antiCisco blogs » Blog Archive » IOS User-Based Firewall

antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 22 Май , 2013

User-Based Firewall (здесь и далее UBF) был разработан для обеспечения гибкого механизма, обеспечивающего политики доступа для пользователей основываясь на его личности, а не IP-адресе. Классификация пользователей может проводиться на основе различных данных: тип устройства, которое запрашивает доступ в сеть, его расположение и роль. После того, как личность пользователя установлена, все политики фаирволла применяются для конкретного пользователя, а не для его IP-адреса.

Настройка UBF может осуществлять двумя глобальными способами. Первый метод, тэги и шаблоны, использует локально определенные политики на устройстве. Второй же метод задействует для этого внешний сервер (ACS, ISE) и передает с него настройки на устройство доступа (NAD, Network Access Device).

Рассмотрим настройку UBF сразу на примере.

Первым шагом включаем aaa и определяем параметры аутентификации и авторизации.

aaa new-model
aaa authentication login default local
aaa authorization auth-proxy default local

Далее создаем лист аттрибутов и привязываем его к пользователю в локальной базе.

aaa attribute-list ATTR_ENG
 attribute-type supplicant-group «ENGINEER»
username engineer secret cisco
username engineer aaa attribute-list ATTR_ENG

Включаем authentication proxy для интересующего нас трафика (в данном случае http) на интерфейсе Fa0/0

ip admission name ADMIS_HTTP proxy http
interface Fa0/0
 ip admission ADMIS_HTTP

На данном этапе, если некий пользователь инициирует http-сессию через интерфейс Fa0/0, то трафик будет перехвачен маршрутизатором и пользователю будет предложено ввести свои логин и пароль. При вводе engineer/cisco пользователь получает саппликант-группу “ENGINEER” и плюс ко всему прочему фаирволл запоминает IP-адрес, с которого была инициирована сессия. Далее группу “ENGINEER” можно использовать при написании политик ZFW.

ip access-list extended ACL_AUTHEN-ENG
 permit tcp any host 10.10.1.1 eq 80
class-map type inspect CLASS_AUTHEN-ENG
 match access-group name ACL_AUTHEN-ENG
 match user-group ENGINEER
policy-map type inspect POLICY_AUTHEN-ENG
 class type inspect CLASS_AUTHEN-ENG
  inspect

 

 

 

Метки:
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы

 

2 комментария “IOS User-Based Firewall”

comment rss - Trackback

  1. SoHm:

    Добрый день!
    А не подскажете теоретически какое количество username/secret можно держать на маршрутизаторе до того момента, когда базу лучше держать на внешнем ААА-сервере?

    >>пользователю будет предложено ввести свои логин и пароль
    Т.е. маршрутизатор генерирует http-запрос? Или как?

    Буду премного благодарен за пояснения!

  2. m0ps:

    К каким типам трафика применим UBF?

» Оставить комментарий

Вы должны войти чтобы прокомментировать.