防火墙AAA的配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙AAA的配置
asa(config)# aaa-server [aaa服务器的名子] protocol [radius/tacacs+]
指明AAA服务器的名子和使用的协议
asa(config)# aaa-server [aaa服务器的名子] [连接server的接口名] host [server的IP地址] key [密钥] 指明AAA服务器所在的地址和key
asa(config)# aaa authentication [要验证的协议] console [aaa服务器的名子]
配置AAA要验证的协议和使用哪一个服务器做验证,
需要验证的协议有enable 对enable验证
serial 对线路口验证
ssh
telnet 对telnet的验证
流量验证,用ACL定义需要验证的流量
asa(config)# aaa authentication match [acl] [outside] [aaa服务器的名子]
来自外部接口的流量,如果匹配ACL做验证,不匹配不做验证直接通过。
代理验证的配置
如果协议本身无法做验证,使用virtual做代理验证。
virtual telnet [192.168.0.9] IP为防火墙的IP或同网段的。
例:
include和exclude的使用方法
aaa authentication include包含要求验证/exclude不要求验证
例:
aaa authentication include [ftp] [outside] [源IP] [mask] [目的] [name]
来自外部接口的ftp流量都需要找aaa-server验证
asa(config)# aaa local authentication attempts max-fail [3] 最大失效尝试次数
验证代理超时时间的设置
asa(config)# timeout uauth 0:10:10 inactivity 非活跃超时时间
asa(config)# timeout uauth 0:10:10 absolute 绝对超时时间
AAA的授权的配置
asa(config)# aaa authorization match [acl] [inside] [aaa]
匹配ACL,来自内部接口的流量交给名子为aaa的AAA服务品做授权
AAA的审计的配置
asa(config)# aaa accounting match acl inside aaa
匹配ACL,来自内部接口的流量交给名子为aaa的AAA服务品做审计