HP网络安全教学课件---03.AAA---02AAA技术的基本概念-原理及协议

FY13惠普海南人才20000培训项目---网络安全培训课程–AAA技术的基本概念，原理及协议©2012Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice•AAA©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice认证和授权是安全网络中不可缺少的一环认证和授权是抵御不安全因素进入网络的重要防线引入©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice了解AAA体系结构了解认证授权在实际中的应用课程目标学习完本课程，您应该能够：©2013Hewlett-PackardDevelopmentCompany,L.P.TheinformationcontainedhereinissubjecttochangewithoutnoticeAAA体系结构认证授权应用目录©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice1.网络设备数量不断增加2.安全管理处于分散管理控制水平3.不利于工行“下管一级、监控两级”网络管理原则网络建设项目概述©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice网络维护工作中经常发生的•为每个值班人员分配username和password•需要值班人员经常查看设备的运行状态–(接口、路由、CPU)•简单的控制命令:shutdown,noshutdown•值班人员的supervisor设备控制能力•错误的操作，带来设备reload•无意中删除关键配置，网络中断•……©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice设备控制管理方法•定义username和password/每个设备•定义privilege0-15commandset•将username与privilege关联缺点：•在所有设备上实施同样的配置•没有操作记录能力•管理和控制复杂usernameoneprivilege15passwordoneusernamefourprivilege7passwordfour……privilegeexeclevel7pingprivilegeexeclevel7clearlinePrivilege0Privilege123..14Privilege15用户定义RouterRouterenableRouter#©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice使用AAA实现安全管理Authentication–控制谁可以访问设备?Authorization–控制他/她在设备上可以做什么?Accounting–监视记录其操作过程?©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice利用ACS实现AAA管理CiscoSecureACSTelnetAdminTACACS+RADIUSConsoleAdminCiscoSecureACSTelnetAdminTACACS+RADIUSConsoleAdminRSA服务器动态口令验证动态口令技术提高密码的安全性ACS基本认证功能的实现©2013Hewlett-PackardDevelopmentCompany,L.P.TheinformationcontainedhereinissubjecttochangewithoutnoticeAAA安全架构•AAA：认证、授权、计费–依托RADIUS等协议完成认证、授权和计费–提供多域满足ISP应用–提供服务器的备份方案–应用于接入认证，管理授权等多领域被访问网络用户名密码验证结果RADIUS服务器TACACS+服务器其他备份服务器HostAHostBNAS用户名密码验证结果©2013Hewlett-PackardDevelopmentCompany,L.P.TheinformationcontainedhereinissubjecttochangewithoutnoticeAAA体系结构认证授权应用目录©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice用户接入认证授权•用户有着多种接入认证授权方式–本地认证授权–RADIUS认证授权–CA认证授权用户直接发起连接总部用户直接发起连接用户RADIUS认证RADIUS©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice登录设备认证授权•登录设备有着多种接入认证授权方式–本地认证授权–RADIUS认证授权用户登录设备本地认证©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice设备间协议认证•设备间的协议认证大多采用本地认证本地认证本地认证BGP邻居模式设备接口AAA相关命令字符模式tty,vty,aux,conLogin,exec,nasiconnection,enable,command数据包模式Async,group-async,BRI,PRI,serial,diaerprofiles,dialerrotariesppp,network•设备间的协议认证采用AAA认证的举例©2013Hewlett-PackardDevelopmentCompany,L.P.Theinformationcontainedhereinissubjecttochangewithoutnotice讲述了AAA体系架构讲述了认证授权功能在实际组网中的应用本章总结©2013Hewlett-PackardDevelopmentCompany,L.P.TheinformationcontainedhereinissubjecttochangewithoutnoticeTHANKYOU海南人才·20000HPEducationMar.2013