部署IOS防火墙——认证代理(AP)

目前，介于互联网的很多不安全因素，很多中小型企业还没有部署防火墙，作为一种临时过渡的手段，广泛地使用到了Authentication Proxy，简称AP.

　　回顾一下，锁和密钥，它要求用户先TELNET到路由器上进行认证，然后，TELNET被路由器终止，并为用户建立一个动态的ACL条目以便允许流量通过路由器，这是一个极好的特性，但同时存在一些不足：

　　1）主要为拔号用户开发的，这里只有一个用户访问路由器接口。

　　2）应用到该接口的扩展ACL只有一个动态条目，所有用户必须共享该ACL，这样就不能执行基于每个用户的限制。

　　3）它要求首先TELNET到路由器上要求用户知道该认证过程。该过程必须在用户可以访问动态ACL条目中指定的资源前首先发生。

　　为了克服这些不足，CISCO开发了认证代理（AP）。AP基本上是锁和密钥的增强版，是CISCO IOS防火墙特性集的一部分，类似于CISCO PIX的直通代理（CUT-THROUGH PROXY）。

　　通过一个实际访问过程来分析AP的工作步骤：

　　1）一个用户首先打开了到内部WEB服务器的HTTP连接

　　2）由于需要经过这台配置了AP的路由器，所以，路由器打开了HTTP认证机制，它截取HTTP连接请求。路由器发送一个输入用户名和密码的提示。

　　3）用户输入用户名和密码。

　　4）路由器接收到认证信息时，它会将它通过TACACS+或者RADIUS转发到AAA服务器。

　　5）AAA服务器认证用户，如果用户被成功认证，AAA服务器将用户访问档案发给路由器。访问档案基本上是一个ACL语句组成的简化组，这些语句定义了允许用户访问什么。

　　6）如果用户认证成功，用户获得一个弹出窗口，表明认证成功。路由器将访问档案转换成实际的临时ACL条目，然后将这些条目在适当的输入方向激活。这些条目实际上允许了什么样的资源允许被该认证的用户访问。最后，实现了用户到指定资源的访问。

　　配置AP五个步骤：

　　（1）在路由器中配置AAA

Aaa new-modelTacacs-server host ip_address timeout seconds key encryption_keyAaa authentication login default group tacacs+Aaa authorization auth-proxy default group tacacs+Aaa accounting auth-proxy default start-stop group tacacs+（如果执行计帐）

　（2）在服务器（ACS）上配置AAA

　　工具栏——Interface Configuration——TACACS+ （Cisco IOS）——TACACS+Services——New Service——输入 auth-proxy

　　网络配置部分：确保路由器和AAA服务器可以互相通信。

　　用户授权档案：

　　Group Setup——选择想要添加到AP的组，并单击"Edit Settings“——向下滚动到TA"CACS+Setting”——选择"auth-proxy“左边的复选框——选择"Custom Attributes”左边的复选框，并在此框中输入：

Priv-lvl=15Proxyacl#1=permit icmp any anyProxyacl#2=permit tcp any anyProxyacl#3=permit udp any any



　　（3）为http或https作准备

HTTP:Ip http serverIp http authentication aaaIp http access-class acl_#HTTPS:No ip http serverIp http server-secureIp http authentication aaaIp http secure-trustpoint ca_name (可选)两个设备间的双向认证



　　（4）配置AP策略

ip auth-proxy name ap_name {http | https | telnet}(可选参数)inactivity-timer minutes absolute-timer minutes list acl_#interface type [slot_#/] port_#ip auth-proxy ap_name



　　（5）调整AP

ip auth-proxy inactivity-timer minutesip auth-proxy absolute-timer minutesip auth-proxy auth-proxy-audit



　　默认情况下，即使为AP打开了AAA记帐，AP也不会生成记账记录，直到使用最后一条命令打开它。

　　配置AP案例：

Routeryjj:ip access-list extended appermit icmp any anypermit ospf any anyaaa new-modeltacacs-server host 150.100.1.241 key ciscoaaa authentication login default group tacacs+aaa authorization auth-proxy default group tacacs+aaa authorization exec default group tacacs+ (可选取)



　　没有这条命令，只要通过验证的外部用户都可以访问路由器EXEC，这是不推荐的，所以建议加上这条命令，这样，只有真正被授权的用户可以访问到EXEC.

ip http serverip auth-proxy name httpxy http auth-cache-time 5interface serial0/0ip access-group ap inip auth-proxy httpxy