任务教案模块六：防火墙用户管理第1单元：用户认证和AAA技术原理.DOCVIP

任务教案 模块六：防火墙用户管理 第1单元：用户认证和AAA技术原理 教学内容（课题）：用户认证和AAA技术原理 教学时间： 年 月 日 第 周 星期 授课班级： 本次课课时： 2 一、教学目标： 了解用户认证的背景 掌握什么是AAA 掌握Radius的作用 了解用户认证分类 二、教学重点： 用户认证的背景 什么是AAA Radius的作用 三、教学难点： 什么是AAA Radius的作用 用户认证分类 四、教学方法： 设计教学工作环境、采用ENSP模拟器配合理论讲解，设置教学活动引导学生为中心的教学方式进行教学。 五、教学步骤及内容： 1.1用户认证的背景 当前网络环境中，网络安全的威胁更多的来源于应用层，这也使得企业对于网络访问控制提出更高的要求。如何精确的识别出用户，保证用户的合法应用正常进行，阻断用户有安全隐患的应用等问题，已成为现阶段企业对网络安全关注的焦点。但IP不等于用户、端口不等于应用，传统防火墙基于IP/端口的五元组访问控制策略已不能有效的应对现阶段网络环境的巨大变化。 1.2什么是AAA (a)Authentication认证，认证的方式包括： 我知道：用户所知道的信息（如：密码、个人识别号（PIN）等） 我拥有：用户所拥有的信息（如：令牌卡、智能卡或银行卡） 我具有：用户所具有的生物特征（如：指纹、声音、视网膜、DNA） (b)Authorization 授权 用户能访问的资源 用户能使用的命令 (c)Accounting 计费 计费主要的含义有三个： 用户用多长时间 用户花了多少钱 用户做了哪些操作 1.3 AAA技术 不认证： 对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。 本地认证： 将用户信息（包括本地用户的用户名、密码和各种属性）配置在网络接入服务器上。本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备硬件条件限制。 远端认证： 将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服务器上。AAA支持通过RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS （HuaWei Terminal Access Controller Access Control System）协议进行远端认证。 1.4 Radius AAA可以用多种协议来实现，最常用的是RADIUS协议。RADIUS广泛应用于网络接入服务器NAS（Network Access Server）系统。NAS负责把用户的认证和计费信息传递给RADIUS服务器。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息以及认证和计费结果，RADIUS服务器负责接收用户的连接请求，完成认证，并把结果返回给NAS。 RADIUS使用UDP（User Datagram Protocol）作为传输协议，具有良好的实时性；同时也支持重传机制和备用服务器机制，从而具有较好的可靠性。 RADIUS客户端与服务器间的消息流程如下： 用户登录USG或接入服务器等网络设备时，会将用户名和密码发送给该网络接入服务器； 该网络设备中的RADIUS客户端（网络接入服务器）接收用户名和密码，并向RADIUS服务器发送认证请求； RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给客户端；对于非法的请求，RADIUS服务器返回认证失败的信息给客户端。 Code：消息类型，如接入请求、接入允许等。 Identifier：一般是顺序递增的数字，请求报文和响应报文中该字段必须匹配。 Length：所有域的总长度。 Authenticator：验证字，用于验证RADIUS的合法性。 Attribute：消息的内容主体，主要是用户相关的各种属性。 1.5 用户认证分类 免认证 VIP 临时访客 密码认证： 对于普通的公司员工，一般采用密码认证，认证形式方便快捷。支持设备与LDAP，Radius，AD多种认证。 单点登录(仅在上网用户中体现) 六、教学互动 七、教学总结 1.教师总结点要： 2.学生反馈点要： 八、思考题 什么是AAA认证，有哪些典型的AAA认证方式？ 用户管理有哪些分类? 单点登录认证流程是什么？