用户认证和策略管控方案设计
认证技术选择
常用的认证技术包括802.1X,MAC和Portal认证,各种认证方式差异如表3-13所示。
对比项 |
802.1X认证 |
MAC认证 |
Portal认证 |
|---|---|---|---|
客户端需求 |
需要 |
不需要 |
不需要 |
优点 |
安全性高 |
无需安装客户端 |
部署灵活 |
缺点 |
部署不灵活 |
需登记MAC地址,管理复杂 |
安全性不高 |
适合场景 |
通常适用于对安全要求较高的办公用户的网络认证 |
打印机、传真机等哑终端接入认证的场景 |
通常适用于流动性较大,终端类型复杂的访客用户网络认证 |
综合考虑以上认证技术的特点,在大中型园区网络中,企业员工建议使用802.1X认证、访客使用Portal认证、哑终端使用MAC认证。
如果客户希望在同一个接入点使用多种认证方式,可以考虑配置成混合认证模式,配置混合认证后,终端使用任意认证方式,只要校验成功,均可以接入网络,适合同一个端口给多种类型用户接入的场景。比如IP话机下挂PC终端的场景,可以配置MAC+802.1X混合认证,IP话机用于MAC认证,PC终端用于802.1X认证。
策略管控方案设计
策略管控是为了对接入用户进行网络资源访问权限控制,包括传统NAC方案和业务随行方案。其中传统NAC方案是通过对认证点设备下发“VLAN和ACL”来实现访问控制,而业务随行方案是指通过拓扑无关的安全组来对用户网络访问权限进行控制的华为创新技术方案,它基于自然化语言进行用户策略配置,用户不用关心IP,VLAN这些网络概念,同时策略由控制器统一部署,易于维护。两种方案的对比如表3-14所示。
策略管控方案 |
控制方式 |
特点 |
应用场景 |
|---|---|---|---|
传统NAC方案 |
VLAN+ACL |
|
用户接入位置固定。 权限策略较简单 |
业务随行方案 |
安全组+组间策略 |
|
有移动化办公诉求,同一位置不同权限用户混坐。 权限策略较复杂 |
综上,大中型园区建议采用业务随行作为策略管控方案,除非客户园区存量网络无法支持业务随行方案改造,则使用传统NAC方案。
传统NAC方案设计
- 访问策略授权设计
传统NAC方案中,策略技术主要包括本地静态ACL策略以及准入服务器授权动态ACL策略。本地配置静态ACL策略的本质是把用户的策略映射到用户使用的IP地址,然后基于IP地址规划ACL规则,实现对用户的权限做管控。本地配置静态ACL策略适用于用户网络较小,用户终端位置固定,策略诉求简单的场景,当随着网络规模增加,策略诉求复杂时,其配置将会变得非常复杂并且难以维护。因此对于大中型园区,建议使用准入服务器授权动态ACL策略,这样不需要终端和IP、VLAN信息强绑定,IP和VLAN的规划相对灵活。当用户分类很多时,建议限制用户的接入位置,使不同权限的用户从管理员指定的区域接入,以保证这些区域的设备上只需要配置相关策略,否则策略配置和运维难度非常大。
- 认证点和策略执行点选择
用户认证点和策略执行点的位置跟所选择的认证方案有关系:
- 如果选择802.1X或MAC认证,属于二层认证技术,认证点必须与用户主机位于同一网段,建议接入层作为认证点和策略执行点。如果接入层支持802.1X报文透传,则建议部署策略联动,网关作为认证点和策略控制点,接入设备作为策略执行点,降低策略部署复杂度。
- 如果选择Portal认证,属于三层认证技术,认证点位置与用户主机IP可达即可,建议选择网关作为认证点和策略执行点,如果部署了策略联动,注意采用二层Portal认证方式。
业务随行方案设计
业务随行是园区网络中一种不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。管理员在配置策略时,无需关心各类用户的IP地址范围,只需关注各类用户与服务器之间的逻辑访问关系。
- 安全组规划
区别于传统基于IP的ACL控制,业务随行是一种基于用户语言的解决方案,将不同类型和权限的网络对象逻辑划分为不同安全组,安全组与之前所做的用户分类、服务器分类是一一对应的。管理员通过定义安全组,可以将网络中流量的源端或目的端通过组的形式描述和组织起来。安全组规划决定了最终需要创建多少安全组。
安全组根据表示的网络对象不同,主要分为两大类:
- 动态安全组:需要认证之后才可以接入网络的用户及终端。
- 静态安全组:使用固定IP地址的终端,包括数据中心的服务器、网络设备的接口以及使用固定的IP地址免认证接入的特殊用户等。
同一个安全组既可以与多条授权规则绑定来表示动态用户,又同时可以与多个IP地址或IP网段绑定来表示静态资源,它们的区别在于:
- 动态安全组的用户IP地址是不固定的,是在用户认证之后动态地与安全组关联,在用户注销后,也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。网络设备需要通过认证点设备,或者向控制器主动查询,可以获取IP与安全组的映射关系,又被称为IP-安全组表项。
- 静态安全组的IP地址是固定的,IP与安全组的映射关系由管理员在控制器上定义后同步给策略执行点。
服务器类安全组的设计时需要注意,最佳方案是通过良好的IP地址规划,保证同一类型或安全等级服务器的IP地址可以聚合为一个网段。同时,尽可能保证同一台服务器的不同端口不会提供不同安全等级的服务。例如不要用一台服务器同时对Internet提供公网服务,又对内提供受限资源存储服务,这样不仅会导致安全组的较难定义,同时也会存在数据泄露的安全风险。
安全组策略规划
安全组策略是安全组间互访关系的直观反映,规划安全组策略时通常只需要根据两个组是否可以互访,将两者之间的组策略配置为允许或禁止。管理员在控制器上可以通过一个非常直观的“策略矩阵”来配置权限策略。
在规划安全组策略时,还需要注意策略的方向。通常来说,两台终端之间的通信都有来回两个方向的报文传输。
对于华为交换机设备,A至B和B至A两个方向的流量并没有关联关系,它们会分别匹配对应“A至B”的策略和“B至A”的策略来决定是否允许转发,因此策略执行只看报文的源/目的安全组。“A->B允许, B->A禁止”,意味着所有A发送给B的报文都会放行,而所有B发送给A的报文都会丢弃,不管本次访问是由谁主动发起的。交换机的默认策略为允许。
由于网络访问通常都需要双向通信才能完成,因此为了简化管理,在设计权限策略时,仅需考虑用户类安全组至其他用户与服务器的访问权限:
- 禁止用户访问某个安全组时,只需要配置单向的禁止规则。
- 允许用户访问某个安全组时,只需要配置单向的允许规则。
假设A、C为用户组,B、D为服务器组。需求是A除了B之外,其他组都可以访问;C除了D和同组成员外,其他组都不可以访问,则策略设计如表3-15所示。其中B、D之间的互访不经过园区网络,无需规划,下表中用NA表示。 为空的四个单元格,既可以不配,也可以明确配置为允许或禁止,不影响管控效果。
另外,控制器还提供一种简化策略配置的方法,即通过配置某组到Any组的规则(即该组的默认权限),来减少管理员需要定义的策略的数量。如表3-15,针对A组的策略,可以配置A组到Any组的规则是允许,这样只需要配置一条A组到B组的禁止策略就可以。
- 用户认证点和策略执行点位置选择一般认证点选择用户网关设备,并且同时作为策略执行点,部署业务随行功能。主要原因:
- 接入交换机数量较多,在每台接入交换机上配置认证功能较为繁琐,管理起来也较为麻烦。
- 控制器需要向执行点设备同步权限策略,如果选用接入交换机作为认证点,将大幅增加执行点设备的数量,不仅增加了控制器上设备管理的工作量和难度,还延长了每次同步策略的时间。
对于用户网关以下的二层网络中能够互通的用户,如果想要进行互访控制,可以部署二层隔离,使用户在二层不能互通,流量必须经过用户网关。
部署业务随行功能时,如果存在多个策略执行点,或者认证点和策略执行点分离,需要通过IP-安全组表项订阅在不同策略执行点间、认证点和策略执行点间同步接入的认证用户IP-安全组表项信息,具体规划如表3-16所示。
表3-16 IP-安全组表项订阅配置规划用户网关位置
IP-安全组表项订阅
说明
核心交换机
不需要,核心交换机作为唯一认证点和策略执行点,能够同步所有IP-安全组表项
- 如果WAC是独立WAC,作为无线用户认证点,并旁挂在核心交换机上,可以通过控制器在核心交换机上配置无线用户组相关的IP-安全组表项订阅,在核心交换机进行有线无线用户统一的策略控制
- 如果用户网关接入的认证点设备不支持业务随行,可以通过控制器在用户网关上对该认证点设备下认证用户的IP-安全组表项进行订阅,然后在用户网关进行统一的策略控制
汇聚交换机
需要,不同汇聚交换机作为认证点和策略执行点,接入的认证用户IP-安全组表项信息通过订阅在汇聚交换机间同步
