华为网络设备AAA授权管理方案

华为网络设备AAA授权管理方案

一、面临挑战

禁止对网络设备的非法访问是网络安全的一项必要条件。传统情况下，设备管理用户在访问网络设备前，需要先登录并在本地配置身份验证信息，只有拥有合法凭证的用户才能得到相应的访问授权，从而保证了网络的安全性。然而当网络规模成倍扩张的时候，IT基础架构越来越庞大，网络设备的管理与维护也变得复杂化，对多个设备或网络服务进行多次认证与控制，增加了额外的工作成本。这时就需要一个能够对整体网络做出统一认证与控制的服务平台，有效提高企业IT运维的工作效率及管理操作的安全性。

1、管理挑战：企业庞大的网络架构使得设备管理用户在繁杂的IT运维工作中存在多次重复认证过程，影响管理工作效率。

2、安全挑战：对设备管理用户的弱身份鉴别，以及在控制对其访问权限上的缺失或不力，会带来巨大的安全漏洞。

二、解决方案

1. 华为网络设备AAA授权管理方案概述

宁盾认证服务平台通过标准RADIUS协议，可实现华为网络设备管理用户的统一身份认证，对其提出的认证请求、授权请求、审计请求做出响应，提供AAA 服务。

首先对设备管理用户的认证请求做出响应，验证其身份的合法性，并结合宁盾双因素认证，通过动态密码对账号进行双重保护；然后根据用户身份权限进行授权，控制用户的访问及操作行为；宁盾认证服务平台可全程跟踪用户行为动作，并出具详细的登录认证及操作行为日志报表，满足审计合规要求。

兼容的网络设备包括华为交换机、路由器、防火墙及堡垒机、WAF等。

2. 网络拓扑

3. 宁盾动态密码形式

短信令牌：基于短信发送动态密码的形式

手机令牌：基于时间的动态密码，由手机APP生成

硬件令牌：基于时间的动态密码，由硬件生成

三、方案价值

①AAA授权管理：集成RADIUS协议，实现对华为网络设备管理员实现统一认证、

授权、日志审计，提升日常运维管理工作效率；

②支持批量开户：支持对设备管理用户集中开户，可批量设定设备管理用户的

登录密码、授权策略、失效时间、在线数量和权限提升密码；

③与现有系统无缝集成：支持外部数据源，除AD、LDAP等标准帐号源外，还可

以从客户自定义的系统中（OA、ERP、CRM）同步用户数据；

④账号双重保护：支持通过短信令牌、硬件令牌、手机令牌等动态密码认证，

提升设备运维账号密码强度，保护账号安全，避免定期修改密码；

⑤风险账号隔离：通过设定账号认证登录规则，可以将自动猜测密码尝试恶意

登陆设备的账号加入黑名单进行隔离；

⑥访问授权策略：支持按场景分配授权策略，场景可以是设备位置区域、设备

类型和接入时段的组合；支持基于角色的授权策略，包括权限级别、接入ACL、限制时长；

⑦实名可审计：记录设备管理员的认证、授权及行为审计信息日志，并支持导

出到文本文件中。包括登录名、登录结果（失败原因）、认证时间、登录设备IP、终端用户IP、权限级别、登录动作、认证类型、服务类型、授权动作、审计类型、审计时间等；

⑧用户实时监测：可查看当前在线的设备管理用户的登录、授权策略、接入时

间、接入时长、登录的设备等信息，并可强制将非法设备管理用户下线或加入黑名单；

⑨易部署及高可靠性：支持Vmware环境，虚机部署，支持集中式和分布式部署，

支持集群冗余。