部署IOS防火墙——认证代理(AP)

文章作者 100test 发表时间 2007:10:19 11:45:52
来源 100Test.Com百考试题网


 目前,介于互联网的很多不安全因素,很多中小型企业还没有部署防火墙,作为一种临时过渡的手段,广泛地使用到了Authentication Proxy,简称AP.

  回顾一下,锁和密钥,它要求用户先TELNET到路由器上进行认证,然后,TELNET被路由器终止,并为用户建立一个动态的ACL条目以便允许流量通过路由器,这是一个极好的特性,但同时存在一些不足:

  1)主要为拔号用户开发的,这里只有一个用户访问路由器接口。

  2)应用到该接口的扩展ACL只有一个动态条目,所有用户必须共享该ACL,这样就不能执行基于每个用户的限制。

  3)它要求首先TELNET到路由器上要求用户知道该认证过程。该过程必须在用户可以访问动态ACL条目中指定的资源前首先发生。

  为了克服这些不足,CISCO开发了认证代理(AP)。AP基本上是锁和密钥的增强版,是CISCO IOS防火墙特性集的一部分,类似于CISCO PIX的直通代理(CUT-THROUGH PROXY)。

  通过一个实际访问过程来分析AP的工作步骤:

  1)一个用户首先打开了到内部WEB服务器的HTTP连接

  2)由于需要经过这台配置了AP的路由器,所以,路由器打开了HTTP认证机制,它截取HTTP连接请求。路由器发送一个输入用户名和密码的提示。

  3)用户输入用户名和密码。

  4)路由器接收到认证信息时,它会将它通过TACACS 或者RADIUS转发到AAA服务器。

  5)AAA服务器认证用户,如果用户被成功认证,AAA服务器将用户访问档案发给路由器。访问档案基本上是一个ACL语句组成的简化组,这些语句定义了允许用户访问什么。

  6)如果用户认证成功,用户获得一个弹出窗口,表明认证成功。路由器将访问档案转换成实际的临时ACL条目,然后将这些条目在适当的输入方向激活。这些条目实际上允许了什么样的资源允许被该认证的用户访问。最后,实现了用户到指定资源的访问。

  配置AP五个步骤:

  (1)在路由器中配置AAA

Aaa new-model

Tacacs-server host ip_address timeout seconds key encryption_key

Aaa authentication login default group tacacs 

Aaa authorization auth-proxy default group tacacs 

Aaa accounting auth-proxy default start-stop group tacacs (如果执行计帐)



相关文章


O F邻居认证实际案例及验证过程
思科学习总结:认识VLSM与CIDR
思科O F技术要点实践总结
思科路由器官方入门中文读物
部署IOS防火墙——认证代理(AP)
解析思科QOS中的令牌桶算法
思科中国启动校园招聘计划
关于Cisco3750交换机的堆叠介绍
快捷方便的V 接入—— TPV
澳大利亚华人论坛
考好网
日本华人论坛
华人移民留学论坛
英国华人论坛