41【网络安全】【用户权限管理】

网络安全实验教程用户权限管理【实验名称】用户权限管理【实验目的】为USG创建新的管理用户，并为不同的管理用户分配不同的管理权限【背景描述】某企业为了提高网络的安全性，购买了一台RG-USG100统一安全网关。现在为了提高对设备管理的安全性，需要由三个不同的管理员来管理USG，但是这些管理员要拥有不同的管理权限。三个管理员中，一个管理员只能够对USG采取只读的操作，例如查看配置；第二个管理员不仅能够对USG进行读取操作，而且还需要对USG进行配置，例如配置安全策略，但不能对USG进行升级、重启等操作；第三个管理员拥有最高的管理权限，他不仅可以读取配置、配置策略，还需要能够对设备进行升级、重启、配置管理员等操作。【需求分析】为了实现多个不同权限的管理员对USG进行管理，需要在USG上创建多个管理用户，并且赋予他们不同的管理权限。【实验拓扑】【实验设备】USG1台PC1台【预备知识】网络基础知识USG操作基础知识270第五章统一安全网关技术实验【实验原理】USG支持多管理员，并且可以为不同的管理员赋予不同的管理权限，为USG提供了安全的管理机制。【实验步骤】第一步：使用默认的管理员帐号登录USG在默认出厂配置中，USG的Eth0接口预先配置了IP地址192.168.1.250/24，所以本实验中我们使用地址为相同子网的管理主机192.168.1.200/24连接到Eth0接口对USG进行管理。USG使用HTTPS对管理流量进行加密。在浏览器的地址栏中输入，浏览器将提示是否接受USG的证书，我们选择“是”。接收证书后，将进入到USG的登录界面。默认的用户名为“admin”，密码为“ruijie.utm”。271网络安全实验教程点击登录后，进入USGWeb管理界面。进入“系统管理”—“管理员”配置页面，这里看以看到系统默认的管理员“admin”并且，并且绑定的访问权限列表为“admin”。“admin”访问权限列表也是系统预定义的，该权限列表具有最高等级的管理权限。第二步：配置具有只读权限的管理员进入“系统管理”—“管理员”配置页面，选择“管理员权限表”选项卡，可以看到系统预定义的权限列表“admin”。“admin”权限列表具有具有所有的管理权限。272第五章统一安全网关技术实验点击新建按钮后创建权限列表，并为该权限列表定义只读权限。273网络安全实验教程进入“系统管理”—“管理员”配置页面，点击新建按钮添加管理员帐号，并为该管理员配置用户名、密码和访问权限。访问权限中我们选择刚刚创建的“read-only”权限列表。注销当前用户，重新使用“admin_view”用户登录。进入“防火墙”—“安全策略”配置页面，点击新建按钮创建一个安全策略。274第五章统一安全网关技术实验点击提交按钮后，系统提示当前用户没有权限配置策略，所以该用户只能对USG进行读取操作。注销当前用户，重新使用默认的“admin”用户登录。第三步：配置具有配置权限的管理员进入“系统管理”—“管理员”配置页面，选择“管理员权限表”选项卡。点击新建按钮后创建权限列表，并为该权限列表定义读取和配置权限。275网络安全实验教程进入“系统管理”—“管理员”配置页面，点击新建按钮添加管理员帐号，并为该管理员配置用户名、密码和访问权限。访问权限中我们选择刚刚创建的“config”权限列表。注销当前用户，重新使用“admin_config”用户登录。进入“防火墙”—“安全策略”配置页面，点击新建按钮创建一个安全策略。276第五章统一安全网关技术实验点击提交按钮后，策略配置成功，说明该用户具有配置的权限。进入“系统管理”—“维护”配置页面，选择“重启系统”选项卡，这时系统会提示该用户没有权限，因为之前我们没有给该用户分配重启系统的权限。277网络安全实验教程注销当前用户，重新使用默认的“admin”用户登录。第四步：配置具有所有权限的管理员进入“系统管理”—“管理员”配置页面，选择“管理员权限表”选项卡。点击新建按钮后创建权限列表，并为该权限列表定义所有权限。进入“系统管理”—“管理员”配置页面，点击新建按钮添加管理员帐号，并为该管理员配置用户名、密码和访问权限。访问权限中我们选择刚刚创建的“super_admin”权限列表。278第五章统一安全网关技术实验注销当前用户，重新使用“admin_super”用户登录。进入“防火墙”—“安全策略”配置页面，点击新建按钮创建一个安全策略。点击提交按钮后，策略配置成功，说明该用户具有配置的权限。279网络安全实验教程进入“系统管理”—“维护”配置页面，选择“重启系统”选项卡，点击提交按钮后可以重启系统，说该用户具有最高的权限。280第五章统一安全网关技术实验使用统一安全网关实现访问控制【实验名称】使用统一安全网关实现访问控制【实验目的】利用USG（统一安全网关）的安全策略和NAT功能实现安全的访问控制【背景描述】某企业网络的出口使用一台USG（统一安全网关）作为接入Internet的设备，并且内部网络使用私有IP地址（RFC1918）。现在需要使内部网络中的主机访问Internet资源，并且还需要进行访问控制，只允许必要的流量通过USG。企业内部网络使用的私有地址段为10.1.1.0/24、10.1.2.0/24、10.1.3.0/24。公司领导使用的子网为10.1.1.0/24，设计部使用的子网为10.1.2.0/24，其他员工使用的子网为10.1.3.0/24。并且公司在公网上有一台IP地址为200.1.1.1的外部FTP服务器。现在需要在USG上进行访问控制，使公司领导的主机可以在任何时间访问Internet中的Web服务器和FTP服务器，并能够使用邮件客户端（SMTP/POP3）收发邮件；设计部的主机只能在上班时间（每周一至周五的9:00~18:00）可以访问Internet中的Web服务器和公司的外部FTP服务器；其他员工的主机只能在上班时间访问公司的外部FTP服务器。【需求分析】企业网络需要将使用私有编址的内部网络能够访问Internet，并且对内部网络到达Internet的流量进行限制，USG的安全策略和NAT功能可以同时满足这两个需求。【实验拓扑】281