华为防火墙：配置单机旁挂模式的SACG (旁挂实验失败、直挂成功)

华为防火墙：配置单机旁挂模式的SACG (旁挂实验失败、直挂成功)

SACG简介
SACG联动是一套完整的解决终端安全问题的解决方案。
SACG（Secure Access Control Gateway）认证技术，适用于大中型园区，网络环境复杂，对网络安全要求适中的场景。防火墙一般部署在网数据中心出口或者网络出口的位置，认证点少，部署简单。同时提供客户端认证和无客户端认证，方便管理维护。支持逃生通道，保证在业务控制器故障时不影响业务使用。
定义
SACG是指设备通过在SACG认证系统中承担SACG的角色，协助SACG认证系统实现内网终端用户的安全控制。
目的  
随着网络的发展与防火墙设备的普及，企业的网络安全威胁的主要来源正逐渐从外网转移到内网。SACG联动方案的提出主要就是为了解决内网终端用户带来的安全隐患。FW可以在SACG联动方案中承担SACG的角色，主要起到不同区域之间的隔离，以及对终端用户访问权限进行实际控制的作用。

旁挂模式是指将SACG直接挂接在原有网络中的核心交换机或路由器上，实现SACG联动的组网模式。旁挂模式可以在不影响用户原有组网，不需割接的前提下完成SACG联动的部署。
（1）组网需求     
某公司网络部署Agile Controller服务器组，同时以旁挂方式部署FW于网络出口，如下图所示，要求：
用户角色不同，能访问的网络资源也不同（在Agile Controller服务器中配置）。
用户角色变化后，对应的可用网络资源立即更新。
（2）旁挂方式的SACG配置举例组网图

业务控制器: Agile Controller
硬件SACG: 华为防火墙

三个域：
前域：认证前网络流量访问区域
后域：认证后可访问的区域
隔离域：认证失败访问的区域

SACG联动方案将网络划分为以下几类区域：
（1）用户域
    所有接入企业内网的终端设备，例如台式机、便携机以及通过Internet接入的出差员工、驻外机构、合作伙伴等。
（2）网络域
    进行流量转发的网络设备所组成的域，承载业务流量，实现各网络的互联。SACG就部署在这个域中。
（3）认证前域
    认证前域是终端设备在完成认证之前可以访问的区域。该区域主要用于对终端设备和用户进行认证、授权、策略管理、补丁下发等。SACG联动方案的中大部分组件都部署在该区域中。
（4）受控域
    受控域是终端在完成认证之后才可以访问的区域。包括两种：
        隔离域
        隔离域是指在终端用户通过了身份认证但未通过授权时可以访问的区域。通常将能够帮助终端用户消除安全隐患的相关资源（如补丁服务器、防病毒服务器等）部署在本区域。
        认证后域
        认证后域是企业真正的核心资源所在的区域，终端设备和用户都必须进行认证和授权之后才能访问自己的权限相对应的安全区域。

（3）关闭会话状态检测功能。关闭防火墙的状态检测，原因来回路径不一致问题。

SACG为硬件防火墙，流量从内到外需要经过SACG, 而返回的流量不经过防火墙，因此SACG需要关闭状态检测。

undo firewall session link-state check
（4）配置各设备各接口基本参数。
略
（5）配置防火墙域间默认包过滤规则。
略
（6）引导流量
H3C路由器上需要配置策略路由将流量引入到硬件SACG设备，并在SACG设备关闭检测
acl advanced 3001
   rule 5 permit ip source any destination any
#
policy-based-route p1 permit node 5
 if-match acl 3001
 apply default-next-hop 192.168.11.254
#
interface GigabitEthernet2/0
 port link-mode route
 ip address 192.168.1.1 255.255.255.0
 ip policy-based-route p1

（7）登录Agile Controller-Campus并检查有效期

确认License的有效期

（8）新增硬件SACG

key:www.zh-cjh.com

起始地址：客户端的地址（客户端所在的域叫受控域）

3、配置前域

4、配置受控域（后面需要调用这里的配置）

受控域的配置信息如下：

5、配置隔离域

6、配置后域

（9）配置用户

（10）在域间应用联动策略。

给策略分配用户

（10）防火墙上配置SACG

配置完了，但是还没有生效，原来是没有应用：

连接成功后，会有以下信息提示：

（11）测试结果：PC1不需要认证就直接可以与认证后域的资源172.16.1.200通信。

原因：PC1的流量没有经过防火墙，直接到H3C路由器后，直接转发给了172.16.1.200.

解决：H3C路由器修改策略路由，添加上一条命令 apply next-hop。

policy-based-route p1 permit node 5
 if-match acl 3001
 apply next-hop 192.168.11.254
 apply default-next-hop 192.168.11.254
#

（12）PC1在认证前与AC服务器就通信不上

此拓扑中，PC1是ping不通AC服务器10.1.11.30的，解决的方法1是把ac与防火墙直接，二是让在h3c路由器把pc访问AC服务器10.1.11.30不经过防火墙。

用方法2解决：在H3C路由器上增加策略路由：

acl advanced 3002
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.11.30 0
#
#
policy-based-route p1 permit node 2
 if-match acl 3002
 apply next-hop 10.1.11.30
#

测试：pc1可以ping通AC服务器10.1.11.30, 但是ping不通10.1.11.100与172.16.1.200，所以达到目的。

（13）PC1安装anyoffice客户端并登录

安装参考：

http://www.zh-cjh.com/wangluoanquan/1911.html

查看在线用户：

但是PC1还是ping不通认证后域的资源172.16.1.200

如下图所示的红色线，现在的流量来回路径是不一样的。

通过抓包发现，如下图所示的黄色线流量已经走到了h3c路由器，但是没有再转发出去了。

其中一种解决方案为把网关全部放到防火墙，物理上是旁路，但是逻辑是串接，如下图：

参考：

华为交换机：配置策略路由引流到旁挂设备问题
http://www.zh-cjh.com/luyoujiaohuan/1913.html
华为交换机：配置策略路由（引流到旁挂防火墙）示例
http://www.zh-cjh.com/luyoujiaohuan/1912.html

在以上实验的基础上，总价配置不变，拓扑改变：旁路部署模式修改成直挂模式，实验就成功了。

FTPServer-vrpcfg-2022年3月19日.txt

H3Crouter-vrpcfg-2022年3月19日.txt

sw2-vrpcfg-2022年3月19日.txt

华为防火墙-vrpcfg-2022年3月19日.txt

防火墙的配置：应该是可以删除哪一条的，但当时实验时两条都配置了，没有删除掉一点测试下。

实验效果：

认证前，ping不通172.16.1.200，认证后可以ping通。退出(注销)认证后也ping不通。