配置 Aruba ClearPass
了解如何使用 Aruba ClearPass 配置 SRX 系列防火墙以包含安全策略。
示例:使用 Aruba ClearPass 实施安全策略
此示例说明如何使用 SRX 系列防火墙集成的 ClearPass 身份验证和实施功能(依赖 Aruba ClearPass Policy Manager 作为其身份验证源)配置安全性以保护资源并控制对 Internet 的访问。SRX 系列集成式 ClearPass 功能允许您配置安全策略,通过按用户名、组名或将一组用户和设备类型联系在一起的角色名称来识别用户,从而控制对公司资源和 Internet 的访问。
当今的网络环境更容易受到各种攻击,因为它们或多或少地支持 随时随地的任何设备 访问,并且允许用户使用多个同时联网的设备。由于它允许您按用户名识别用户,因此集成的 ClearPass 身份验证和实施功能缩小了这些功能引入的安全差距。
有关如何将用户身份验证和身份信息从 CPPM 传输到 SRX 系列防火墙的详细信息,请参阅以下主题:
该示例涵盖以下过程:
如何基于用户名或组名(而非设备 IP 地址)在用户级别控制访问。
您可以在安全策略中使用 source-identity 参数来指定用户的名称或由 CPPM 提供身份验证的一组用户的名称。无论使用何种设备,用户在尝试访问受保护资源或互联网时,都会将策略应用于用户生成的流量。访问控制与用户的名称相关联,而不是直接与用户设备的 IP 地址相关联。
您可以为单个用户配置不同的安全策略,以指定不同的作,根据指定的区域和目标地址或用户所属的组来区分。
如何显示和解释 ClearPass 认证表的内容。
SRX 系列防火墙创建 ClearPass 认证表,以包含它从 CPPM 接收的用户认证和身份信息。设备引用该表来对请求访问资源的用户进行身份验证。
ClearPass 认证表内容是动态的。对它们进行修改,以反映用户在响应各种事件时的活动,以及与引用组的安全策略相关的活动。
例如,当用户注销网络或登录网络时,将修改 ClearPass 身份验证表,就像从组中移除用户或删除指定用户所属组的引用安全策略时一样。在后一种情况下,用户条目不再将用户显示为属于该组。
在此示例中,将显示 ClearPass 身份验证表内容,以描述由于两个事件而进行的更改。将显示用户的内容:
特定用户注销网络之前和之后
删除引用的安全策略之前和之后
属于安全策略引用的组的用户的条目将在删除策略之前和之后显示。
要求
本节定义此示例拓扑的软件和硬件要求。拓扑设计参见 图 1 。
硬件和软件组件包括:
Aruba ClearPass。ClearPass 策略管理器 (CPPM) 配置为使用其本地身份验证源来验证用户。
假定 CPPM 配置为向 SRX 系列防火墙提供用户身份验证和身份信息,包括用户名、用户所属任何组的名称列表、所用设备的 IP 地址以及设备安全状况令牌。
运行 Junos OS 的 SRX 系列防火墙,包括集成的 ClearPass 功能。
由六台服务器组成的服务器场,全部位于 servers-zone:
营销服务器保护 (203.0.113.23)
人力资源服务器 (203.0.113.25)
计费服务器 (203.0.113.72)
公共服务器 (203.0.113.62)
企业服务器 (203.0.113.71)
销售服务器 (203.0.113.81)
AC 7010 运行 Aruba OS 的 Aruba 云服务控制器。
运行 ArubaOS 的 Aruba AP 无线接入控制器。
Aruba AP 连接到 AC7010。
无线用户通过 Aruba AP 连接到 CPPM。
瞻博网络 EX4300 交换机用作有线 802.1 接入设备。
有线用户使用 EX4300 交换机连接到 CPPM。
六大最终用户系统:
运行 Microsoft OS 的三台有线联网电脑
两个通过 Aruba AP 接入设备访问网络的 BYOD 设备
一台运行 Microsoft OS 的无线笔记本电脑
概述
CPPM 作为集成 ClearPass 功能的认证源,向 SRX 系列防火墙发布用户认证和身份信息。SRX 系列 UserID 守护程序收到此信息后,会对其进行处理,并在路由引擎身份验证表中为经过身份验证的用户生成条目,然后将该信息同步到数据包转发引擎端的 ClearPass 身份验证表。
当用户发出访问请求且从用户设备生成的流量到达 SRX 系列防火墙时,SRX 系列防火墙需要用户身份验证和身份信息来验证用户是否已通过身份验证。如果存在在 source-identity 参数中指定用户名或用户所属组的名称的安全策略,则 SRX 系列防火墙将在其 ClearPass 身份验证表的内容中搜索该用户的条目。
如果在其 ClearPass 认证表中找不到该用户的条目,则 SRX 系列防火墙可以搜索其其他身份验证表(前提是您已配置包含这些认证表的搜索顺序)。有关认证表搜索顺序的信息,请参阅表 1。
集成的 ClearPass 功能允许您创建身份感知安全策略,这些策略经过配置,以匹配用户根据用户名或用户所属组的名称发出的流量。
您可以在 CPPM 上配置角色映射,而非在 SRX 系列防火墙上配置角色映射。
例如,设备类型角色映射可能会将用户标识绑定到公司拥有的计算机。您可以在安全策略中将此角色指定为一个组,以应用于映射到规则的所有用户。在这种情况下,CPPM 为规则设置的条件(使用公司拥有的计算机)将适用于映射到规则的所有用户。SRX 系列防火墙不考虑这些条件,而是接受 CPPM 的规则。
此示例中包含的以下配置涵盖了根据 CPPM 通过规则映射定义的设备类型适用的安全策略。假定 CPPM 将以下映射规则发布到 SRX 系列防火墙,这些规则在安全策略中用作组:
marketing-access-for-pcs-limited-group
将 jxchan 映射到设备类型 PC。
在其 source-identity 字段中指定 marketing-access-for-pcs-limited-group 的策略允许 jxchan 和映射到它的其他用户使用其 PC 访问受营销服务器保护的服务器,无论该服务器是否为公司所有。
accounting-grp-and-company-device
使用公司设备映射属于计费组的用户。CPPM 将角色 accounting-grp-and-company-device 发送到 SRX 系列防火墙。映射是通过角色映射规则在 CPPM 上完成的。
在其源标识字段中指定 accounting-grp-and-company-device 的策略允许映射到规则的用户访问 accounting-server 上的受保护资源。组 accounting-grp 映射到规则。因此,映射规则适用于 accounting-grp 的成员。
用户 viki2 属于 accounting-grp。如果所有条件都适用(即,如果 viki2 正在使用公司拥有的设备并且策略允许访问),则允许她访问 accounting-server 上的资源。但请记住,SRX 系列防火墙不会分析该规则。相反,它会将其应用于 CPPM 映射到它的所有用户。
guest-device-byod
将访客组映射到设备类型 BYOD,即带入网络的任何用户拥有的设备。
在其源标识字段中指定 guest-device-byod 的策略将拒绝映射到规则的用户访问服务器区域中的所有服务器(如果他们使用的是智能手机或其他用户拥有的设备)。用户名 guest2 由 CPPM 映射到此规则。
对于所有情况,如果根据安全策略条件允许或拒绝用户访问,则可以假定存在以下条件:
CPPM 将用户和组的正确身份验证信息发布到 SRX 系列防火墙。
SRX 系列防火墙正确处理了经过身份验证的用户信息,并在其 ClearPass 身份验证表中为用户和组生成了条目。
从 Junos OS 15.1X49-D130 版开始,SRX 系列防火墙支持在安全策略中使用与源身份关联的 IPv6 地址。如果存在 IPv4 或 IPv6 条目,则与该条目匹配的策略将应用于流量,并允许或拒绝访问。
表 1 汇总了用户、其组和他们所属的区域。所有用户都属于默认的 GLOBAL 域。
用户 |
群 |
区 |
|---|---|---|
安倍 (abew1) |
|
营销区 |
约翰 (jxchan) |
|
营销区 |
林 (lchen1) |
|
人力资源专区 |
薇琪 (viki2) |
|
计费区 |
客人1 |
|
公共区域 |
客人2 |
|
公共区域 |
配置
本节介绍如何配置 SRX 系列防火墙,使其包含与经过 CPPM 身份验证的用户发出的流量相匹配的安全策略。
CLI 快速配置
要快速配置此示例,请复制以下语句,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将语句复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/3 vlan-tagging set interfaces ge-0/0/3.0 vlan-id 300 family inet address 203.0.113.45/24 set interfaces ge-0/0/3.1 vlan-id 310 family inet address 192.0.2.18/24 set interfaces ge-0/0/3.2 vlan-id 320 family inet address 192.0.2.14/24 set interfaces ge-0/0/4 vlan-tagging set interfaces ge-0/0/4.0 vlan-id 400 family inet address 192.0.2.16/24 set interfaces ge-0/0/4.1 vlan-id 410 family inet address 192.0.2.19/24 set security zones security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic system-services all set security zones security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic protocols all set security zones security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all set security zones security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all set security zones security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all set security zones security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all set security zones security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic system-services all set security zones security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic protocols all set security zones security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic system-services all set security zones security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic protocols all set security address-book servers-zone-addresses address marketing-server-protected 203.0.113.23 set security address-book servers-zone-addresses address human-resources-server 203.0.113.25 set security address-book servers-zone-addresses address accounting-server 203.0.113.72 set security address-book servers-zone-addresses address corporate-server 203.0.113.71 set security address-book servers-zone-addresses address public-server 203.0.113.91 set security address-book servers-zone-addresses attach zone servers-zone set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-address any destination address any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-identity “global\marketing-access-for-pcs-limited-group” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 then permit set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-address any destination address marketing-zone-protected set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-identity “global\abew1” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 then permit set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-address any destination-address accounting-server set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match application any set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-identity “global\accounting-grp-and-company-device” set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device then permit set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-address any destination-address corporate-server set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match application any set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-identity “global\corporate-limited” set security policies from-zone human-resources-zone to servers-zone policy human-resources-p1 then permit set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-address any destination-address corporate-server set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-identity “global\marketing-access-limited-grp” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 then permit set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-address any destination-address human-resources-server set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match application any set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-identity “global\sales-limited-group” set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 then permit set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match source-address any destination address public-server set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match application any set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match source-identity “global\guest” set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access then permit set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match source-address any destination-address any set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match application any set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match source-identity “global\guest-device-byod” set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access then deny
配置接口、区域和地址簿
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 在配置模式下使用 CLI 编辑器。
配置以下接口并将其分配给各区域:
ge-0/0/3.0 >营销区
ge-0/0/3.1 > 人力资源区
ge-0/0/3.2> 计费区
ge-0/0/4.0 >公共区域
ge-0/0/4.1 > servers-zone
由于此示例使用逻辑接口,因此您必须配置 VLAN 标记。
-
配置 SRX 系列防火墙的接口:
[edit interfaces] set ge-0/0/3 vlan-tagging set ge-0/0/3.0 vlan-id 300 family inet address 203.0.113.45/24 set ge-0/0/3.1 vlan-id 310 family inet address 192.0.2.18/24 set ge-0/0/3.2 vlan-id 320 family inet address 192.0.2.14/24 set ge-0/0/4 vlan-tagging set ge-0/0/4.0 vlan-id 400 family inet address 192.0.2.16/24 set ge-0/0/4.1 vlan-id 410 family inet address 192.0.2.19/24
配置区域。
[edit security zones] user@host#set security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host#set security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic protocols all user@host#set security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all user@host#set security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all user@host#set security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all user@host#set security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all user@host#set security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host#set security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic protocols all user@host#set security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic system-services all user@host#set security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic protocols all
配置包含服务器 IP 地址的地址簿,以用作安全策略中的目标地址。
[edit security address-book servers-zone-addresses] user@host# set address marketing-server-protected 203.0.113.23 user@host# set address human-resources-server 203.0.113.25 user@host# set address accounting-server 203.0.113.72 user@host# set address corporate-server 203.0.113.71 user@host# set address public-server 203.0.113.91
将 servers-zone-addresses 地址簿附加到 servers-zone。
[edit security address-book] user@host# set servers-zone-addresses attach zone servers-zone
结果
在配置模式下,输入 show interfaces 命令以确认您的接口配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
ge-0/0/3 {
unit 0 {
vlan-id 300;
family inet {
address 203.0.113.45/24;
}
}
unit 1 {
vlan-id 310;
family inet {
address 192.0.2.18/24;
}
}
unit 2 {
vlan-id 320;
family inet {
address 192.0.2.14/24;
}
}
}
ge-0/0/4 {
vlan-tagging;
unit 0 {
vlan-id 400;
family inet {
address 192.0.2.16/24;
}
}
unit 1 {
vlan-id 410;
family inet {
address 192.0.2.19/24;
}
}
}
在配置模式下,输入 show security zones 命令以确认您的区域配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
security-zone human-resources-zone {
interfaces {
ge-0/0/3.2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone accounting-zone {
interfaces {
ge-0/0/3.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone marketing-zone {
interfaces {
ge-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone servers-zone {
interfaces {
ge-0/0/4.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone public-zone {
interfaces {
ge-0/0/4.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
在配置模式下,输入 show security address-book 命令以确认您的通讯簿配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
servers-zone-addresses {
address marketing-zone-protected 203.0.113.23 /32;
address human-resources-server 203.0.113.25 /32;
address accounting-server 203.0.113.72/32;
address corporate-server 203.0.113.71/32;
address public-server 203.0.113.91/32;
attach {
zone servers-zone;
}
}
配置身份感知安全策略以控制用户对公司资源的访问
分步过程
此任务需要根据用户名或组名(而不是所用设备的 IP 地址)配置适用于用户对资源的访问的安全策略。
请注意,所有用户都属于默认的 GLOBAL 域。
配置一个安全策略,将 marketing-access-for-pcs-limited-group 指定为 source-identity。它允许属于此组的用户 jxchan 在使用 PC 时访问服务器区域中的任何服务器,无论是个人设备还是公司拥有的设备。用户名 jxchan 由 CPPM 映射到规则 marketing-access-for-pcs-limited-group。
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-address any destination address any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-identity “global\marketing-access-for-pcs-limited-group” user@hoset from-zone marketing-zone to-zone servers-zone policy marketing-p1 then permit
配置一个安全策略,允许用户 abew1 访问服务器区域中受营销区域保护的服务器(IP 地址 203.0.113.23),而不管他使用什么设备。
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-address any destination address marketing-zone-protected user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-identity “global\abew1” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 then permit
配置一个安全策略,允许用户 viki2 在使用公司拥有的设备时访问服务器区域中的计费服务器(IP 地址 203.0.113.72)。用户 viki2 属于 accounting-grp,它由 CPPM 映射到公司拥有的设备规则 (accounting-grp-and-company-device)。
[edit security policies] user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-address any destination-address accounting-server user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match application any user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-identity “global\accounting-grp-and-company-device” user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device then permit
配置一个安全策略,允许属于公司限制组的用户在从人力资源区域发起请求时访问服务器区域中的公司服务器服务器(IP 地址 203.0.113.71)。
如果源地址被指定为“any”,则该策略将应用于也属于公司限制组的其他用户。
[edit security policies] user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-address any destination-address corporate-server user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match application any user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-identity “global\corporate-limited” user@host# set from-zone human-resources-zone to servers-zone policy human-resources-p1 then permit
配置一个安全策略,允许用户 abew1 访问 servers-zone 中的 corporate-server(IP 地址 203.0.113.71)服务器。用户 abew1 属于应用安全策略的 marketing-access-limited-grp。
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-address any destination-address corporate-server user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-identity “global\marketing-access-limited-grp” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 then permit
配置一个安全策略,允许属于 sales-limited-group 的用户在从 marketing-zone 发起请求时访问 human-resources-server(IP 地址 203.0.113.81)服务器。用户 jxchan 属于 sales-limited-group。
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-address any destination-address human-resources-server user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-identity “global\sales-limited-group” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 then permit
配置一个安全策略,允许属于来宾组的用户访问服务器区域中的公共服务器(IP 地址 203.0.113.91)。
[edit security policies] user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match source-address any destination address public-server user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match application any user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match source-identity “global\guest” user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access then permit
配置一个安全策略,当属于 guest-device-byod 组的用户使用自己的设备时,拒绝他们访问服务器区域中的任何服务器。
[edit security policies] user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match source-address any destination-address any user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match application any user@host# user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match source-identity “global\guest-device-byod” user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access then deny
结果
在配置模式下,输入 show security policies 命令,以确认集成 ClearPass 的安全策略配置。
如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
from-zone marketing-zone to-zone servers-zone {
policy marketing-p1 {
match {
source-address any;
destination-address any;
application any;
source-identity "global\marketing-access-for-pcs-limited-group";
}
then {
permit;
}
}
policy marketing-p2 {
match {
source-address any;
destination-address marketing-zone-protected;
application any;
source-identity "global\abew1";
}
then {
permit;
}
}
policy marketing-p0 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\marketing-access-limited-grp";
}
then {
permit;
}
}
policy marketing-p3 {
match {
source-address any;
destination-address human-resources-server;
application any;
source-identity "global\sales-limited-group";
}
then {
permit;
}
}
}
from-zone accounting-zone to-zone servers-zone {
policy acct-cp-device {
match {
source-address any;
destination-address accounting-server;
application any;
source-identity "global\accounting-grp-and-company-device";
}
then {
permit;
}
}
}
from-zone human-resources-zone to-zone servers-zone {
policy human-resources-p1 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\corporate-limited";
}
then {
permit;
}
}
}
from-zone public-zone to-zone servers-zone {
policy guest-allow-access {
match {
source-address any;
destination-address public-server;
application any;
source-identity “global\guest”;
}
then {
permit;
}
}
policy guest-deny-access {
match {
source-address any;
destination-address any;
application any;
source-identity “global\guest-device-byod”;
}
then {
deny;
}
}
}
验证
本节在发生某些事件后验证 ClearPass 认证表内容,这些事件导致其某些用户认证条目被修改。它还说明了如何确保在发出 delete 命令后已成功删除 ClearPass 认证表。它包括以下部分:
显示经过身份验证的用户注销网络之前和之后的 ClearPass 认证表内容
目的
在特定经过身份验证的用户登录到网络时和注销之后,显示 ClearPass 认证表内容。
行动
输入 show services user-identification authentication-table authentication-source authentication-source ClearPass 身份验证表的命令,该表称为 aruba-clearpass。请注意,ClearPass 身份验证表包含用户 viki2 的条目。
show services user-identification authentication-table authentication-source aruba-clearpass Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.21 viki2 accounting-grp-and-company-dev Valid 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 corporate-limited Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
viki2 注销网络后再次输入相同的命令。请注意,ClearPass 身份验证表不再包含 viki2 的条目。
Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 corporate-limited Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
在删除引用的安全策略之前和之后显示身份验证表内容
目的
显示特定用户 lchen1 的 ClearPass 身份验证表内容,该用户属于安全策略引用的组。删除该安全策略,然后再次显示该用户的条目。
行动
输入 show service user-identification authentication-table authentication-source user user-name 命令以显示特定用户 lchen1 的 ClearPass 认证表条目。请注意,它包括集团公司限制。
show service user-identification authentication-table authentication-source user lchen1 Domain: GLOBAL Source IP Username groups(Ref by policy) state 203.0.113.53 lchen1 corporate-limited Valid
human-resources-p1 安全策略 source-identity 字段是指组 corporate-limited。如上文 ClearPassauthentication 条目中所示,用户 lchen1 属于该组。以下是 human-resources-p1 引用的安全策略的配置:
from-zone human-resources-zone to-zone servers-zone {
policy human-resources-p1 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\corporate-limited";
}
then {
permit;
}
}
}
删除 human-resources-p1 安全策略(其 source-identity 参数引用名为 corporate-limited 的组)后,再次输入相同的命令。请注意,lchen1 的身份验证条目不包含公司限制组。
show service user-identification authentication-table authentication-source aruba-clearpass user lchen1 Domain: GLOBAL Source IP Username groups(Ref by policy) state 203.0.113.53 lchen1 Valid
采用不同的方法来验证修改后的 ClearPass 认证表状态。显示整个表以验证组(公司限制)是否未包含在任何用户条目中。请注意,如果多个用户属于公司限制的组,则所有受影响用户的身份验证条目都不会显示该组名称。
在作模式下,输入 show services user-identification authentication-table authentication-source aruba-clearpass 命令。
show services user-identification authentication-table authentication-source aruba-clearpass Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.21 viki2 accounting-grp-and-company-dev Valid 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
示例:配置 Web API 函数
SRX 系列防火墙和 ClearPass 策略管理器 (CPPM) 协同控制对受保护资源和互联网的访问。为此,SRX 系列防火墙必须对用户进行身份验证,同时应用与其请求匹配的安全策略。对于集成的 ClearPass 身份验证和实施功能,SRX 系列防火墙依赖 ClearPass 作为其身份验证源。
此示例介绍的 Web API 函数向 CPPM 公开一个 API,使其能够启动与 SRX 系列防火墙的安全连接。CPPM 使用此连接将用户身份验证信息发布到 SRX 系列防火墙。在它们的关系中,SRX 系列防火墙充当 CPPM 客户端的 HTTPS 服务器。
要求
本节定义此示例拓扑的软件和硬件要求。参见图 3 了解拓扑设计。
硬件和软件组件包括:
Aruba ClearPass 策略管理器 (CPPM)。CPPM 配置为使用其本地身份验证源对用户进行身份验证。
注意:假定 CPPM 配置为向 SRX 系列防火墙提供用户身份验证和身份信息,包括用户名、用户所属任何组的名称列表、所用设备的 IP 地址以及设备安全状况令牌。
运行 Junos OS 的 SRX 系列防火墙,包括集成的 ClearPass 功能。
由六台服务器组成的服务器场,全部位于 servers-zone:
营销服务器保护 (203.0.113.23)
人力资源服务器 (203.0.113.25)
计费服务器 (203.0.113.72)
公共服务器 (192.0.2.96)
企业服务器 (203.0.113.71)
销售服务器 (203.0.113.81)
AC 7010 运行 Aruba OS 的 Aruba 云服务控制器。
运行 ArubaOS 的 Aruba AP 无线接入控制器。
Aruba AP 连接到 AC7010。
无线用户通过 Aruba AP 连接到 CPPM。
瞻博网络 EX4300 交换机用作有线 802.1 接入设备。
有线用户使用 EX4300 交换机连接到 CPPM。
六大最终用户系统:
运行 Microsoft OS 的三台有线联网电脑
两个通过 Aruba AP 接入设备访问网络的 BYOD 设备
一台运行 Microsoft OS 的无线笔记本电脑
概述
您可以在 SRX 系列防火墙上配置身份感知安全策略,以根据用户名或组名(而非设备的 IP 地址)控制用户对资源的访问。对于此功能,SRX 系列防火墙依靠 CPPM 进行用户身份验证。SRX 系列防火墙向 ClearPass 公开其 Web API (webapi),以允许 CPPM 与其集成。CCPM 通过连接有效地将用户身份验证信息发布到 SRX 系列防火墙。您必须配置 Web API 函数,以允许 CPPM 启动和建立安全连接。SRX 系列防火墙无需单独的路由引擎进程即可在 SRX 系列防火墙与 CPPM 之间建立连接。
图 2 显示了 SRX 系列防火墙与 CPPM 之间的通信周期,包括用户身份验证。
如图所示,发生以下活动:
-
CPPM 使用 Web API 启动与 SRX 系列防火墙的安全连接。
三个用户加入网络并由 CPPM 进行身份验证。
平板电脑用户通过企业 WAN 加入网络。
智能手机用户通过企业 WAN 加入网络。
无线笔记本电脑用户从连接到连接到企业 LAN 的第 2 层交换机的有线笔记本电脑加入网络。
-
CPPM 使用 Web API 在 POST 请求消息中将登录到网络的用户的用户身份验证和身份信息发送到 SRX 系列防火墙。
当来自用户的流量到达 SRX 系列防火墙时,SRX 系列防火墙:
-
标识流量匹配的安全策略。
-
在 ClearPass 身份验证表中查找用户的身份验证条目。
-
在对用户进行身份验证后,将安全策略应用于流量。
-
-
来自请求访问内部受保护资源的智能手机用户的流量将到达 SRX 系列防火墙。由于满足步骤 3 中确定的所有条件且安全策略允许,因此 SRX 系列防火墙允许用户连接到受保护的资源。
-
来自请求访问受保护资源的有线笔记本电脑用户的流量将到达 SRX 系列防火墙。由于满足步骤 3 中确定的所有条件且安全策略允许,因此 SRX 系列防火墙允许用户连接到资源。
-
来自请求访问互联网的平板电脑用户的流量将到达 SRX 系列防火墙。由于满足步骤 3 中确定的所有条件且安全策略允许,因此 SRX 系列防火墙允许用户连接到互联网。
出于安全原因,默认情况下未启用 Web API 守护程序。启动 Web API 守护程序时,默认情况下它会打开 HTTP (8080) 或 HTTPS (8443) 服务端口。您必须确保配置其中一个端口,具体取决于要使用的 HTTP 协议版本。出于安全原因,我们建议您使用 HTTPS。打开这些端口会使系统更容易受到服务攻击。为了防止可能使用这些端口的服务攻击,Web API 守护程序只有在您启用后才会启动。
Web API 是 RESTful Web 服务实现。但是,它并不完全支持 RESTful Web 服务。相反,它充当 HTTP 或 HTTPS 服务器,用于响应来自 ClearPass 客户端的请求。
Web API 连接由 CPPM 使用 HTTP 服务端口 (8080) 或 HTTPS 服务端口 (8443) 初始化。要使 ClearPass 能够发布消息,必须启用并配置 Web API 守护程序。
为了减少滥用并防止数据篡改,Web API 守护程序:
需要通过 HTTP 或 HTTPS 基本用户帐户身份验证进行 ClearPass 客户端身份验证。
仅允许从配置为客户端源的 IP 地址向其发布数据。也就是说,它只允许来自 ClearPass 客户端 IP 地址的 HTTP 或 HTTPS POST 请求,在本例中为 192.0.2.199。
要求发布的内容符合建立的 XML 数据格式。在处理数据时,Web API 守护程序可确保使用正确的数据格式。
请注意,如果同时部署 Web 管理和 SRX 系列防火墙,则它们必须在不同的 HTTP 或 HTTPS 服务端口上运行。
有关此功能如何防止数据篡改的详细信息 ,请参阅 Web API 函数 。
SRX 系列 UserID 守护程序处理用户身份验证和身份信息,并将其同步到数据包转发引擎上的 ClearPass 身份验证表。SRX 系列防火墙可创建 ClearPass 认证表,仅用于仅从 CPPM 接收的信息。ClearPass 认证表不包含来自其他认证源的用户认证信息。SRX 系列防火墙检查 ClearPass 认证表,以对尝试使用有线或无线设备和本地网络资源访问互联网上受保护网络资源的用户进行身份验证。
要使 CPPM 连接到 SRX 系列防火墙并发布身份验证信息,必须使用 HTTPS 身份验证进行认证。Web API 守护程序支持三种可用于引用 HTTPS 证书的方法:默认证书、PKI 本地证书以及通过证书和证书密钥配置语句实现的自定义证书。这些证书方法是互斥的。
此示例使用 HTTPS 进行 CPPM 与 SRX 系列防火墙之间的连接。为确保安全性,集成的 ClearPass 功能默认证书密钥大小为 2084 位。
无论出于安全原因,使用任何方法(默认证书、PKI 生成的证书还是自定义证书),都必须确保证书大小为 2084 位或更大。
以下示例说明如何使用 PKI 生成证书和密钥:
user@host>request security pki generate-key-pair certificate-id aruba size 2048 user@host>request security pki local-certificate generate-self-signed certificate-id aruba domain-name mycompany.net email jxchan@mycompany.net ip-address 192.51.100.21 subject “CN=John Doe,OU=Sales ,O=mycompany.net ,L=MyCity ,ST=CA,C=US"
配置
本节介绍如何启用和配置 SRX 系列 Web API。
必须启用 Web API。默认情况下,它未启用。
CLI 快速配置
要快速配置此示例,请复制以下语句,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将语句复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set system services webapi user sunny password i4%rgd set system services webapi client 192.0.2.199 set system services webapi https port 8443 set system services webapi https pki-local-certificate aruba set system services webapi debug-level alert set interfaces ge-0/0/3.4 vlan-id 340 family inet address 192.51.100.21 set security zones security-zone trust interfaces ge-0/0/3.4 host-inbound-traffic system-services webapi-ssl set security user-identification authentication-source aruba-clearpass priority 110 set security user-identification authentication-source local-authentication-table priority 120 set security user-identification authentication-source active-directory-authentication-table priority 125 set security user-identification authentication-source firewall-authentication priority 150 set security user-identification authentication-source unified-access-control priority 200
配置 SRX 系列 Web API 守护程序
分步过程
配置 Web API 允许 CPPM 初始化与 SRX 系列防火墙的连接。无需单独的连接配置。
假定 CPPM 配置为向 SRX 系列防火墙提供经过身份验证的用户身份信息,包括用户名、用户所属任何组的名称、所用设备的 IP 地址以及安全状况令牌。
请注意,CPPM 可能配置了将用户或用户组映射到设备类型的角色映射。如果 CPPM 将角色映射信息转发到 SRX 系列防火墙,则 SRX 系列防火墙会将角色映射视为组。SRX 系列防火墙不会将它们与其他组区分开来。
要配置 Web API 守护程序,请执行以下作:
配置帐户的 Web API 守护程序 (webapi) 用户名和密码。
此信息用于 HTTPS 认证请求。
[edit system services] user@host# set webapi user sunny password i4%rgd
-
配置 Web API 客户端地址,即 ClearPass Web 服务器数据端口的 IP 地址。
SRX 系列防火墙仅接受来自此地址的信息。
注意:此处配置的 ClearPass Web 服务器数据端口(如果配置该端口)的地址与用于用户查询功能的端口相同。
[edit system services] user@host# set webapi client 192.0.2.199
注意:从 Junos OS 15.1X49-D130 版开始,SRX 系列防火墙支持使用 IPv6 地址来配置 Web API 客户端地址。Junos OS 15.1X49-D130 之前的版本仅支持 IPv4 地址。
配置 Web API 守护程序 HTTPS 服务端口。
如果在默认 TCP 端口 8080 或 8443 上启用 Web API 服务,则必须在该端口上启用主机入站流量。
在此示例中,使用 Web API 服务的安全版本 (webapi-ssl),因此必须配置 HTTPS 服务端口 8443。
[edit system services] user@host# set webapi https port 8443
将 Web API 守护程序配置为使用 HTTPS 默认证书。
[edit system services] user@host# set webapi https pki-local-certificate aruba
配置 Web API 守护程序的跟踪级别。
支持的跟踪级别包括 notice、warn、error、crit、alert 和 emerg。默认值为 error。
[edit system services] user@host# webapi debug-level alert
配置用于来自 CPPM 的主机入站流量的接口。
user@host# set interfaces ge-0/0/3.4 vlan-id 340 family inet address 192.51.100.21
通过 TCP 端口 8443 上的 HTTPS 主机入站流量启用 Web API 服务。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/3.4 host-inbound-traffic system-services webapi-ssl
结果
在配置模式下,输入 show system services webapi 命令以确认 Web API 配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user {
sunny;
password "$ABC123"; ## SECRET-DATA
}
client {
192.0.2.199;
}
https {
port 8443;
pki-local-certificate aruba;
}
debug-level {
alert;
}
在配置模式下,输入 show interfaces ge-0/0/3.4 命令,确认用于 CPPM 主机入站流量的接口配置。如果输出未显示预期的配置,请重复此示例中的验证过程,以便进行更正。
vlan-id 340;
family inet {
address 192.51.100.21/32;
}
在配置模式下,输入 show security zones security-zone trust 命令,确认您的安全区域配置,该配置允许使用安全 Web API 服务 (web-api-ssl) 从 CPPM 发送主机入站流量。如果输出未显示预期的配置,请重复此示例中的验证过程,以便进行更正。
interfaces {
ge-0/0/3.4 {
host-inbound-traffic {
system-services {
webapi-ssl;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
配置 ClearPass 认证表条目超时和优先级
分步过程
此过程将配置以下信息:
timeout 参数,用于确定何时使 ClearPass 认证表中的空闲认证条目老化。
ClearPass 认证表作为 SRX 系列防火墙查找顺序中的第一个认证表,用于搜索用户认证条目。如果在 ClearPass 认证表中未找到任何条目,并且配置了其他认证表,则 SRX 系列防火墙将根据您设置的顺序对其进行搜索。
-
将用于使 ClearPass 认证表中的空闲认证条目过期的超时值设置为 20 分钟。
[edit services user-identification] user@host# set authentication-source aruba-clearpass authentication-entry-timeout 20
首次配置 SRX 系列防火墙与身份验证源集成时,必须指定一个超时值,以确定 ClearPass 身份验证表中的空闲条目何时过期。如果未指定超时值,则假定为默认值。
-
默认值 = 30 分钟
-
范围 = 如果设置,则超时值应在 [10,1440 分钟] 范围内。值为 0 表示该条目永远不会过期。
-
-
设置认证表优先级顺序,以指示 SRX 系列防火墙首先在 ClearPass 认证表中搜索用户认证条目。如果在 ClearPass 身份验证表中找不到用户的条目,指定搜索其他身份验证表的顺序。
注意:如果 ClearPass 身份验证表 不是 数据包转发引擎上的唯一身份验证表,则需要设置此值。
[edit security user-identification] user@host# set authentication-source aruba-clearpass priority 110 user@host# set authentication-source local-authentication-table priority 120 user@host# set authentication-source active-directory-authentication-table priority 125 user@host# set authentication-source firewall-authentication priority 150 user@host# set authentication-source unified-access-control priority 200
ClearPass 认证表的默认优先级值为 110。您必须将本地认证表条目从 100 更改为 120,才能指示 SRX 系列防火墙首先检查 ClearPass 认证表,看看数据包转发引擎上是否存在其他认证表。 表 2 显示了新的认证表搜索优先级。
表 2:SRX 系列防火墙身份验证表 搜索优先级分配 SRX 系列认证表
设置值
ClearPass 认证表
110
本地认证表
120
Active Directory 身份验证表
125
防火墙认证表
150
UAC 认证表
200
结果
在配置模式下,确认为老化 ClearPass 认证表条目设置的超时值正确无误。输入 show services user-identification 命令。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
authentication-source aruba-clearpass {
authentication-entry-timeout 20;
}
示例:配置用户查询功能
此示例说明如何配置 SRX 系列防火墙,使其能够在单个用户的用户身份验证和身份信息不可用时自动查询 Aruba ClearPass。
用户查询功能是对获取用户身份验证和身份信息的 Web API 方法的补充,是可选的。
要求
本节定义包括用户查询要求在内的整个拓扑的软件和硬件要求。拓扑见 图 5 。有关用户查询过程的详细信息,请参阅 图 4。
硬件和软件组件包括:
Aruba ClearPass (CPPM)。CPPM 配置为使用其本地身份验证源对用户进行身份验证。
注意:假定 CPPM 配置为向 SRX 系列防火墙提供用户身份验证和身份信息,包括用户名、用户所属任何组的名称列表、所用设备的 IP 地址以及设备安全状况令牌。
运行 Junos OS 的 SRX 系列防火墙,包括集成的 ClearPass 功能。
由六台服务器组成的服务器场,全部位于 servers-zone:
营销服务器保护 (203.0.113.23)
人力资源服务器 (203.0.113.25)
计费服务器 (203.0.113.72)
公共服务器 (203.0.113.91)
企业服务器 (203.0.113.71)
销售服务器 (203.0.113.81)
AC 7010 运行 Aruba OS 的 Aruba 云服务控制器。
运行 ArubaOS 的 Aruba AP 无线接入控制器。
Aruba AP 连接到 AC7010。
无线用户通过 Aruba AP 连接到 CPPM。
瞻博网络 EX4300 交换机用作有线 802.1 接入设备。
有线用户使用 EX4300 交换机连接到 CPPM。
六大最终用户系统:
运行 Microsoft OS 的三台有线联网电脑
两个通过 Aruba AP 接入设备访问网络的 BYOD 设备
一台运行 Microsoft OS 的无线笔记本电脑
概述
您可以配置用户查询功能,使 SRX 系列防火墙能够在设备的 ClearPass 认证表不包含单个用户的条目时,从 CPPM 获取该用户的经过身份验证的用户身份信息。SRX 系列防火墙基于用户设备的 IP 地址进行查询,该设备生成了从访问请求发出的流量。
设备可能尚未从特定用户的 CPPM 获得身份验证信息的原因有很多。例如,用户可能尚未经过 CPPM 身份验证。如果用户通过不在托管交换机或 WLAN 上的接入层加入网络,则会出现这种情况。
用户查询功能可为 SRX 系列防火墙提供一种方法,用于从 CPPM 获取用户身份验证和身份信息,而 CPPM 未使用 Web API 将该信息发布到 SRX 系列防火墙。当设备收到来自其 ClearPass 身份验证表中没有条目的用户的访问请求时,如果配置了此功能,它将自动为其查询 CPPM。
图 4 显示了用户查询流过程,其中包含以下步骤:
-
用户尝试访问资源。SRX 系列防火墙接收请求访问的流量。设备在其 ClearPass 身份验证表中搜索用户的条目,但未找到任何条目。
设备请求从 CPPM 对用户进行身份验证。
CPPM 对用户进行身份验证,并将用户身份验证和身份信息返回给设备。
设备在其 ClearPass 身份验证表中为用户创建一个条目,并授予用户访问 Internet 的权限。
有关可用于控制设备何时发出查询的参数的详细信息,请参阅 了解集成的 ClearPass 身份验证和实施用户查询功能。
配置此功能时,您也可以手动向 CPPM 查询单个用户的身份验证信息。
ClearPass 端点 API 需要使用 OAuth (RFC 6749) 来验证和授权访问它。要使设备能够向 CPPM 查询单个用户身份验证和授权信息,它必须获取访问令牌。为此,设备使用客户端凭证访问令牌授权类型,这是 ClearPass 支持的两种类型之一。
作为 ClearPass 策略管理器 (CPPM) 的管理员,您必须在 CPPM 上创建一个 API 客户端,并将grant_type设置为“client_credentials”。然后,您可以将设备配置为使用该信息来获取访问令牌。下面是执行此作的消息格式示例:
curl https://{$Server}/api/oauth – – insecure – – data
“grant_type=client_credentials&client_id=Client2&client_secret= m2Tvcklsi9je0kH9UTwuXQwIutKLC2obaDL54/fC2DzC"
设备成功请求获取访问令牌将导致类似于以下示例的响应:
{
“access_token”:”ae79d980adf83ecb8e0eaca6516a50a784e81a4e”,
“expires_in”:2880,
“token_type”:”Bearer”,
“scope”=nu;
}
在访问令牌过期之前,设备可以使用相同的消息获取新的令牌。
配置
要启用和配置用户查询功能,请执行以下任务:
CLI 快速配置
要快速配置此示例,请复制以下语句,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将语句复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver address 192.0.2.199 set services user-identification authentication-source aruba_clearpass user-query ca-certificate RADUISServerCertificate.crt set services user-identification authentication-source aruba-clearpass user-query client-id client-1 set services user-identification authentication-source aruba-clearpass user-query client-secret 7cTr13# set services user-identification authentication-source aruba-clearpass user-query token-api “api/oauth” set services user-identification authentication-source aruba-clearpass user-query IP address “api/vi/insight/endpoint/ip/$IP$”
配置用户查询功能(可选)
分步过程
配置用户查询功能,使 SRX 系列防火墙能够自动连接到 ClearPass 客户端,以便请求单个用户的身份验证信息。
用户查询功能是对使用 Web API 发送的 CPPM 输入的补充。无需启用 Web API 守护程序即可使用户查询功能正常工作。对于用户查询功能,SRX 系列防火墙是 HTTP 客户端。通过它向端口 443 上的 CPPM 发送 HTTPS 请求。
要使 SRX 系列防火墙能够自动进行单个用户查询,请执行以下作:
将 Aruba ClearPass 配置为用户查询请求的身份验证源,并配置 ClearPass Web 服务器名称及其 IP 地址。设备需要此信息才能联系 ClearPass Web 服务器。
从 Junos OS 15.1X49-D130 版开始,除了 IPv4 地址外,您还可以将 Aruba Clearpass 服务器 IP 地址配置为 IPv6 地址。Junos OS 15.1X49-D130 之前的版本仅支持 IPv4 地址。
注意:必须将 aruba-clearpass 指定为身份验证源。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query web-server cp-webserver address 192.0.2.199
注意:您只能配置一台 ClearPass Web 服务器。
(可选)配置端口号和连接方法,或接受这些参数的以下值。此示例假定默认值。
connect-method(默认为 HTTPS)
端口(默认情况下,设备通过端口 443 向 CPPM 发送 HTTPS 请求
但是,如果要显式配置连接方法和端口,则可以使用以下语句:
set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver connect method <https/http> set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver port port-number
-
(选答)为设备配置用于验证 ClearPass Web 服务器的 ClearPass CA 证书文件。(如果未配置任何证书,则假定为默认证书。
[edit services user-identification] user@host# set authentication-source aruba_clearpass user-query ca-certificate RADUISServerCertificate.crt
CA 证书可使 SRX 系列防火墙验证 ClearPass Web 服务器的真实性以及其是否可信。
在配置证书之前,作为 ClearPass 设备的管理员,您必须执行以下作:
-
从 CPPM 导出 ClearPass Web 服务器的证书,并将证书导入设备。
-
将 CA 证书配置为 SRX 系列防火墙上的路径,包括其 CA 文件名。在此示例中,使用以下路径:
/var/tmp/RADUISServerCertificate.crt
-
-
配置 SRX 系列防火墙获取用户查询所需的访问令牌所需的客户端 ID 和密钥。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query client-id client-1 user@host# set authentication-source aruba-clearpass user-query client-secret 7cTr13#
客户端 ID 和客户端密钥是必需值。它们必须与 CPPM 上的客户端配置一致。
提示:在 CPPM 上配置客户端时,请复制要在设备配置中使用的客户端 ID 和密钥。
配置用于生成获取访问令牌的URL的令牌API。
注意:您必须指定令牌 API。它没有默认值。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query token-api “api/oauth”
在此示例中,令牌 API 为
api/oauth。它与以下信息相结合,以生成用于获取访问令牌的完整 URLhttps://192.0.2.199/api/oauth连接方式为HTTPS。
在此示例中,ClearPass Web 服务器的 IP 地址为 192.0.2.199。
配置查询 API,用于查询单个用户身份验证和身份信息。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query query-api ’api/vi/insight/endpoint/ip/$IP$’
在此示例中,query-api 为
api/vi/insight/endpoint/ip/$IP$。它与 URLhttps://192.0.2.199/api/oauth组合在一起,得到https://192.0.2.199/api/oauth/api/vi/insight/endpoint/ip/$IP$.$IP变量将替换为SRX 系列请求其身份验证信息的用户的最终用户设备的 IP 地址。
配置设备发送单个用户查询之前要延迟的时间量(以秒为单位)。
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query delay-query-time 10
手动向 CPPM 发出单个用户身份验证信息的查询(可选)
分步过程
配置以下语句,为设备 IP 地址为 203.0.113.46 的用户手动请求身份验证信息。
root@device>request service user-identification authentication-source aruba-clearpass user-query address 203.0.113.46
验证
使用以下过程验证用户查询函数的行为是否符合预期:
验证 ClearPass Web 服务器是否联机
目的
确保 ClearPass Web 服务器处于联机状态,这是验证用户查询请求是否可以成功完成的第一种方法。
行动
输入 show service user-identification authentication-source authentication-source user-query status 命令以验证 ClearPass 是否联机。
show service user-identification authentication-source aruba-clearpass user-query status Authentication source: aruba-clearpass Web server Address: 192.0.2.199 Status: Online Current connections: 0
启用跟踪并检查输出
目的
在跟踪日志中显示用户查询函数生成的任何错误消息。
行动
使用以下命令设置跟踪日志文件名并启用跟踪:
set system services webapi debug-log trace-log-1 set services user-identification authentication-source aruba-clearpass traceoptions flag user-query
确定用户查询函数是否正常执行
目的
确定用户查询函数行为是否存在问题。
行动
检查 syslog 消息以确定用户查询请求是否失败。
如果失败,将报告以下错误消息:
LOG1: sending user query for IP <ip-address> to ClearPass web server failed. :reason
原因可能是“服务器未连接”或“套接字错误”。
依靠用户查询计数器确定是否存在问题
目的
输入 show service user-identification authentication-source authentication-source user-query counters 命令,显示用户查询计数器以查找问题的主页(如果存在)。
ClearPass 响应用户查询请求返回的时间戳可以指定为任何 ISO 8601 格式,包括包含时区的格式。
行动
show service user-identification authentication-source aruba-clearpass user-query counters
Authentication source: aruba-clearpass
Web server Address: Address: ip-address
Access token: token-string
RE quest sent number: counter
Routing received number: counter
Time of last response: timestamp
示例:配置 ClearPass 以过滤和速率限制威胁和攻击日志
SRX 系列防火墙可以动态地向 ClearPass 策略管理器 (CPPM) 发送有关其保护网络资源的安全模块所识别的威胁和攻击的信息。它检测与特定设备及其用户的活动相关的攻击和攻击威胁,并生成相应的日志。要控制此传输,必须配置要发送的日志类型及其发送速率。然后,您可以使用此信息在 CPPM 上设置策略规则,以加强网络安全。
此示例说明如何配置 SRX 系列集成 ClearPass 身份验证和实施功能,以便仅过滤威胁和攻击日志并将其传输到 CPPM,并控制 SRX 系列防火墙传输这些日志的音量和速率。
要求
此示例的拓扑使用以下硬件和软件组件:
在服务器上的虚拟机 (VM) 中实施的 Aruba CPPM。CPPM 配置为使用其本地身份验证源对用户进行身份验证。
运行 Junos OS 的 SRX 系列防火墙,包括集成的 ClearPass 功能。SRX 系列防火墙连接到瞻博网络 EX4300 交换机和互联网。SRX 系列防火墙通过安全连接与 ClearPass 通信。
瞻博网络 EX4300 交换机用作有线 802.1 接入设备。EX4300 第 2 层交换机将端点用户连接到网络。SRX 系列防火墙已连接到交换机。
运行 Microsoft OS 的有线、联网 PC。系统直接连接到 EX4300 交换机。
威胁和攻击日志是为安全功能捕获并防御的事件触发的这些设备的活动而写的。
概述
SRX 系列集成的 ClearPass 身份验证和实施功能与 Aruba ClearPass 一起保护贵公司的资源免遭实际和潜在攻击。SRX 系列防火墙通过它发送的日志将网络资源面临的威胁和攻击告知 CPPM。然后,您可以使用此信息来评估 CPPM 上的安全策略配置。基于这些信息,您可以加强对单个用户或设备的安全性。
要控制此功能的行为,必须将 SRX 系列防火墙配置为过滤攻击和威胁日志条目,并设置速率限制条件。
您可以通过以下方式调整此函数的行为:
设置过滤器以指示 SRX 系列防火墙仅向 CPPM 发送威胁和攻击日志。通过此过滤器,您可以确保 SRX 系列防火墙和日志服务器不需要处理不相关的日志。
建立速率限制条件以控制发送的日志量。
您可以设置 rate-limit 参数来控制发送日志的音量和速率。例如,您可以将 rate-limit 参数设置为 1000,以指定在 1 秒内最多向 ClearPass 发送 1000 个日志。在这种情况下,如果尝试发送 1015 条日志,则超出限制的日志数(在本例中为 15 条日志)将被删除。日志不会排队或缓冲。
您最多可以配置三个日志流,每个单独的日志由其目标、日志格式、过滤器和速率限制定义。日志消息将发送到所有配置的日志流。每个流都有单独的速率限制。
为了支持速率限制,日志消息从设备的本地 SPU 以分速发送。在配置过程中,路由引擎会为每个 SPU 分配一个分割速率。除以速率等于配置的速率除以设备上的 SPU 数量:
divided-rate = configured-rate/number-of-SPUs
配置
此示例介绍如何配置过滤器以选择要发送到 ClearPass 的威胁和攻击日志。它还介绍了如何设置速率限制器来控制在给定时间段内发送的日志量。它包括以下部分:
CLI 快速配置
要快速配置此示例,请复制以下语句,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将语句复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security log stream threat-attack-logs host 203.0.113.47 set security log mode stream set security log source-interface ge-0/0/1.0 set security log stream to_clearpass format sd-syslog set security log stream to_clearpass filter threat-attack set security log stream to_clearpass rate-limit 1000
配置集成式 ClearPass 身份验证和实施,以过滤发送到 CPPM 的威胁和攻击日志
分步过程
指定日志流的名称及其目标的 IP 地址。
[edit security] user@host# set security log stream threat-attack-logs host 203.0.113.47
将日志模式设置为流式传输。
[edit security] user@host# set log mode stream
设置主机源接口编号。
[edit security] user@host#set log source-interface ge-0/0/1.0
将日志流设置为使用结构化系统日志格式,以便通过系统日志将日志发送到 ClearPass。
[ edit security] user@host# set log stream to_clearpass format sd-syslog
指定要记录的事件类型。
[edit security] user@host# set log stream to_clearpass filter threat-attack
注意:此配置与为筛选器设置的当前类别集互斥。
为此流设置速率限制。范围是从 1 到 65,535。
此示例指定每秒最多可以向 ClearPass 发送 1000 个日志。当达到最大值时,将删除任何其他日志。
[ edit security] user@host# set log stream to_clearpass rate-limit 1000
结果
在配置模式下,输入 show interfaces 命令以确认您的接口配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
mode stream;
source-interface ge-0/0/1.0;
stream threat-attack-logs {
host {
203.0.113.47;
}
}
stream to_clearpass {
format sd-syslog;
filter threat-attack;
rate-limit {
1000;
}
}
示例:使用 JIMS 配置 ClearPass
此示例说明如何同时为用户身份信息启用瞻博网络身份管理服务 (JIMS) 和 ClearPass,并验证 JIMS 和 ClearPass 如何同时工作。此外,此示例还说明了优先授予哪些身份验证条目,以及 JIMS 和 ClearPass 的超时行为。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙。
JIMS 服务器的 IP 地址。
ClearPass 客户机 IP 地址。
Aruba ClearPass 策略管理器 (CPPM)。CPPM 配置为使用其本地身份验证源对用户进行身份验证。
注意:假定 CPPM 配置为向 SRX 系列防火墙提供用户身份验证和身份信息,包括用户名、用户所属任何组的名称列表、所用设备的 IP 地址以及设备安全状况令牌。
概述
SRX 系列防火墙从不同的身份验证源获取用户或设备身份信息。SRX 系列防火墙获取设备身份信息后,会在设备身份认证表中创建一个条目。SRX 系列防火墙依靠 JIMS 和 ClearPass 来获取用户身份信息。通过同时启用 JIMS 和 ClearPass,SRX 系列防火墙查询 JIMS 以从 Active Directory 和 Exchange 服务器获取用户身份信息,CPPM 通过 Web API 将用户身份验证和身份信息推送到 SRX 系列防火墙。
同时启用 JIMS IP 查询和 ClearPass 用户查询时,SRX 系列防火墙将始终首先查询 ClearPass。从 JIMS 和 CPPM 接收到 IP 用户或组映射时,SRX 系列防火墙会考虑最新的身份验证条目并覆盖现有身份验证条目。您可以设置一个 delay-query-time 参数(以秒为单位),以允许 SRX 系列防火墙等待一段时间后再发送查询。启用 JIMS 和 ClearPass 时,彼此的延迟时间值应相同。否则,将显示一条错误消息,并且提交检查将失败。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层 [edit] 级的 CLI 中。
set services user-identification identity-management connection primary address 192.0.2.0 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret test set services user-identification authentication-source aruba-clearpass user-query web-server cp-server set services user-identification authentication-source aruba-clearpass user-query address 198.51.100.0 set services user-identification authentication-source aruba-clearpass user-query client-id otest set services user-identification authentication-source aruba-clearpass user-query client-secret test set services user-identification authentication-source aruba-clearpass user-query token-api oauth_token/oauth set services user-identification authentication-source aruba-clearpass user-query query-api "user_query/v1/ip/$IP$" set system services webapi user root set system services webapi user password “$ABC123" set system services webapi client 203.0.113.0 set system services webapi https port 8443 set system services webapi https default-certificate set services user-identification authentication-source aruba-clearpass authentication-entry-timeout 30 set services user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 30 set services user-identification identity-management authentication-entry-timeout 30 set services user-identification identity-management invalid-authentication-entry-timeout 30 set services user-identification identity-management ip-query query-delay-time 15 set services user-identification authentication-source aruba-clearpass user-query delay-query-time 15
程序
分步过程
要同时配置 JIMS 和 ClearPass,请使用以下配置:
配置 JIMS 主服务器的 IP 地址。
[edit services] user@host# set user-identification identity-management connection primary address 192.0.2.0
配置 SRX 系列作为其身份验证的一部分提供给 JIMS 主服务器的客户端 ID。
[edit services] user@host# set user-identification identity-management connection primary client-id otest
配置 SRX 系列作为其身份验证的一部分提供给 JIMS 主服务器的客户端密码。
[edit services] user@host# set user-identification identity-management connection primary client-secret test
-
将 Aruba ClearPass 配置为用户查询请求的身份验证源,并配置 ClearPass Web 服务器名称及其 IP 地址。SRX 系列防火墙需要此信息才能联系 ClearPass Web 服务器。
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query web-server cp-server address 198.51.100.0
-
配置 SRX 系列防火墙所需的客户端 ID 和客户端密码,以获取用户查询所需的访问令牌。
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query client-id otest user@host# set user-identification authentication-source aruba-clearpass user-query client-secret test
配置用于生成获取访问令牌的URL的令牌API。
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query token-api oauth_token/oauth
配置查询 API,用于查询单个用户身份验证和身份信息。
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query query-api "user_query/v1/ip/$IP$"
配置帐户的 Web API 守护程序用户名和密码。
[edit system services] user@host# set webapi user user password “$ABC123"
配置 Web API 客户端地址,即 ClearPass Web 服务器数据端口的 IP 地址。
[edit system services] user@host# set webapi client 203.0.113.0
配置 Web API 进程 HTTPS 服务端口。
[edit system services] user@host# set webapi https port 8443 user@host# set webapi https default-certificate
为 Aruba ClearPass 配置身份验证条目超时值。
[edit services] user@host# set user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 30
配置一个独立的超时值,以便在 Aruba ClearPass 的 SRX 系列身份验证表中分配给无效的用户身份验证条目。
[edit services] user@host# set user-identification identity-management authentication-entry-timeout 30
配置一个独立的超时值,以便在 JIMS 的 SRX 系列身份验证表中分配给无效的用户身份验证条目。
[edit services] user@host# set user-identification identity-management invalid-authentication-entry-timeout 30
-
设置一个
query-delay-time参数(以秒为单位),允许 SRX 系列防火墙等待一段时间后再发送查询。[edit services] user@host# set user-identification identity-management ip-query query-delay-time 15
-
设置一个
query-delay-time参数(以秒为单位),允许 SRX 系列防火墙等待一段时间后再发送查询。[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query delay-query-time 15
结果
在配置模式下,输入 命令, show system services webapi以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit ]
user@host# show system services webapi
user {
device;
password "$ABC123"; ## SECRET-DATA
}
client {
203.0.113.0;
}
https {
port 8443;
default-certificate;
}
在配置模式下,输入 show services user-identification authentication-source aruba-clearpass 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit ]
user@host# show services user-identification authentication-source aruba-clearpass
authentication-entry-timeout 30;
invalid-authentication-entry-timeout 30;
user-query {
web-server {
cp-server;
address 10.208.164.31;
}
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
token-api oauth_token/oauth;
query-api "user_query/v1/ip/$IP$";
delay-query-time 15;
}
在配置模式下,输入 show services user-identification identity-management 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit ]
user@host# show services user-identification identity-management
authentication-entry-timeout 30;
invalid-authentication-entry-timeout 30;
connection {
primary {
address 10.208.164.137;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
ip-query {
query-delay-time 15;
}
如果完成设备配置,请从配置模式输入 commit 。
验证
确认配置工作正常。
验证 JIMS 身份验证条目
目的
验证 JIMS 的设备身份认证表是否已更新。
行动
输入 show services user-identification authentication-table authentication-source identity-management source-name "JIMS - Active Directory" node 0 命令。
show services user-identification authentication-table authentication-source identity-management source-name "JIMS - Active Directory" node 0 node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: ad-jims-2008.com Total entries: 5 Source IP Username groups(Ref by policy) state 192.0.2.2 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.4 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.5 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.7 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.11 administrator dow_group_00001,dow_group_0000 Valid
意义
输出显示身份验证条目已更新。
验证 ClearPass 认证条目
目的
验证 ClearPass 的设备身份认证表是否已更新。
行动
输入 show services user-identification authentication-table authentication-source aruba-clearpass node 0 命令以验证条目是否已更新。
show services user-identification authentication-table authentication-source aruba-clearpass node 0 node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: juniper.net Total entries: 1 Source IP Username groups(Ref by policy) state 2001:db8::::63bf:3fff:fdd2 ipv6_user01 ipv6_group1 Valid
意义
输出显示正在更新 ClearPass 的身份验证条目。
按域验证设备条目
目的
验证所有经过身份验证的设备是否都属于域。
行动
输入 show services user-identification device-information table all domain juniper.net node 0 命令。
show services user-identification device-information table all domain juniper.net node 0 node0: -------------------------------------------------------------------------- Domain: juniper.net Total entries: 1 Source IP Device ID Device-Groups 2001:db8:4136:e378:8000:63bf:3fff:fdd2 dev01 device_group1
意义
输出显示属于域的所有经过身份验证的设备。
验证 ClearPass Web 服务器是否联机
目的
验证 ClearPass Web 服务器是否联机。
行动
输入 show services user-identification authentication-source aruba-clearpass user-query status 命令。
show services user-identification authentication-source aruba-clearpass user-query status
node1:
--------------------------------------------------------------------------
Authentication source: aruba-clearpass
Web server Address: 198.51.100.0
Status: Online
Current connections: 0
意义
输出显示 ClearPass Web 服务器处于联机状态。
验证 JIMS 服务器是否联机
目的
验证 JIMS 服务器是否联机。
行动
输入 show services user-identification identity-management status 命令。
show services user-identification identity-management status
node1:
--------------------------------------------------------------------------
Primary server :
Address : 192.0.2.0
Port : 443
Connection method : HTTPS
Connection status : Online
Secondary server :
Address : 192.0.2.1
Port : 443
Connection method : HTTPS
Connection status : Offline
Last received status message : OK (200)
Access token : P1kAlMiG2Kb7FzP5tM1QBI6DSS92c31Apgjk9lV
Token expire time : 2018-04-12 06:57:37
意义
输出显示 JIMS 服务器处于联机状态。