華爲防火牆SSL***按用戶配置策略
配置好防火牆SSL***後,配置好安全策略,默認是針對所有SSL***用戶生效。
如需要針對用戶權限細化,允許某個用戶或某個組僅某個服務或某個網段。
則需要進一步配置,配置用戶的認證策略
例如:
SSL*** 分配IP地址段:172.16.100.0/24
用戶testuser1 登錄SSL***後僅允許訪問內部的 192.168.20.0網段,不允許訪問其他網段。
配置方法如下:
- 假定SSL***已配通;
- 新建認證策略
點擊 對象 - 用戶 - 認證策略
因爲是從外部通過SSL***訪問內部服務,所以
源安全區域:untrust
目的安全區域:trust
源地址:登錄SSL***後自動獲取的IP地址
目的地址:登錄SSL***後允許訪問的IP地址段或IP
認證動作:免認證
-
配置好認證後,就可以配置安全策略,允許相關人員訪問對應的網段或服務
點擊安全策略 - 新建
源安全區域:untrust
目的安全區域:trust
源地址:登錄SSL***後自動分配的IP地址段
目的地址:僅允許訪問的內部網段或IP
用戶:選擇對應的用戶或用戶組
配置好後,用戶testuser1 登錄SSL***就只能訪問10.10.1.0網段服務。