【网络安全】【用户权限管理】.pdf

网络安全实验教程 用户权限管理 实验名称 实验名称 用户权限管理 实验目的 实验目的 为 USG 创建新的管理用户 并为不同的管理用户分配不同的管理权限 背景描述 背景描述 某企业为了提高网络的安全性 购买了一台 RG USG 100 统一安全网关 现在为了提 高对设备管理的安全性 需要由三个不同的管理员来管理 USG 但是这些管理员要拥有不 同的管理权限 三个管理员中 一个管理员只能够对 USG 采取只读的操作 例如查看配置 第二个管 理员不仅能够对 USG 进行读取操作 而且还需要对 USG 进行配置 例如配置安全策略 但不能对 USG 进行升级 重启等操作 第三个管理员拥有最高的管理权限 他不仅可以读 取配置 配置策略 还需要能够对设备进行升级 重启 配置管理员等操作 需求分析 需求分析 为了实现多个不同权限的管理员对 USG 进行管理 需要在 USG 上创建多个管理用户 并且赋予他们不同的管理权限 实验拓扑 实验拓扑 实验设备 实验设备 USG 1 台 PC 1 台 预备知识 预备知识 网络基础知识 USG 操作基础知识 270 第五章 统一安全网关技术实验 实验原理 实验原理 USG 支持多管理员 并且可以为不同的管理员赋予不同的管理权限 为 USG 提供了 安全的管理机制 实验步骤 实验步骤 第一步 使用默认的管理员帐号登录第一步 使用默认的管理员帐号登录 USG 在默认出厂配置中 USG 的 Eth0 接口预先配置了 IP 地址 192 168 1 250 24 所以本 实验中我们使用地址为相同子网的管理主机 192 168 1 200 24 连接到 Eth0 接口对 USG 进 行管理 USG使 用HTTPS对 管 理 流 量 进 行 加 密 在 浏 览 器 的 地 址 栏 中 输 入 https 192 168 1 250 浏览器将提示是否接受 USG 的证书 我们选择 是 接收证书后 将进入到 USG 的登录界面 默认的用户名为 admin 密码为 ruijie utm 271 网络安全实验教程 点击后 进入 USG Web 管理界面 进入 系统管理 管理员 配置页面 这里看以看到系统默认的管理员 admin 并且 并且绑定的访问权限列表为 admin admin 访问权限列表也是系统预定义的 该权限列表具有最高等级的管理权限 第二步 配置具有只读权限的管理员第二步 配置具有只读权限的管理员 进入 系统管理 管理员 配置页面 选择 管理员权限表 选项卡 可以看到 系统预定义的权限列表 admin admin 权限列表具有具有所有的管理权限 272 第五章 统一安全网关技术实验 点击按钮后创建权限列表 并为该权限列表定义只读权限 273 网络安全实验教程 进入 系统管理 管理员 配置页面 点击按钮添加管理员帐号 并为该 管理员配置用户名 密码和访问权限 访问权限中我们选择刚刚创建的 read only 权限 列表 注销当前用户 重新使用 admin view 用户登录 进入 防火墙 安全策略 配置页面 点击按钮创建一个安全策略 274 第五章 统一安全网关技术实验 点击按钮后 系统提示当前用户没有权限配置策略 所以该用户只能对 USG 进 行读取操作 注销当前用户 重新使用默认的 admin 用户登录 第三步 配置具有配置权限的管理员第三步 配置具有配置权限的管理员 进入 系统管理 管理员 配置页面 选择 管理员权限表 选项卡 点击按钮后创建权限列表 并为该权限列表定义读取和配置权限 275 网络安全实验教程 进入 系统管理 管理员 配置页面 点击按钮添加管理员帐号 并为该 管理员配置用户名 密码和访问权限 访问权限中我们选择刚刚创建的 config 权限列表 注销当前用户 重新使用 admin config 用户登录 进入 防火墙 安全策略 配置页面 点击按钮创建一个安全策略 276 第五章 统一安全网关技术实验 点击按钮后 策略配置成功 说明该用户具有配置的权限 进入 系统管理 维护 配置页面 选择 重启系统 选项卡 这时系统会提示 该用户没有权限 因为之前我们没有给该用户分配重启系统的权限 277 网络安全实验教程 注销当前用户 重新使用默认的 admin 用户登录 第四步 配置具有所有权限的管理员第四步 配置具有所有权限的管理员 进入 系统管理 管理员 配置页面 选择 管理员权限表 选项卡 点击按钮后创建权限列表 并为该权限列表定义所有权限 进入 系统管理 管理员 配置页面 点击按钮添加管理员帐号 并为该 管理员配置用户名 密码和访问权限 访问权限中我们选择刚刚创建的 super admin 权 限列表 278 第五章 统一安全网关技术实验 注销当前用户 重新使用 admin super 用户登录 进入 防火墙 安全策略 配置页面 点击按钮创建一个安全策略 点击按钮后 策略配置成功 说明该用户具有配置的权限 279 网络安全实验教程 进入 系统管理 维护 配置页面 选择 重启系统 选项卡 点击按钮 后可以重启系统 说该用户具有最高的权限 280 第五章 统一安全网关技术实验 使用统一安全网关实现访问控制 实验名称 实验名称 使用统一安全网关实现访问控制 实验目的 实验目的 利用 USG 统一安全网关 的安全策略和 NAT 功能实现安全的访问控制 背景描述 背景描述 某企业网络的出口使用一台 USG 统一安全网关 作为接入 Internet 的设备 并且内 部网络使用私有 IP 地址 RFC 1918 现在需要使内部网络中的主机访问 Internet 资源 并且还需要进行访问控制 只允许必要的流量通过 USG 企业内部网络使用的私有地址段为 10 1 1 0 24 10 1 2 0 24 10 1 3 0 24 公司领导 使用的子网为 10 1 1 0 24 设计部使用的子网为 10 1 2 0 24 其他员工使用的子网为 10 1 3 0 24 并且公司在公网上有一台 IP 地址为 200 1 1 1 的外部 FTP 服务器 现在需要在 USG 上进行访问控制 使公司领导的主机可以在任何时间访问 Internet 中 的 Web 服务器和 FTP 服务器 并能够使用邮件客户端 SMTP POP3 收发邮件 设计部 的主机只能在上班时间 每周一至周五的 9 00 18 00 可以访问 Internet 中的 Web 服务器 和公司的外部 FTP 服务器