关Eth1 接口所属的区域area_eth1 设置为禁止访 问,要求Internet 用户只可访问企业WEB 服务器的HTTP 服务,要求用WEB 服务器的 MAP 地址202.45.56.5 作访问控制。
服务热线:8008105119 193 配置要点
定义主机地址资源
定义地址转换策略
定义访问控制规则
WebUI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择 资源管理 > 区域,点击“添加”,如下图。
2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机对象V-WebServer。选择 资源管理 > 地址,激活“主机”页签,定义主机地址资源R-WebServer 和 V-WebServer。
定义R-WebServer 主机地址资源图。
服务热线:8008105119 194 定义V-WebServer 主机地址资源图。3)定义地址转换规则。
选择 防火墙 > 地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。
a)选择“源”页签,设置参数如下图。
服务热线:8008105119 195 b)选择“目的”页签,参数设置如下。
服务热线:8008105119 196 c)选择“服务”页签,参数设置如下。设置完成后的目的NAT 规则如下图所示。4)设置访问控制规则。
选择 防火墙 > 访问控制,并在右侧界面中点击“添加”定义访问控制规则。
服务热线:8008105119 197 a)选择“源”页签,参数设置如下。b)选择“目的”页签,设置根据转换前的目的地址进行访问控制。参数设置如下。
服务热线:8008105119 198 c)选择“服务”页签,参数设置如下。
服务热线:8008105119 199 设置完成后的ACL 规则如下图所示。至此,WEBUI 方式的配置完成。
CLI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area add name area_eth1 access off attribute eth1 2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。定义R-WebServer 主机地址资源
#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.定义V-WebServer 主机地址资源
#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.3)定义地址转换规则。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)设置访问控制规则。
#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes
注意事项
1)因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务,因此需 要事先拒绝internet 用户的所有访问,再定义访问控制规则允许其访问HTTP 服务。2)对转换前的目的地址进行匹配时,只需在“转换前目的地址”中进行选择目的地 址,而无须在“目的地址”中再选择地址。
3)在配置过程中,请确保没有与该规则相冲突的地址转换策略和阻断策略。
根据转换后目的地址配置访问控制规则
基本需求
背景:某企业的WEB 服务器(IP:192.168.83.56)通过防火墙将其IP 地址MAP 为
202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口(IP:192.168.83.2),且防火墙通过Eth2 口(IP:202.45.56.3)与Internet 相连,如下图所示。
需求:为了保护企业网络的安全,要求Internet 用户只可访问企业WEB服务器的HTTP 服务,要求用WEB 服务器的IP 地址192.168.83.56 做访问控制。图 29 根据转换后目的进行访问控制示意图
配置要点
定义主机地址资源
定义地址转换策略
定义访问控制规则
WebUI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择 资源管理 > 区域,点击“添加”,如下图。
2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。选择 资源管理 > 地址,激活“主机”页签,在右侧界面中点击“添加”定义主机 地址资源R-WebServer 和V-WebServer。定义R-WebServer 主机地址资源。定义V-WebServer 主机地址资源。3)定义地址转换规则。
选择 防火墙 > 地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。
a)选择“源”页签,设置参数如下图。
b)选择“目的”页签,参数设置如下。
c)选择“服务”页签,参数设置如下。设置完成后的目的NAT 规则如下图所示。4)设置访问控制规则。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,设置根据NAT 转换后的目的地址(R_WebServer)进行访问 控制。参数设置如下。
c)选择“服务”页签,参数设置如下。
设置完成后的ACL 规则如下图所示。至此,WEBUI 方式的配置完成。
CLI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area add name area_eth1 access off attribute eth1 2)定义WEB 服务器主机对象R-WebServer 和虚拟主机对象V-WebServer。定义R-WebServer 主机地址资源
#define host add name R-WebServer ipaddr 192.168.83.56 定义V-WebServer 主机地址资源
#define host add name V-WebServer ipaddr 202.45.56.5 3)定义地址转换规则。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)设置访问控制规则。
#firewall policy add src any dst R-WebServer service HTTP action accept enable yes 注意事项
1)因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务,因此需 要事先拒绝internet 用户的所有访问,再定义访问控制规则允许其访问HTTP 服务。2)当TOS 设备处理经过地址转换的数据包时,匹配的是目的地址转换后的地址,故 一般不需要设置“转换前目的”中的地址。
3)在配置过程中请确保没有与该规则相冲突的地址转换策略和阻断策略。
基于认证用户的访问控制
用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的访问控制,用户认证的方式主要包括本地认证(密码和证书)和第三方认证(Radius、Tacacs、SecurID、LDAP 以及域认证等等),通过将认证用户设置为用户组,访问控制规则的源和目的即可 以是用户组对象,从而实现基于本地密码认证、OTP 认证以及第三方认证用户的细粒度 的访问控制。
基本需求
Area_eth2 区域为研发部门内网,禁止外网和其余部门访问,只允许内网area_eth1 区 域的某些用户通过TOPSEC 认证客户端访问内网主机10.10.10.22 的TELNET 服务。图 30 基于认证用户的访问控制示意图 配置要点
设置区域属性
设置NAT 地址转换规则
设置认证服务器和用户组
开放相关接口的认证服务
设置基于认证用户的访问控制规则。
设置用户认证客户端
WebUI 配置步骤
1)设置区域属性,添加主机地址资源。
a)选择 资源管理 > 区域,定义内网区域area_eth2 的缺省属性为禁止访问。外网区域area_eth1 为允许访问。
b)选择 资源管理 > 地址,激活“主机”页签,定义内网TELNET 服务器的真实IP 地址资源(10.10.10.22)。
定义虚拟IP 地址资源(192.168.83.223)。如下图所示。
2)选择 防火墙 > 地址转换,设置目的NAT 规则,使得用户能够访问内网TELNET 服务器。
选择“目的转换”。
a)选择“源”页签,设置参数如下图。
b)选__
第三篇:浅谈访问控制策略
浅谈访问控制策略
身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。
在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。
其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。
访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因 谈到访问控制.首先必须对访问控制的粒度有所了解。访问控制讲的是对主体访问客体的控制。粒度显然涉及主体和客体两个方面。主体一般是以用户为单位实施访问控制(划分用户组只是对相同访问权限用户的一种管理方法).网络用户也有以IP地址为单位实施访问控制的。客体的访问控制粒度由粗到细可以是整个应用系统 某个网络系统.某个服务器系统,某个操作系统.某个数据库管理系统、某个文件 某个数据库.数据库中的某个表 甚至库表中的某个记录或字段等。一般来讲 对整个系统(包括信息系统、网络系统、服务器系统、操作系统、数据库管理系统、应用系统等)的访问.通常是采用身份鉴别的方法进行控制.也就是相对的粗粒度访问控制。细粒度的访问控制,通常是指在操作系统、数据库管理系统中所提供的用户对文件或数据库表、记录/字段的访问所进行的控制.也就是GB17859中所描述的经典的访问控制。这类访问控制分为自主访问控制和强制访问控制两种。当然也可以在网关等处设置以服务器为对象的自主访问控制或强制访问控制机制,实现以服务器为粒度的访问控制。
所谓自主访问控制是指由系统提供用户有权对自身所创建的访问对象(文件、数据库表等)进行访问.并有权将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。访问对象的创建者还有权进行授权转让” 即将 授予其他用户访问权限 的权限转让给别的用户。需要特别指出的是,在一些系统中.往往是由系统管理员充当访问对象的创建者角色 并进行访问授权 而在其后通过”授权转让 将权限转让给指定用户.于是容易引起这种访问控制不是由用户自主决定访问权限的误会。
所谓强制访问控制是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照确定的规则决定哪些用户可以对哪些对象进行哪些操作类型的访问,即使是创建者用户,在创建一个对象后.也可能无权访问该对象。强制访问控制常见的安全模型是Bell—La padula模型(也称多级安全模型)。该模型的安全策略分为强制访问和自主访问两部分。自主访问控制允许用户自行定义其所创建的数据.它以一个访问矩阵表示包括读、写、执行、附加以及控制等访问模式。由于它的自主访问控制策略已广为人们熟知。所以在提到多级安全模型时.往往重点探讨其强制访问控制策略。多级安全模型的强制访问控制策略以等级和范畴 作为其主、客体的敏感标记,并施以”从下读、向上写”的简单保密性规则。需要强调的是.作为敏感标记的等级和范畴.必须由专门设置的系统安全员,通过由系统提供的专门界面设置和维护.敏感标记的改变意味着访问权限的改变。因此可以说.所有用户的访问权限完全是由安全员根据需要决定的。强制访问控制还有其他安
全策略 比如 角色授权管理。该安全策略将系统中的访问操作按角色进行分组管理。一种角色执行一组操作.由系统安全员统一进行授权。当授予某个用户某一角色时,该用户就具有执行该角色所对应的一组操作的权限。当安全员撤销其授予用户的某一角色时,相应的操作权限也就被撤销。这完全类似于现实社会中对领导职务的任命和撤销。这一策略的访问权限也是通过安全员通过角色授权决定的。
与访问控制相关联的另一个十分重要的概念是 用户一主体绑定。这一概念的引入.对多用户环境、进程动态运行所实施的访问操作的控制提供了支持。作为动态运行的系统进程.它在不同时间段为不同的用户服务 因而无法为其设置固定的敏感标记。通过用户一主体绑定机制.可以将进程动态地与其所服务的用户相关联。于是.在任何时候.进程所实施的访问操作都能够通过这种关联找到其所服务的用户,也就能找到实施强制访问控制的主体。操作是由进程实施的.而确定是否允许进行此次访问的主体对象却是进程为其服务的用户
第四篇:访问控制总结报告
1.访问控制概念
访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准(Trusted Computer System Evaluation Criteria,TCSEC,即橘皮书),已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计,需要满足以下的要求:计算机系统必须设置一种定义清晰明确的安全授权策略;对每个客体设置一个访问标签,以标示其安全级别;主体访问客体前,必须经过严格的身份认证;审计信息必须独立保存,以使与安全相关的动作能够追踪到责任人。从上面可以看出来,访问控制常常与授权、身份鉴别和认证、审计相关联。
设计访问控制系统时,首先要考虑三个基本元素:访问控制策略、访问控制模型以及访问控制机制。其中,访问控制策略是定义如何管理访问控制,在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行,访问控制机制有很多种,各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名,组名以及用户所属的角色等,或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问,访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境,提供一个概念性的框架结构。
目前人们提出的访问控制方式包括:自主性访问控制、强访问控制、基于角色的访问控制等。
2.访问控制方式分类
2.1 自主访问控制
美国国防部(Department of Defense,DoD)在1985年公布的“可信计算机系统评估标准(trusted computer system evaluation criteria,TCSEC)”中明确提出了访问控制在计算机安全系统中的重要作用,并指出一般的访问控制机制有两种:自主访问控制和强制访问控制。自主访问控制(DAC)根据访问请求者的身份以及规定谁能(或不能)在什么资源进行什么操作的访问规则来进行访问控制,即根据主体的标识或主体所属的组对主体访问客体的过程进行限制。在DAC系统中,访问权限的授予可以进行传递,即主体可以自主地将其拥有的对客体的访问权限(全部或部分地)授予其它主体。DAC根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。在DAC系统中,由于DAC可以将访问权限进行传递,对于被传递出去的访问权限,一般很难进行控制。比如,当某个进程获得了信息之后,该信息的流动过程就不再处于控制之中,就是说如果A可访问B,B可访问C,则A就可访问C,这就导致主体对客体的间接访问无法控制(典型如操作系统中文件系统)。这就造成资源管理分散,授权管理困难;用户间的关系不能在系统中体现出来;信息容易泄漏,无法抵御特洛伊木马的攻击;系统开销巨大,效率低下的缺点,不适合大型网络应用环境。2.2 强访问控制
强制访问控制(MAC)根据中央权威所确定的强制性规则来进行访问控制。和DAC不同,强制访问控制并不具备访问主体自主性,主体必须在由中央权威制定的策略规则约束下对系统资源进行访问。强制访问控制是一种不允许主体干涉的访问控制类型,是基于安全标识和信息分级等信息敏感性的访问控制。在MAC中,系统安全管理员强制分配给每个主/客体一个安全属性,强制访问控制根据安全属性来决定主体是否能访问客体。安全属性具有强制性,不能随意更改。
MAC最早出现在美国军方的安全体制中,并且被美国军方沿用至今。在MAC方案中,每个目标由安全标签分级,每个对象给予分级列表的权限。分级列表指定哪种类型的分级目标对象是可以访问的。典型安全策略就是“read-down”和“write-up”,指定对象权限低的可以对目标进行读操作,权限高的就可以对目标进行写操作。MAC通过基于格的非循环单向信息流政策来防止信息的扩散,抵御特洛伊木马对系统保密性的攻击。系统中,每个主体都被授予一个安全证书,而每个客体被指定为一定的敏感级别。MAC的两个关键规则是:不向上读和不向下写,即信息流只能从低安全级向高安全级流动。任何违反非循环信息流的行为都是被禁止的。MAC实现一般采用安全标签机制,由于安全标签的数量是非常有限的,因此在授权管理上体现为粒度很粗。但是由于MAC本身的严格性,授权管理方式上显得刻板,不灵活。如果主体和权限的数量庞大,授权管理的工作量非常大。在MAC中,允许的访问控制完全是根据主体和客体的安全级别决定。其中主体(用户、进程)的安全级别是由系统安全管理员赋予用户,而客体的安全级别则由系统根据创建它们的用户的安全级别决定。因此,强制访问控制的管理策略是比较简单的,只有安全管理员能够改变主体和客体的安全级别。MAC应用领域也比较窄,使用不灵活,一般只用于军方等具有明显等级观念的行业或领域;虽然MAC增强了机密性,但完整性实施不够,它重点强调信息向高安全级的方向流动,对高安全级信息的完整性保护强调不够。
2.3 基于角色访问控制
随着网络技术的迅速发展,对访问控制提出了更高的要求,传统的访问控制技术(DAC,MAC)已经很难满足这些需求,于是提出了新型的基于角色的访问控制(RBAC)。RBAC有效地克服了传统访问控制技术的不足,降低授权管理的复杂度,降低管理成本,提高系统安全性,成为近几年访问控制领域的研究热点。
最早使用RBAC这个术语,是在1992年Ferraiolo和Kuhn发表的文章中。提出了RBAC中的大部分术语,如,角色激活(Role Activation),角色继承(Role Hierarchy),角色分配时的约束(Constraints)等等。因为RBAC借鉴了较为人们熟知的用户组、权限组和职责分离(Separation of Duty)等概念,而且,以角色为中心的权限管理更为符合公司和企业的实际管理方式。Ferraiolo和Sandhu等人分别在1994年后提出了有关RBAC模型的早期形式化定义,其中,Sandhu等人定义了RBAC模型的一个比较完整的框架,即RBAC96模型。RBAC1和RBAC2都建立在RBAC0之上,RBAC1给出了角色继承的概念,RBAC2增加了约束的概念。在扩展研究中,RBAC管理方面,研究者试图采用RBAC本身来管理RBAC,于是,出现ARBAC97模型及其扩展,这些模型让管理角色及其权限独立于常规角色及其权限。第二是RBAC功能方面。研究者通过扩展RBAC的约束来增强它的表达能力,以适应不同情况下的权限管理。最初的约束是用来实现权责分离,后来又出现了其他的约束,如,约束角色的用户数目,增加了时间约束的TRBAC模型,增加了权限使用次数的UCRBAC模型,带有使用范围的灵活约束,采用形式化的语言来描述RBAC的约束,如RCL2000语言、对象约束语言(OCL, Object Constraint Language)和其他语言等。第三,是讨论RBAC与其他访问控制模型的关系。第四是RBAC在各个领域的应用。美国国家标准与技术研究院(The National Institute of Standards and Technology,NIST)制定的标准RBAC模型由4个部件模型组成,这4个部件模型包括RBAC的核心(Core RBAC),RBAC的继承(Hierarchal RBAC),RBAC的约束(Constraint RBAC)中的静态职权分离(SSD)和动态职权分离(DSD)两个责任分离部件模型。
RBAC的核心思想就是将访问权限与角色相联系,通过给用户分配合适的角色,让用户与访问权限相联系。角色是根据企业内为完成各种不同的任务需要而设置的,根据用户在企业中的职权和责任来设定它们的角色。用户可以在角色间进行转换,系统可以添加、删除角色,还可以对角色的权限进行添加、删除。这样通过应用RBAC将安全性放在一个接近组织结构的自然层面上进行管理。在DAC和MAC系统中,访问权限都是直接授予用户,而系统中的用户数量众多,且经常变动,这就增加了授权管理的复杂性。RBAC弥补了这方面的不足,简化了各种环境下的授权管理。RBAC模型引入了角色(role)这一中介,实现了用户(user)与访问许可权(permission)的逻辑分离。在RBAC系统模型中,用户是动态变化的,用户与特定的一个或多个角色相联系,担任一定的角色。角色是与特定工作岗位相关的一个权限集,角色与一个或多个访问许可权相联系,角色可以根据实际的工作需要生成或取消。用户可以根据自己的需要动态激活自己拥有的角色。与用户变化相比,角色变化比较稳定。系统将访问权限分配给角色,当用户权限发生变化时,只需要执行角色的撤消和重新分配即可。另外,通过角色继承的方法可以充分利用原来定义的角色,使得各个角色之间的逻辑关系清晰可见,同时又避免了重复工作,减小了出错几率。2.4 基于上下文的访问控制
CBAC是在RBAC研究的基础上产生的。CBAC是把请求人所处的上下文环境作为访问控制的依据。基于上下文的访问控制,可以识别上下文,同时,其策略管理能够根据上下文的变化,来实现动态的自适应。一般地,基于上下文的访问控制利用了语义技术,以此实现上下文和策略的更高层次的描述和推理。
2.5 基于任务的访问控制
随着数据库、网络和分布式计算的发展,组织任务进一步自动化,与服务相关的信息进一步计算机化,为了解决随着任务的执行而进行动态授权的安全保护问题,提出了基于任务的访问控制(Task-based Access Control,TBAC)模型。TBAC是从应用和企业层角度来解决安全问题(而非从系统角度)。TBAC采用“面向服务”的观点,从任务的角度,建立安全模型和实现安全机制,依据任务和任务状态的不同,在任务处理的过程中提供动态实时的安全管理。TBAC模型包括工作流(Work flow, Wf),授权结构体(Authorization unit, Au),受托人集(Trustee-Set, T),许可集(Permissions, P)四部分。其中,Wf是由一系列Au组成;Au之间存在{顺序依赖,失败依赖,分权依赖,代理依赖}的关系。在TBAC中,授权需用五元组(S,O,P,L,AS)来表示。
(1)S表示主体,O表示客体,P表示许可,L表示生命期(lifecycle);
(2)AS表示授权步(Authorization step),是指在一个工作流程中对处理对象(如办公流程中的原文档)的一次处理过程。授权步由受托人集(trustee-set)和多个许可集(permissions set)组成,其中,受托人集是可被授予执行授权步的用户的集合,许可集则是受托集的成员被授予授权步时拥有的访问许可。
(3)P是授权步AS所激活的权限,L则是授权步AS的存活期限。
L和AS是TBAC不同于其他访问控制模型的显著特点。在授权步AS被触发之前,它的保护态是无效的,其中包含的许可不可使用。当授权步AS被触发时,它的委托执行者开始拥有执行者许可集中的权限,同时它的生命期开始倒记时。在生命期期间,五元组(S,O,P,L,AS)有效。当生命期终止,即授权步AS被定为无效时,五元组(S,O,P,L,AS)无效,委托执行者所拥有的权限被回收。通过授权步的动态权限管理,TBAC可以支持最小权限和职责分离原则。
TBAC是一种主动安全模型,在这种模型中,对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化。TBAC是从工作流的环境来考虑信息安全问题。在工作流环境中,每一步对数据的处理都与以前的处理相关,相应的访问控制也是这样,因此,TBAC是一种上下文相关的访问控制模型。TBAC不仅能对不同工作流实行不同的访问控制策略,而且还能对同一工作流的不同任务实例(instance)实行不同的访问控制策略,所以,TBAC又是一种基于实例的访问控制模型。在TBAC中,用户对于授予的权限的使用具有时效性的。TBAC比较适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策指定。T-RBAC模型把任务和角色置于同等重要的地位,它们是两个独立而又相互关联的重要概念。任务是RBAC和TBAC能结合的基础。
2.6 基于属性的访问控制
在开放环境下(如互联网)不同的客户端和服务器频繁交互,这些交互方有时处于不同的安全域之内,相互只能知道对方部分信息。传统的基于身份的访问控制(IBAC)已不能适用于这种环境,基于属性的访问控制(ABAC)能够很好地适应这种开放的网络环境。
基于属性的访问控制模型(ABAC)是根据参与决策的相关实体的属性来进行授权决策的。ABAC中的基本元素包括请求者,被访问资源,访问方法和条件,这些元素统一使用属性来描述,各个元素所关联的属性可以根据系统需要定义。属性概念将访问控制中对所有元素的描述统一起来,同时摆脱了基于身份的限制。在ABAC中,策略中的访问者是通过访问者属性来描述,同样,被访问资源、访问方法也是通过资源和方法的属性来描述,而条件用环境属性来描述。环境属性通常是一类不属于主体,资源和方法的动态属性,如访问时间,历史信息等。条件有时也会用来描述不同类型属主具有的属性之间的关系,如访问者的某一属性与资源的某一属性之间的关系。ABAC是否允许一个主体访问资源是根据请求者、被访问资源以及当前上下文环境的相关属性来决定的。这使得ABAC具有足够的灵活性和可扩展性,同时使得安全的匿名访问成为可能,这在大型分布式环境下是十分重要的[931。XACML集中体现了CBAC和ABAC的思想,利用上下文中包含的请求方的属性信息,与事前制定的策略进行匹配,来进行访问控制决策和授权。2.7 基于信誉的访问控制
1996年,M.Blaze等人为了解决Internet网络服务的安全问题,首次提出了“信任管理(Trust Management)”的概念,其基本思想是承认开放系统中安全信息的不完整性,提出系统的安全决策需要附加的安全信息。与此同时,A.Adul-Rahman等学者则从信任的概念出发,对信任内容和信任程度进行划分,并从信任的主观性入手给出信任的数学模型用于信任评估。长期以来,信任管理技术演化发展为两个分支:基于凭证和策略的理性信任模型和基于信誉的感性信任模型。针对网格应用具体环境,这两种模型各有优缺点。对于理性信任模型而言,由于在广域网格环境下缺乏公共认可的权威机构,凭证并不完全可靠,也并不一定能通行无阻;而且完全依靠认证中心,弱化了个体的自我信任,而盲目信任大范围内的认证中心,往往会无法解决个体间的利益冲突。在基于信誉的感性信任模型中,也存在着很多问题:存在着评价空白时“信”与“不信”的临界两难状态;对恶意行为的免疫力不强,譬如对恶意推荐缺乏行之有效的过滤方法,对策略型欺骗行为缺乏有效的识别和抑制;对评价反馈行为缺乏激励,从而容易导致系统中信誉证据的不足;缺乏对多种上下文环境下的信誉评估进行综合集成的能力等。传统的访问控制实际上是基于信任管理中的理性信任模型。
基于信誉的访问控制,基于信任管理的感性信任模型,是将访问请求方的信誉度作为衡量是否授权的标准的访问控制技术,是一种比较新的访问控制技术。基于信誉的访问控制的核心目标是为了更好的实现预期收益,同时应对授权行为带给服务提供方的不确定性、脆弱性和风险性问题。其根据请求方的当前及历史状态,评估其信誉,并设置信任阈值是达到上述目标的有效手段。此外,基于信誉的访问控制可以实现提供方的其他目标:
1、根据必须满足的信任条件将权限分级。不同的权限对于实现提供方预期收益是不同的,所以不同的权限所要求的信任条件也是不同的;
2、利用信誉度对请求方进行筛选,选择合适的请求方进行授权,以尽可能的实现提供方的预期收益。目前该类访问控制的研究主要涉及以下问题:(1)信誉的表述和度量;(2)由经验推荐所引起的信誉度推导和综合计算。(3)信任阈值的动态衍生等。
3.总结
总之,根据以上访问控制分类,我们得知授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程,通常是以访问控制的形式实现的。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么以及做到什么程度。访问控制依据特定的安全策略和执行机制以及架构模型保证对客体的所有访问都是被认可的,以保证资源的安全性和有效性。
第五篇:关于iMC操作员登录控制的典型配置
[XXX级别] 关于iMC操作员登录控制的典型配置
一、组网需求:
使用iMC产品的配置前台,需要先使用操作员登录进入管理前台,然后才能执行各种业务功能和操作。
二、组网图:
实际参考iMC服务器的部署组网即可。
三、配置步骤:
iMC操作员登录控制特性提供如下管理手段:
1)不同的认证方式:操作员可以使用iMC内嵌的操作员管理功能对操作员进行认证,也可以与RADIUS或LDAP服务器联动实现操作员的身份认证。
2)登录地址控制:iMC可以控制客户端的登录地址,只允许用户从特定的地址(范围)登录iMC。
3)密码控制策略:如果操作员在iMC系统上进行密码认证,则可以控制密码的强度、失效日期等。
4)密码防破解:iMC可以有效防范通过连续尝试的方式破解密码的非法行为。
iMC管理员可使用不同的登录认证方式。iMC提供三种操作员登录认证方式:
华为3Com机密 未经许可不得扩散
[XXX级别] 1)简单密码认证:使用iMC系统数据库中存放的操作员密码进行身份认证,是最常用的身份认证方式。
2)RADIUS认证:使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名,以及用户在登录时输入的密码,到RADIUS服务器进行身份认证。
3)LDAP认证:使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名,以及用户在登录时输入的密码,到LDAP服务器进行身份认证。
通过如下步骤,可配置不同的登录认证方式:
步骤一:配置操作员的登录认证方式。在增加或修改操作员界面,选择“登录认证方式”中的一种。如果选择了“简单密码认证”,则必须输入“登录密码”和“登录密码确认”;如果选择了“RADIUS认证”或“LDAP认证”,则无需输入登录密码信息。参考界面如下:
华为3Com机密 未经许可不得扩散
[XXX级别]
图1-1 配置登录认证方式
步骤二:如果使用“RADIUS认证”或“LDAP认证”,则同时需要对认证服务器进行配置。使用iMC的管理员登录iMC配置台,在“系统管理”中,点击“认证服务器配置”,根据需要对RADIUS认证服务器或LDAP认证服务器进行配置。参考界面如下:
华为3Com机密 未经许可不得扩散
[XXX级别]
图1-2 认证服务器配置界面
目前支持的RADIUS认证方式包括“PAP”和“CHAP”两种;支持的LDAP版本包括2和3两个版本;支持的服务器类型包括“通用LDAP服务器”和“微软活动目录”两类。用户可根据需要进行配置,各参数的详细说明可参考联机帮助。 登录地址控制。
iMC允许控制用户的登录客户端地址,即允许或禁止从某些地址(范围)登录。
华为3Com机密 未经许可不得扩散
[XXX级别] 在增加或修改操作员时,在“操作员访问控制列表”部分进行配置,如下图所示:
图1-3 登录地址控制的配置界面
上图的配置,只允许该操作员从“192.168.0.1-192.168.0.255”和“192.168.1.1-192.168.1.255”两个地址区域进行登录。
iMC操作员访问控制列表的匹配策略为“首先命中匹配”。例如:假设同时配置了“允许”地址段和“禁止”地址段,则在操作员进行登录时,将客户端的IP地址按照访问控制列表的顺序从上到下逐行匹配,如果与某段地址匹配成功,则使用该段地址的“访问类型”进行控制,即如果“访问类型”为“允许”,则允许登录;反之则禁止登录。如果所有地址段均不匹配,则使用“缺省访问控制列表匹配策略”的配置值进行控制。
此外,为了增加地址段的可重用性,iMC系统还提供了“访问控制模板”配置功能。在配置特定操作员的访问控制列表时,可以直接从已经配置好的模板中选取。 密码控制策略。
华为3Com机密 未经许可不得扩散
[XXX级别] iMC系统提供密码控制策略的配置,用于对操作员的登录密码管理进行监控。密码控制策略为全局配置,即对所有认证方式为“简单密码认证”的操作员均有效。如果操作员的认证方式为“RADIUS认证”或“LDAP认证”,则密码控制策略对该操作员无效。
使用iMC的管理员登录iMC配置台,在“系统管理”中,找到“密码控制策略”,点击进入如下配置界面:
图1-4 密码控制策略配置界面
各个参数的含义较明确,不再赘述。 密码防破解。
当使用某个操作员在同一个客户端连续尝试执行三次登录操作,且均失败时,iMC系统将在一分钟内禁止在该客户端上使用相同操作员继续执行登录操作(锁定)。一分钟后可以尝试一次,如果还是失败,则继续锁定一分钟。
华为3Com机密 未经许可不得扩散
[XXX级别] 需要注意的是:“失败”的原因不仅是密码错误,如果访问控制列表禁止或认证服务器不可用,均会登录失败,这些失败情况均用于密码防破解策略的判断条件。
该策略缺省启用,不允许关闭。
四、配置关键点:
使用RADIUS认证和LDAP认证时,需注意:
1)采用RADIUS或LDAP认证方式时,应使用“操作员登录名”或“操作员全称”作为RADIUS或LDAP身份认证的用户。即在RADIUS或LDAP身份认证时,首先尝试使用“操作员登录名+密码”进行认证;如果失败,则尝试使用“操作员全称+密码”进行认证。只要任何一种方式认证成功,则能成功登录。
2)当iMC的所有操作员(包括超级管理员“admin”)均使用RADIUS或LDAP方式进行身份认证时,如果由于意外故障导致RADIUS和LDAP服务器不可用,则无法再登录iMC。此时可以通过密码重置工具脚本(iMC安装路径clientbinresetpwd.bat),将操作员的认证方式和密码重置为缺省值(简单密码认证,缺省密码为“admin”)。
华为3Com机密 未经许可不得扩散
点击咨询 