AAA (Authentication, Authorization, and Accounting) là chức năng quan trọng của firewall SifoWorks. Sử dụng AAA kết hợp với các policy của bạn sẽ giúp nhà quản trị kiểm soát tuy cập đối với các ứng dụng ,các dịch vụ cho từng user cụ thể. Điều này giúp dễ dàng hơn trong việc gán quyền, theo dõi và kiểm soát đối với các PC trong mạng. Các user trong mạng cục bộ phải được chứng thực với firewall hay với một server như RADIUS, LDAP, AD, TACACS, POP3… trước khi có thể cấp các quyền truy cập hệ thống.
AAA authentication hỗ trợ chứng thực với các server.
- Local Authentication: đây là server được tích hợp sẵn trên firewall. Bạn cần thêm user bằng tay khi sử dung server này.
- Remote RADIUS, LDAP, AD, TACACS, POP3 authentication servers: đây là những server bên ngoài đối với firwall, user đã được định nghĩa trên những server này. Vì vậy, để chứng thực với những server này nhà quản trị cần cấu hình các tham số cần kết cho việc chuyển yêu cầu chứng thực tới server trên.
- SMS Authentication: đây là hình thức chứng thực bảo mật hơn,Khi user chứng thực tới firewall, một SMS sẽ được gửi tới điện thoại đã đăng ký với password luôn luôn thay đổi. Vì vậy, nhà quản trị cần cấu hình firewall kết hợp với modem SMS và một tổng đài SMS
Ngoài ra, Firewall còn hỗ trợ quả lý các user khi đã chứng thực thành công như: danh sách các user đang online, các user đã bị quá hạn với hệ thống…..
User case sau hướng dẫn cấu hình firewall sử dụng AAA theo topology và yêu cầu sau:
 |
Yêu cầu:
|
Bước 1: Cấu hình các interface nối với LAN
Kết nối internet qua Ge0/2 dùng PPPoE: với Work Mode là Route và Address Mode là PPPoE (ADSL).
Bước 2: Tạo kết nối từ firewall tới server AD
Vào Auth >> Auth Server cấu hình tham số kết nối tới server cho firewall
Các thông số quan tâm:
- Server name: tên server bất kỳ (sao cho dễ nhớ)
- Server Address: địa chỉ IP/domain của server đảm bảo rằng firewall có thể truy cập thành công tới server này.
- Backup1/2: địa chỉ IP/domain của server dự phòng
- Description: mô tả server.
- Domain: chỉ định domain của server (nếu có) cho firewall
- Auth method: phương pháp chứng thực giữa firewall và server.
Sau khi cấu hình xong, nếu firewall truy cập thành công tới server thì tại status sẽ xuất hiện Active
Tiếp theo, Vào Auth >> Setting để thiết lập các tham số chung cho chứng thực.
Các thông số cần quan tâm:
- Frozen: bật tính năng “ đóng băng” đối với các user chứng thực không thành công.
- Frozen time (min):thời gian khóa user đó
- Retry (time):số lần thử lại
- Interval (sec) :khoảng thời gian giữa các lần đăng nhập lại
- Phone Interval (sec):thời gian gửi SMS lại cho user.
- Idle Time (min):khoảng thời gian firewall không thấy user truy cập sẽ bắt chứng thực lại.
- SMS Center:số tổng đài trung tâm tin nhắn
- HTTP Port: firewall nhận chứng thực qua giao diện web, nếu thay đổi port khác ví dụ 8080 , bạn phải dùng URL sau: http://ip_firewall:8080.
- Welcome Info: thông tin sẽ được hiện ra sau khi bạn đăng nhâp vào firewall
Tiếp theo: vào Auth >> Auth user để xem các user vừa tạo, vì user cần chứng thực nằm tại remote server nên firewall sẽ đưa tên server vào thông tin user.
Bước 3: gắn server vào access rule để chứng thực
Vào Firewall >> IPv4 Access List tạo group
Tạo rule access 1 cho phép traffic là DNS đi qua, bởi vì khi PC truy cập một một địa chỉ ngoài internet với domain, firewall phải cho phép DNS traffic đi qua để tạo kết nối thành công với server trước khi chứng thực.
Tiếp theo, tạo rule access thứ 2 gắn với server chứng thực
Bước 4: Kiểm tra kết quả:
Dùng PC có địa chỉ IP: 172.16.0.2/16 để cập web (giả sử: http://planet.vn) , firewall sẽ yêu cầu PC chứng thực trước.
Sau khi chứng với server AD thành công. Thông tin user xuất hiện tại Auth >> Online User
Xem chi tiết về user Auth >> Online User Detail
Chú ý: nếu bạn dùng các dịch vụ khác http trước tiên bạn cần chứng thực với firewall trước khi kết nối ra được internet bằng cách truy cập vào firewall bằng link: http://172.16.0.1 (với 172.16.0.1 là IP của gateway của PC 172.16.0.2)
Mở rộng: nhà quản trị có thể dùng AAA authentication kết hợp với các function khác ngoài chứng thực ACL như VPN hay traffic management.