Active Directory 作为身份源
了解 Active Directory 作为标识源、其优势以及 Active Directory 如何作为标识源工作。
身份源将用户信息存储在数据库中。您可以将此信息用于用户身份验证。Active Directory 作为标识源定义 了防火墙 与 Microsoft Windows Active Directory 的集成。
作为标识源的 Active Directory 以前称为集成用户防火墙。
Active Directory 作为身份源概述
图 1 展示了部署 Active Directory 作为标识源的典型方案。Active Directory 域内外的用户需要通过设备访问 Internet。
优势
-
简化配置步骤,并为访问设备提供最大安全性。
-
非常适合中型企业和中型部署。
-
支持高可用性 (高可用性)。
-
对于未进行身份验证的用户,强制门户的配置是可选的。
Active Directory 作为身份源的工作原理是什么?
| 组件 |
描述 |
|---|---|
| 域控制器 |
域控制器有助于应用安全策略以请求访问用户身份验证资源。域控制器还可以充当 LDAP 服务器。 |
| 域 PC |
共享用户帐户信息和安全策略的连接的 Windows 计算机组。 |
| 非域 PC |
用户可以使用具有互联网连接的设备从任何位置访问 Windows 桌面环境。 |
| 非域用户的 LDAP 身份验证服务器 |
LDAP 协议有助于识别用户所属的组。用户名和组信息从 Active Directory 控制器的 LDAP 服务中查询。 |
-
设备读取和分析 Active Directory 控制器的 Windows 事件日志,并生成身份验证表。
-
作为标识源的 Active Directory 通过身份验证表知道任何域用户。
-
设备配置策略来实施所需的基于用户或基于组的访问控制。
-
对于非域计算机上的任何非域用户或域用户,管理员指定一个强制门户以强制用户进行身份验证(如果设备支持流量类型的强制门户)。
-
用户输入姓名和密码并进行身份验证后,设备将获取用户/组信息并执行策略。
-
除了强制门户之外,如果事件日志中无法获得 IP 地址或用户信息,用户可以再次登录到 Windows PC 以生成事件日志条目。然后,系统生成用户身份验证条目。
Windows Management Instrumentation 客户端 (WMIC)
- 什么是 Windows Management Instrumentation 客户端 (WMIC)?
- WMIC 如何读取域控制器上的事件日志?
- 指定 IP 过滤器以限制 IP 到用户的映射
- Windows 事件日志验证和统计信息
- 防火墙身份验证作为 WMIC 的备份
什么是 Windows Management Instrumentation 客户端 (WMIC)?
将 Active Directory 配置为标识源时,设备将与域控制器建立 Windows Management Instrumentation (WMI)/分布式组件对象模块 (DCOM) 连接。设备充当 WMI 客户端 (WMIC) 。设备读取并监视域控制器上的安全事件日志。设备分析事件消息以生成 IP 地址到用户的映射信息。
使用 功能资源管理器 确认平台和版本对特定功能的支持。
查看 特定于平台的 WMIC 行为 部分,了解有关与平台相关的注释。
WMIC 如何读取域控制器上的事件日志?
WMIC 按以下方式读取域控制器上的事件日志:
-
设备以可配置的间隔(默认为 10 秒)监控事件日志。
-
设备会读取特定时间跨度的事件日志,您可以对其进行配置。默认时间跨度为一小时。
-
每次在 WMIC 启动时,设备都会检查上次时间戳和当前时间跨度。如果上一个时间戳早于当前时间跨度,则当前时间跨度生效。
-
设备可以读取事件日志以获取 IPv4 和 IPv6 地址。
-
WMIC 启动时,防火墙可以从事件日志中读取的最大事件数。您无法配置事件的最大计数。
当 WMIC 启动时,WMIC 使用带有时间跨度设置的最大计数。当达到限制时,WMIC 将停止读取事件日志。
-
故障切换后,设备从最新的事件日志时间戳中读取事件日志。
指定 IP 过滤器以限制 IP 到用户的映射
您可以指定 IP 过滤器来限制设备从事件日志生成的 IP 地址到用户的映射信息。
若要了解筛选器何时可用于此类映射,请考虑以下方案。客户在一个网域中部署 10 台设备,每台设备控制一个分支机构。所有 10 台设备读取域控制器中的所有 10 个分支机构用户登录事件日志。但是,设备配置为仅检测用户是否在其控制的分支上通过了身份验证。通过在设备上配置 IP 过滤器,设备将仅读取其控制下的 IP 事件日志。
您可以配置过滤器以包含或排除 IP 地址或前缀。您最多可以为每个过滤器指定 20 个地址。
Windows 事件日志验证和统计信息
您可以通过发出 show services user-identification active-directory-access active-directory-authentication-table all 命令来验证身份验证表是否正在获取 IP 地址和用户信息。将显示每个域的 IP 地址到用户的映射列表。在 LDAP 运行之前,该表不包含任何组信息。
您可以通过发出 show services user-identification active-directory-access ip-user-mapping statistics domain 命令查看有关读取事件日志的统计信息。
防火墙身份验证作为 WMIC 的备份
Active Directory 作为标识源获取 IP 地址到用户映射信息的主要方法是让设备充当 WMI 客户端 (WMIC) 。但是,事件日志读取和 PC 探测函数都使用 WMI,并且使用全局策略禁用 WMI 到 PC 探测会影响事件日志读取。这些可能会导致 PC 探测失败,并且需要一种备份方法来获取 IP 地址到用户的映射。该方法是使用防火墙身份验证来识别用户。
请参阅 域 PC 探测。
如果在该语句中配置了域, fwauth 则识别该域用于域身份验证条目,并将域名与身份验证请求一起发送到 fwauth 进程。收到身份验证响应后, fwauth 删除该域身份验证条目。该 fwauth 进程将源 IP 地址、用户名、域和其他信息发送到 UserID 进程,后者验证它是否为有效的域用户条目。后续流量将命中此用户防火墙条目。
域 PC 探测
什么是域 PC 探测?
域 PC 探测可作为事件日志读取的补充。当用户登录到域时,事件日志将包含该信息。仅当事件日志中没有 IP 到地址的映射时,才会触发 PC 探测。
域信息会随着用户登录和注销域 PC 而不断变化。Active Directory 作为标识源探测功能提供了一种机制,用于通过直接探测域 PC 中的 IP 地址到用户的映射信息来跟踪和验证身份验证表中的信息。探测识别的新信息和更改的信息用于更新 Active Directory 身份验证表条目,这对于维护防火墙完整性至关重要。
IP 地址过滤器也会影响 PC 探查。配置 IP 地址过滤器后,仅探测过滤器中指定的 IP 地址。
使用 功能资源管理器 确认平台和版本对特定功能的支持。
查看 特定于平台的探针速率行为 部分,了解与您的平台相关的注释。
域 PC 探测用户信息
作为标识源的 Active Directory 通过探测域 PC 来跟踪用户的联机状态。如果用户未联机或不是预期用户,则会根据需要更新 Active Directory 身份验证表。以下探测行为适用:
| On-demand probing | 当由于 Active Directory 身份验证表中缺少条目而导致数据包丢失时,就会进行按需探测。在这种情况下,将处于挂起状态的条目添加到身份验证表中,并探测由丢弃数据包的源 IP 字段标识的域 PC 的 IP 地址和用户信息。条目保持挂起状态,直到从探测收到响应。 |
| Manual probing | 手动探测用于验证用户或一系列用户的联机状态并对其进行故障排除,由系统管理员自行决定。
注意:
手动探测可能会导致从 Active Directory 身份验证表中删除条目。例如,如果由于网络问题(例如当 PC 太忙时)导致您的 PC 没有响应,则 PC 的 IP 地址条目将被标记为并 invalid 阻止您的访问。 |
根据域 PC 探测响应,对 Active Directory 身份验证表进行更新,并使关联的防火墙策略生效。如果在 90 秒后未收到来自探测的响应,则身份验证条目超时。超时身份验证条目是挂起状态身份验证条目,在启动 PC 探测时生成。
如果探测成功,则身份验证条目的状态将从挂起更新为有效。如果探测不成功,那么身份验证条目的状态将标记为无效。无效条目的生存期与有效条目相同,并被即将到来的 fwauth (防火墙身份验证过程) 身份验证结果或事件日志覆盖。
如果设备由于某种原因(例如网络配置或 Windows 防火墙问题)无法访问域电脑,则探测将失败。
有关更多探测响应和相应的身份验证表作,请参阅 表 2。
| 来自域 PC 的探针响应 |
Active Directory 认证表作 |
|---|---|
| 有效的 IP 地址和用户名 |
添加与 IP 相关的条目。 |
| 登录用户已更改 |
更新 IP 相关条目。 |
| 连接超时 |
将 IP 相关条目更新为无效。 |
| 访问被拒绝 |
将 IP 相关条目更新为无效。 |
| 连接被拒绝 |
将 IP 相关条目更新为无效。 |
| 身份验证失败 (配置的用户名和密码没有探测域 PC 的权限。 |
将 IP 相关条目更新为无效。 |
如何配置探针?
默认情况下,按需探测处于启用状态。要禁用按需探测,可以使用 set services user-identification active-directory-access no-on-demand-probe 语句。删除此语句以重新启用探测。禁用按需探测后,可以使用手册探测。
要启动手册探测,可以使用命令 request services user-identification active-directory-access ip-user-probe address ip-address address domain domain-name 。如果未指定域名,探针将查看第一个为 IP 地址配置的域。要指定范围,请使用适当的网络地址。
探查超时值可配置。如果在时间间隔内 wmi-timeout 未从域 PC 收到响应,则探测将失败,并且系统会创建无效的身份验证条目或将现有身份验证条目更新为无效。如果探测的 IP 地址已存在身份验证表条目,并且在间隔 wmi-timeout 内未从域 PC 收到响应,则探测将失败,并且该条目将从表中删除。
探针速率和统计信息
默认情况下,将 Active Directory 作为身份源的最大探测速率设置为,无法更改。探测功能支持 5000 个用户,或最多支持的身份验证条目总数的 10%,以较小者为准。支持 10% 意味着在任何时候,等待探测的 IP 地址数量都不能超过 10%。
将 Active Directory 的 LDAP 用作身份源
将 LDAP 用于 Active Directory 作为身份源有什么用?
本节中 LDAP 的用法特别适用于作为身份源的 Active Directory 中的 LDAP 功能。
为了获取将 Active Directory 实施为身份源所需的用户和组信息,设备使用轻量目录访问协议 (LDAP)。设备充当与 LDAP 服务器通信的 LDAP 客户端。在 Active Directory 作为标识源的常见实现方案中,域控制器充当 LDAP 服务器。默认情况下,设备中的 LDAP 模块会查询域控制器中的 Active Directory。
设备从 LDAP 服务器下载用户和组列表。设备还会查询 LDAP 服务器以获取用户和组更新。设备下载第一级用户到组的映射关系,然后计算完整的用户到组的映射。
作为身份源的 Active Directory 的 LDAP 如何工作?
LDAP 服务器的用户名、密码、IP 地址和端口都是可选的,但可以进行配置。
-
如果未配置用户名和密码,系统将使用配置的域控制器的用户名和密码。
-
如果未配置 LDAP 服务器的 IP 地址,则系统将使用配置的某个 Active Directory 域控制器的地址。
-
如果未配置端口,系统将端口 389 用于纯文本,或将端口 636 用于加密文本。
默认情况下,LDAP 身份验证方法使用简单身份验证。客户端的用户名和密码以纯文本形式发送至 LDAP 服务器。请记住,密码很清楚,可以从网络中读取。
为避免暴露密码,只要 LDAP 服务器支持 LDAP over SSL (LDAPS),您就可以在加密通道[即安全套接字层 (SSL)]中使用简单身份验证。启用 SSL 后,从 LDAP 服务器发送到设备的数据将被加密。要启用 SSL,请参阅 user-group-mapping 语句。
设备标识
您可以使用 Active Directory 作为身份源设备身份身份验证功能,根据所用设备的属性或特征控制对网络资源的访问。配置设备身份身份验证功能后,您可以配置安全策略,根据策略作允许或拒绝来自已识别设备的流量。
更多信息,请参阅 示例:配置设备身份认证功能。
- 为什么使用设备身份来控制对网络的访问
- 设备标识属性和配置文件
- 设备身份认证表
- 用于网络访问控制的 Windows Active Directory 中的设备标识信息
- 适用于第三方 NAC 身份验证系统的设备身份 XML 解决方案
为什么使用设备身份来控制对网络的访问
由于各种原因,您可能希望根据用户设备的身份(而不是用户的身份)来控制对网络资源的访问。Active Directory 作为标识源设备标识身份验证功能旨在通过使您能够根据用户设备的属性控制网络访问,为这些情况和其他类似情况提供解决方案。
设备从身份验证源接收或获取设备身份信息的方式与获取用户身份信息的方式相同,具体取决于身份验证源。获取设备标识信息并将其存储在设备标识信息表中的过程需要设备执行以下作:
-
获取设备标识信息。
根据身份验证源,设备使用以下两种方法之一来获取设备身份信息:
-
将 Microsoft Active Directory 作为身份源 - 如果您的环境设置为使用 Microsoft Active Directory,则防火墙将从 Active Directory 域控制器和 LDAP 服务获取设备 IP 地址和组。设备可以从域控制器的事件日志中提取设备信息,然后连接到 Active Directory LDAP 服务器以获取设备所属组的名称。设备使用从事件日志中获取的信息在 LDAP 目录中查找设备的信息。
-
第三方网络访问控制 (NAC) 系统 — 如果您的网络环境配置了 NAC 解决方案,而您决定采用这种方法,则 NAC 系统会将设备身份信息发送到防火墙。这些身份验证系统使用 RESTful Web 服务 API 的 POST 服务,称为 Web API。设备实施 API 并向身份验证系统公开,以允许它们将设备身份信息发送到防火墙。API 具有正式的 XML 结构和限制,身份验证源在将此信息发送到设备时必须遵守这些结构和限制。
警告:如果您采用此方法,则必须验证您的 NAC 解决方案是否适用于该设备。
-
-
在设备身份身份验证表中为设备创建条目。
-
防火墙获取设备身份信息后,会在设备身份身份验证表中为其创建一个条目。设备标识身份验证表与 Active Directory 身份验证表或用于第三方身份验证源的任何其他本地身份验证表是分开的。
-
此外,与特定于身份验证源或功能的本地用户身份验证表不同,设备标识身份验证表包含所有身份验证源的设备标识信息。但是,一次只能有一个身份验证源(如 Active Directory)处于活动状态。防火墙一次只允许使用身份验证源,以限制对系统处理信息的需求。
-
获取设备信息并将其录入设备身份身份验证表的目的是根据设备的身份控制用户对网络资源的访问。为此,您还必须配置安全策略,根据指定的设备身份配置文件来识别设备,并指定要对来自该设备发出的流量执行的作。
-
设备身份身份验证功能提供了一种通用解决方案,可将设备身份信息存储在同一表中,而不考虑身份验证源。
-
设备标识属性和配置文件
设备身份配置文件(在 CLI 中称为 )是 Active Directory 作为身份源设备身份身份验证功能的关键组件。end-user-profile 它标识设备并指定其属性。
设备标识
设备身份基本上由设备的 IP 地址、名称、域和设备所属的组组成。
例如,以下输出显示了有关设备的信息,这些信息从设备身份配置文件中引用。此示例显示设备身份身份验证表包含两个设备的条目。对于每个条目,它都会显示设备的 IP 地址、分配给设备的名称以及设备所属的组。请注意,两个设备都属于 grp4 组。
Source IP Device ID Device-Groups 192.0.2.1 lab-computer1 grp1, grp3, grp4 198.51.100.1 dev-computer2 grp5, grp6, grp4
设备身份配置文件
设备身份配置文件指定设备的名称和信息,其中包括设备的 IP 地址、设备所属的组以及设备属性(统称为主机属性)。设备数据包转发引擎将设备的 IP 地址映射到设备身份配置文件。
当来自设备的流量到达防火墙时,设备从流量的第一个数据包中获取设备的 IP 地址,并使用它在设备身份身份验证表中搜索匹配的设备身份条目。然后,它将该设备身份配置文件与安全策略进行匹配,该策略的 source-end-user-profile 字段指定设备身份配置文件名称。如果找到匹配项,则会将安全策略应用于从设备发出的流量。
同一设备标识配置文件也可以应用于共享相同属性的其他设备。但是,要应用相同的安全策略,设备及其流量必须与安全策略中的所有其他字段匹配。
设备身份配置文件必须包含域名。它可能包含多组属性,但必须至少包含一组属性。请考虑以下两组属性,它们属于名为 marketing-main-alice 的配置文件。配置文件包含以下一组属性:
-
alice-T430,作为设备名称。
-
MARKETING 和 WEST-COAST 作为设备所属的组。
-
example.net 作为它所属的域的名称。
配置文件还具有以下表征设备的属性:
-
laptop,作为设备的类别 (device-category)
-
联想,作为设备供应商(device-vendor)
-
ThinkPad T430,作为设备类型(设备类型)
在包含设备名称的 marketing-main-alice 配置文件等情况下,该配置文件专门应用于该设备。
但是,现在假设配置了另一个名为 marketing-west-coast-T430 的配置文件,并且它包含与 marketing-main-alice 配置文件相同的属性,但有一个例外:marketing-main-alice 配置文件中给出设备的名称未作为属性包含在 marketing-west-coast-T430 配置文件中。在这种情况下,配置文件中包含的属性现在构成组配置文件。配置文件的应用范围扩大到包括符合配置文件中定义的其余特征或属性的所有 Lenovo ThinkPad T430 设备(即笔记本电脑)。
如果所有其他属性都匹配,则配置文件将涵盖设备:属于 MARKETING 或 WEST-COAST 组的设备(marketing-west-coast-T430 配置文件指定为其组)或两个组的设备与配置文件匹配。
如前所述,一个设备身份配置文件可以包含多个组。一台设备也可以属于多个组。
为了进一步说明,请注意名为 marketing-west-coast-T430 的组设备身份配置文件也适用于名为 alice-T430 的设备,因为该设备同时属于 MARKETING 和 WEST-COAST 组,并且它与配置文件中定义的所有其他属性匹配。当然,marketing-main-alice 设备标识配置文件仍然适用于名为 alice-T430 的设备。因此,名为 alice-T430 的设备至少属于两个组,并且它被至少两个设备身份配置文件覆盖。
假设另一个名为 marketing-human-resources 的配置文件定义了 marketing-west-coast-T430 设备标识配置文件的所有属性,但存在以下差异:新的设备标识配置文件包括一个名为 HUMAN-RESOURCES 的组,而不包括名为 WEST-COAST 的组。但是,它确实包含 MARKETING 组。
由于名为 alice-T430 的设备属于 MARKETING 组,该组在 marketing-human-resources 配置文件中仍为一个组,因此 alice-T430 设备也与 marketing-human-resources 设备标识配置文件匹配。现在,alice-T430 设备匹配三个配置文件。如果在安全策略的 source-end-user-profile 中指定了这些配置文件中的任何一个的名称,并且 alice-T430 设备与安全配置文件中的所有其他字段匹配,则该配置文件的作将应用于来自该设备的流量。
前面的设备身份配置文件示例说明了以下几点:
-
可以将配置文件定义为仅标识一个设备,也可以将其定义为应用于多个设备。
-
设备身份配置文件可以包含给定设备所属的多个组。
-
通过匹配为配置文件配置的特征或属性(包括至少一个组),设备可以匹配多个设备身份配置文件。
当您配置旨在包含 source-end-user-profile 字段的安全策略时,特别是当您希望将策略的作应用于多个设备时,设备身份配置文件的灵活使用将变得很明显。
安全性策略匹配和设备身份配置文件
设备遵循标准规则,将流量与安全策略进行匹配。以下行为与在安全策略中使用设备身份配置文件来确定匹配项有关:
-
在安全策略中使用设备身份配置文件是可选的。
-
如果未在 source-end-user-profile 字段中指定设备身份配置文件,
any则会假定配置文件。 -
不能在安全策略的字段中使用
source-end-user-profile关键字any。如果在安全策略中使用 source-end-user-profile 字段,则必须引用特定的配置文件。发出访问尝试的设备必须与配置文件的属性匹配。
-
-
单个安全策略中只能指定一个设备身份配置文件。
-
更改安全策略的字段值时
source-end-user-profile,将触发安全策略重新匹配。更改配置文件的属性值时,不会触发重新匹配。
预定义设备标识属性
防火墙提供使用第三方 RESTful Web 服务 API 配置的预定义设备身份策略属性,该 API 由 NAC 系统或 Active Directory LDAP 使用。
-
设备身份
-
设备类别
-
设备供应商
-
设备类型
-
设备作系统
-
设备作系统版本
您可以在设备身份配置文件中为这些属性指定值。
设备标识配置文件、属性和目标扩展的特征
本节介绍防火墙如何处理设备身份属性和配置文件。它还为这些实体提供了与设备无关和设备相关的缩放编号。
以下属性和配置文件特征适用于它们在所有受支持的防火墙上的使用。
-
以下实体的最大长度为 64 个字节: 设备身份配置文件名称(在 CLI
end-user-profile中称为)、属性名称、属性值。 -
如果为同一属性配置多个数字值范围,则不能重叠范围内的值。
-
当设备将设备身份配置文件与安全策略匹配时,配置文件中的所有属性都会被考虑在内。以下是他们的对待方式:
-
如果设备身份配置文件包含某个属性的多个值,则将单独处理该属性的值。据说他们是OR的。
要将安全策略应用于设备,必须满足以下条件。设备必须匹配:
-
具有多个值的每个属性的值之一。
-
设备标识配置文件中指定的其余属性值。
-
安全策略字段值。
-
-
具有单个值的所有单个属性都单独处理,并一起被视为值的集合,也就是说,AND 运算应用于它们。设备使用其标准策略匹配标准来处理这些属性。
-
表 3 显示了设备身份身份验证功能中使用的与平台无关的缩放值。
| 项目 |
最大值 |
|---|---|
| 每个属性的值 |
20 |
| 每个配置文件的属性 |
100 |
| 每个安全策略的设备身份配置文件规范 (source-end-user-profile) |
1 |
表 4 显示了设备身份身份验证功能中使用的与平台相关的缩放值。
| 平台 |
最大配置文件数 |
属性值的最大总数 |
|---|---|---|
| SRX5000 系列 |
4000 |
32000 |
| SRX1500 |
1000 |
8000 |
| SRX300、SRX320 |
100 |
1000 |
| SRX340、SRX345 |
100 |
1000 |
| vSRX 虚拟防火墙 |
500 |
4000 |
| NFX150 |
100 |
1000 |
对设备身份配置文件的以下更改及其在安全策略中的使用不会导致设备执行会话扫描:
-
对安全策略中引用的配置文件进行更新。
-
配置文件配置的更新。
-
对通过 NAC 系统使用的 RESTful Web 服务 API 或 Active Directory LDAP 进行的属性进行更新。
设备身份认证表
当您将设备配置为使用设备身份身份验证功能进行基于设备身份及其属性进行身份验证时,设备将创建一个名为设备身份身份验证表的新表。与其他本地身份验证表不同,设备标识身份验证表不包含有关用户的信息,而是包含有关用户设备的信息。设备身份身份验证表充当所有设备的设备身份信息存储库,无论其身份验证源如何。例如,它可能包含通过 Active Directory 或第三方 NAC 身份验证源验证的设备的条目。
设备身份身份验证表条目包含以下部分:
-
设备的 IP 地址。
-
设备所属域的名称。
-
设备与之关联的组。
-
设备标识。
设备身份实际上是设备身份配置文件的身份(在 CLI
end-user-profile中称为 )。这种类型的配置文件包含一组属性,这些属性描述了特定的单个设备或特定的设备组,例如,特定类型的笔记本电脑。
用户防火墙模块 (UserFW) 身份验证的 IPv6 地址允许 IPv6 流量与为源身份配置的任何安全策略匹配。以下身份验证源支持 IPv6 地址:
-
Active Directory 身份验证表
-
使用 Active Directory 身份验证的设备标识
-
本地身份验证表
-
防火墙身份验证表
设备身份认证表内容更改的原因
当发生某些事件时,设备身份身份验证表中的设备身份条目将发生更改:当与设备身份条目关联的用户身份验证条目过期时,当有关引用设备所属组的安全策略更改时,当设备添加到组中或从组中删除时, 或者当它所属的组被删除并对 Windows Active Directory LDAP 服务器进行更改时。
-
当与设备身份条目关联的用户身份条目过期时
当设备在设备身份身份验证表中为设备生成条目时,它会将该条目与本地身份验证表中的用户身份条目相关联,用于对设备用户进行身份验证的特定身份验证源(如 Active Directory)。也就是说,它将设备身份身份验证表中的设备标识条目与用户身份验证表中的设备用户条目身份验证绑定。
当与设备身份条目关联的用户身份验证条目过期并从用户身份验证表中删除时,将从设备身份身份验证表中以静默方式删除设备标识条目。也就是说,不会发出任何消息来通知您此事件。
-
在引用设备所属的组方面发生安全性策略更改时
要根据设备标识控制对网络资源的访问,请创建一个可在安全策略中引用的设备标识配置文件。除其他属性外,设备身份配置文件还包含组的名称。当安全策略引用设备身份配置文件时,其中包含的组称为 相关组。
如果一个组被安全策略引用,即如果该组包含在安全策略的 e 字段中
source-end-user-devic指定的设备身份配置文件中,则该组有资格成为感兴趣组。如果某个组包含在当前未在安全策略中使用的设备身份配置文件中,则该组不会包含在感兴趣的组列表中。组可以在安全策略引用的组列表中移入和移出。 -
将设备添加到组或从组中删除设备或删除组时
为了使本地设备身份身份验证表中的设备身份条目保持最新,防火墙监视 Active Directory 事件日志的更改。除了确定设备是否已注销或已登录网络外,它还可以确定设备可能所属的任何组所做的更改。当设备所属的组发生更改时(即,将设备添加到组或从组中删除设备或删除组时),设备会修改其自己的设备标识身份验证表中受影响设备条目的内容,以反映在 Microsoft Windows Active Directory LDAP 服务器中所做的更改。
设备身份身份验证表将根据设备在 LDAP 服务器中与之关联的组的更改进行更新,如 表 5 所示。
| 对 LDAP 所做的更改 |
防火墙 LDAP 消息和用户 ID 守护程序作 |
|---|---|
| 设备的组信息已更改。设备已添加到组中或从组中删除,或者设备所属的组已被删除。 |
Active Directory LDAP 模块将更改通知发送到防火墙用户 ID 守护程序,指示其修订其本地设备身份身份验证表中的信息。 设备每 2 分钟处理一次这些消息。 |
| LDAP 中的设备条目将被删除。 |
Active Directory LDAP 模块将更改通知发送到 UserID 守护程序,指示其修订其本地设备身份身份验证表中的信息。 设备每 2 分钟处理一次这些消息。 |
防火墙或 NFX 系列设备 UserID 守护程序将收到更改通知。安全策略中是否指定设备所属的组会影响受影响设备的设备身份身份验证表条目中存储的信息。 表 6 显示了将组添加到 Active Directory LDAP 或从 Active Directory LDAP 中删除组时发生的活动。
| 设备身份配置文件更改 |
设备组映射行为 |
防火墙用户 ID 守护程序响应 |
|---|---|---|
| 已添加到 Active Directory LDAP 的新组将添加到防火墙身份配置文件中。 |
设备从 Active Directory LDAP 服务器获取属于新组及其子组的设备列表。它会将列表添加到其本地 LDAP 目录中。 |
UserID 守护程序确定设备身份身份验证表是否包含受影响设备集的条目。如果是这样,它将更新这些条目的组信息。 例如,下面是 device1 在更新为包含新组之前和添加组之后的条目:
|
| 组将从 Active Directory LDAP 中删除。设备会从设备标识配置文件中删除该组。 |
设备从其本地 LDAP 数据库中获取属于已删除组的设备列表。 它会从本地 LDAP 目录中删除设备组映射。 |
UserID 守护程序检查设备身份身份验证表中是否存在属于该组的条目。它会从受影响的条目中删除该组。 例如,下面是删除组之前和删除组之后的 device1 条目:
|
表 7 详细说明了受删除组影响的多个设备的设备身份验证条目的内容。
| IP 地址 |
设备信息 |
群组 |
|---|---|---|
| 原创条目 |
||
| 192.0.2.10 |
设备1 |
第 1 组、第 2 组 |
| 192.0.2.11 |
设备2 |
第 3 组、第 4 组 |
| 192.0.2.12 |
设备3 |
组 2 |
| 删除 group2 后的相同条目 |
||
| 192.0.2.10 |
设备1 |
组 1 |
| 192.0.2.11 |
设备2 |
第 3 组、第 4 组 |
| 192.0.2.12 |
设备3 |
此条目不再包含组。 |
用于网络访问控制的 Windows Active Directory 中的设备标识信息
您可以使用设备身份身份验证功能,根据所用设备的身份和属性(而不是用户身份)来控制对网络资源的访问。有关设备的信息存储在设备身份身份验证表中。您可以指定包含安全策略的 source-end-user-profile 字段中的设备属性的设备身份配置文件的名称。如果满足所有条件,则安全策略的作将应用于从该设备发出的流量。
为了让您能够在安全策略中使用设备身份配置文件,防火墙必须获取经过身份验证设备的设备身份信息。设备将创建设备身份身份验证表,用于存储设备身份条目。当流量从设备到达时,它会在表中搜索设备匹配项。本主题考虑将 Active Directory 用作身份验证源时遵循的过程。
Active Directory 域控制器在用户登录到域时对其进行身份验证,并将该事件的记录写入 Windows 事件日志。当用户注销域时,它还会将记录写入事件日志。域控制器事件日志向设备提供有关域中当前处于活动状态的经过身份验证的设备以及这些设备何时从域注销的信息。
UserID 守护程序执行以下作:
-
它读取 Active Directory 域控制器事件日志,以获取登录到域并经过 Windows 身份验证的设备的 IP 地址。
设备路由引擎中的 UserID 守护程序实现具有 Microsoft 分布式 COM/Microsoft RPC 堆栈的 Windows Management Instrumentation (WMI) 客户端和身份验证机制,以与 Active Directory 域中的 Windows Active Directory 域控制器通信。使用从 Active Directory 控制器检索到的事件日志信息,该进程将获取活动 Active Directory 设备的 IP 地址。该进程使用相同的 WMI DCOM 接口监视 Active Directory 事件日志更改,以调整其本地身份验证表中的设备标识信息,以反映对 Active Directory 服务器所做的任何更改。
-
它使用从事件日志中获取的设备 IP 地址来获取有关设备所属组的信息。要获取此组信息,设备将使用 LDAP 协议连接到 Active Directory 控制器中的 LDAP 服务。
完成此过程后,设备能够在设备身份身份验证表中为设备生成条目。在设备标识身份验证表中为设备生成条目后,设备会将该条目与其本地 Active Directory 身份验证表中的相应用户条目相关联。然后,您可以在安全策略中引用设备身份配置文件条目来控制对资源的访问。
行为和约束
-
读取事件日志的过程会消耗域控制器的 CPU 资源,这可能会导致域控制器中的 CPU 使用率过高。因此,Active Directory 域控制器应具有至少 4 个内核和 8 GB 内存的高性能配置。
-
域控制器事件日志记录设备 ID 的最大长度为 16 个字节,包括空终止符。因此,设备从域控制器获取的设备 ID 的最大长度为 15 字节。
-
如果域控制器清除事件日志,或者写入事件日志的数据丢失或延迟,则设备标识映射信息可能不准确。如果防火墙无法读取事件日志或事件日志包含空数据,设备将在自己的日志中报告错误情况。
-
如果设备标识信息表已达到容量,则无法添加新的设备标识条目。在这种情况下,来自设备的流量将被丢弃。
适用于第三方 NAC 身份验证系统的设备身份 XML 解决方案
图 2 显示了防火墙与用于设备身份身份验证的第三方 NAC 身份验证源之间的通信。防火墙从 NAC 系统接收设备身份信息,并将其存储在其本地设备身份身份验证表中。指定设备身份配置文件的安全策略适用于一个或多个设备。如果设备与设备身份配置文件和安全策略的其他部分匹配,则安全策略将应用于从该设备发出的流量。
在安全策略中使用设备身份配置文件是可选的。如果未在安全策略的 source-end-user-profile 字段中指定设备身份配置文件,则假 定为“any”配置文件。但是,不能在安全策略的 source-end-user-profile 字段中使用关键字“any”。它是一个保留关键字。
防火墙上的 XML Web API 实施
RESTful Web 服务 API 使您能够以正式的 XML 结构将设备标识信息发送到防火墙。它允许您的 NAC 解决方案与设备集成,并有效地向设备发送设备信息。使用 API 向设备发送信息时,必须遵守正式结构和限制。
确保从 NAC 服务发送到防火墙的数据的完整性
以下要求可确保从 NAC 服务发送的数据不会受到损害:
-
API 实现仅限于处理 HTTP/HTTPS POST 请求。它收到的任何其他类型的请求都会生成错误消息。
-
API 守护程序仅分析和处理来自以下专用 URL 的 HTTP/HTTPS 请求:
/api/userfw/v1/post-entry
-
您的 NAC 解决方案发布到防火墙的 HTTP/HTTPS 内容的格式必须一致正确。正确的 XML 格式表示没有妥协,并确保用户身份信息不会丢失。
数据大小限制和其他约束
以下数据大小限制和限制适用于发布到防火墙的数据:
-
NAC 身份验证系统必须控制其发布的数据大小。否则,Web API 守护程序无法处理它。Web API 守护程序最多可以处理 2 MB 的数据。
-
以下限制适用于角色和设备安全态势信息的 XML 数据。Web API 守护程序丢弃发送给它的超过这些数量的 XML 数据(即溢出数据):
-
设备最多可处理 209 个角色。
-
设备仅支持一种带有六个可能的安全状况令牌或值的安全状况。单个用户的身份信息只能有一个安全状况令牌。
-
会话日志文件中的用户身份信息
将 Active Directory 作为身份源允许您将系统配置为按用户名或组名称将用户身份写入会话日志,而无需在安全策略中使用源身份(源身份)元组。通过写入日志的姓名(而不仅仅是用户设备的 IP 地址)来了解用户的身份,可以让您更清楚地了解他们的活动,并允许您更快、更轻松地解决安全问题。依靠源区域(从区域)触发用户标识日志记录而不是源标识会扩大记录源标识的用户的范围。
有关更多信息,请参阅 示例:基于源区域将用户身份信息配置到会话日志。
通常,对于每个安全策略,您必须在策略中指定源和目标 IP 地址以及流量匹配的区域。还必须指定流量匹配到的应用。如果流量符合这些条件,则安全策略的作将应用于从用户设备发出的流量。但是,不会将用户身份信息写入会话日志。
或者,您可以在安全策略的源身份元组中指定用户身份(即用户名或组名),而不是完全依靠用户设备的 IP 地址来识别流量来源。如果满足其他安全策略匹配条件,则通过将安全策略作的应用范围缩小到单个已识别用户或一组用户,这种方法使您可以更好地控制资源访问。但是,使用源身份元组会将策略应用限制为来自单个用户或用户组的流量。
您可能希望系统根据其所属的区域(from-zone)将流量来源的所有用户的用户身份写入会话日志。在这种情况下,您不希望将流量匹配和安全策略应用程序缩小到单个用户或用户组,这在配置源-身份元组时就可以完成。
基于区域的用户身份功能允许您指示系统将属于使用source-identity-log语句配置的区域的任何用户的日志用户身份信息,当该区域在匹配的安全策略中用作源区域时。
要使源身份日志功能生效,您还必须将会话初始化 (session-init) 和会话结束 (session-close) 事件的日志记录配置为安全策略作的一部分。
表 8 列出了支持此功能的平台。
| 支持的防火墙平台 |
|---|
| SRX320 |
| SRX380 |
| SRX1500 系列 |
Active Directory 作为身份源认证表
作为标识源的 Active Directory 将为身份验证表中具有用户标识和身份验证条目的每个用户管理多达 2048 个会话。除了 2048 支持的会话之外,可能还有与用户关联的其他会话,但这些会话不由 Active Directory 作为标识源进行管理。删除身份验证表中的身份验证条目时,作为标识源的 Active Directory 仅关闭与该条目关联的会话。它不会关闭它无法管理的会话。
表 9 列出了 Active Directory 作为身份源身份验证表设备支持,具体取决于安装中的 Junos OS 版本。
| 设备 |
身份源认证表条目 |
域 |
控制器 |
|---|---|---|---|
| SRX300、SRX320 |
500 |
1 |
5 |
| SRX340、SRX345、SRX380 |
1000 |
1 |
5 |
| SRX1500、SRX1600、SRX2300 SRX4120 |
20,000 |
2 |
10 |
| SRX4000 系列 |
50,000 |
2 |
10 |
| SRX5000 系列 |
用户条目如下:
|
2 |
10 |
| vSRX 虚拟防火墙(2 个 vCPU 和 4 GB vRAM、5 个 vCPU 和 8 GB vRAM) |
5000 |
2 |
10 |
| vSRX 虚拟防火墙(9 个 vCPU 和 16 GB vRAM、17 个 vCPU 和 32 GB vRAM) |
10,000 |
2 |
10 |
| NFX150 |
500 |
1 |
5 |
Active Directory 作为身份源超时设置
此处的超时设置是指防火墙身份验证强制超时,因为它适用于通过强制门户进行身份验证的用户的 Active Directory 身份验证条目。
当用户通过强制门户进行身份验证时,将根据 防火墙 从防火墙身份验证模块获取的信息为该用户生成身份验证表条目。此时,默认的基于流量的身份验证超时逻辑将应用于条目。
作为管理员,控制通过强制门户进行身份验证的非域用户保持身份验证的时间对您来说非常重要。超时功能为您提供了这种控制权。使用它可确保非域用户不会无限期地保持身份验证状态。例如,假设流量是连续的,进出通过强制门户进行身份验证的非域用户的设备。鉴于默认基于流量的身份验证超时行为,非域用户将无限期保持身份验证状态。
配置超时值后,它将与基于流量的超时逻辑结合使用。下面介绍超时设置如何影响通过强制门户进行身份验证的用户的 Active Directory 身份验证条目。在以下所有情况下,在用户通过强制门户进行身份验证后,系统会根据防火墙身份验证信息为用户生成身份验证条目。
-
超时设置为 3 小时。
流量将继续由与用户身份验证条目关联的设备接收和生成。3 小时后,身份验证条目将过期,尽管此时数据包转发引擎中已锚定身份验证条目的会话。
-
如果设置,超时不起作用。
身份验证条目没有锚定到它的会话。它在为身份验证条目超时设置的时间(例如 30 分钟)后过期。
-
超时配置将被删除。
超时对新的身份验证条目没有影响。对于在删除超时之前应用的现有身份验证条目,超时仍然强制执行。也就是说,对于这些身份验证条目,原始超时设置仍然有效。
-
超时配置设置已更改。
新的超时设置将应用于新的传入身份验证条目。现有条目保留原始的、以前的设置。
-
超时设置为 0,将其禁用。
如果超时设置为新值,则该值将分配给所有传入身份验证条目。现有身份验证条目没有超时设置。
-
未配置超时值。
-
防火墙为用户生成身份验证条目。默认的基于流量的超时逻辑将应用于身份验证条目。
-
活动目录超时值配置为 50 分钟。基于流量的 50 分钟超时将应用于身份验证条目。
-
未配置活动目录超时。默认的基于流量的超时 30 分钟将应用于身份验证条目。
-
特定于平台的 Active Directory 作为身份源行为
使用 功能资源管理器 确认平台和版本对 Active Directory 作为标识源的支持。
使用下表查看平台的特定于平台的行为:
特定于平台的 WMIC 行为
| 平台 | 差异 |
|---|---|
| SRX 系列防火墙 |
|
特定于平台的探针速率行为
| 平台 | 差异 |
|---|---|
| SRX 系列防火墙 |
|