Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用设备身份验证控制网络访问

根据设备的身份和属性,您可以通过配置设备识别功能来控制对网络的访问。

了解基于设备标识信息对网络资源的访问控制

您可以使用集成用户防火墙设备身份验证功能,根据所用设备的属性或特征来控制对网络资源的访问。配置设备身份认证功能后,您可以根据策略操作配置安全策略,允许或拒绝来自已识别设备的流量。

为什么使用设备身份信息来控制对网络的访问

出于各种原因,您可能希望根据用户设备的身份而不是用户的身份来控制对网络资源的访问。例如,您可能不知道用户的身份。您可以允许用户使用自己的设备 (BYOD) 访问网络资源,而不希望使用强制门户身份验证。某些公司的旧款交换机不支持 802.1,或者可能没有网络访问控制 (NAC) 系统。集成用户防火墙设备身份验证功能旨在通过使您能够根据用户设备的属性控制网络访问,为这些情况和其他类似情况提供解决方案。

背景

从根本上说,设备从身份验证源接收或获取设备标识信息的方式与获取用户标识信息的方式相同,具体取决于身份验证源。如果 Microsoft Windows Active Directory 是身份验证源,则设备将从 Active Directory 域控制器检索设备信息。对于第三方网络访问控制 (NAC) 系统,设备通过设备为此目的向其公开的 RESTful Web 服务 API 从身份验证源接收信息。设备获取设备身份信息后,会在设备身份认证表中为其创建一个条目。

获取设备信息并将其输入设备身份认证表的目的是根据设备的身份控制用户对网络资源的访问。为此,您还必须根据指定的设备身份配置文件配置识别设备的安全策略,并指定要对从该设备发出的流量执行的操作。

从广义上讲,获取设备身份信息并将其存储在设备身份信息表中的过程需要设备执行以下操作:

  • 获取设备标识信息。

    根据认证源的不同,设备使用以下两种方法之一获取设备身份信息:

    • Active Directory - 对于 Active Directory,设备可以从域控制器的事件日志中提取设备信息,然后连接到 Active Directory LDAP 服务器以获取设备所属组的名称。设备使用从事件日志中获取的信息在 LDAP 目录中查找设备的信息。

    • 第三方 NAC 系统 — 这些身份验证系统使用 RESTful Web 服务 API(称为 Web API)的 POST 服务。设备实施 API 并向身份验证系统公开,以允许它们将设备身份信息发送到 SRX 系列防火墙。

      API 具有正式的 XML 结构和限制,身份验证源在将此信息发送到设备时必须遵守这些限制。

  • 在设备身份认证表中为设备创建条目。

    SRX 系列防火墙获取设备身份信息后,会在设备身份认证表中为其创建一个条目。设备标识身份验证表独立于 Active Directory 身份验证表或用于第三方身份验证源的任何其他本地身份验证表。此外,与特定于身份验证源或功能的本地用户身份验证表不同,设备身份验证表保存所有身份验证源的设备标识信息。但是,一次只能有一个身份验证源(如 Active Directory)处于活动状态。SRX 系列防火墙一次只允许使用身份验证源来限制对系统处理信息的需求。

设备身份验证功能支持各种类型的身份验证系统,例如 Active Directory 或第三方身份验证源。也就是说,设备身份验证功能提供了一种通用解决方案,该解决方案将设备标识信息存储在同一表中,而不考虑身份验证源。

从 Junos OS 17.4R1 版开始,SRX 系列支持使用 IPv6 地址进行用户防火墙 (UserFW) 身份验证。当 active directory 是身份验证源时,设备标识表可以包含具有 IPv6 地址的条目。

图 1 显示了 SRX 系列与用于设备身份验证的第三方 NAC 身份验证源之间的通信。SRX 系列防火墙从 NAC 系统接收设备身份信息,并将其存储在其本地设备身份认证表中。指定设备身份配置文件的安全策略适用于一个或多个设备。如果设备与设备身份配置文件和安全策略的其他部分匹配,则安全策略将应用于从该设备发出的流量。

图 1:使用第三方网络接入控制 (NAC) 系统进行设备身份验证 Using a Third-Party Network Access Control (NAC) System for Device Identity Authentication

在安全策略中使用设备标识配置文件是可选的。

如果未在安全策略的源-最终用户-配置文件字段中指定设备身份配置文件,则假定 “任何”配置文件。但是,您不能在安全策略的源-最终用户-配置文件字段中使用关键字“any”。这是一个保留关键字。

了解集成用户防火墙设备身份验证功能的设备身份属性和配置文件

设备身份配置文件(在 CLI end-user-profile中称为 )是集成用户防火墙设备身份验证功能的关键组件。它标识设备并指定其属性。设备身份验证功能允许您根据所用设备的身份而不是该设备用户的身份来控制对网络资源的访问。此功能支持 Microsoft Windows Active Directory 和第三方网络接入控制 (NAC) 系统作为身份验证源。

本主题重点介绍设备标识和设备标识配置文件。

设备标识

设备标识主要由设备的 IP 地址、名称、域和设备所属的组组成。

例如,以下输出显示有关设备的信息,这些信息从设备标识配置文件引用。

此示例显示设备身份验证表包含两个设备的条目。对于每个条目,它显示设备的 IP 地址、分配给设备的名称以及设备所属的组。请注意,这两个设备都属于 grp4 组。

设备标识配置文件内容

设备标识配置文件是属性的集合,这些属性是特定设备组或特定设备的特征,具体取决于配置文件中配置的属性。设备的数据包转发引擎将设备的 IP 地址映射到设备身份配置文件。

设备标识配置文件指定设备的名称和信息,其中包括设备的 IP 地址、设备所属的组以及统称为主机属性的设备属性。

注意:

您可以使用 CLI 配置的唯一属性是设备的名称及其所属的组。其他属性是使用 NAC 系统或 Active Directory LDAP 使用的第三方 RESTful Web 服务 API 配置的。

当来自设备的流量到达 SRX 系列防火墙或 NFX 系列设备时,设备从流量的第一个数据包中获取设备的 IP 地址,并使用它来在设备身份验证表中搜索匹配的设备身份条目。然后,它将该设备身份配置文件与安全策略进行匹配,该 source-end-user-profile 策略的字段指定设备身份配置文件名称。如果找到匹配项,则安全策略将应用于从设备发出的流量。

同一设备标识配置文件也可以应用于共享相同属性的其他设备。但是,要应用相同的安全策略,设备及其流量必须与安全策略中的所有其他字段匹配。

设备标识配置文件必须包含域名。它可以包含多组属性,但必须至少包含一个属性。请考虑以下两组属性,它们属于称为 marketing-main-alice 的配置文件。

配置文件包含以下一组属性:

  • alice-T430,作为设备的名称。

  • 营销和西海岸,作为设备所属的组。

  • example.net 作为其所属域的名称。

配置文件还具有以下表征设备的属性:

  • 笔记本电脑,作为设备的类别(设备类别)

  • 联想,作为设备供应商(设备供应商)

  • ThinkPad T430,作为设备类型(设备类型)

在包含为设备指定的名称的营销主爱丽丝配置文件等情况下,配置文件仅适用于该设备。

但是,现在假设配置了另一个名为 marketing-west-coast-T430 的配置文件,并且它包含与 marketing-main-alice 配置文件相同的属性,但有一个例外:在 marketing-main-alice 配置文件中为设备指定的名称未作为属性包含在 marketing-west-coast-T430 配置文件中。在这种情况下,配置文件中包含的属性现在构成了组配置文件。配置文件的应用范围扩大到包括符合配置文件中定义的其余特征或属性的所有联想ThinkPad T430设备(笔记本电脑)。

如果所有其他属性都匹配,则配置文件将涵盖设备:属于 MARKETING-COAST 或 WEST-COAST 组(Marketing-West-Coast-T430 配置文件将其指定为其组)或同时属于这两个组的设备与配置文件匹配。

如前所述,设备标识配置文件可以包含多个组。一个设备也可以属于多个组。

为了进一步说明,请注意,名为 marketing-west-coast-T430 的组设备标识配置文件也适用于名为 alice-T430 的设备,因为该设备同时属于 MARKETING 和 WEST-COAST 组,并且它与配置文件中定义的所有其他属性匹配。当然,营销主 Alice 设备标识配置文件仍然适用于名为 alice-T430 的设备。因此,名为 alice-T430 的设备至少属于两个组,并且至少由两个设备标识配置文件覆盖。

假设另一个名为 marketing-human-resources 的配置文件定义了具有 marketing-west-coast-T430 设备标识配置文件的所有属性,但存在以下差异:新的设备标识配置文件包括一个名为 HUMAN-RESOURCES 的组,但不包括名为 WEST-COAST 的组。但是,它确实包含营销组。

由于名为 alice-T430 的设备属于 MARKETING 组,该组在营销-人力资源配置文件中仍为一个组,因此 alice-T430 设备也与市场营销-人力资源-设备标识配置文件匹配。现在,alice-T430 设备匹配三个配置文件。如果在安全策略的源-最终用户-配置文件中指定了其中任何配置文件的名称,并且 alice-T430 设备与安全配置文件中的所有其他字段匹配,则该配置文件的操作将应用于来自该设备的流量。

前面的设备标识配置文件示例说明了以下几点:

  • 配置文件可以定义为仅标识一个设备,也可以将其定义为应用于多个设备。

  • 设备标识配置文件可以包含给定设备所属的多个组。

  • 通过匹配为配置文件配置的特征或属性(包括至少一个组),设备可以匹配多个设备标识配置文件。

当您配置旨在包含源-最终用户-配置文件字段的安全策略时,特别是当您希望将策略的操作应用于多个设备时,设备标识配置文件的灵活使用将变得明显。

预定义的设备标识属性

SRX 系列防火墙提供预定义的设备身份策略属性,这些属性是使用 NAC 系统或 Active Directory LDAP 使用的第三方 RESTful Web 服务 API 配置的。

  • 设备标识

  • 设备类别

  • 设备供应商

  • 设备类型

  • 设备操作系统

  • 设备操作系统版本

您可以在设备标识配置文件中为这些属性指定值。

设备身份配置文件的特征、属性和目标缩放

本节介绍 SRX 系列和 NFX 系列设备如何处理设备身份属性和配置文件。它还为这些实体提供独立于设备和依赖于设备的缩放编号。

以下属性和配置文件特征适用于所有受支持的 SRX 系列和 NFX 系列设备上的使用。

  • 以下实体的最大长度为 64 个字节:设备身份配置文件名称(在 CLI end-user-profile 中称为)、属性名称、属性值。

  • 如果为同一属性配置多个数字值范围,则不能重叠区域中的值。

  • 当设备将设备身份配置文件与安全策略匹配时,将考虑配置文件中的所有属性。以下是他们的治疗方法:

    • 如果设备标识配置文件包含某个属性的多个值,则会单独处理该属性的值。据说它们是ORed。

      要将安全策略应用于设备,必须满足以下条件。设备必须匹配:

      • 具有多个值的每个属性的值之一。

      • 设备标识配置文件中指定的其余属性值。

      • 安全策略字段值。

    • 具有单个值的所有单个属性都将单独处理,并一起视为值的集合,也就是说,AND 操作将应用于这些属性。设备使用其标准策略匹配条件来处理这些属性。

设备身份认证功能中使用的与平台无关的伸缩值如表1所示。

表 1:独立于平台的扩展

项目

最大

每个属性的值

20

每个配置文件的属性数

100

每个安全策略(源-最终用户-配置文件)的设备身份配置文件规范

1

设备身份认证功能中使用的平台相关缩放值如表2所示。

表 2:与平台相关的扩展

平台

最大配置文件数

属性值的最大总数

SRX5000线

4000

32000

SRX 系列 1500

1000

8000

SRX 系列 550M

500

4000

SRX 系列 300 和 SRX 系列 320

100

1000

SRX 系列 340 和 SRX 系列 345

100

1000

SRX 系列 4100-4XE

1000

8000

SRX 系列 4200-8XE

2000

16000

vSRX 虚拟防火墙

500

4000

NFX150

100

1000

对设备身份配置文件的以下更改及其在安全策略中的使用不会导致设备执行会话扫描:

  • 对安全策略中引用的配置文件的更新。

  • 配置文件配置的更新。

  • 对通过 NAC 系统使用的 RESTful Web 服务 API 或 Active Directory LDAP 进行的属性更新。

了解设备身份验证表及其条目

该设备包含许多本地身份验证表,用于出于各种目的进行用户身份验证。例如,当使用 Microsoft Windows Active Directory 作为身份验证源时,设备包含一个本地 Active Directory 身份验证表,用于用户身份验证。

将设备配置为使用集成用户防火墙设备身份验证功能进行基于设备身份及其属性进行身份验证时,设备会创建一个称为设备身份认证表的新表。

若要全面了解设备身份验证功能,了解此表、其内容及其与其他实体的关系会有所帮助。

本主题介绍设备身份验证表及其设备条目,以及表内容如何根据多个因素进行更改。

设备身份认证表

与其他本地身份验证表不同,设备身份验证表不包含有关用户的信息,而是包含有关用户设备的信息。此外,与用户身份验证表不同,它不包含有关由一个身份验证源进行身份验证的设备的信息。相反,它充当所有设备的设备标识信息的存储库,无论其身份验证源如何。例如,它可能包含由 Active Directory 或第三方 NAC 身份验证源进行身份验证的设备条目。

设备身份认证表条目包含以下部分:

  • 设备的 IP 地址。

  • 设备所属域的名称。

  • 与设备关联的组。

  • 设备标识。

    设备身份实际上是设备身份配置文件的身份(在 CLI end-user-profile中称为 )。这种类型的配置文件包含一组属性,这些属性表征特定的单个设备或特定的设备组,例如,特定类型的便携式计算机。

从 Junos OS 17.4R1 开始,SRX 系列防火墙支持使用 IPv6 地址进行用户防火墙模块 (UserFW) 身份验证。此功能允许 IPv6 流量与为源身份配置的任何安全策略匹配。以前,如果为源身份配置了安全策略,并且为其 IP 地址指定了“any”,则 UserFW 模块将忽略 IPv6 流量。

以下身份验证源支持 IPv6 地址:

  • 活动目录身份验证表

  • 具有 Active Directory 身份验证的设备标识

  • 本地认证表

  • 防火墙认证表

为什么设备身份验证表内容发生变化

发生某些事件时,设备身份认证表中的设备标识条目会更改:与设备标识条目关联的用户身份验证条目过期时、引用设备所属组时发生安全策略更改时、将设备添加到组或从组中删除设备时, 或者当它所属的组被删除并且对 Windows Active Directory LDAP 服务器进行了更改时。

  • 与设备标识条目关联的用户标识条目何时过期

    当设备在设备身份验证表中为设备生成条目时,它会将该条目与对设备用户进行身份验证的特定身份验证源(如 Active Directory)的本地身份验证表中的用户标识条目相关联。也就是说,它将设备身份验证表中的设备标识条目绑定到用户身份验证表中设备用户的条目。

    当与设备标识条目关联的用户身份验证条目过期并从用户身份验证表中删除时,设备标识条目将从设备身份验证表中删除。也就是说,不会发出任何消息来通知您此事件。

  • 当引用设备所属组时发生安全策略更改时

    要根据设备身份控制对网络资源的访问,请创建可在安全策略中引用的设备身份配置文件。除了其他属性外,设备标识配置文件还包含组的名称。当安全策略引用设备身份配置文件时,它包含的组称为 相关组

    如果组被安全策略引用,也就是说,如果该组包含在安全策略的 e 字段中指定的source-end-user-devic设备标识配置文件中,则该组有资格成为感兴趣的组。如果某个组包含在当前未在安全策略中使用的设备标识配置文件中,则该组不会包含在相关组列表中。组可以移入和移出安全策略引用的组列表。

  • 将设备添加到组或从组中删除设备或删除组时

    要使本地设备身份认证表中的设备身份条目保持最新,SRX 系列或 NFX 系列会监控 Active Directory 事件日志中的更改。除了确定设备是否已注销或登录到网络之外,它还可以确定对设备可能所属的任何组的更改。当设备所属的组发生更改时(即,将设备添加到组或从组中删除或删除组时),设备会修改其自己的设备身份验证表中受影响设备条目的内容,以反映在 Microsoft Windows Active Directory LDAP 服务器中所做的更改。

设备身份验证表根据 LDAP 服务器中与设备关联的组的更改进行更新,如 表 3 所示。

表 3:活动目录 LDAP 和 SRX 系列或 NFX 系列响应中设备的组更改

对 LDAP 所做的更改

SRX 系列或 NFX 系列 LDAP 消息和用户 ID 守护程序操作

设备的组信息已更改。设备已添加到组或从组中删除,或者设备所属的组已删除。

Active Directory LDAP 模块将更改通知发送到 SRX 系列或 NFX 系列 UserID 守护程序,指示其修改其本地设备身份验证表中的信息。

设备每 2 分钟处理一次这些消息。

LDAP 中的设备条目将被删除。

Active Directory LDAP 模块将更改通知发送到 UserID 守护程序,指示它修改其本地设备标识表中的信息。

设备每 2 分钟处理一次这些消息。

SRX 系列或 NFX 系列设备 UserID 守护程序将收到有关更改的通知。是否在安全策略中指定了设备所属的组,关系到受影响设备的设备身份验证表条目中存储了哪些信息。 表 4 显示了将组添加到 Active Directory LDAP 或从中删除组时发生的活动。

表 4:基于安全策略规范对设备标识条目的更改

设备标识配置文件更改

设备组映射行为

SRX 系列或 NFX 系列用户 ID 守护程序响应

已添加到 Active Directory LDAP 的新组将添加到 SRX 系列防火墙身份配置文件中。

设备从活动目录 LDAP 服务器获取属于新组及其子组的设备列表。它会将列表添加到其本地 LDAP 目录中。

UserID 守护程序确定设备身份认证表是否包含受影响设备集的条目。如果是这样,它将更新这些条目的组信息。

例如,下面是 device1 在更新以包含新组之前和添加组之后的条目:

  • 设备 1、G1

  • 设备 1、G1、G2

组将从活动目录 LDAP 中删除。设备会从设备标识配置文件中删除组。

设备从其本地 LDAP 数据库中获取属于已删除组的设备列表。

它会从本地 LDAP 目录中删除设备组映射。

UserID 守护程序检查设备标识认证表中是否存在属于该组的条目。它会从受影响的条目中删除组。

例如,下面是删除组之前和删除组之后的设备 1 的条目:

  • 设备 1、G1、G2

  • 设备 1、G1

表 5 详细说明了受组删除影响的多个设备的设备身份验证条目的内容。

表 5:LDAP 和安全策略更改导致的设备身份验证表更改

对设备身份认证表条目的更改

IP 地址

设备信息

原始参赛作品

192.0.2.10

设备1

组 1、组 2

192.0.2.11

设备2

组 3、组 4

192.0.2.12

设备3

组 2

删除 group2 后的相同条目

192.0.2.10

设备1

组 1

192.0.2.11

设备2

组 3、组 4

192.0.2.12

设备3

此条目不再包含组。

安全策略匹配和设备身份配置文件

设备遵循将流量与安全策略进行匹配的标准规则。以下行为与在安全策略中使用设备标识配置文件来确定匹配项有关:

  • 在安全策略中使用设备标识配置文件是可选的。

    • 如果未在源-最终用户-配置文件字段中指定设备标识配置文件, any 则假定配置文件。

    • 不能在安全策略字段中使用该关键字anysource-end-user-profile

      如果在安全策略中使用源-最终用户-配置文件字段,则必须引用特定配置文件。发出访问尝试的设备必须与配置文件的属性匹配。

  • 在单个安全策略中只能指定一个设备身份配置文件。

  • 更改安全策略的字段值时 source-end-user-profile ,将触发安全策略重新匹配。更改配置文件的属性值时,不会触发重新匹配。

了解 SRX 系列如何从 Windows Active Directory 获取经过身份验证的设备身份信息以进行网络访问控制

您可以使用集成用户防火墙设备身份认证功能,根据所用设备的身份和属性(而不是用户身份)来控制对网络资源的访问。有关设备的信息存储在设备身份验证表中。您可以在安全策略的源-最终用户-配置文件字段中指定包含设备属性的设备身份配置文件的名称。如果满足所有条件,则安全策略的操作将应用于从该设备发出的流量。

为了能够在安全策略中使用设备身份配置文件,SRX 系列防火墙或 NFX 系列设备必须获取经过身份验证设备的设备身份信息。设备创建用于存储设备身份条目的设备身份认证表。当流量从设备到达时,它会在表中搜索设备匹配项。本主题考虑将 Active Directory 用作身份验证源时所遵循的过程。

Active Directory 域控制器在用户登录到域时对用户进行身份验证,并将该事件的记录写入 Windows 事件日志。它还会在用户注销域时将记录写入事件日志。域控制器事件日志为设备提供有关域中当前处于活动状态的经过身份验证的设备以及这些设备何时从域注销的信息。

UserID 守护程序执行以下操作:

  1. 它读取 Active Directory 域控制器事件日志,以获取登录到域并由 Windows 进行身份验证的设备的 IP 地址。

    设备路由引擎中的 UserID 守护程序实现具有 Microsoft 分布式 COM/Microsoft RPC 堆栈的 Windows Management Instrumentation (WMI) 客户端,以及用于与 Active Directory 域中的 Windows Active Directory 域控制器通信的身份验证机制。使用从 Active Directory 控制器检索的事件日志信息,该进程将获取活动 Active Directory 设备的 IP 地址。该进程使用相同的 WMI DCOM 接口监视 Active Directory 事件日志更改,以调整其本地身份验证表中的设备标识信息,以反映对 Active Directory 服务器所做的任何更改。

  2. 它使用从事件日志中获取的设备 IP 地址来获取有关设备所属组的信息。要获取此组信息,设备为此使用 LDAP 协议连接到 Active Directory 控制器中的 LDAP 服务。

此过程的结果是,设备能够为设备身份验证表中的设备生成条目。在设备身份验证表中为设备生成条目后,设备会将该条目与其本地 Active Directory 身份验证表中的相应用户条目相关联。然后,您可以在安全策略中引用设备身份配置文件条目来控制对资源的访问。

行为和约束

  • 读取事件日志的过程会消耗域控制器 CPU 资源,这可能会导致域控制器中的 CPU 使用率较高。因此,Active Directory 域控制器应具有至少 4 个内核和 8 GB 内存的高性能配置。

  • 域控制器事件日志记录设备 ID 的最大长度为 16 字节,包括空终止符。因此,设备从域控制器获取的设备 ID 的最大长度为 15 个字节。

  • 如果域控制器清除事件日志,或者写入事件日志的数据丢失或延迟,则设备标识映射信息可能不准确。如果 SRX 系列或 NFX 系列设备无法读取事件日志或包含空数据,设备将在自己的日志中报告错误情况。

  • 如果设备标识信息表达到容量,则无法添加新的设备标识条目。在这种情况下,来自设备的流量将被丢弃。

了解第三方 NAC 身份验证系统的设备标识 XML 解决方案

集成的用户防火墙设备身份验证功能使您能够根据设备的身份控制对网络资源的访问。可以使用以下设备标识解决方案之一:

  • Microsoft Active Directory 作为身份验证源。

    如果您的环境设置为使用 Microsoft Active Directory,则 SRX 系列或 NFX 系列设备将从 Active Directory 域控制器和 LDAP 服务获取设备 IP 地址和组。

  • 网络访问控制 (NAC) 身份验证系统。

    如果您的网络环境配置为 NAC 解决方案,并且您决定采用此方法,NAC 系统会将设备身份信息发送到 SRX 系列或 NFX 系列设备。RESTful Web 服务 API 使您能够以正式的 XML 结构将设备信息发送到设备。

    警告:

    如果采用此方法,则必须验证 NAC 解决方案是否适用于该设备。

SRX 系列和 NFX 系列设备上的 XML Web API 实现

RESTful Web 服务 API 使您能够以正式的 XML 结构将设备身份信息发送到 SRX 系列或 NFX 系列设备。它允许您的 NAC 解决方案与设备集成,并有效地向其发送设备信息。在使用 API 向设备发送信息时,必须遵守正式结构和限制。

确保从 NAC 服务发送到 SRX 系列或 NFX 系列设备的数据的完整性

以下要求可确保从 NAC 服务发送的数据不会受到损害:

  • API 实现仅限于处理 HTTP/HTTPS POST 请求。它收到的任何其他类型的请求都会生成错误消息。

  • API 守护程序仅分析和处理来自以下专用 URL 的 HTTP/HTTPS 请求:

  • NAC 解决方案发布到 SRX 系列防火墙的 HTTP/HTTPS 内容的格式必须一致。正确的 XML 格式表示没有泄露,并确保用户标识信息不会丢失。

数据大小限制和其他约束

以下数据大小限制适用于发布到 SRX 系列或 NFX 系列设备的数据:

  • NAC 身份验证系统必须控制其发布的数据的大小。否则,Web API 守护程序将无法处理它。Web API 守护程序最多可以处理 2 MB 的数据。

  • 以下限制适用于角色和设备状态信息的 XML 数据。Web API 守护程序会丢弃发送给它的超过这些数量的 XML 数据(即溢出数据):

    • 设备最多可以处理 209 个角色。

    • 设备仅支持一种终端安全评估类型,其中包含六个可能的状态令牌或值。单个用户的身份信息只能有一个终端安全评估令牌。

示例:在活动目录环境中配置 SRX 系列防火墙身份功能

此示例说明如何配置集成用户防火墙设备身份验证功能,以根据经过身份验证的设备(而不是其用户)的身份控制对网络资源的访问。此示例使用 Microsoft Active Directory 作为身份验证源。它介绍如何配置表征一个设备或一组设备的设备标识配置文件,以及如何在安全策略中引用该配置文件。如果设备与设备身份和安全策略参数匹配,则安全策略的操作将应用于从该设备发出的流量。

出于各种原因,您可能希望使用设备的标识进行资源访问控制。例如,您可能不知道用户的身份。此外,某些公司可能拥有不支持 802.1 的旧交换机,或者可能没有网络访问控制 (NAC) 系统。设备身份验证功能旨在通过使您能够根据设备身份控制网络访问,为这些情况和其他类似情况提供解决方案。您可以控制符合设备标识规范的一组设备或单个设备的访问。

要求

此示例使用以下硬件和软件组件:

  • 运行 Junos OS 版本 15.1X49-D70 或更高版本的 SRX 系列服务网关设备。

  • 具有域控制器和轻量级目录访问协议 (LDAP) 服务器的 Microsoft Active Directory

    Active Directory 域控制器具有 4 核和 8 GB 内存的高性能配置。

    注意:

    SRX 系列通过读取域控制器事件日志来获取设备的 IP 地址。读取事件日志的进程会消耗域控制器 CPU 资源,这可能会导致较高的 CPU 使用率。因此,Active Directory 域控制器应具有至少 4 个内核和 8 GB 内存的高性能配置。

  • 内部企业网络上的服务器。

概述

从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,SRX 系列支持根据通过 Active Directory 或第三方网络接入控制 (NAC) 系统认证的设备的身份来控制对网络资源的访问。此示例使用 Active Directory 作为身份验证源。

注意:

必须配置身份验证源才能使此功能正常工作。

此示例涵盖以下配置部分:

  • 区域及其接口

    您必须配置安全策略中指定的源实体和目标实体所属的区域。如果未对其进行配置,则引用设备身份配置文件的安全策略将无效。

  • 设备标识配置文件

    除了安全策略之外,您还可以配置设备身份配置文件;您可以从安全策略中引用它。设备标识配置文件指定可由一个或多个设备匹配的设备标识。对于 Active Directory,您只能在配置文件中指定设备标识属性。

    在此示例中,设备标识属性规范为公司计算机。

    注意:

    设备身份配置文件在 CLI 中称为 end-user-profile

  • 安全策略

    您可以配置一个安全策略,其操作将应用于从与设备身份配置文件属性和其余安全策略参数匹配的任何设备发出的流量。

    注意:

    您可以在安全策略的 source-end-user-profile 字段中指定设备身份配置文件的名称。

  • 身份验证源

    您可以配置要用于对设备进行身份验证的身份验证源。此示例使用 Active Directory 作为设备身份验证源。

    如果 Active Directory 是身份验证源,则 SRX 系列通过读取 Active Directory 域的事件日志来获取经过身份验证的设备的身份信息。然后,设备查询 Active Directory 的 LDAP 接口,以识别设备所属的组,并使用设备的 IP 地址进行查询。

    为此,该设备实现了具有 Microsoft Distributed COM/Microsoft RPC 堆栈的 Windows Management Instrumentation (WMI) 客户端,以及用于与 Active Directory 域中的 Windows Active Directory 控制器进行通信的身份验证机制。它是设备 wmic 守护程序,用于从 Active Directory 域的事件日志中提取设备信息。

    wmic 守护程序还使用相同的 WMI DCOM 接口监视 Active Directory 事件日志中的更改。发生更改时,设备会调整其本地设备身份验证表以反映这些更改。

    从 Junos OS 17.4R1 版开始,您可以将 IPv6 地址分配给 Active Directory 域控制器和 LDAP 服务器。在 Junos OS 17.4R1 版之前,您只能分配 IPv4 地址。

拓扑

在此示例中,属于营销区域区域的用户希望访问内部企业服务器上的资源。访问控制基于设备的身份。在此示例中,公司计算机被指定为设备标识。因此,安全策略操作仅应用于符合该规范且符合安全策略条件的设备。它是被授予或拒绝访问服务器资源的设备。不根据用户标识控制访问。

将建立两个 SRX 系列区域:一个包括网络设备(营销区域),另一个包括内部服务器(服务器区域)。SRX 系列防火墙接口 ge-0/0/3.1(IP 地址为 192.0.2.18/24)已分配给营销区域区域。SRX 系列防火墙接口 ge-0/0/3.2(其 IP 地址为 192.0.2.14/24)将分配给服务器区域区域。

此示例涵盖以下活动:

  1. SRX 系列防火墙使用 WMI DCOM 接口连接到 Active Directory 域控制器,以获取有关通过 Active Directory 身份验证的设备的信息。

    当用户登录到网络并进行身份验证时,有关用户设备的信息将写入事件日志。

  2. SRX 系列从 Active Directory 域控制器的事件日志中提取设备信息。

  3. SRX 系列使用提取的信息从 Active Directory LDAP 服务器获取设备所属组的列表。

  4. SRX 系列创建本地设备身份认证表,并将从域控制器和 LDAP 服务器获取的设备身份信息存储在表中。

  5. 当来自设备的流量到达 SRX 系列防火墙时,SRX 系列会检查设备身份验证表中是否存在与发出流量的设备的匹配条目。

  6. 如果 SRX 系列找到请求访问的设备的匹配条目,则会检查安全策略表中的安全策略,该 source-end-user-profile 策略的字段指定设备身份配置文件,其设备身份规范与请求访问的设备的身份规范相匹配。

  7. 匹配的安全策略将应用于从设备发出的流量。

图 2 显示了此示例的拓扑。

图 2:以 Active Directory 作为身份验证源 Topology for the Device Identity Feature with Active Directory as the Authentication Source的设备标识功能的拓扑

配置

要在 Active Directory 环境中配置设备标识功能,请执行以下任务:

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入 commit

在 Active Directory 环境中配置集成用户防火墙设备身份验证功能

分步过程

此过程包括配置 SRX 系列防火墙以支持 Active Directory 环境中的设备身份验证功能所需的配置语句。

  1. 配置要用于管理区域和服务器区域的接口。

  2. 配置营销区域和服务器区域并为其分配接口。

  3. 配置身份验证源以指定 Microsoft Active Directory。必须指定身份验证源,设备标识功能才能正常工作。这是必需值。

  4. 为设备身份配置文件配置设备身份规范, end-user-profile也称为 。

  5. 配置称为标记服务器访问的安全策略,该策略引用名为 marketing-west-coast 的设备身份配置文件。安全策略允许属于营销区域区域(并且与设备标识配置文件规范匹配)的任何设备访问目标服务器的资源。

  6. 配置 SRX 系列防火墙以与 Active Directory 通信并使用 LDAP 服务。

    要获取实施设备身份验证功能所需的组信息,SRX 系列防火墙使用轻型目录访问协议 (LDAP)。SRX 系列充当与 LDAP 服务器通信的 LDAP 客户端。通常,Active Directory 域控制器充当 LDAP 服务器。默认情况下,设备中的 LDAP 模块查询域控制器中的活动目录。

结果

进入 show interfaces 配置模式。

进入 show security zones 配置模式。

进入 show services user-identification device-information end-user-profile 配置模式。

进入 show services user-identification device-information authentication-source 配置模式。

进入 show security policies 配置模式。

进入 show services user-identification active-directory-access 配置模式。

进入 show services user-identification active-directory-access domain example-net 配置模式。

验证

验证设备身份验证表内容

目的

验证设备身份验证表是否包含预期的条目及其组。

行动

在这种情况下,设备身份验证表包含三个条目。以下命令显示所有三个条目的大量信息。

在操作模式下输入 show services user-identification device-information table all extensive 命令以显示表的内容。

示例输出
命令名称
意义

该表应包含包含所有经过身份验证的设备及其所属组的信息的条目。

版本历史记录表
释放
描述
17.4R1
从 Junos OS 17.4R1 版开始,SRX 系列支持使用 IPv6 地址进行用户防火墙 (UserFW) 身份验证。当 active directory 是身份验证源时,设备标识表可以包含具有 IPv6 地址的条目。
17.4R1
从 Junos OS 17.4R1 开始,SRX 系列防火墙支持使用 IPv6 地址进行用户防火墙模块 (UserFW) 身份验证。此功能允许 IPv6 流量与为源身份配置的任何安全策略匹配。以前,如果为源身份配置了安全策略,并且为其 IP 地址指定了“any”,则 UserFW 模块将忽略 IPv6 流量。