收藏
下载资源

§9.网络安全高级应用NetworkSecuritychap07v1.0章节

上传人:E**** 文档编号:91367163 上传时间:2019-06-27 格式:PPT 页数:35 大小:1.87MB
返回 下载 相关 举报
§9.网络安全高级应用NetworkSecuritychap07v1.0章节_第1页
第1页 / 共35页
§9.网络安全高级应用NetworkSecuritychap07v1.0章节_第2页
第2页 / 共35页
§9.网络安全高级应用NetworkSecuritychap07v1.0章节_第3页
第3页 / 共35页
§9.网络安全高级应用NetworkSecuritychap07v1.0章节_第4页
第4页 / 共35页
§9.网络安全高级应用NetworkSecuritychap07v1.0章节_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《§9.网络安全高级应用NetworkSecuritychap07v1.0章节》由会员分享,可在线阅读,更多相关《§9.网络安全高级应用NetworkSecuritychap07v1.0章节(35页珍藏版)》请在金锄头文库上搜索。

1、第七章 AAA服务器高级应用, 理论部分,课程回顾,内容回顾 802.1x身份验证包含哪3个主要组件? 交换机端口有哪2种状态? 命令dot1x port-control有哪3个参数?端口默认处于哪个802.1x状态? 要实现用户自己更改密码需要安装什么软件?,2,技能展示,会通过AAA服务器对访问进行控制 会通过AAA服务器为认证用户下发ACL,3,本章结构,AAA服务器高级应用,AAA服务器下发ACL配置,ASA穿越代理的原理,Easy VPN与AAA服务器,使用AAA服务器对通过 ASA的流量进行授权,通过AAA服务器为远程接入VPN认证授权,ASA穿越代理的配置,ASA穿越代理的配置实

2、例,SSL VPN与AAA服务器,4,通过ASA的流量进行授权,防火墙一般组网拓扑图 配置ACL控制内网访问服务器的权限,5,ASA穿越代理的原理,1、PC访问Web服务器 2、检查流量,发送认证提示给PC 3、输入用户名、密码进行认证 4、认证成功,进行授权 5、PC访问Web服务器正常,inside,DMZ,PC,ACS Server,Web Server,1. 连接请求,2. 认证提示,3. 进行认证,4. 认证通过,6,ASA穿越代理的配置2-1,定义触发认证的流量 配置AAA服务器,ASA(config)# access-list http extended permit tcp a

3、ny 192.168.100.0 255.255.255.0 eq 80,ASA(config)# aaa-server server_group protocol RADIUS | TACACS+ ASA(config)# aaa-server server_group (interface_name) host server_ipaddress ASA(config-aaa-server-host)# key keyword ASA(config-aaa-server-host)# authentication-port port ASA(config-aaa-server-host)#

4、accounting-port port,配置服务器使用的协议,配置服务器地址,配置共享密钥、 认证和统计端口,7,ASA穿越代理的配置2-2,AAA认证配置 AAA认证配置实例 AAA授权配置 配置AAA认证超时时间,ASA(config)# aaa authentication match acl_name interface_name server_group,ASA(config)# aaa authentication match http inside acs,ASA(config)# aaa authorization match acl_name interface_name

5、server_group,8,AAA服务器下发ACL配置,使用Downloadable IP ACLs动态下发ACL 配置AAA Client的认证使用方法 配置Downloadable IP ACLs 在用户或用户组中配置下发ACL的名称,配置的Downloadable IP ACLs名称,9,动态ACL与本地ACL的关系,本地ACL在端口应用配置 配置per-user-override参数 只有动态下发的ACL有效 不配置per-user-override参数 本地ACL和动态下发的ACL同时有效,ASA(config)#access-group acl_name in interface

6、 inside per-user-override,10,ASA穿越代理的配置实例6-1,BENET公司网络环境 通过ACL来控制员工访问服务器权限 使用AAA服务器统一管理,11,ASA穿越代理的配置实例6-2,实验环境 服务器安装Windows Server 2003系统 在Web Server1和ACS Server上配置IIS搭建Web站点,要求 客户端访问Web服务器必须通过认证服务器认证授权 PC1的用户名和密码:benet;PC2的用户名和密码:cisco PC1权限:访问Web Server1,不能访问ACS Server PC2权限:访问Web Server1和ACS Ser

7、ver,12,ASA穿越代理的配置实例6-3,配置RADIUS服务器 配置AAA Server和AAA Client 添加用户benet和cisco benet用户加入组group1 cisco用户加入组group2 配置动态下发ACL 配置为用户组下发的ACL,group1: permit tcp any 192.168.100.3 255.255.255.255 eq 80,group2: permit tcp any 192.168.100.2 255.255.255.255 eq 80 permit tcp any 192.168.100.3 255.255.255.255 eq 80

8、,13,ASA穿越代理的配置实例6-4,配置ASA穿越代理,ASA(config)# access-list http permit tcp any 192.168.100.0 255.255.255.0 eq 80 ASA(config)# aaa-server acs protocol RADIUS ASA(config-aaa-server-group)# aaa-server acs (dmz) host 192.168.100.2 ASA(config-aaa-server-host)# key cisco ASA(config-aaa-server-host)# exit ASA(

9、config)# aaa authentication match http inside acs ASA(config)# aaa authentication secure-http-client,定义匹配的流量,配置AAA服务器,配置AAA认证,在客户端和防火墙 之间使用HTTPS协议,14,ASA穿越代理的配置实例6-5,验证用户权限 PC1权限验证,在ASA上查看ACL PC2权限验证,在ASA上查看ACL,15,ASA穿越代理的配置实例6-6,本地ACL与动态ACL有效性验证 配置本地ACL 在端口应用ACL,不使用per-user-override参数 在端口应用ACL,使用pe

10、r-user-override参数,ASA(config)# access-list test extended deny ip any host 192.168.100.2 ASA(config)# access-list test extended permit ip any any,16,小结,请思考 使用RADIUS服务器动态下发ACL常用方式是什么? 在Downloadable IP ACLs方式的配置中,添加AAA Client时,认证使用的协议是选择 “RADIUS (Cisco VPN 3000/ASA/PIX 7.x+)”还是标准RADIUS(IETF)? 在使用命令acce

11、ss-group acl_name in interface inside per-user-override应用ACL时,本地配置的ACL是否有效?,17,远程接入VPN认证授权2-1,BENET公司网络环境 公司要求对通过远程VPN接入的用户进行权限控制,18,远程接入VPN认证授权2-2,实验环境 服务器安装Windows Server 2003系统 在Web Server1和ACS Server上配置IIS搭建Web站点,要求 由AAA服务器对远程接入VPN用户进行认证授权 授权包括客户端的IP地址和访问服务器的权限 远程访问VPN接入用户的用户名:benet,密码:benet; 访问

12、权限是只能访问Web Server1,不能访问ACS Server,19,EasyVPN与AAA服务器4-1,配置AAA服务器 配置AAA Server和AAA Client 配置Downloadable IP ACLs 配置IP地址池 添加用户,配置用户组,20,EasyVPN与AAA服务器4-2,在ASA上配置EasyVPN,ASA(config)# aaa-server aaa protocol RADIUS ASA(config-aaa-server-group)# aaa-server aaa (dmz) host 192.168.100.2 ASA(config-aaa-serve

13、r-host)# key cisco ASA(config)# crypto isakmp enable outside ASA(config)# crypto isakmp policy 10 ASA(config-isakmp-policy)# authentication pre-share ASA(config-isakmp-policy)# encryption aes ASA(config-isakmp-policy)# hash sha ASA(config-isakmp-policy)# group 2,21,EasyVPN与AAA服务器4-3,在ASA上配置EasyVPN,A

14、SA(config)# tunnel-group ezvpn type ipsec-ra ASA(config)# tunnel-group ezvpn general-attributes ASA(config-tunnel-general)# authentication-server-group aaa ASA(config)# tunnel-group ezvpn ipsec-attributes ASA(config-tunnel-ipsec)# pre-shared-key cisco123 ASA(config)# crypto ipsec transform-set test

15、esp-aes esp-sha-hmac ASA(config)# crypto dynamic-map map1 10 set transform-set test ASA(config)# crypto map cisco 1000 ipsec-isakmp dynamic map1 ASA(config)# crypto map cisco interface outside,22,EasyVPN与AAA服务器4-4,验证PC远程接入权限 在PC上安装VPN Client接入VPN,在ASA上查看ACL 在PC上查看获得的IP地址 PC只能访问Web Server1,23,SSL VPN

16、与AAA服务器3-1,配置AAA服务器 在ASA上配置SSL VPN,ASA(config)# aaa-server aaa protocol RADIUS ASA(config-aaa-server-group)# aaa-server aaa (dmz) host 192.168.100.2 ASA(config-aaa-server-host)# key cisco ASA(config)# webvpn ASA(config-webvpn)# port 444 ASA(config-webvpn)# enable outside ASA(config-webvpn)# svc image disk0:/sslclient-win-1.1.3.173.pkg ASA(config-webvpn)# svc enable,24,SSL VPN与AAA服务器3-2,在ASA上配置SSL VPN,ASA(config)# group-policy sslvpn-group-policy int

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号