华为防火墙SSL***按用户配置策略
配置好防火墙SSL***后,配置好安全策略,默认是针对所有SSL***用户生效。
如需要针对用户权限细化,允许某个用户或某个组仅某个服务或某个网段。
则需要进一步配置,配置用户的认证策略
例如:
SSL*** 分配IP地址段:172.16.100.0/24
用户testuser1 登录SSL***后仅允许访问内部的 192.168.20.0网段,不允许访问其他网段。
配置方法如下:
- 假定SSL***已配通;
- 新建认证策略
点击 对象 - 用户 - 认证策略
因为是从外部通过SSL***访问内部服务,所以
源安全区域:untrust
目的安全区域:trust
源地址:登录SSL***后自动获取的IP地址
目的地址:登录SSL***后允许访问的IP地址段或IP
认证动作:免认证
-
配置好认证后,就可以配置安全策略,允许相关人员访问对应的网段或服务
点击安全策略 - 新建
源安全区域:untrust
目的安全区域:trust
源地址:登录SSL***后自动分配的IP地址段
目的地址:仅允许访问的内部网段或IP
用户:选择对应的用户或用户组
配置好后,用户testuser1 登录SSL***就只能访问10.10.1.0网段服务。