AAA是Authentication(验证)、Authorization(授权)和Accounting(审计)的简称。
AAA是一种提供验证、授权和审计的安全技术。该技术可以用于验证用户是否合法,授权用户可以访问哪些服务,并记录用户使用网络资源的情况。
例如,企业总部需要对服务器的资源访问进行控制,只有通过验证的用户才能访问特定的资源,并对用户使用资源的情况进行记录。在这种场景下,可以按照如图1-1所示的方案进行AAA部署。NAS为网络接入服务器,也称为AAA的客户端,负责集中收集和管理用户的访问请求。AAA服务器可以一台专属的硬件设备,也可以是以软件的形式安装在服务器 *** 作系统上(本文将使用思科的ACS软件来实现AAA服务器),用户的验证、授权和审计服务均由AAA服务器来完成。
图1-1
如图1-1所示,当分支站点的用户需要访问总部的服务器资源时,NAS设备会对用户的访问进行控制,用户向NAS设备提交账户信息(用户名和密码)后,NAS设备会将用户信息发送给AAA服务器,由AAA服务器进行账户信息的验证,并对用户进行授权。如果用户验证通过,则分支站点的用户可以访问到特性的服务器资源(可以访问哪些服务器,由授权来决定),同时AAA服务器也会对用户的访问行为进行审计。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)由IETF定义的一种公有协议,是AAA客户端和AAA服务器之间通讯的一种协议。除了RADIUS协议外,不同的网络设备厂商也提出了各自的私有协议,例如,思科公司提出的TACACS+协议,华为提出的HWTACACS,也可以使用在AAA客户端和AAA服务器之间。(本文将使用RADIUS协议作为AAA的通讯协议)
图2-1
Step 1 - 基础IP配置(略)
Step 2 - 配置AAA服务器
在页面的左下角点击Create
配置AAA客户端
Step 3 - 配置AAA客户端
ARG3系列路由设备支持两种缺省域:
进入default-admin域绑定认证模板和radius-server模板(这个default-admin域是专门用来管理用的,所以telnet,ssh等登陆设备时必须使用这个默认的域,自己定义的不行)
Step 4 - 在PC机上进行测试
不一样。华为的一层一层套模板,思科的简单一点,以tacacs+为例:\x0d\aaa new-model //启用aaa\x0d\aaa authentication login TEST group tacacs+ line //配置登录认证\x0d\aaa authorization exec TEST group tacacs+ none //配置认证exec\x0d\aaa authorization commands 1 TEST group tacacs+ none //配置授权命令为1级\x0d\aaa authorization commands 15 TEST group tacacs+ none //配置授权命令为15级 \x0d\aaa accounting exec TELNET start-stop group tacacs+ //配置授权exec\x0d\aaa accounting commands 1 TELNET start-stop group tacacs+ //配置命令审计为1级\x0d\aaa accounting commands 15 TELNET start-stop group tacacs+ //配置命令审计为15级\x0d\aaa accounting network TELNET start-stop group tacacs+ //审计网络\x0d\aaa accounting connection TELNET start-stop group tacacs+ //审计连接\x0d\ \x0d\tacacs-server host 1111 //指向aaa服务器\x0d\tacacs-server key cisco //配置共享密钥\x0d\ \x0d\line vty 0 4\x0d\ authorization commands 1 TEST\x0d\ authorization commands 15 TEST\x0d\ authorization exec TEST\x0d\ accounting connection TEST\x0d\ accounting commands 1 TEST\x0d\ accounting commands 15 TEST\x0d\ accounting exec TEST\x0d\ login authentication TEST\x0d\//在远程line下调用AAA组,注意前面和后面的TEST都是名称\x0d\ \x0d\OK 了,telnet测试就可以了。\x0d\AAA服务器上的配置就不多说了,百度一下ACS配置,很多。在众多的企业级主流防火墙中,cisco pix防火墙是所有同类产品性能最好的一种。cisco pix系列防火墙目前有5种型号pix506,515,520,525,535。其中pix535是pix 500系列中最新,功能也是最强大的一款。它可以提供运营商级别的处理能力,适用于大型的isp等服务提供商。但是pix特有的os *** 作系统,使得大多数管理是通过命令行来实现的,不象其他同类的防火墙通过web管理界面来进行网络管理,这样会给初学者带来不便。本文将通过实例介绍如何配置cisco pix防火墙。在配置pix防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
�0�3 内部区域(内网)。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
�0�3 外部区域(外网)。 外部区域通常指internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
�0�3 停火区(dmz)。 停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置web服务器,mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。
由于pix535在企业级别不具有普遍性,因此下面主要说明pix525在企业网络中的应用。
pix防火墙提供4种管理访问模式:
非特权模式。 pix防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
特权模式。 输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#
配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 pix防火墙在开机或重启过程中,按住escape键或发送一个“break”字符,进入监视模式。这里可以更新 *** 作系统映象和口令恢复。显示为monitor>
配置pix防火墙有6个基本命令:nameif,interface,ip address,nat,global,route
这些命令在配置pix是必须的。以下是配置的基本步骤:
1 配置防火墙接口的名字,并指定安全级别(nameif)。
pix525(config)#nameif ethernet0 outside security0
pix525(config)#nameif ethernet1 inside security100
pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写:
pix525(config)#nameif pix/intf3 security40 (安全级别任取)
2 配置以太口参数(interface)
pix525(config)#interface ethernet0 auto(auto选项表明系统自适应网卡类型 )
pix525(config)#interface ethernet1 100full(100full选项表示100mbit/s以太网全双工通信 )
pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown )
3 配置内外网卡的ip地址(ip address)
pix525(config)#ip address outside 611445142 255255255248
pix525(config)#ip address inside 19216801 2552552550
很明显,pix525防火墙在外网的ip地址是611445142,内网ip地址是19216801
4 指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ipnat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0000表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1.pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0000
例2.pix525(config)#nat (inside) 1 1721650 25525500
表示只有1721650这个网段内的主机可以访问外网。
5 指定外部地址范围(global)
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外网接口名字,例如outside。nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例1. pix525(config)#global (outside) 1 611445142-611445148
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用611445142-611445148这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2. pix525(config)#global (outside) 1 611445142
表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用611445142这个单一ip地址。
例3 pix525(config)#no global (outside) 1 611445142
表示删除这个全局表项。
6 设置指向内网和外网的静态路由(route)
定义一条静态路由。route命令配置语法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示接口名字,例如inside,outside。gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
例1. pix525(config)#route outside 0 0 6114451168 1
表示一条指向边界路由器(ip地址6114451168)的缺省路由。
例2. pix525(config)#route inside 10110 2552552550 1721601 1
pix525(config)#route inside 10200 25525500 1721601 1
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10110的静态路由,静态路由的下一条路由器ip地址是1721601
这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。
a 配置静态ip地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口,安全级别较高。如inside external_if_name为外部网络接口,安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
例1. pix525(config)#static (inside, outside) 611445162 19216808
表示ip地址为19216808的主机,对于通过pix防火墙建立的每个会话,都被翻译成611445162这个全局地址,也可以理解成static命令创建了内部ip地址19216808和外部ip地址611445162之间的静态映射。
例2. pix525(config)#static (inside, outside) 19216802 10013
例3. pix525(config)#static (dmz, outside) 21148162 17216108
注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
b 管道命令(conduit)
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
conduit命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问
global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port 指的是服务所作用的端口,例如的这台主机进行>
1、树立企业形象的有效途径。
企业信用评级对于塑造信用形象、降低交易成本、提升竞争能力、创建良好的竞争环境具有重要意义。
2、信用评级是企业赢取市场的通行证。
信用评级是获得政府扶持、竞标、商务往来、招商引资、融资担保、银行贷款的通行证。
3、信用评级是企业综合竞争力的证明。
信用状况是衡量企业履约能力、投标信誉的重要因素,通过信用评级可为企业综合竞争力提供最有力的证明。
4、信用评级是强化企业管理和防范风险的必要手段。
通过客观评价,企业可以发现自身的不足和存在的隐患,改善经营管理和加强风险防范,建立起服务于销售与财务控制的现代信用管理制度。市场经济发达国家的企业都设有信用管理部门,目前,我国只有大型中央直属企业、部分上市公司、多数三资企业建立了信用管理部门。信用管理部门的一个重要职能是协调财务与销售,开展信用交易,防范经营和财务风险。
扩展资料:
AAA认证申请办理流程:
1、评级小组向信用评级机构的内部信用评审委员会提交三级审核后的信用评级报告及工作底稿。信用评审委员会应当根据信用等级评定办法及级别限制条件,决定评级对象的信用等级。
2、内部信用评审委员会应招开评审会。评审会听取评估人员情况介绍,并对信用评级报告及工作底稿进行讨论、质疑、审核,提出信用评级报告的修改意见
3、评级小组根据信用评审委员会决定的信用等级及评定意见,修改信用评级报告;评级结果须经2/3以上的与会评审委员同意方为有效。
参考资料来源:百度百科 - AAA认证
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)