Authentication Proxy ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (79.7 KB, 3 trang )
Bài 2: Cấu hình Authentication Proxy
Phần này chỉ tập trung vào cấu hình Cisco IOS firewall cho hướng inbound và outbound
mà không sử dụng CBAC, NAT, IPSec hay VPN Client.
Các bước cấu hình Authentication Proxy:
• Bước 1: Cấu hình AAA
• Bước 2: Cấu hình HTTP server
• Bước 3: Cấu hình Authentication Proxy
• Bước 4: Kiểm tra cấu hình
Bước 1: Cấu hình AAA
Cho phép tính năng AAA trên Cisco IOS Firewall
aaa new-model
Định nghĩa phương thức xác thực được tận dụng khi login
aaa authentication login default [tacacs+ | radius]
Từ khoá auth-proxy cho phép bật cơ chế authentication proxy cho phương thức xác thực
AAA ( TACACS+ hay RADIUS) và cho phép router download các ACL động từ server
AAA.
aaa authorization auth-proxy default [method1 [method2 ]]
Từ khóa auth-proxy trong câu lệnh này kích hoạt chức năng accounting cho
authentication proxy
aaa accounting auth-proxy default start-stop group tacacs+
Nhận dạng AAA server bằng hostname hoặc bằng địa chỉ IP
tacacs-server host hostname
hoặc
radius-server host hostname
Cấu hình key xác thực và mã hóa nhằm đảm bảo kênh truyền thông tin giữa Cisco IOS
Firewall và server AAA được bảo mật.
tacacs-server key key
or
radius-server key key
Tạo ACL nhằm cho phép các traffic từ AAA server trả về Cisco IOS Firewall.
access-list [access-list-number] permit tcp host source eq tacacs | radius host destination
Bước 2: Cấu hình HTTP server
Trong bước này, bạn cấu hình HTTP server hoạt động và thiết lập các phương thức xác
thực
- ip http server Mở chức năng HTTP server trên Cisco IOS Firewall. HTTP server được
dùng bởi Cisco IOS Firewall để gửi trang login đến Client.
- ip http secure-server Mở chức năng HTTP server trên Cisco IOS firewall sử dụng đặc
tính SSL (Secure Socket Layer). Ciso IOS Firewall được truy nhập theo cùng cách như
trên ngoại trừ truy nhập sử dụng HTTPS (SSL). Sử dụng các server bảo mật làm giảm
những lỗ hổng liên hệ với việc cho phép việc truy nhập vào Cisco IOS Firewall dùng
HTTP server.
- ip http authentication aaa Cài đặt phương thức xác thực HTTP server dùng AAA
- access-list access-list-number deny any Một ACL chuẩn phải được tạo ra để từ chối bất
kỳ máy nào
- ip http access-class access-list-number Đặc tả ACL được sử dụng bởi HTTP server. Số
của ACL được tạo ra ở trên được dùng để ngăn chặn bất kỳ máy nào kết nối trực tiếp vào
HTTP server
Bước 3: Cấu hình Authentication Proxy
Bước này cấu hình authentication proxy trên Cisco IOS firewall. Dùng các câu lệnh trong
bảng sau:
- ip auth-proxy auth-cache-time min: Đặt giá trị idle-timeout của authentication proxy.
Tất cả các mục xác thực và các ACL động được xóa khỏi Cisco IOS Firewall khi đạt đến
giá trị idle-timeout này. Đơn vị là phút, mặc định là 60 phút.
- ip auth-proxy auth-proxy-banner (Tùy chọn) cho phép bạn đặt tên của firewall trên
trang login của authentication proxy. Mặc định tính năng không bật lên.
- ip auth-proxy name auth-proxy-name http [auth-cache-time min][list {acl | acl-name}]
Cấu hình các luật riêng lẻ của authentication proxy
[auth-cache-time min]: tham số này là tùy chọn và được dùng đặc tả thời gian auth-cache-
time cho 1 luật nào đó thay vì dùng cấu hình ở mode configuration[list {acl | acl-name}]:
tùy chọn này dùng để chỉ định ACL cho luật.
interface type Đặc tả loại cổng giao tiếp trên đó sẽ sử dụng authentication proxy.
- ip auth-proxy auth-proxy-name Câu lệnh này sử dụng trên mode interface, áp dụng luật
của authentication proxy lên cổng. Các luật phải được áp dụng trên cổng đầu tiên của
Cisco IOS Firewall mà yêu cầu kết nối sẽ đi vào. Ví dụ, các luật nên được áp dụng trên
cổng giao tiếp bên trong cho những traffic đi ra ngoài và trên cổng giao tiếp với bên
ngoài cho traffic đi vào hệ thống.
Bước 4: Kiểm tra cấu hình Authenticatino Proxy:
Sử dụng câu lệnh show ip auth-proxy để hiển thị và kiểm tra cấu hình athentication
proxy.
