部署IOS防火墙——认证代理(AP)

　　目前，介于互联网的很多不安全因素，很多中小型企业还没有部署防火墙，作为一种临时过渡的手段，广泛地使用到了Authentication Proxy，简称AP.

　　回顾一下，锁和密钥，它要求用户先TELNET到路由器上进行认证，然后，TELNET被路由器终止，并为用户建立一个动态的ACL条目以便允许流量通过路由器，这是一个极好的特性，但同时存在一些不足：

　　1）主要为拔号用户开发的，这里只有一个用户访问路由器接口。

　　2）应用到该接口的扩展ACL只有一个动态条目，所有用户必须共享该ACL，这样就不能执行基于每个用户的限制。

　　3）它要求首先TELNET到路由器上要求用户知道该认证过程。该过程必须在用户可以访问动态ACL条目中指定的资源前首先发生。

　　为了克服这些不足，CISCO开发了认证代理（AP）。AP基本上是锁和密钥的增强版，是CISCO IOS防火墙特性集的一部分，类似于CISCO PIX的直通代理（CUT-THROUGH PROXY）。

　　通过一个实际访问过程来分析AP的工作步骤：

　　1）一个用户首先打开了到内部WEB服务器的HTTP连接

　　2）由于需要经过这台配置了AP的路由器，所以，路由器打开了HTTP认证机制，它截取HTTP连接请求。路由器发送一个输入用户名和密码的提示。

　　3）用户输入用户名和密码。

　　4）路由器接收到认证信息时，它会将它通过TACACS+或者RADIUS转发到AAA服务器。

　　5）AAA服务器认证用户，如果用户被成功认证，AAA服务器将用户访问档案发给路由器。访问档案基本上是一个ACL语句组成的简化组，这些语句定义了允许用户访问什么。

　　6）如果用户认证成功，用户获得一个弹出窗口，表明认证成功。路由器将访问档案转换成实际的临时ACL条目，然后将这些条目在适当的输入方向激活。这些条目实际上允许了什么样的资源允许被该认证的用户访问。最后，实现了用户到指定资源的访问。

　　配置AP五个步骤：

　　（1）在路由器中配置AAA

Aaa new-model
Tacacs-server host ip_address timeout seconds key encryption_key
Aaa authentication login default group tacacs+
Aaa authorization auth-proxy default group tacacs+
Aaa accounting auth-proxy default start-stop group tacacs+（如果执行计帐）

[1] [2] 下一页  

【责编:Kittoy】