2022年防火墙访问控制规则配置--教案 .pdf-淘文阁

资源描述

《2022年防火墙访问控制规则配置--教案 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙访问控制规则配置--教案 .pdf（13页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、访问控制规则配置访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后，将顺序匹配访问规则表中所设定规则。一旦寻找到匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文，不再进行区域缺省属性的检查。如果不存在可匹配的访问策略，网络卫士防火墙将根据目的接口所在区域的缺省属性（允许访问或禁止访问），处理该报文。在进行访问控制规则查询之前，网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。如果符合目的地址转换规则，网络卫士防火墙将把接收的报文的目的IP 地址转换为预先设置的IP 地址（一般为真实IP）。因此在进行访问规则设置时，系统一般采用的是真实的源和目

2、的地址（转换后目的地址）来设置访问规则；同时，系统也支持按照转换前的目的地址设置访问规则，此时，报文将按照转换前的目的地址匹配访问控制规则。根据源、目的配置访问控制规则基本需求系统可以从区域、VLAN 、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配，访问控制规则的源和目的既可以是已经定义好的VLAN 或区域，也可以细化到一个或多个地址资源以及用户组资源。与包过滤策略相同，访问控制规则也是顺序匹配的，系统首先检查是否与包过滤策略匹配，如果匹配到包过滤策略后将停止访问控制规则检查。但与包过滤策略不同的是访问控制规则没有默认规则。也就是说，如果没有在访问控制规则列表的末尾添加一条全部拒绝

3、的规则的话，系统将根据目的接口所在区域的缺省属性（允许访问或禁止访问）处理该报文。案例：某企业的网络结构示意图如下图所示，网络卫士防火墙工作在混合模式。Eth0 口属于内网区域（ area_eth0 ），为交换 trunk 接口，同时属于 VLAN.0001 和VLAN.0002 ，vlan.0001 IP 地址为 192.168.1.1，连接研发部门文档组所在的内网（192.168.1.0/24）； vlan.0002 IP 地址为 192.168.2.1，连接研发部门项目组所在的内网（192.168.2.0/24）。图 25 根据源、目的进行访问控制示意图Eth1 口 IP 地址为 19

4、2.168.100.140，属于外网 area_eth1 区域，公司通过与防火墙Eth1口相连的路由器连接外网。 Eth2 口属于 area_eth2 区域，为路由接口，其IP 地址为 172.16.1.1，为信息管理部所在区域，有多精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 1 页，共 13 页台服务器，其中Web 服务器的 IP 地址： 172.16.1.3。用户要求如下：内网文档组的机器可以上网，允许项目组领导上网，禁止项目组普通员工上网。外网和 area_eth2 区域的机器不能访问研发部门内网；内外网用户均可以访问area_eth2

5、区域的 WEB 服务器。配置要点设置区域对象的缺省访问权限：area_eth0、area_eth2 为禁止访问，area_eth1 为允许访问。定义源地址转换规则，保证内网用户能够访问外网；定义目的地址转换规则，使得外网用户可以访问area_eth2 区域的 WEB 服务器。定义访问控制规则，禁止项目组除领导外的普通员工上网，允许内网和外网用户访问area_eth2 区域的WEB 服务器。WebUI 配置步骤1）设定物理接口eth1 和eth2 的 IP 地址。选择网络管理接口，激活“物理接口”页签，然后点击Eth1、Eth2 端口后的“设置”字段图标，添加接口的IP 地址。如下图所示。2）

6、添加 VLAN 虚接口，设定VLAN 的IP 地址，再选择相应的物理接口加入到已添加的 VLAN 中。a）选择网络管理二层网络，激活“VLAN ”页签，然后点击“添加/删除 VLAN 范围”，如下图所示。b）设定 VLAN 虚接口的 IP 地址。点击 VLAN 虚接口的“修改”字段图标，在弹出界面中设置VLAN.0001 的IP 为：192.168.1.1，掩码为： 255.255.255.0；VLAN.0002 的IP 为： 192.168.2.1，掩码为： 255.255.255.0。如下图所示。c）设定 VLAN 和物理接口的关系。选择网络管理接口，激活“物理接口”页签，然后点击et

7、h0 接口后的“设置”字段图标，设置接口信息，如下图所示。3）定义主机、子网地址对象。a）选择资源管理地址，选择“主机”页签，定义主机地址资源。定义WEB 服务器主机名称设为172.16.1.3，IP 为 172.16.1.3；定义虚拟 WEB 服务器（即 WEB 服务器的在外网区域的虚拟IP 地址）主机名称设为192.168.100.143, IP 为192.168.100.143；定义接口主机地址资源192.168.100.140（也可以是其他字符串），主机名称设为192.168.100.140, IP 为192.168.100.140；定义文档服务器，主机名称设为doc_server,

8、 IP 为10.10.10.3。定义完成后的界面如下图所示：b）选择资源管理地址，选择“子网”页签，点击“添加”定义子网地址资源。资源名称 rd_group，以及网络地址192.168.2.0、子网掩码 255.255.255.0 以及排除领导地址:10.10.11.2 和10.10.11.3。4）定义区域资源的访问权限（整个区域是否允许访问）。选择资源管理区域，设定外网区域area_eth1 的缺省属性为“允许”访问，内网区域 area_eth0 和area_eth2 的缺省属性为“禁止”访问。以area_eth1 为例，设置界面如下图所示。设置完成后的界面如下图所示。精选学习资料 -

9、- - - - - - - - 名师归纳总结 - - - - - - -第 2 页，共 13 页5）选择防火墙地址转换，定义地址转换规则。a）定义源地址转换规则，使得内网用户能够访问外网: 选择“源转换”。选择“源”页签，参数设置如下图所示。不设置参数，表示不对报文的源进行限制。选择“目的”页签，参数设置如下图所示。选择“服务”页签，参数设置如下图所示。转换源地址对象为“192.168.100.140”。设置完成后的规则如下图所示。b) 定义目的地址转换规则，使得内网文档组以及外网用户都可以访问area_eth2 区域的 WEB 服务器。选择“目的转换” 选择“源”页签，设置参数如下图

10、所示。不设置参数，表示不对报文的源进行限制。选择“目的”页签，设置参数如下图所示。选择“服务”页签，设置参数如下图所示。“目的地址转换”为地址资源“172.16.1.3”。设置完成后的界面如下图所示。6）选择菜单防火墙访问控制，定义访问控制规则。a）允许内网和外网用户均可以访问WEB 服务器由于 Web 服务器所在的 area_eth2 区域禁止访问，所以要允许内网和外网用户均可以访问 Web 服务器，需要定义访问控制规则如下。选择“源”页签，参数设置如下图所示。源VLAN 和源区域不选择，表示不对区域加以限制；选择“目的”页签，参数设置如下图所示。选择“服务”页签，参数设置如下图

11、所示。b）允许项目组领导访问外网，禁止项目组普通员工rd_group 访问外网。由于外网区域允许访问，所以需要添加禁止访问外网的规则如下：选择“源”页签，参数设置如下图所示。选择“目的”页签设置如下图所示。选择“服务”页签，参数设置如下图所示。CLI 配置步骤1）设定物理接口eth1 和eth2 的 IP 地址。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 3 页，共 13 页#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interfac

12、e eth2 ip add 172.16.1.1 mask 255.255.255.0 2）添加 VLAN 虚接口，设定VLAN 的IP 地址，再选择相应的物理接口加入到已添加的 VLAN 中。#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk

13、allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3）定义主机、子网地址资源。#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 e

14、xcept 10.10.11.2 10.10.11.34）设置区域资源的缺省访问权限：area_eth0、area_eth2 为禁止访问， area_eth1 为允许访问（缺省权限，无需再设定）。#define area add name area_eth0 access off attribute eth0（不允许访问内网）#define area add name area_eth2 access off attribute eth2（不允许访问内网）5）定义地址转换规则。定义源地址转换规则，使得内网用户能够访问外网。#nat policy add dstarea area_eth1 tr

15、ans_src 192.168.100.140 定义目的地址转换规则，使得内网文档组以及外网用户都可以访问area_eth2 区域的WEB 服务器。#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6）定义访问控制规则。允许内网和外网用户均可以访问WEB 服务器#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允许项目组领导访问外网，禁止项目组普通员工访问外网#firewal

16、l policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事项1）目的地址需要选择WEB 服务器的真实IP 地址，因为防火墙要先对数据包进行目的地址转换处理，当内网用户利用http:/192.168.100.143 访问 SSN 区域的 Web 服务器时，由于符合 NAT 目的地址转换规则，所以数据包的目的地址将被转换为172.16.1.3。然后才进行访问规则查询，此时只有设定为WEB 服务器的真实 IP 地址才能达到内网用户访问SSN 区

17、域 WEB 服务器的目的。网络卫士系列防火墙处理数据包的流程请参考用户手册相关章节。2）定义目的地址转换规则时，不能选择目的区域与目的VLAN 。根据源端口配置访问控制规则基本需求案例：某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信，为了保证数据及设备的安全，禁止其他对于业务主机和服务器的访问。网络结构示意图如下所示。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 4 页，共 13 页图 26 根据源端口进行访问控制示意图业务主机可以使用特殊端口访问服务器，不能使用其他端口。业务主机区域和服务器区域禁止其他类型的访问。配置要点定义

18、区域： area_eth1、 area_eth2。定义服务端口：FS_port 设置访问控制规则WebUI 配置步骤1）定义区域 area_eth1 为禁止访问，并与属性eth1 绑定。选择资源管理区域，点击“添加”，如下图所示。2）定义区域 area_eth2 为禁止访问，并与属性eth2 绑定。具体操作与 area_eth1 相似，请参考area_eth1 的定义过程完成。3）定义服务端口由于系统使用的通信端口是：4500，不是通常使用的协议端口，在设置规则前需要自定义端口。选择资源管理服务，激活“自定义服务”页签，进入自定义服务页面。点击右侧“添加”，如下图所示。选择类型： TCP，

19、设置名称：FS_port，服务器实际使用的端口：4500。完成后点击“确定”按钮。4）定义访问控制规则该规则为来自area_eth1 区域使用源端口为4500 的数据包允许通过防火墙访问area_eth2 区域。a）选择“源”页签，参数设置如下。b）选择“目的”页签，参数设置如下图所示。c）选择“服务”页签，参数设置如下图所示。d）选择“选项”页签设置参数如下。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 5 页，共 13 页由于所使用的软件系统所建立的连接需要长时期保持，在“连接选项”中选择“长连接”，根据需要选择“日志记录”。点击“确定”完成

20、ACL 规则设置。CLI 配置步骤1）定义区域：area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2）定义服务端口：FS_port #define service add name FS_port protocol 6 port 4500 3）设置访问控制规则#firewall policy add action accept srcarea area_eth1 dstare

21、a area_eth2 sport FS_port permanent yes log on enable yes 注意事项由于环境所限此案例未能进行实际测试，仅供参考使用。根据特定服务配置访问控制规则基本需求在进行访问控制规则的设置时，可以对用户所能访问的服务进行控制，系统预定义了可控制的常见服务，可以实现二到七层的访问控制，用户也可以自定义服务进行访问控制。案例：某企业网络被防火墙化分为三个区域area_eth0、area_eth1 和area_eth2，三个区域分别与接口Eth0、Eth1 和Eth2 绑定， area_eth0 连接外网，允许用户访问，area_eth1 和area_e

22、th2 区域禁止用户访问。服务器位于area_eth1，IP 地址为 192.168.100.140，内网位于 area_eth2，网络地址为192.168.101.0。企业的网络结构如下图所示。要求：允许内网用户访问服务器的TELNET 、SSH、FTP 和Web_port 服务，其中 Web_port 服务为自定义服务，端口号为8080；但不能访问Eth1 口的其他服务器和其他服务。不允许外网用户访问Eth1 口服务器的 TELNET 和 SSH 服务。图 27 根据服务设置访问控制规则示意图配置要点定义区域和地址资源定义服务资源定义服务组资源精选学习资料 - - - - - - - -

23、- 名师归纳总结 - - - - - - -第 6 页，共 13 页设置访问控制规则WebUI 配置步骤1）定义区域和地址资源a）定义区域资源area_eth0、area_eth1 和area_eth2，分别与 Eth0、Eth1 和Eth2 绑定。区域权限均为“允许”。选择资源管理区域，点击“添加”添加区域资源，界面如下图。添加区域 area_eth0。添加区域 area_eth1。添加区域 area_eth2。服务热线： 8008105119 183 设置完成后界面如下图所示。b）定义 IP 地址资源选择资源管理地址，选择“主机”页签，点击“添加”，如下图所示。c)定义子网资源选

24、择资源管理地址，选择“子网”页签，点击“添加”，如下图所示。2）设置自定义服务选择资源管理服务，激活“自定义服务”页签，配置自定义服务“Web_port”如下图所示。3）设置服务组资源选择资源管理服务，激活“服务组”页签，配置服务组“内网访问服务”如下图所示。本例中服务组名称为“内网访问服务”，包括“Web_port、SSH、TELNET 、FTP”。4)设置访问控制规则。由于服务器所在区域area_eth1 禁止访问，所以只要定义允许访问的规则即可。a）设置允许内网area_eth2 的网段为 192.168.101.0/24 的用户访问 area_eth1 的服务器（192.168.

25、100.140）SSH、TELNET 、FTP 以及 8080 端口服务的访问控制规则选择防火墙访问控制，点击“添加”按钮，设置访问控制规则。选择“源”页签，参数设置如下图所示。选择“目的”页签，参数设置如下图所示。服务热线： 8008105119 187 选择“服务”页签，参数设置如下图所示。服务热线： 8008105119 188 设置完成的 ACL 规则如下图所示。b）设置仅允许外网区域（area_eth0）的用户访问服务器的8080 端口的服务访问控制规则。选择防火墙访问控制，点击“添加”按钮，设置访问控制规则。选择“源”页签，参数设置如下图所示。服务热线： 80081051

26、19 189 选择“目的”页签，参数设置如下图。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 7 页，共 13 页服务热线： 8008105119 190 选择“服务”页签，参数设置如下图。服务热线： 8008105119 191 设置完成后的ACL 规则如下图所示。CLI 配置步骤1）定义区域资源#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area

27、 add name area_eth2 access on attribute eth2 2）定义主机和子网地址资源#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 内网ipaddr 192.168.101.0 mask 255.255.255.0 3）设置自定义服务，服务名为Web_port，端口号为 8080。#difine service add name Web_port protocol tcp port 8080 4）设置服务组资源，组名称为“内网访问服

28、务”，包括Web_port、FTP、TELNET 和SSH 服务。#difine group_service add name 内网访问服务member Web_port,FTP,TELNET,SSH 5）设置访问控制规则a）区域“ area_eth2”的子网对象“内网”（192.168.101.0/24）允许访问区域“area_eth1”的服务器的 Web_port、FTP、TELNET 和SSH 服务 (有自定义服务组“内网访问服务”绑定)，服务器的 IP 地址为 192.168.100.140。#firewall policy add action accept srcarea area

29、_eth2 dstarea area_eth1 src 内网dst 192.168.100.140 service 内网访问服务enable yes 服务热线： 8008105119 192 b）设置仅允许外网用户访问服务器192.168.100.140 的8080 端口的服务访问控制规则。#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事项如果只允许开放某些服务，其他服务均被禁止，可以设置目的区域的默

30、认访问权限为“禁止”，系统在匹配完访问控制规则后将自动匹配区域的默认访问权限。根据转换前目的地址配置访问控制规则基本需求背景：某企业的WEB 服务器（ IP： 192.168.83.56）通过防火墙将其IP 地址 MAP 为202.45.56.5 对外提供 WEB 服务。 WEB 服务器连在防火墙的Eth1 口（ IP：192.168.83.2），且防火墙通过Eth0 口（ IP：202.45.56.3）与 Internet 相连，如下图所示。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 8 页，共 13 页图 28 根据转换前目的进行访问控制示

31、意图需求：为了保护企业网络的安全，网关Eth1 接口所属的区域area_eth1 设置为禁止访问，要求 Internet 用户只可访问企业WEB 服务器的 HTTP 服务，要求用 WEB 服务器的MAP 地址 202.45.56.5 作访问控制。服务热线： 8008105119 193 配置要点定义主机地址资源定义地址转换策略定义访问控制规则WebUI 配置步骤1）将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择资源管理区域，点击“添加”，如下图。2）定义 WEB 服务器主机地址资源R-WebServer 和虚拟主机对象V-WebServer。选择资源管理地址，激活“主机”

32、页签，定义主机地址资源R-WebServer 和V-WebServer 。定义 R-WebServer 主机地址资源图。服务热线： 8008105119 194 定义 V-WebServer 主机地址资源图。3）定义地址转换规则。选择防火墙地址转换，并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。a）选择“源”页签，设置参数如下图。服务热线： 8008105119 195 b）选择“目的”页签，参数设置如下。服务热线： 8008105119 196 c）选择“服务”页签，参数设置如下。设置完成后的目的NAT 规则如下图所示。4）设置访问控制规则。选择防火墙访问控制，并在

33、右侧界面中点击“添加”定义访问控制规则。服务热线： 8008105119 197 a）选择“源”页签，参数设置如下。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 9 页，共 13 页b）选择“目的”页签，设置根据转换前的目的地址进行访问控制。参数设置如下。服务热线： 8008105119 198 c）选择“服务”页签，参数设置如下。服务热线： 8008105119 199 设置完成后的ACL 规则如下图所示。至此， WEBUI 方式的配置完成。CLI 配置步骤1）将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area

34、 add name area_eth1 access off attribute eth1 2）定义 WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer 。定义 R-WebServer 主机地址资源#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255. 定义 V-WebServer 主机地址资源#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255. 3）定义地址转换规则。#nat

35、policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）设置访问控制规则。#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes 注意事项1）因为该案例要求internet 用户只可访问内网中WEB 服务器的 HTTP 服务，因此需要事先拒绝 internet 用户的所有访问，再定义访问控制规则允许其访问HTTP 服务。2）对转换前的目的

36、地址进行匹配时，只需在“转换前目的地址”中进行选择目的地址，而无须在“目的地址”中再选择地址。3）在配置过程中，请确保没有与该规则相冲突的地址转换策略和阻断策略。根据转换后目的地址配置访问控制规则基本需求背景：某企业的WEB 服务器（ IP： 192.168.83.56）通过防火墙将其IP 地址 MAP 为202.45.56.5 对外提供 WEB 服务。 WEB 服务器连在防火墙的Eth1 口（ IP：192.168.83.2），且防火墙通过Eth2 口（ IP：202.45.56.3）与 Internet 相连，如下图所示。精选学习资料 - - - - - - - - - 名师归纳总结 -

37、- - - - - -第 10 页，共 13 页需求：为了保护企业网络的安全，要求Internet 用户只可访问企业WEB 服务器的 HTTP 服务，要求用WEB 服务器的 IP 地址 192.168.83.56 做访问控制。图 29 根据转换后目的进行访问控制示意图配置要点定义主机地址资源定义地址转换策略定义访问控制规则WebUI 配置步骤1）将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择资源管理区域，点击“添加”，如下图。2）定义 WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer 。选择资源管理地址，激活“主机”页签，在右侧界

38、面中点击“添加”定义主机地址资源 R-WebServer 和V-WebServer 。定义 R-WebServer 主机地址资源。定义 V-WebServer 主机地址资源。3）定义地址转换规则。选择防火墙地址转换，并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。a）选择“源”页签，设置参数如下图。b）选择“目的”页签，参数设置如下。c）选择“服务”页签，参数设置如下。设置完成后的目的NAT 规则如下图所示。4）设置访问控制规则。a）选择“源”页签，参数设置如下。b）选择“目的”页签，设置根据NAT 转换后的目的地址（R_WebServer）进行访问控制。参数设置如下。c）

39、选择“服务”页签，参数设置如下。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 11 页，共 13 页设置完成后的ACL 规则如下图所示。至此， WEBUI 方式的配置完成。CLI 配置步骤1）将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area add name area_eth1 access off attribute eth1 2）定义 WEB 服务器主机对象R-WebServer 和虚拟主机对象V-WebServer 。定义 R-WebServer 主机地址资源#define host add name R

40、-WebServer ipaddr 192.168.83.56 定义 V-WebServer 主机地址资源#define host add name V-WebServer ipaddr 202.45.56.5 3）定义地址转换规则。#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）设置访问控制规则。#firewall policy add src any dst R-WebServer service HTTP action accept

41、 enable yes 注意事项1）因为该案例要求internet 用户只可访问内网中WEB 服务器的 HTTP 服务，因此需要事先拒绝 internet 用户的所有访问，再定义访问控制规则允许其访问HTTP 服务。2）当 TOS 设备处理经过地址转换的数据包时，匹配的是目的地址转换后的地址，故一般不需要设置“转换前目的”中的地址。3）在配置过程中请确保没有与该规则相冲突的地址转换策略和阻断策略。基于认证用户的访问控制用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的访问控制，用户认证的方式主要包括本地认证（密码和证书）和第三方认证（Radius、Tacacs、 SecurID、

42、LDAP 以及域认证等等），通过将认证用户设置为用户组，访问控制规则的源和目的即可以是用户组对象，从而实现基于本地密码认证、OTP 认证以及第三方认证用户的细粒度的访问控制。基本需求Area_eth2 区域为研发部门内网，禁止外网和其余部门访问，只允许内网area_eth1 区域的某些用户通过TOPSEC 认证客户端访问内网主机10.10.10.22 的TELNET 服务。图 30 基于认证用户的访问控制示意图精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 12 页，共 13 页配置要点设置区域属性设置 NAT 地址转换规则设置认证服务器和用户组开

43、放相关接口的认证服务设置基于认证用户的访问控制规则。设置用户认证客户端WebUI 配置步骤1）设置区域属性，添加主机地址资源。a）选择资源管理区域，定义内网区域area_eth2 的缺省属性为禁止访问。外网区域 area_eth1 为允许访问。b）选择资源管理地址，激活“主机”页签，定义内网TELNET 服务器的真实IP 地址资源（ 10.10.10.22）。定义虚拟 IP 地址资源（ 192.168.83.223）。如下图所示。2）选择防火墙地址转换，设置目的NAT 规则，使得用户能够访问内网TELNET 服务器。选择“目的转换”。a）选择“源”页签，设置参数如下图。b）选_精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 13 页，共 13 页

展开阅读全文