Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

Aruba ClearPass

了解防火墙和 NFX 系列设备如何与 Aruba ClearPass 通信。您可以了解 Web API 和用户查询功能。

防火墙和 NFX 系列设备与 Aruba ClearPass 关联,以便根据其用户名或所属的组(而非设备的 IP 地址)从用户级别控制用户访问。

ClearPass 和防火墙之间的通信

防火墙和 ClearPass 策略管理器 (CPPM) 相互通信以验证用户身份并提供对互联网和内部受保护资源的访问。

好处

  • 快速轻松地访问有助于管理和维护您的网络、客户端和设备的数据。

  • 持续监控和高级分析,提供对网络的实时可见性。

防火墙和 ClearPass 之间如何进行通信?

图 1:ClearPass 和防火墙通信 ClearPass and firewall Communication

  1. ClearPass 策略管理器 (CPPM) 使用 Web API 启动与防火墙的安全连接。

  2. 三个用户加入网络并由 CPPM 进行身份验证。

    • 平板电脑用户通过企业 WAN 加入网络。

    • 智能手机用户通过企业 WAN 加入网络。

    • 无线笔记本电脑用户从连接到连接到企业 LAN 的第 2 层交换机的有线笔记本电脑加入网络。

  3. CPPM 使用 Web API 在 POST 请求消息中将登录到网络的用户的用户身份验证和身份信息发送到防火墙。

    当来自用户的流量到达防火墙时,防火墙:

    • 标识流量匹配的安全策略。

    • 在 ClearPass 身份验证表中查找用户的身份验证条目。

    • 在对用户进行身份验证后,将安全策略应用于流量。

  4. 来自请求访问内部受保护资源的智能手机用户的流量会到达防火墙。由于满足步骤 3 中确定的所有条件,并且安全策略允许,因此防火墙允许用户连接到受保护的资源。

  5. 来自请求访问受保护资源的有线笔记本电脑用户的流量到达防火墙。由于满足步骤 3 中确定的所有条件,并且安全策略允许,因此防火墙允许用户连接到资源。

  6. 来自请求访问互联网的平板电脑用户的流量到达防火墙。由于满足步骤 3 中确定的所有条件,并且安全策略允许,因此防火墙允许用户连接到 Internet。

  7. UserID 守护程序从 CPPM 获取完整的 IP 用户映射。对于每个经过身份验证的用户,UserID 守护程序会在路由引擎身份验证表中生成一个条目。

    路由引擎身份验证表很常见,因为它保存基于除 ClearPass 之外来自其他身份验证源的信息的身份验证条目。例如,它还可能保存由 Microsoft Active Directory 验证的用户的条目。

  8. UserID 守护程序将用户认证信息从路由引擎认证表同步到数据包转发引擎上的 ClearPass 认证表。ClearPass 身份验证表专门用于保存仅 ClearPass 身份验证信息。请参阅图 2。

    图 2:从 CPPM 到同步到 ClearPass 身份验证表的防火墙路由引擎的用户信息 User Information from the CPPM to the firewall Routing Engine Synchronized to the ClearPass Authentication Table

防火墙将在以下过程中使用经过身份验证的用户身份信息。当用户尝试访问内部受保护资源或互联网时,设备:

  • 检查用户生成的流量中是否存在匹配的安全策略。源流量必须与安全策略中指定的所有元组匹配。匹配项包括 source-identity 字段,该字段指定用户名或组名。

    要识别匹配项,防火墙会将用户名或组名与安全策略中配置的源身份规范以及所有其他安全策略值进行比较。

  • 如果找到安全策略匹配项,则检查 ClearPass 认证表中是否有用户的认证条目。

    如果在 ClearPass 身份验证表中未找到条目,防火墙将按您指定的顺序检查其他本地身份验证表,直到找到匹配项。但是,如果配置了用户查询功能,则不会检查其他本地认证表。

    在某些情况下,当防火墙尚未从 CPPM 收到单个用户信息时,防火墙可以向 CPPM 查询该信息。此功能称为用户查询。

借助 Aruba ClearPass 加强安全性

防火墙或 NFX 系列设备与 Aruba ClearPass 协同工作,通过在用户身份级别实施安全性并控制用户对 Internet 的访问来保护您的网络资源。ClearPass 策略管理器 (CPPM) 可以跨有线、无线和 VPN 基础架构对用户进行身份验证。

为什么需要具有实施安全性的 Aruba ClearPass?

  1. 风险和挑战 — 使用公司智能手机是企业面临的最大 IT 安全风险之一。

    • 当今的网络环境更容易受到各种攻击,因为它们或多或少地支持 随时随地的任何设备 访问,并且允许用户使用多个同时联网的设备。

    • 攻击者可以访问附近公司拥有的移动设备,并在其上安装恶意软件,然后他们可以随时使用这些移动设备捕获数据。

    • 攻击者可以发起信息收集活动,阻止业务活动,并窃取敏感的公司数据。

  2. 业务需求 — 移动设备和云服务的激增及其安全已成为企业网络安全的基本战略组成部分。

    • 在支持移动设备的工作环境中,了解用户的身份非常重要。

    • 用户的身份为 IT 管理员提供了更好的优势,可以识别攻击源并阻止遵循相同策略的未来潜在攻击。

    • 具有强制执行安全性的 ClearPass 可防止通过使用移动设备和多个同时连接的设备而引入的恶意入侵。

  3. 使用 ClearPass 进行保护 — 具有强制执行安全性的 ClearPass 允许您配置安全策略,通过用户名或用户所属的组来识别用户,从而保护您免受攻击和入侵。

    • ClearPass 可识别针对您的网络环境的威胁和攻击,并将此信息提供给 CPPM。

    • 作为 CPPM 的管理员,您可以更好地协调您的安全实施,以防止将来可能出现的同类攻击。

    • 如果用户使用多台设备登录网络,您可以根据其身份跟踪其活动,而不仅仅是通过他们的设备。

    • 您可以轻松控制他们的网络访问以及代表他们的任何恶劣活动,无论是否有意。

具有强制执行安全性的 Aruba ClearPass 的工作原理是什么?

具有实施安全性的 Aruba ClearPass 提供 SCREENS、IDP 和内容安全功能的保护,以保护您的网络免受各种攻击策略的攻击。除了保护公司的网络资源外,该设备还可以向CPPM提供这些保护性安全功能生成的日志记录,以响应攻击或攻击威胁。了解已经发生的威胁和特定攻击可以帮助 IT 部门识别不合规的系统和网络中暴露的区域。借助这些信息,他们可以通过执行设备合规性和加强对资源的保护来加强安全性。

具有实施安全性的 ClearPass 可让您在用户级别进行精细控制:

  • 您现在是设备的管理员,可以在 身份感知安全策略的身份源参数中指定 CPPM 发布到设备的用户名或角色(组)名称。您不再局限于仅依靠设备的 IP 地址来识别用户。关注设备的用户,而不仅仅是设备,可以增强对安全实施的控制。

  • 除了向防火墙提供经过身份验证的用户信息外,CPPM 还可以将设备类型映射到角色,并将用户分配给该角色。然后,它可以将该角色映射发送到防火墙。此功能允许您在用户使用 特定类型的设备时,通过安全策略控制他们对资源的访问。

例如,假设 CPPM 的管理员配置了一个名为 marketing-company-device 的角色,并将公司设备和营销部门的成员都映射到该角色。作为设备的管理员,您可以在安全策略中指定该角色,就像它是一个组一样。然后,安全策略将应用于映射到角色的所有用户,并在他们使用该类型的设备类型时从本质上控制其网络活动。

防火墙安全策略利用从 CPPM 发送到设备的用户身份验证和身份信息,保护公司资源并实施精细的访问控制。CPPM 充当身份验证源。它使用自己的内部 RADIUS 服务器来验证用户。它还可以依靠外部身份验证源(如外部 RADIUS 服务器或 Active Directory)为其执行身份验证。

CPPM 身份验证由 NAS 设备(如交换机和访问控制器)的请求触发。CPPM 使用设备向其公开的 RESTful Web 服务的 XML 部分向设备发送经过身份验证的用户身份和设备状况信息的 POST 请求消息。

防火墙和 Aruba ClearPass 简化了保护公司资源和实施移动设备互联网访问策略所需的复杂安全任务。这种安全性在支持移动体验的网络环境中至关重要,因为网络环境使用户可以自由使用各种设备,包括他们自己的系统、智能手机和平板电脑。

Web API 函数

防火墙向 CPPM 公开其 Web API 守护程序 (webapi) 接口,使 CPPM 能够与其集成,并有效地将经过身份验证的用户身份信息发送到设备。Web API 守护程序充当 HTTP 服务器,因为它实现支持并发 HTTP 和 HTTPS 请求的 RESTful Web 服务的一部分。在这种关系中,CPPM 是客户端。Web API 守护程序仅限于处理 HTTP/HTTPS 请求。它收到的任何其他类型的请求都会生成错误消息。

如果要同时部署 ClearPass Web API 功能和 Web 管理,则必须确保它们使用不同的 HTTP 或 HTTPS 服务端口。但是,出于安全考虑,我们建议您使用 HTTPS 而不是 HTTP。支持 HTTP 主要用于调试目的。

配置 Web API 时,如果使用 HTTPS 作为连接协议,请指定证书密钥。为确保安全性,HTTPS 默认证书密钥大小为 2048 字节。如果未指定证书大小,则假定为默认大小。有三种方法可用于指定证书:

  • 默认证书

  • PKI 生成的证书

  • 自定义证书和证书密钥

    Web API 仅支持证书和证书密钥配置的隐私增强邮件 (PEM) 格式。

如果在默认端口(HTTP (8080) 或 HTTPS (8443))上启用 Web API,则必须在端口上启用主机入站流量。如果在任何其他 TCP 端口上启用该功能,则必须启用指定参数 any-service的主机入站流量。例如:

Web API 守护程序在机箱群集环境中的主路由引擎上运行。机箱群集切换后,守护程序将在新的主路由引擎上自动启动。它对数据包转发引擎没有影响。Web API 支持从 CPPM 获取的 IPv4 和 IPv6 地址用户条目。

从 ClearPass 发送到防火墙的数据的完整性

以下要求可确保从 CPPM 发送的数据不受损害:

  • Web API 实现仅限于处理 HTTP/HTTPS POST 请求。它收到的任何其他类型的请求都会生成错误消息。

  • Web API 守护程序仅分析和处理来自以下专用 URL 的 HTTP/HTTPS 请求:

  • CPPM 发布到设备的 HTTP/HTTPS 内容的格式必须一致正确。正确的 XML 格式表示没有妥协,并确保用户身份信息不会丢失。

数据大小限制和其他约束

以下数据大小限制和局限性适用于 CPPM:

  • CPPM 必须控制其发布的数据的大小。否则,Web API 守护程序将无法处理它。目前,Web API 最多可以处理 2 MB 的数据。

  • 以下限制适用于角色和设备状况信息的 XML 数据。Web API 守护程序丢弃发送给它的超过这些量的 XML 数据(即溢出数据):

    • 防火墙最多可以处理 209 个角色。

    • 防火墙仅支持一种具有六个可能的安全状况标记或值的终端安全评估。单个用户的身份信息只能有一个终端安全状况令牌。

    • CPPM 检查防火墙的运行状况和状态,并可将该信息作为其发布的用户信息的一部分发送到防火墙。

    • 您无法在防火墙上定义安全状况。此外,防火墙不会检查它收到的状况信息。

终端安全状况状态和终端安全状况组

在 CPPM 的上下文中,用户、角色和状态令牌字段是不同的。每组用户身份信息都包含用户和角色(组)身份以及一个终端安全状况令牌。由于防火墙或 NFX 系列设备仅支持用户和角色(组)字段,因此通过添加前缀 posture–,终端安全评估令牌值将映射到角色。然后,您可以在安全策略中作为一个组使用该角色,并且该策略将应用于与该策略匹配的所有流量。

预定义的终端安全状况标识状态为:

  • posture-healthy (HEALTHY)

  • 状态检查 (CHECKUP)

  • 安全状况过渡 (TRANSITION)

  • 安全状况隔离 (QUARANTINE)

  • 态势感染 (INFECTED)

  • 状况未知 (UNKNOWN)

用户查询功能

如果 ClearPass 策略管理器 (CPPM) 未将单个用户的用户身份验证和身份信息直接发布到防火墙,则可以获取该信息。

由于各种原因,CPPM 可能会不发送用户的用户身份验证信息。当来自该用户的流量到达防火墙时,防火墙无法对用户进行身份验证。如果将设备配置为启用用户查询功能,则可以在 ClearPass Web 服务器中查询单个用户的身份验证信息。设备基于用户设备的 IP 地址进行查询,该 IP 地址是从用户的访问请求流量中获取的。

如果配置了用户查询功能,则当设备收到来自请求访问资源或互联网的用户的流量时,如果设备在其 ClearPass 身份验证表中找不到该用户的条目,则会自动触发查询过程。防火墙不会搜索其其他身份验证表。相反,它会向 CPPM 发送查询,请求用户的身份验证信息。在此示例中:

图 3:ClearPass 集成用户查询功能 The ClearPass Integration User Query Function

  1. 用户尝试访问资源。防火墙接收请求访问的流量。防火墙在其 ClearPass 身份验证表中搜索用户的条目,但未找到任何条目。

  2. 防火墙请求从 CPPM 对用户进行身份验证。

  3. CPPM 对用户进行身份验证,并将用户身份验证和身份信息返回给设备。

  4. 防火墙在其 ClearPass 身份验证表中为用户创建一个条目,并授予用户访问 Internet 的权限。

您可以通过配置以下两种机制来控制设备何时自动发送请求:

  • delay-query-time参数

    要确定要为参数设置的 delay-query-time 值,有助于了解如何将用户身份信息从 ClearPass 传输到设备所涉及的事件和持续时间。该 delay-query-time 参数会影响查询过程:

    1. 从 CPPM 最初使用 Web API 将用户身份信息发布到设备,到设备可以使用该信息更新其本地 ClearPass 身份验证表,都会产生延迟。

    2. 用户身份信息必须首先通过 ClearPass 设备的控制平面和设备的控制平面。换言之,当防火墙可以在其 ClearPass 身份验证表中输入用户身份信息时,此过程可能会延迟。

    3. 在此过程中,流量可能会到达由用户的访问请求生成的设备,而用户的身份验证和身份信息正在从 ClearPass 传输到设备。

      您可以设置一个delay-query-time参数(以秒为单位指定),允许设备等待一段时间,然后再发送查询,而不是允许设备通过立即发送用户查询来自动响应。

    4. 延迟超时到期后,防火墙会将查询发送到 CPPM,并在路由引擎身份验证表中创建一个挂起的条目。在此期间,流量将与默认策略匹配,并根据策略配置被丢弃或允许。

    5. 如果队列中有多个查询请求,防火墙可以与 ClearPass 保持多个并发连接,以增加吞吐量。但是,为了确保这些连接不会对 ClearPass 施加压力,并发连接数限制为不超过 20 个 (<=20)。您无法更改此值。

  • 默认策略,如果防火墙在 ClearPass 身份验证表中找不到与流量关联的用户条目,则将应用于数据包。

    系统默认策略配置为丢弃数据包。您可以通过配置指定要应用于此流量的不同作的策略来覆盖此作。

表 1:CLI 处理的用户查询函数与 Active Directory 身份验证之间的关系

配置了 Active Directory

ClearPass 用户查询功能已启用

CLI 检查结果

通过

是的

通过

是的

通过

是的

是的

失败

若要避免表底行中反映的故障情况,必须禁用 Active Directory 或用户查询功能。如果两者都配置了,系统将显示以下错误消息:

在响应用户查询请求时,ClearPass Web 服务器会返回在请求中指定了 IP 地址的用户设备的信息。此响应包括一个时间戳,该时间戳以 ISO 8601 定义的 UTC(协调世界时)表示。

以下是一些示例:

  • 2016-12-30T09:30:10.678123Z

  • 2016-12-30T09:30:10Z

  • 2016-06-06T00:31:52-07:00

表 2:ISO 8601 定义的时间戳组件

格式组件

意义

YYYY

两位数的月份

DD

两位数的月份

HH

两位数的小时(00 到 23)

毫米

两位数的分钟

SS

两位数秒

s

表示小数点分数的一个或多个数字

TZD

时区标志:Z 或 +hh:mm 或 -hh:mm

过滤和速率限制威胁和攻击日志

防火墙将记录的威胁和攻击日志传输到 ClearPass 策略管理器 (CPPM)。CPPM 可以使用日志数据来强化安全性。您还可以配置与特定设备及其用户相关的威胁和攻击。有关更多信息,请参阅 示例:配置 ClearPass 以过滤和速率限制威胁和攻击日志

ClearPass 如何检测威胁和攻击并通知 CPPM

当防火墙检测到威胁和攻击事件时,该事件将记录在防火墙事件日志中。防火墙使用系统日志将日志转发给 CPPM。CPPM 可以评估日志并根据匹配条件采取措施。作为 ClearPass 的管理员,您可以使用防火墙中的信息,并对 CPPM 定义适当的作,以加强安全性。

防火墙上的 Junos OS 可生成 100 多种不同类型的日志条目,这些日志条目由其 10 多个模块发出。生成威胁和攻击日志的防火墙包括 SCREENS、IDP 和 Content Security。为避免防火墙和日志服务器负担过重,ClearPass 允许您将防火墙配置为仅向 CPPM 发送写入事件日志的攻击和威胁日志条目,以响应 SCREENS、IDP 和 Content Security 功能检测到的活动。

您可以设置以下条件来控制日志传输:

  • 日志流过滤器,用于确保仅发送威胁和攻击日志。

  • 用于控制传输量的速率限制器。设备日志传输不会超过您设置的速率限制条件。

为了使 CPPM 分析发送给它的日志信息,必须以标准的结构化方式格式化内容。防火墙日志传输遵循 syslog 协议,该协议采用消息格式,允许以结构化方式提供特定于供应商的扩展。

表 3:使用示例日志的攻击日志字段

日志条目组件

意义

格式

优先权

PRI = LOG_USER + 严重性。版本始终为 1

PRI公司 version

<14>1

时间和时区

日志的记录时间以及时区。

y-m-dThs.ms+time zone

  • y = 年份

  • m=月

  • d = 天

  • T+小时

2014年07月24T1358.362+08:00

设备/主机名

发送事件日志的设备的名称。此值由用户配置。

字符串 hostname

BJSOLAR太阳能

服务名称

发出事件日志的 SRX 系列功能。

字符串 service

SERVICE_IDP

应用名称

生成日志条目的应用程序。

字符串 application-name

没有

PID

进程 ID。

进程 ID 在此上下文中没有意义,因此 pid 将替换为“-”。

值“-”是进程 ID 的占位符。

pid

-

errmsg 标记

日志 ID 名称、错误消息标记。

字符串 log-name and tag

IDP_ATTACK_LOG_EVENT

Errmsg 标记方括号

日志内容用方括号括起来。

[ ]

-

OID

机箱守护程序 (chassisd) 提供的产品 ID。

junos@oid

junos@2636.1.1.1.2.86

大纪元时间

纪元之后生成日志的时间。

number

1421996988

发送到 Aruba ClearPass 的威胁和攻击日志

防火墙和实施功能与 Aruba ClearPass 协同工作,通过使用攻击和威胁事件日志来保护公司资源免遭潜在和实际攻击。这些日志由 SRX 系列筛选、IDP 和内容安全组件生成,可清楚地识别威胁公司网络安全的攻击和威胁类型。

防火墙从整体日志条目中过滤报告威胁和攻击事件的日志,并将这些日志条目转发到 ClearPass 策略管理器 (CPPM),用于评估和实施公司的安全策略。防火墙以您设置的速率限制条件确定的卷传输日志。

表 4: SRX 系列组件生成的威胁和攻击日志条目

日志类型

描述

RT_SCREEN_ICMP

ICMP 攻击

RT_SCREEN_ICMP_LS

RT_SCREEN_IP

IP 攻击

RT_SCREEN_IP_LS

RT_SCREEN_TCP

TCP 攻击

RT_SCREEN_TCP_LS

RT_SCREEN_TCP_DST_IP

TCP 目标 IP 攻击

RT_SCREEN_TCP_DST_IP_LS

RT_SCREEN_TCP_SRC_IP

TCP 源 IP 攻击

RT_SCREEN_TCP_SRC_IP_LS

RT_SCREEN_UDP

UDP 攻击

RT_SCREEN_UDP_LS

AV_VIRUS_DETECTED_MT

病毒感染

防病毒扫描程序检测到病毒。

AV_VIRUS_DETECTED_MT_LS

ANTISPAM_SPAM_DETECTED_MT

垃圾邮件

经识别的电子邮件被检测为垃圾邮件。

ANTISPAM_SPAM_DETECTED_MT_LS

IDP_APPDDOS_APP_ATTACK_EVENT

应用级分布式拒绝服务 (AppDDoS) 攻击

当客户端事务数量超过用户配置的连接、上下文和时间绑定阈值时,就会发生 AppDDoS 攻击。

IDP_APPDDOS_APP_ATTACK_EVENT_LS

IDP_APPDDOS_APP_STATE_EVENT

AppDDoS 攻击

当应用程序事务数超过用户配置的连接或上下文阈值时,就会发生 AppDDoS 状态转换。

IDP_APPDDOS_APP_STATE_EVENT_LS

IDP_ATTACK_LOG_EVENT

IDP 发现的攻击

IDP 为攻击生成了日志条目。

IDP_ATTACK_LOG_EVENT_LS

使用 JIMS 的 ClearPass

防火墙依靠瞻博网络身份身份管理服务 (JIMS) 和 ClearPass 来获取用户身份信息。您可以同时配置 ClearPass 和瞻博网络身份管理服务 (JIMS)。同时配置 ClearPass 和 JIMS 时,防火墙可以在 JIMS 中查询用户标识条目,而 ClearPass 可以通过 Web API 将这些条目推送到设备。有关更多信息,请参阅 示例:使用 JIMS 配置 ClearPass

ClearPass 如何与 JIMS 协同工作?

当用户通过 CPPM 进行身份验证时,CPPM 使用 Web API 将用户或设备信息推送到防火墙。防火墙为用户构建认证条目或设备信息,用户流量可以基于安全策略通过防火墙。当 Windows Active Directory 客户端登录到域时,防火墙通过批量查询从 JIMS 获取客户端的用户或设备信息。身份验证表将随 JIMS 提供的条目进行更新。用户流量可以根据安全策略通过设备。

同时启用 JIMS IP 查询和 ClearPass 用户查询时,防火墙将始终首先查询 ClearPass。如果 CPPM 返回 IP 用户映射信息,则随后将该信息添加到身份验证表中。如果 CPPM 未返回 IP 用户映射信息,或者防火墙收到来自 CPPM 的响应而没有 IP 用户映射,则防火墙将查询 JIMS 以获取 IP 用户或组映射。

当从 JIMS 和 CPPM 接收到 IP 用户或组映射时,防火墙会考虑最新的身份验证条目并覆盖现有的身份验证条目。

您可以设置一个 delay-query-time 参数(以秒为单位),该参数允许设备等待一段时间,然后再发送查询。ClearPass 和 JIMS 的延迟时间值应相同。否则,将显示一条错误消息,并且提交检查将失败。

当从 JIMS 和 CPPM 接收到 IP 用户或组映射时,设备会考虑最新的身份验证条目并覆盖现有的身份验证条目。

ClearPass 与 JIMS 配合使用的不同场景

ClearPass with JIMS 工作原理的详细说明及场景如下:

方案 1:如果 CPPM 使用 IP 用户或组映射信息进行响应,防火墙将执行什么作

图 4 显示了防火墙何时向 CPPM 查询 IP 用户或组映射信息并将其添加到身份验证表。

  1. 用户尝试访问资源。当防火墙收到流量请求时,它会在其 ClearPass 身份验证表和本地 Active Directory 身份验证表中搜索用户的条目,但未找到用户信息。

  2. 防火墙向 ClearPass 查询用户身份。

  3. ClearPass 会将 IP 用户或组映射信息发送到防火墙。

  4. 防火墙会将信息添加到身份验证表中。

    图 4:如果 CPPM 使用 IP 用户或组映射信息进行响应,防火墙将执行什么作 What Firewall Does If CPPM Responds with IP-User or Group Mapping Information

方案 2:如果 CPPM 没有响应,或者 CPPM 响应时没有 IP 用户或组映射信息,防火墙会做什么

图 5 显示了防火墙查询 JIMS 时的情况,如果没有响应,或者没有从 CPPM 收到 IP 用户或组映射信息。

  1. 用户尝试访问资源。当防火墙收到流量请求时,会在其 ClearPass 身份验证表和 JIMS 身份验证表中搜索用户的条目,但未找到用户信息。

  2. 防火墙向 ClearPass 查询用户身份。

  3. 如果防火墙未收到来自 ClearPass 的响应,则防火墙将查询 JIMS。

  4. JIMS 将 IP 用户或组映射信息发送到防火墙。

  5. 防火墙将从 JIMS 收到的信息添加到身份验证表中。

图 5:如果 CPPM 没有响应或 CPPM 响应时没有 IP 用户或组映射信息 What Firewall Does If CPPM Does Not Respond or CPPM Responds with No IP-User or Group Mapping Information,防火墙会做什么

域和感兴趣的组

如何在设备上管理用户标识组信息主要由两个概念主导:域组和感兴趣组。

域组

该设备在如何处理域命名空间中的用户名方面遵循通常的过程。它利用命名空间来区分相同(如 admin)但来自不同来源且位于不同域中的名称。因为它们属于不同的域,所以名称不会冲突。

作为 IP 用户映射一部分的任何组将始终属于某个域,无论该域是特定域还是 GLOBAL 域。如果未在 IP 用户映射中指定域名,则假定为 GLOBAL 域。

表 5:将域分配给组

IP 用户映射是否包含域名?

哪个域将应用于该组?

例如:

IP, , user1, group-list

第二个逗号用作域名的占位符,并应用 GLOBAL 域。

group-list 中包含的组属于 GLOBAL 域。

是的

例如:

IP, domain1, user1, group-list

在此示例中,IP 用户映射将域名指定为 domain1。

域名 domain1 包含在 CPPM 的 IP 用户映射中,并被使用。它保留在数据包转发引擎上 ClearPass 身份验证表中已身份验证用户的条目中。

感兴趣的组

如果安全策略引用了组,即在策略的源标识字段中指定了组,则该组符合 感兴趣组 的条件。在路由引擎身份验证表上,每个用户条目都包含一个由策略列表引用的组,该策略列表标识其存在安全策略的组的名称。如果用户条目中包含的组当前未在安全策略中使用,则该组不包括在此列表中。组可以移入和移出策略列表引用的组。

  • 感兴趣的组列表

    感兴趣的组列表或策略引用的组列表是整个组的子集。它是用户身份验证条目中的组列表与安全策略的源身份列表的交集。也就是说,ClearPass 身份验证表用户条目中包含的任何组都有资格称为感兴趣组。路由引擎仅与安全策略引用的那些组同步到数据包转发引擎上 ClearPass 身份验证表中的用户条目。

    以下是它的工作原理:

    • UserID 守护程序从 CPPM 获取完整的 IP 用户角色(组)映射。

    • 对于每个组,UserID 守护程序通过确定是否有引用它的安全策略来标识它是否是感兴趣的组。任何符合条件的组都包含在路由引擎上的策略列表引用的组中。UserID 守护程序与其余用户认证和身份信息同步到数据包转发引擎相关组的 ClearPass 认证表中的用户条目。

    路由引擎上用户条目的感兴趣组列表可能会根据以下事件进行更改:

    • 将配置一个新的安全策略,该策略引用路由引擎上用户条目中包含的组,但该组尚未在该条目的引用组列表中。

    • 当前配置的引用其源标识中的组的安全策略将被删除。

    请看以下示例:

    • 假设 CPPM 向防火墙发布了两个用户的以下信息:

    • 设备映射安全评估并将其定义为组后,设备路由引擎身份验证表中的两个用户条目将显示如下所示:

    • 假设多个安全策略包括引用以下内容之一的源身份字段:group1、group3、posture-healthy。

      上述集合(原始组列表和引用组的安全策略列表)的交集将生成以下感兴趣的组列表:

      • 对于用户 john,策略列表引用的组包括 group1 和 posture-healthy。

      • 对于用户 abe,策略列表引用的组包括 group1、group3 和 posture-healthy。

    现在,假设删除了其 source-identity 字段指定为 group1 的安全策略。两个用户(john 和 abe)的用户身份验证条目的策略列表所引用的组将被更改,从而产生以下结果:

    • 对于用户 john,该列表将仅包含姿势健康。

    • 对于用户 abe,该列表将包括 group3 和 posture-healthy。

表 6 显示了当安全策略 引用组(因此不是感兴趣的组)时对 ClearPass 身份验证表的影响。

表 6:感兴趣的组:对 ClearPass 身份验证表的影响

安全策略配置和修改

对 ClearPass 认证表数据包转发引擎条目产生的影响

Case 1:

防火墙从 CPPM 获取用户的 IP 用户映射。

安全策略不会引用用户映射中的任何组。

来自 CPPM 的 IP 用户映射:

203.0.113.9, ,user1, g1, g2, g3, g4

写入数据包转发引擎中此用户的 ClearPass 身份验证表的用户身份验证条目不包含任何组。

203.0.113.9 , ,user1

Case 2:

防火墙从 CPPM 获取用户的 IP 用户映射。它将根据安全策略列表检查组列表,并发现安全策略引用了其中两个组。

路由引擎上的 IP 用户映射:

192.0.2.1, domain1, user2, g1, g2, g3, g4

写入数据包转发引擎上的 ClearPass 身份验证表的用户身份验证条目包括以下组,这些组包含在路由引擎上的策略列表引用的组中: 

192.0.2.1, domain1, user2, g2, g4

当用户已通过其他来源的身份验证时

例如,设备路由引擎身份验证表和数据包转发引擎上的单个 Microsoft Active Directory 身份验证表可能包含已通过 Active Directory 身份验证的用户的条目。像往常一样,CPPM 会将用户的 IP 用户映射发送到设备。设备必须解决此问题,因为其路由引擎身份验证表对 Active Directory 和 ClearPass 都是通用的。

以下是设备处理这种情况的方式:

  • 在路由引擎身份验证表上:

    • 设备会将在其公共路由引擎身份验证表中为用户生成的 Active Directory 身份验证条目覆盖为 CPPM 中的用户 IP 用户映射中新生成的条目。

      现在没有 IP 地址或用户名冲突。

  • 在数据包转发引擎上:

    • 设备将从 Active Directory 身份验证表中删除用户的现有 Active Directory 身份验证条目。

      这将删除与 IP 地址关联的活动会话。

    • 设备会在数据包转发引擎 ClearPass 身份验证表中为经过 CPPM 身份验证的用户生成一个新条目。

      与 IP 用户映射条目关联的流量将根据 ClearPass 身份验证表中的用户身份验证启动新会话。

ClearPass 认证表

防火墙从 CPPM 接收信息。防火墙提取用户身份验证和身份信息并对其进行分析。防火墙会在数据包转发引擎端创建一个 ClearPass 身份验证表来保存此用户信息。当防火墙从 ClearPass 接收到信息时,防火墙会在 ClearPass 身份验证表中为经过身份验证的用户生成条目。当防火墙收到用户的访问请求时,可以检查其 ClearPass 身份验证表,验证用户是否已通过身份验证,然后应用与来自该用户的流量匹配的安全策略。

ClearPass 认证表的默认优先级值为 110。如果数据包转发引擎上存在其他身份验证表,则必须将本地认证表条目从 100 更改为 120,以指示防火墙首先检查 ClearPass 认证表。

防火墙如何管理 ClearPass 认证表?

防火墙从 CPPM 获取经过身份验证的用户身份信息,在其 ClearPass 身份验证表中生成条目,并管理与安全策略和用户事件相关的条目。ClearPass 充当防火墙的身份验证源。CPPM 向防火墙发送有关它已验证的用户的身份信息。防火墙中的 UserID 守护程序进程接收此信息,对其进行处理,并将其同步到为此目的生成的独立 ClearPass 身份验证表中的数据包转发引擎端。

设备管理员可以使用安全策略中经过认证的用户身份信息来控制对受保护资源和互联网的访问。

设备从 CPPM 获取并用于在其全局路由引擎身份验证表中创建条目(该表与其各个 ClearPass 身份验证表同步)的用户身份信息集合称为映射,或者更常见的称为 IP 用户映射,因为用户名和相关组列表映射到用户设备的 IP 地址。

对于 ClearPass 认证表中的每个用户认证条目,除了标识用户所属的其他信息(如终端安全状况令牌)之外,组列表还标识用户所属的组,该令牌指示设备的状态(例如设备是否运行良好)。

ClearPass 身份验证表中的用户身份验证条目

您可以在安全策略中使用用户名或组名来识别用户身份,而不能直接依赖于所用设备的 IP 地址,因为防火墙的 IP 地址与 ClearPass 身份验证表条目中的用户名及其组相关联。对于 ClearPass 认证表中的每个用户认证条目,除了标识用户所属的其他信息(如终端安全状况令牌)之外,组列表还标识用户所属的组,该令牌指示设备的状态(例如设备是否运行良好)。ClearPass 身份验证将为身份验证表中有用户身份和身份验证条目的每个用户管理多达 2048 个会话。

对于每个用户条目,条目中的组或角色数不能超过 200。达到容量后,将丢弃其他角色,并发送以下系统日志消息:

CPPM 按以下格式将用户信息发布到设备。设备不会使用所有这些信息。

下面是用户的 ClearPass 认证表条目的格式,后跟示例条目及其组件的描述。

在以下示例中,用户属于两个组,即 human-resources-grp 组和 posture-healthy 组。防火墙会将终端安全状况信息从 CPPM 转换为组名。您可以配置一个安全策略,允许所有用户访问营销服务器,前提是其设备属于安全状况良好组(角色)。

  • IP地址

    这是所用设备的 IP 地址。

  • 用户所属的域的名称。

    在此示例中,域名为“my-company-domain”。如果未提供域名,则使用默认域名 GLOBAL。

  • 用户名

    用户名是用户用于连接到网络的登录名,在本例中为 lin。

    无论使用何种设备,此名称都是常量。

    当您配置安全策略时,其源身份元组按用户名或组名(而不是所用设备的 IP 地址)标识流量来源,就好像安全策略与设备无关;无论使用何种设备,它都适用于用户的活动。

  • 用户所属的一个或多个组

    正是在这里, 利益群体 的概念及其与安全策略的关系开始发挥作用。感兴趣的组是在安全策略中引用的组。本主题稍后将介绍感兴趣群体的概念。

请注意,如果一个用户使用多个设备连接到网络,则该用户可能有多个 IP 用户映射。每个映射都有自己的一组值(即域名和组列表)以及用户名和 IP 地址。

例如,对于使用三台独立设备连接到网络的用户 abe,可能存在以下三个 IP 地址到用户名的映射:

假设防火墙收到 110.208.132.23 的注销消息。以下部分用户身份验证条目显示,用户 abe 现在仅使用两台设备登录到网络:

如果超过 2048 个会话与 ClearPass 身份验证表中的单个身份验证条目相关联,则 ClearPass 的 Active Directory 将不会管理导致溢出的会话。因此,这些会话的会话关闭日志中不会报告这些会话的用户标识信息。

ClearPass 超时设置

Aruba ClearPass 的超时设置是什么?

Aruba ClearPass 身份验证表中的身份验证条目包含一个超时值,超过该值后该条目将过期。通过配置特定于无效条目的超时设置,可以防止身份验证表中的无效用户身份验证条目在验证用户之前过期。无效的认证条目超时设置与应用于有效条目的通用认证条目超时设置是分开的。

对于 ClearPass 功能,如果未经过身份验证的用户尝试加入网络,但未找到该用户设备的 IP 地址(即,该设备不在数据包转发引擎中),设备将向 Aruba ClearPass 查询用户的信息。如果查询不成功,系统将为用户生成无效的身份验证条目。如果为无效超时设置配置值,则该超时将应用于条目。如果未配置无效的条目超时,则其默认超时 30 分钟将应用于新条目。无效条目超时也适用于状态从有效或挂起更改为无效的条目。

Aruba ClearPass 的超时设置如何工作?

使用以下命令为 ClearPass 认证表中的条目配置无效的认证条目超时。在这里,ClearPass 认证表中的无效认证条目在创建后 22 分钟过期。

  • 最初为 ClearPass 配置无效的认证条目超时值时,该值将应用于 配置后生成 的任何无效认证条目。但是,所有现有的无效身份验证条目将保留 30 分钟的默认超时。

  • 如果未配置无效的认证条目超时设置,则默认的 30 分钟超时将应用于所有无效的认证条目。

    如果配置无效认证项超时设置并稍后删除,则默认值将应用于删除后生成的新无效认证项。但是,以前已应用配置值的任何现有无效身份验证条目都会保留该值。

  • 如果更改无效身份验证条目超时值的设置,则新值将应用于更改该值 创建的所有无效身份验证条目。但是,所有现有的无效身份验证条目都会保留以前应用于它们的无效身份验证条目超时设置。以前应用了默认值 30 分钟的条目将保留该设置。

  • 当条目的挂起或有效状态更改为无效时,将对其应用无效的身份验证条目超时设置。

    当无效认证条目的状态更改为“挂起”或“有效”时,无效认证条目超时设置将不再适用于它。为通用身份验证条目超时设置的超时值将应用于它。

    表 7:ClearPass 身份验证表中无效条目的无效身份验证超时

    无效的输入超时设置

    初始无效条目超时设置

    运行时间

    新的无效条目超时配置设置

    现有无效条目的最终超时设置

    新的无效认证条目

    50

    50

    现有无效条目超时

    20

    5

    50

    15

    现有无效条目超时

    0

    40

    20

    0

    现有无效条目超时

    40

    20

    0

    20

相关主题