防火墙AAA的配置

防火墙AAA的配置

asa(config)# aaa-server [aaa服务器的名子] protocol [radius/tacacs+]

指明AAA服务器的名子和使用的协议

asa(config)# aaa-server [aaa服务器的名子] [连接server的接口名] host [server的IP地址] key [密钥] 指明AAA服务器所在的地址和key

asa(config)# aaa authentication [要验证的协议] console [aaa服务器的名子]

配置AAA要验证的协议和使用哪一个服务器做验证，

需要验证的协议有enable 对enable验证

serial 对线路口验证

ssh

telnet 对telnet的验证

流量验证，用ACL定义需要验证的流量

asa(config)# aaa authentication match [acl] [outside] [aaa服务器的名子]

来自外部接口的流量，如果匹配ACL做验证,不匹配不做验证直接通过。

代理验证的配置

如果协议本身无法做验证，使用virtual做代理验证。

virtual telnet [192.168.0.9] IP为防火墙的IP或同网段的。

例：

include和exclude的使用方法

aaa authentication include包含要求验证/exclude不要求验证

例：

aaa authentication include [ftp] [outside] [源IP] [mask] [目的] [name]

来自外部接口的ftp流量都需要找aaa-server验证

asa(config)# aaa local authentication attempts max-fail [3] 最大失效尝试次数

验证代理超时时间的设置

asa(config)# timeout uauth 0:10:10 inactivity 非活跃超时时间

asa(config)# timeout uauth 0:10:10 absolute 绝对超时时间

AAA的授权的配置

asa(config)# aaa authorization match [acl] [inside] [aaa]

匹配ACL，来自内部接口的流量交给名子为aaa的AAA服务品做授权

AAA的审计的配置

asa(config)# aaa accounting match acl inside aaa

匹配ACL，来自内部接口的流量交给名子为aaa的AAA服务品做审计