使用Web認證保證訪問安全

Web認證的類型

當用戶首次通過有線或無線連接到本地網絡，會被放置到一個受限訪問的網絡環境中。管理員可以事先使用VLAN或DACL（下載訪問列表）來定義該隔離網絡。為獲得對網絡的完全訪問，可以使用瀏覽器發起任意的HTTP或HTTPS請求。一般來說，Web認證包括無線控制器本地網頁認證、有線交換機中心網頁認證、有線交換機本地網頁認證等方式。

例如對于思科ISE（身份識別引擎）設備來說，采用的是中心網頁認證方式,ISE支持管理員、來賓和贊助商門戶。本例中使用了某款思科交換機來連接ISE設備、無 線 控 制 器、AP、Windows Server 2008 R2域控等網絡設備，這些設備分別規劃到不同的VLAN中，擁有各自的IP地址。交換機被添加到ISE的NAD設備列表中，作為ISE的客戶端且支持SNMP服務，便于ISE設備之間通訊。

配置重定向流量控制列表

為實現Web認證，需要在交換機的全局配置模式下 執 行“ip access-list extended WEB-REDIRECT”、“deny udp any any eq domain”、“deny udp any host xxx.xxx.xxx.xxx eq 8905”、“deny udp any host xxx.xxx.xxx.xxx eq 8906”、“deny udp any host xxx.xxx.xxx.xxx eq 8909”、“deny tcp any host xxx.xxx.xxx.xxx eq 8905”、“deny tcp any host xxx.xxx.xxx.xxx eq 8909”、“deny tcp any host xxx.xxx.xxx.xxx eq 8443”、“deny udp any host xxx.xxx.xxy.xxx eq 8905”、“deny tcp any host xxx.xxx.xxy.xxx eq 8905”、“permit ip any any”命令，創建名為“WEB-REDIRECT”的ACL，其主要作用是定義重定向列表，即被其Deny流量不進行重定向，這些被屏蔽的流量包括DNS流量以及和ISE設備之間的準入控制流量。這里的IP地址均為假設，可根據實際情況更改。

登錄到ISE管理界面，依 次 點 擊 菜 單“Policy”、“Results”項，在 左 側 依次 點 擊“Authorization”、“Downloadable ACLs” 項，在右側點擊“Add”按鈕，輸入新的DACL列表名稱（例如“zhongxinacl”），在“DACL Control”欄中輸入“Permit icmp any any”、“Permit udp any any eq domain”、“Permit icmp any any”、“Permit tcp any any eq 80”、“Permit tcp any any eq 443”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8443”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8905”、“Permit tcp any host xxx.xxx.xxx.zzz eq 8905”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8909”、“Permit udp any host xxx.xxx.xxx.xxx eq 8905”、“Permit udp any host 202.100.1.254 eq 8905”、“Permit udp any host xxx.xxx.xxx.xxx eq 8906”、“Permit udp any host xxx.xxx.xxx.xxx eq 8909”，點擊“Submit”提交。

DACL的作用是定義允許通過的流量，用于中心網頁認證，該列表和上述重定向列表功能剛好相反，兩者需要結合使用，即目標流量既要在該列表中被放行，又要在重定向列表中被Deny。在左側點擊“Authorization”、“Authorization Profiles”項，在右側點擊“Add”按鈕添加新的授權項目，輸入名稱（如“zxsq”）， 在“Common Tasks”欄中選擇“DACL Name”項，在右側列表中選擇上述“zhongxinacl”列表項。選擇“Web Authentication”項，選擇右側的“Centralized”項，啟用中心認證功能,在“ACL”列表中選擇上述“WEBREDIRECT”重定向列表。這樣，在“Attributes Details”欄中就會顯示重定向所需的URL地址信息，即重定向到ISE設備上顯示來賓門戶頁面，接受ISE設備安全認證。同理，創建名為“rzok”的授權項，選擇“DACL Name”項，選擇預先定義好的放行所有流量的ACL列表，并指定合適的VLAN號。這樣，當認證通過后可允許其正常訪問網絡。

配置有線模式下的認證策略

當某個外來用戶使用其自己的電腦設備接入到本公司的網絡后。因為其在域中沒有對應的賬戶信息，交換機就會向其發送EAPRequest信息，請求其賬戶信息，該用戶多次無響應后，就會執行MAB認證，即將用戶主機的MAC地址作為賬戶名和密碼，發送給ISE設備進行認證，但是在ISE上沒有該主機的MAC賬戶信息，如果采用默認策略，必然無法通過。為此可以在ISE的管理界面上點擊“Policy”、“Result”項，在工具欄上點擊“Authentication”按鈕，在對應的“MAB”策略的第三列右側點擊倒三角形按鈕，在打開面板中的“Use”列中點擊“+”按鈕，在“Internal Endpoints”標 簽 中 的“if authentication failed”列表中選擇“Continue”項。

這樣，即使該機沒有經過MAB認證，依然可以讓其通過。點擊工具欄上的“Authorization”按 鈕，在“Default”欄中點擊“Edit”鏈接，在第二列中點擊“+”按鈕，在打開的“Profiles”面板中選擇“Standard”節點，在其中選擇上述“zxsq”授權項目，讓其取代默認的“PermitAccess”授權策略。這樣，當外來用戶的主機通過MAB認證后，卻沒有找到任何授權策略，只能依靠默認的授權策略，執行重定向操作，在賓客門戶網頁進行認證處理。當用戶輸入了正確的賬戶名和密碼后，就可以順利訪問網絡了。為此可以創建與之對應的策略來實現，在策略列表中首行右側點 擊“Edit”、“Insert New RuleAblove”項，在最頂部插入新的策略。

配置有線模式下的授權策略

在“Rule Name”欄中輸入名稱（如“WebRule1”），在“Conditions”欄點擊“+”按鈕，在“User Identity Groups”中選擇“Employee”組。并根據需要設置合適的條件。在“Permissions”欄中選擇合適的授權，如“Web_AUTHENED”，允許訪問所有網絡資源。因為使用了ISE內置的“Employee”組，所以需要在其中添加新的賬戶。點擊 菜 單“Administration”、“Identities”項，在 左 側點 擊“users”，在 右 側 點擊“Add”按鈕，創建名為“user1”的賬戶，為其設置密碼，并放置到“Employee”組。

點擊“Administration”、“Web Portal Management”、“Settings” 項，在 左 側點 擊“Guest”、“Multi-Portal Configurations”、“DefaultGuestPortal” 項，在右側的“Operations”面板中取消“Enable Self-Provisioning Flow” 項 的選擇狀態。當外來的客戶機連接到交換機上后，即可執行以上認證。在交換機上執行“show authentication sessions interface fa0/10”命令，在返回信息中的“mab”欄中顯示“Authc Success”，說明 MAB認證通過。在“URL Redirect ACL”欄中顯示得到的重定向控制列 表。 在“URL Redirect”欄中顯示其獲得的重定向地址。假設連接到交換機“fa0/10”接口上。當該客戶訪問內網中某個網址時，會重定向到ISE的賓客門戶網頁，輸入上述“User1”名稱和密碼，就可以認證通過了。

配置無線Web認證策略

上面談了在有線網絡環境中對來賓用戶進行Web認證的方法。接下來分析在無線網絡環境中如何對來賓用戶進行Web認證。在交換機上連接思科某款無線控制器，其分配在指定的VLAN中。當然，需要事先將無線控制器添加到ISE的設備列表中，并進行必要的設置，這里限于篇幅不再贅述。登錄到該無線路由器上，在其管理界面工具欄上點擊“SECURITY”按鈕，在左側點擊“Access Control Lists”、“Access Control Lists”項，在 右側點擊“New”按鈕，輸入新的ACL列表名稱（例如“Redirectwx”），該列表的作用是在重定向時可以正常訪問的流量。

打開該列表項，點擊“Add New Rule”按鈕，在新建規則窗口中的“Protocol”列表中選擇“UDP”項，在“Destination Port”列表中選擇“DNS”項，在“Action”列表中選擇“Permit”項，點擊“Apply”按鈕保存。同理，創建與之類似新的規則，不同的是在“Source Port”列表中選擇“DNS”，表示放行DNS流量。之后創建新的規則，在“Destinations”列表中選擇“IP Address”項，輸入ISE設備的IP地址。在“Action”列表中選擇“Permit”項，放行去往ISE設備的流量。和有線設備不同，無線設備必須針對不同的認證方式創建專用的WLAN，在工具欄上點擊“WLANs”按 鈕，在“Create new”列表右側點擊“Go”按 鈕，創 建 新 的 WLAN，在“Profile name”輸入名稱，在“SSID”欄中輸入服務服務集標識名（如“wxrz”）。

設置無線WLAN屬性信息

在該WLAN屬性窗口的“General”中 的“Interace/Interface Group(G)” 列表中選擇目標VLAN。在“Security”中的“Layer2”標簽中的“Layer 2 Security”列表中選擇“None”項，取消二層安全。在“Layer3”標簽中選擇“Web Policy”項，在“Preauthentication ACL”列表中選擇上述“Redirectwx”列表，這樣，在重定向時只有這些流量可以放行。在“Over-ride Global Config”欄 中 選 擇“Enable”項，在“Web Auth type”列表中選擇“External(Re-direct to external server)” 項， 在“URL”欄 中 輸 入“https://xxx.xxx.xxx.xxx:8443/questportal/login.action”，其 中“xxx.xxx.xxx.xxx” 為ISE設備地址,這樣，可將來賓訪問重定向到ISE服務器。

在“AAA Server”標簽中的“Authentication Servers”和“Accounting Servers” 欄中選擇3A服務器，即ISE服務器地址,在“Advanced”面板中的“Allow AAA Override”欄中選擇“Enabled”項，其余保持默認。注意，在配置之后必須在界面上部點擊“Save Configuration”按鈕，否則掉電后信息將消失。之后登錄到ISE管理界面，點擊菜單“Policy”、“Results”項，在左 側 點 擊“Authorization”、“Authorization Profiles”項，在右側點擊“Add”創建新的授權策略。輸入名稱（如“Wxsq”），選擇“Airespace ACL Name”項，輸入ACL列表名。該列表可在無線控制上創建好，例如可放行所有訪問等。

在ISE中管理無線Web認證策略

接著按照上面談到的方法，在授權列表頂部添加新的規則。在“Rule Name”欄中輸入其名稱（例 如“WxwebRule1”）， 在“Condtions”欄中點擊“+”按 鈕， 在“User Identity Groups”類型中選擇“Employee”組。并根據需要為其設置合適的條件，例如“Device?:Location”（設備地址）位于B城市等。在“Permissions” 欄 中 為其選擇合適的授權，例如“Wireless_Web”，允許訪問所有網絡資源。當完成以上設置后，在客戶機上就可以搜索到上述WLAN的SSID信息，當連接到該SSID后，發起針對內網的HTTP訪問請求，就可以重定向到ISE的來賓門戶網頁，輸入預設的賬戶和密碼，就可以順利訪問網絡資源了。