基于区域记录用户身份信息
基于区域的集成用户防火墙功能指示系统根据安全策略中配置的源区域记录用户标识信息。日志信息包括属于该区域且其流量与安全策略匹配的所有用户。
了解如何基于源区域在会话日志文件中包含用户身份信息
本主题介绍集成用户防火墙功能,该功能允许您将系统配置为按用户名或组名将用户的身份写入会话日志,而无需在安全策略中使用源身份(源-身份)元组。通过写入日志的名称了解用户的身份,而不仅仅是通过用户设备的 IP 地址,可以让您更清楚地了解他们的活动,并允许您更快、更轻松地解决安全问题。依靠源区域(从区域)来触发用户身份日志记录,而不是依靠源身份来触发,会扩大记录其源身份的用户的范围。
通常,对于每个安全策略,您必须在策略中指定源和目标 IP 地址以及与其进行流量匹配的区域。您还必须指定流量与之匹配的应用程序。如果流量符合这些条件,则安全策略的操作将应用于从用户设备发出的流量。但是,不会将用户标识信息写入会话日志。
或者,您可以在安全策略的源身份元组中指定用户身份(即用户名或组名),而不是完全依赖用户设备的 IP 地址来识别流量来源。如果满足其他安全策略匹配条件,此方法通过将安全策略操作的应用范围缩小到单个已识别用户或一组用户,使您可以更好地控制资源访问。但是,使用源身份元组会将策略的应用限制为来自单个用户或用户组的流量。
您可能希望系统根据流量所属的区域(from-zone)将流量源自的所有用户的用户标识写入会话日志。在这种情况下,您不希望将流量匹配和安全策略应用程序缩小到单个用户或用户组,而配置源身份元组就可以这样做。
基于区域的用户标识功能允许您指示系统将属于使用源-标识-log 语句配置的区域的任何用户的用户的用户标识信息写入日志,当该区域用作匹配安全策略中的源区域时。
要使源身份日志功能生效,还必须将会话初始化(会话初始化)和会话结束(会话关闭)事件的日志记录配置为安全策略操作的一部分。
表 1 列出了支持此功能的平台。
支持的 SRX 系列防火墙平台 |
|---|
SRX320 |
SRX380 |
SRX550M |
SRX1500系列 |
SRX500 系列 |
示例:配置集成用户防火墙以基于源区域将用户身份写入会话日志
此示例说明如何配置基于区域的集成用户防火墙用户身份功能,该功能指示系统根据安全策略中配置的源区域(从区域)记录用户身份信息。基于区域的用户身份功能扩大了其身份信息写入日志的用户范围,以包括属于其流量与安全策略匹配的区域的所有用户。
要求
从 Junos OS 15.1X49-D60 和 Junos OS 17.3R1 版开始支持此功能。您可以在从 Junos OS 15.1X49-D60 开始的任何当前受支持的 SRX 系列防火墙上配置和运行此功能。
概述
此示例说明如何配置集成用户防火墙,以根据安全策略中的源区域在会话日志中记录用户身份信息。为此,必须为源标识日志记录配置指定为源区域的区域。对于基于区域的用户身份日志记录,安全策略的操作必须包括会话创建(会话初始化)和会话关闭(会话关闭)事件。
满足所有条件时,用户名将在会话开始时(或会话初始化)和会话结束(或会话拆除)开始时写入日志。请注意,如果安全策略拒绝用户访问资源,则会将按名称标识用户的条目写入日志,即,如果配置了会话关闭。
使用基于区域的用户身份功能时,启动用户身份日志记录事件的是安全策略中的源区域(从区域)。
在引入此功能之前,有必要在安全策略中包含源身份元组(源身份),以指示系统将用户身份信息写入日志,即用户名或组名。如果在与用户流量匹配的区域对中的任何策略中配置了源身份元组,并且配置了会话关闭日志,则用户身份将写入日志。
但是,源标识功能特定于单个用户或一组用户,它限制了安全策略在这方面的应用。
它是存储在本地 Active Directory 表中的用户名,当为用户身份日志记录配置策略的源区域时,系统会将其写入日志。SRX 系列防火墙以前通过读取域控制器事件日志获取用户身份信息。SRX 系列防火墙将该信息存储在其 Active Directory 表中。
您可以在安全策略中使用源身份元组,该策略还将为用户身份日志记录配置的区域指定为其源区域。由于集成用户防火墙仅在集成用户防火墙依赖于源标识元组时,才会从 Microsoft 域控制器收集用户所属组的名称,因此,如果使用基于区域的用户标识日志记录功能而不同时配置源标识,则日志将仅包含请求访问的用户的名称,而不包含用户所属的组。
将区域配置为支持源身份日志记录后,该区域可作为要记录其用户身份信息的任何安全策略中的从区域规范重复使用。
总而言之,在以下情况下,用户名将写入日志:
用户属于为源身份日志记录配置的区域。
用户发出资源访问请求,其生成的流量与源区域(从区域)元组指定合格区域的安全策略匹配。
安全策略包括会话初始化(会话初始化)和会话结束(会话关闭)事件作为其操作的一部分。
源身份日志功能的优势包括:
在单个规范中涵盖广泛的用户,即属于为源身份日志记录配置的区域的所有用户。
继续在安全策略中对源地址使用地址范围,而不会丢失用户身份日志记录。
在多个安全策略中重复使用为源身份日志记录配置的区域。
由于它是独立于安全策略配置的,因此您可以在一个或多个策略中将区域指定为源区域。
如果将为基于区域的用户身份日志记录配置的区域指定为目标区域而不是源区域,则不会记录用户标识。
要使此功能正常工作,必须配置以下信息:
为在预期安全策略中用作源区域(从区域)的区域配置的源标识日志语句。
一种安全策略,指定:
符合条件的区域作为其源区域。
会话初始化和会话关闭事件作为其操作的一部分。
配置
要配置源身份日志记录功能,请执行以下任务:
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security zones security-zone trust source-identity-log set security policies from-zone trust to-zone untrust policy appfw-policy1 match source-address any destination-address any application junos-ftp set security policies from-zone trust to-zone untrust policy appfw-policy1 then permit set security policies from-zone trust to-zone untrust policy appfw-policy1 then log session-init set security policies from-zone trust to-zone untrust policy appfw-policy1 then log session-close
配置区域以支持源身份日志记录并在安全策略中使用它
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器。
为信任区域配置源身份日志记录。当此区域用作安全策略中的源区域时,系统会将用户身份信息写入应用安全策略的所有用户的会话日志中。
[edit security] user@host# set zones security-zone trust source-identity-log
配置名为 appfw-policy1 的安全策略,该策略将区域信任指定为其源区域的术语。源身份日志记录将应用于其流量与安全策略的元组匹配的任何用户。
此安全策略允许用户访问 junos-ftp 服务。为用户建立会话时,将记录用户的身份。它也在会话结束时记录。
[edit security] user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 match source-address any destination-address any application junos-ftp user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then permit
配置 appfw-policy1 安全策略的操作,以包括会话启动和会话关闭事件的日志记录。
注意:您必须配置安全策略以记录会话启动和会话关闭事件,源身份日志功能才能生效。用户标识信息与这些事件一起写入日志。
[edit security] user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then log session-init user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then log session-close
结果
在配置模式下,输入 show security zones 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
验证
此部分显示为用户会话生成的会话日志。日志输出:
显示用户名 user1,该名称在会话打开开始时显示,然后在会话关闭开始时再次显示。
导致用户名写入日志的安全策略配置将区域信任指定为其源区域。已为源身份日志记录配置了区域信任。
包括从用户的请求流量、策略匹配标准和 NAT 设置获得的信息。
包含有关用户的身份信息,这些信息是从 Active Directory 数据库中获取的。该信息包括“我的公司/管理员”的角色参数,该参数显示用户所属的组。
在此方案中,用户请求访问瞻博网络 junos-ftp 服务,日志也会记录该服务。 表 2 调用了特定于源标识日志功能配置的日志部分:
会话创建
这是会话启动,它开始记录会话设置信息的日志的第一部分。 用户名 user1 显示在会话创建日志记录的开头。 |
用户 1 RT_FLOW_SESSION_CREATE |
会话创建后跟标准信息,这些信息根据与安全策略元组匹配的用户流量定义会话。 |
|
源地址、源端口、目标地址、目标端口。 |
源地址=“198.51.100.13/24” 源端口=“635” 目标地址=“198.51.100.10/24” 目标端口=“51” |
应用服务 这是用户请求访问且安全策略允许的应用程序服务。 |
service-name=“junos-ftp” |
源区域、目标区域 日志的下方是区域规范,这些规范将信任显示为源区域,将不信任显示为定义的目标区域。 |
源区域名称=“信任” 目标区域名称=“不信任” |
会话结束 这是会话关闭启动,它开始日志记录的第二部分,涵盖会话拆卸和关闭。 用户名 user1 显示在会话关闭记录的开头。 |
用户 1 RT_FLOW - RT_FLOW_SESSION_CLOSE |
验证是否已记录用户身份信息
目的
请注意,集成用户防火墙仅从 Microsoft 域控制器中收集配置为源标识的组。如果使用基于区域的用户身份功能而不配置源身份,则日志将仅包含用户名,即不会记录任何组信息。在这种情况下,日志的“roles=”部分将显示“N/A”。在以下示例中,假定使用了源身份元组,并且“roles=”部分显示用户“管理员”所属组的长列表。
行动
显示日志信息。
示例输出
命令名称
<14>1 2015-01-19T15:03:40.482+08:00 user1 RT_FLOW - RT_FLOW_SESSION_CREATE [user@host2636 192.0.2.123 source-address=”198.51.100.13“ source-port=”635” destination-address=”198.51.100.10” destination-port=”51” service-name=”junos-ftp” nat-source-address=”203.0.113.10” nat-source-port=”12349” nat-destination-address ="198.51.100.13" nat-destination-port="3522" nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="appfw-policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-22="12245" username="MyCompany/Administrator " roles="administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins" packet-incoming-interface="ge-0/0/0.1" application="UNKNOWN" nested-application="UNKNOWN" encrypted="UNKNOWN"] session created 192.0.2.1/21 junos-ftp 10.1.1.12/32898->10.3.1.10/21 junos-ftp 10.1.1.1/547798->10.1.2.10/21 None None 6 appfw-policy1 trust untrust 20000025 MyCompany/Administrator (administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Ownersexample-team, Domain Admins) ge-0/0/0.0 UNKNOWN UNKNOWN UNKNOWN <14>1 2015-01-19T15:03:59.427+08:00 user1 RT_FLOW - RT_FLOW_SESSION_CLOSE [user@host2636 192.0.2.123 reason="idle Timeout” source-address=”198.51.100.13“ source-port=”635”" destination-address=”198.51.100.10” destination-port=”51" service-name="junos-ftp" nat-source-address="203.0.113.10" nat-source-port="12349" nat-destination-address ="198.51.100.13" "nat-destination-port="3522" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="appfw-policy1" source-zone-name="trust" destination-zone-name="untrust"session-id-32="20000025" packets-from-client="3" bytes-from-client="180" packets-from-server="0" bytes-from-server="0" elapsed-time="19" application="INCONCLUSIVE" nested-application="INCONCLUSIVE" username=" J “MyCompany /Administrator” roles="administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins" packet-incoming-interface="ge-0/0/0.1" encrypted="UNKNOWN"] session closed idle Timeout: 111.1.1.10/1234>10.1.1.11/21 junos-ftp 10.1.1.12/32898->10.3.1.10/21 1 None None 6 appfw-policy1 trust untrust 20000025 3(180) 0(0) 19 INCONCLUSIVE INCONCLUSIVE MyCompany/Administrator (administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins) ge-0/0/0.1 UNKNOWN