- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
47-系统管理
本章节下载 (2.45 MB)
目 录
可以通过手动点击导入许可证来对应用监控升级服务/URL分类库升级服务/恶意URL分类库升级服务、入侵防御/病毒防护升级服务进行授权。如图1-1所示。
图1-1 导入许可证图
通过菜单“系统管理 > 系统维护 > 授权管理”,进入如图1-2所示页面。配置项含义如表1-1所示。
图1-2 手动导入许可证页面
表1-1 手动导入许可证配置项含义描述表
|
标题项 |
说明 |
|
导入许可证 |
对系统软件进行授权。 |
如需查看License的详细使用指导,可以将鼠标移动到页面右下角的“License操作指导”点击链接或扫描二维码查看详细说明,如下图所示。
图1-3 查看License操作指导
可以通过手动本地升级系统软件版本和特征库,也可自动升级URL分类特征库和应用控制特征库。
如图1-4所示。
通过菜单“系统管理 > 系统维护 > 系统升级”,进入如图1-5所示页面。各个配置项含义如表1-2所示。
|
标题项 |
说明 |
|
系统软件 |
升级系统软件版本。 升级系统软件版本,升级后需要重启设备方可生效; |
|
应用控制特征库 |
升级应用控制特征库 |
|
入侵防御特征库 |
升级入侵防御特征库 |
|
病毒防护特征库 |
升级病毒防护特征库 |
通过菜单“系统管理 > 系统维护 > 系统升级”,进入如图1-6所示页面,页面中的红色圈选部分为配置项。各个配置项含义如表1-3所示。
|
标题项 |
说明 |
|
默认升级服务器 |
升级服务器设为默认升级服务器。 |
|
指定升级服务器 |
设置升级服务器地址。 |
|
定期升级 |
启用定期自动升级。 |
|
每周 |
按星期定期自动升级。 |
|
每月 |
按每月日期自动升级,日期间以“,”分隔。 |
|
时间 |
每次自动升级的当天时间。 |
点击<提交>按钮,提交自动升级配置。
点击<立即升级>按钮,可立即更新特征库,无需等到自动升级指定时间点,首次配置设备时建议进行一次立即升级。
采用自动升级功能时,需要在设备上设定有效的DNS。
代理设置用于实现设备的HTTP代理升级功能,是指通过配置的代理服务器,通过代理服务器连接特征库版本服务器,进行特征库的自动升级。当设备不能访问互联网时,可以使用代理服务器升级特征库。
通过菜单“系统管理 > 系统维护 > 系统升级”,点击“代理设置”进行HTTP代理服务器的相关配置。如下图所示。
图1-7 代理设置页面
表1-4 代理配置各个配置项含义描述表
|
标题项 |
说明 |
|
启用代理服务器 |
是否启用代理服务,只支持HTTP代理。 |
|
IP地址 |
代理服务器的IP地址,只支持IPv4地址。 |
|
端口 |
代理服务器的端口,取值范围是1~65535。 |
|
验证用户 |
代理服务器是否需要启用验证用户,根据代理服务器的设置进行选择,启用后需要用户名密码进行代理验证。 |
|
用户 |
代理服务器的用户名,需要与代理服务器的配置一致,只支持输入汉字、数字、字母以及@._-()[]|:,支持的长度范围是1~63字符。 |
|
密码 |
代理服务器的密码,需配置为代理服务器对应用户名的密码,只支持输入数字、字母及特殊字符(除非法输入外),支持的长度范围是0~31字符。 |
在升级特征库前,需要在设备上设定有效的DNS。
通过菜单“系统管理 > 系统维护 > 系统升级”,进入如图1-8所示页面,通过页面中的红色圈选部分,查看升级记录。
如图1-9所示,某公司内网设备不能直接访问互联网,要通过代理服务器进行特征库升级,在设备上配置代理服务器配置。
图1-9 HTTP代理自动升级功能组网图
l 配置代理服务器
l 升级特征库
在升级特征库前需配置DNS服务器。
(1) 配置代理服务器
进入“系统管理>系统维护>系统升级”,页面上点击选择“代理设置”,输入IP、端口、用户和密码,点击“提交”。
图1-10 配置代理服务器
(2) 配置DNS服务器
进入“网络配置>基础网络>DNS服务>DNS服务器”,配置DNS服务器地址。
图1-11 配置DNS服务器
在设备的Web管理页面上进入“系统管理>系统维护>系统升级”,在“自动升级”页面单击“立即升级”,如图4所示。升级成功后可以在升级历史中查看升级结果,如图5所示
通过菜单“系统管理 > 系统维护 > 系统重启”,进入如图1-12所示页面,选择“系统重启”。
点击<提交>按钮,重启系统。
通过菜单“系统管理 > 系统维护 > 系统重启”,进入如图1-13所示页面,选择“恢复出厂设置”。
点击<提交>按钮,恢复出厂设置。
通过菜单“系统管理 > 系统维护 > 配置文件”,进入如图1-14所示页面,管理配置文件。各个配置项的含义如表1-5所示。
|
标题项 |
说明 |
|
系统配置导入 |
从本地主机中选择要导入的配置文件上传至设备。 |
|
系统配置导出 |
将保存的配置导出至本地主机。 注:导出的文件是UTF-8编码模式。 |
|
双备份配置 |
可以选择拷贝主配置文件到备份配置文件,或恢复备份配置文件到主配置文件。恢复备份配置后,需重启系统配置才可生效,重启前请勿保存配置。 |
设备出厂的默认配置自动创建了一个超级管理员用户admin,使用这个账号,可以登录设备对设备进行配置,包括配置其它的管理员,每个管理员都有它的管理地址。
管理员角色原来只有管理员和审计员两个角色,而在一些高端场景中,可能有多个管理员同时使用一个设备,如果所有的管理员权限相同,那么一些关键配置可能被非专业管理员修改,造成网络环境的破坏,这就需要对个管理员的权限进行划分,不同级别的管理员具有不同的权限,管理员具体权限划分如下:
· 管理员实现分级管理;
· 管理员只能管理用户组织结构下属于自己的用户组;
· 可以给管理员分配不同的权限。
在导航栏中选择“系统管理 > 系统设定 > 管理员”,进入管理员页面,点击“新建”按钮,进入管理员页面,如图1-15所示。各个显示项含义如表1-6所示。
|
标题项 |
说明 |
|
用户名 |
管理员的名称 |
|
角色 |
管理员角色有内置角色(admin和audit)和自定义角色两大类。 |
|
创建者 |
管理员的创建者,选择内置角色创建者为空,选择自定义角色后,创建者为当前登录的管理员。 |
|
用户组 |
选择内置角色不绑定用户组,选择自定义角色绑定用户组。 |
|
认证类型 |
有三种认证类型: · 本地认证 · RADIUS认证 · LDAP认证 |
|
描述 |
管理员的描述信息 |
|
管理地址 |
管理员的管理地址,只有在这个范围内的地址才能通过此管理员来管理设备。 |
|
操作 |
javascript:void(0):修改管理员密码; http://10.0.163.51/webui/?g=sys_admin_edit&name=admin:编辑修改管理员配置;
|
点击“新建”按钮,进入管理员配置页面,如图1-16所示。如果选择自定义角色,需要绑定用户组,如图1-17所示。各个配置项的说明如表1-7所示。
图1-17 新建管理员页面-自定义角色
|
项目 |
说明 |
|
用户名 |
输入管理员的用户名。1~31字符。 |
|
描述 |
填写管理员的描述信息(可选)。 |
|
认证类型 |
选择管理员账号的认证方式,支持本地、RADIUS和LDAP三种方式。如果选择了本地认证,需同时设置登录密码;如果选择了RADIUS或LDAP认证,需同时配置相应的认证服务器。 Radius服务器不支持IPv6地址的认证。 |
|
密码 |
管理员对应的密码,最少8个字符,密码必须包括数字、字母以及字符(!@#$%’,-.) |
|
确认密码 |
对输入的密码进行确认输入 |
|
IP/MAC |
管理员绑定的IP/MAC地址列表,支持子网地址、范围地址、主机地址三种方式,最多可配置128个。 子网地址:IPv4或IPv6网段地址,例如192.168.1.1/24或2000::1/64。 范围地址:IPv4或IPv6地址范围,例如192.168.1.1-192.168.1.100或2000:2001:2002:2003::1到2000:2001:2002:2003::5。
主机地址:IPv4或IPv6主机IP地址,例如192.168.1.1或2000::100。 |
|
已添加项目 |
已经添加的子网地址、主机地址和范围地址。 |
|
角色 |
默认内置admin和audit两个角色,这两个角色不绑定用户组,如果选择自定义角色,则管理员需要绑定用户组。 |
|
用户组 |
管理员绑定的用户组,只支持用户组,不支持属性组。 |
· 创建的管理员如果选择admin或audit角色,则不用绑定用户组,只有选择自定义角色时才会绑定用户组。
· 当管理员绑定了用户组之后,使用新建管理员登录设备,在控制策略和审计策略匹配条件用户选项,只能看到与管理员绑定的用户组,其他用户组和属性组无法看到。
· 管理员绑定用户组不支持选择属性组。
· 创建的管理员如果选择admin或audit角色时,创建者列将显示为空,因为选择内容角色管理员不进行分级显示,只有选择自定义角色时,创建者显示为当前登录的管理员。
在导航栏中选择“系统管理 > 系统设定 > 管理员 > 角色管理”,进入角色管理页面,如图1-18所示。
页面的详细说明如表1-8所示。
|
项目 |
说明 |
|
名称 |
角色的名称 |
|
描述 |
针对角色的说明 |
|
操作 |
系统内置两个角色admin和audit,不能进行修改删除操作,新建角色可以进行修改和删除操作。 javascript:but_edit_handle('r1');:修改角色配置;
|
在导航栏中选择“系统管理 > 系统设定 > 管理员 > 在线信息”,进入在线信息页面,可以查看当前正在管理设备的管理员,如图1-19所示。
页面的详细说明如表1-9所示。
|
项目 |
说明 |
|
用户名 |
管理员的名称 |
|
管理地址 |
管理员登录的IP地址 |
|
访问方式 |
管理员可以通过以下几种方式来管理设备: · WEB · CONSOLE · SSH · CONSOLE · DataCenter |
|
登录时间 |
管理员登录设备的时间 |
|
操作 |
点击删除图标可以根据需要强制管理员下线 |
通过直接连接设备串口登录的管理员无法强制管理员下线。
在导航栏中选择“系统管理 > 系统设定 > 管理员”,然后再点击“阻断用户”标签页,可以查看当前被阻断登录的用户信息,如图1-20所示。缺省情况下,阻断时间为一分钟,点击操作下面的删除图标可立即解除阻断。
通过菜单“系统管理 > 系统设定 > 管理设定”,进入管理设定配置页面,如图1-21所示。各个配置项的含义如表1-10所示。
|
标题项 |
说明 |
|
实时保存配置 |
是否实时的保存配置,通过web管理方式管理时,配置修改后将自动保存。 |
|
管理员唯一性检查 |
是否检查管理员的唯一性,即是否只允许一个管理员登录。 |
|
管理员双因子认证 |
管理员双因子认证,开启后当使用https方式登录设备时需要有经过授权的Ukey+合法账号才能登录设备。 Ukey管理软件:对Ukey进行初始化激活 Ukey客户端软件:通过客户端软件将设备端生成的用户证书导入Ukey |
|
最大登录尝试次数 |
允许管理员登录失败后重新登录的次数。 |
|
登录失败阻断间隔 |
管理员登录失败允许再次登录的间隔时间。 |
|
页面超时时间 |
页面超时时间,如操作时间超过该值页面将自动退出。 |
|
web在线管理员 |
同时web在线的管理员的最大个数。 |
|
管理员认证方式 |
选择管理员认证方式(本地认证或外部认证)。 · 本地认证:使用设备本地管理员账号密码登录设备; · 外部认证:选择外部服务器进行外部认证。 |
|
HTTPS端口 |
设备HTTPS管理端口,默认为443,可修改为1024-65534之间未被系统使用的端口 |
|
HTTP端口 |
设备HTTP管理端口,默认为80,可修改为1024-65534之间未被系统使用的端口 |
|
TELNET端口 |
设备TELNET管理端口,默认为23,可修改为1024-65534之间未被系统使用的端口 |
|
SSH端口 |
设备SSH管理端口,默认为22,可修改为1024-65534之间未被系统使用的端口 |
|
RESTful API |
默认处于开启状态。开启后,设备的Restful API接口才允许被访问;关闭后,设备的RESTful API接口不允许被访问。 |
|
RESTful API信任地址 |
和“RESTful API”开关配合使用,在“RESTful API”开关开启的情况下,选择已存在的地址对象或新建地址对象后再选择。被选中的地址对象所对应的客户端可以访问设备的RESTful API 接口。支持配置单个IP和网段作为请求来源。 |
|
密码周期 |
启用复选框后及开启密码周期功能,密码周期范围1~180天。时间到期后,会提示修改密码。 |
目前系统管理员支持认证方式:radius服务器认证方式、LDAP服务器认证方式,这两种认证方式都需要在设备上建立管理员账户,对于本地用户名密码校验是合理的,但是对于其他两种外部认证方式,本地保存用户名对于认证过程没有作用,不仅会增加维护复杂性,还会导致账户外泄,增加安全隐患。
为了更好的提高设备可维护性,在RADIUS服务器校验方式、LDAP服务器校验方式中,不再需要配置用户名。
本功能具有如下功能点:
· 全局设定支持管理员认证方式切换:本地认证、外部服务器认证;
· 在保留现有本地认证方式的基础上增加支持外部服务器认证。
通过菜单“系统管理 > 系统设定 > 管理设定”,进入如图1-22所示页面。在该页面上可以配置管理员外部认证的相关功能。各个配置项含义如表1-11所示。
|
标题项 |
说明 |
|
管理员认证方式 |
选择管理员认证方式(本地认证或外部认证)。 · 本地认证:使用设备本地管理员账号密码登录设备; · 外部认证:选择外部服务器进行外部认证。 |
|
认证服务器 |
选择管理员外部登录时使用哪种认证服务器(Radius或Ldap)。 |
|
radius/ldap |
选择认证服务器对象。 |
|
服务器异常开启本地认证 |
选择外部认证时可以选择服务器异常是否开启本地认证,默认为开启状态。 |
设备的三权分立主要为一些资质审核公司要求管理员互相制约互相监控的功能。
启用该功能后,系统会删除所有切换前的管理员及角色,并自动生成三个账号:account、authority和audit,默认密码均为admin。三权模式下的账号权限如下:
· account用户:创建及删除系统管理员账号,查看account账号的操作日志,修改自身的用户名和密码。
· authority用户:对新建的管理员账号进行角色授权,查看authority账号的操作日志,修改新建管理员账号或自身账号的用户名和密码。
· audit用户:审核管理员可对用户权限监控及操作日志查看。
通过菜单“系统管理>系统设定>管理设定>模式切换”,进入模式切换页面,进行普通模式到三权模式的切换,如图1-23所示。该动作不可逆,提交后,当前配置页面将退出登录状态。
· 切换到三权模式后,当前账户将会退出Web管理平台,且无法在Web管理平台切换至普通模式,需通过设备CLI界面切换至普通模式,请谨慎操作。
· 普通模式切换到三权模式,或三权模式切换到普通模式,系统会删除所有切换前的管理员及角色,切换后创建内置角色和管理员账号,所有密码都会恢复到设备初始密码;切换模式前创建的控制策略和审计策略在切换模式后创建者都会置空。
(1) account登录
account(账号管理员)登录后,进入“系统管理>系统设定>管理员”页面,点击<新建>可以创建新的系统管理员账号,或在操作列下点击
图标修改已有的系统管理员账号,如图1-24所示。
新建管理员账号的角色不可编辑,默认为“default”。
图1-25 新建管理员页面
(2) authority登录
authority(权限管理员)登录后,进入“系统管理>系统设定>管理员>角色管理”页面,可以查看系统的角色并对角色进行授权,如图1-26所示。角色管理的配置请参考角色管理员配置。
对于尚未分配权限的系统管理员,在操作列下点击
图标分配角色,如下图所示。
如果对新建的管理员分配了管理员配置权限,如图1-28所示。使用新建的管理员账号登录设备之后可以创建新的管理员账号。
(3) audit登录
audit(审核员)登录后,进入“系统管理>系统设定>管理员>角色管理”页面,可以查看所有系统管理员的权限状态,也可修改新建管理员的角色权限;或在“数据中心>日志中心>操作日志”页面查看所有账号的操作日志,如图1-29、图1-30所示。同时,该账号可编辑自身账号的管理员名称及密码。
管理端口漂移的作用在于能够即时方便的修改http,https,ssh,telnet四种协议的通讯端口。更换相应的协议端口号后,原有的链接将会断开。
通过菜单“系统管理 > 系统设定 > 管理设定”,进入如图1-31所示的页面。在该页面上,可以修改http、https、ssh、telnet四种协议的通讯端口,各个配置项的含义如表1-12所示,管理设定的其它配置项含义详见“系统管理”章节中管理设定模块。
图1-31 修改http,https,ssh,telnet四种协议的通讯端口
表1-12 http,https,ssh,telnet四种协议的通讯端口配置项含义
|
标题项 |
说明 |
|
HTTPS端口 |
|
|
HTTP端口 |
HTTP管理端口,默认80端口 |
|
TELNET端口 |
TELNET管理端口,默认23端口 |
|
SSH端口 |
SSH管理端口,默认22端口 |
http默认端口号是80,https默认端口号是443,ssh默认端口号是22,telnet默认端口号是23。它们可以配置的端口号是1024-65534之间未被系统其它进程使用的端口号。
各设备接口及主机的IP地址和掩码如图1-32所示。测试用户HostA,HostB通过设备正常上网。
(1) 按照组网图组网。
(2) 通过菜单“系统管理 > 系统设定 > 管理设定”,按照如图1-33所示修改http,https,ssh,telnet四种协议的通讯端口。
图1-33 修改http,https,ssh,telnet四种协议的通讯端口
点击<提交>按钮,提交配置。
在浏览器中输入http://192.168.2.176:8080,使用修改后的http:8080管理端口登录设备验证是否生效,如图1-34。
图1-34 验证使用http:8080登录设备
在浏览器中输入https://192.168.2.176:4430,使用修改后的https:4430管理端口登录设备验证是否生效,如图1-35。
图1-35 验证使用https:4430登录设备
使用修改后的ssh:2200管理端口登录设备验证是否生效,如图1-36。
图1-36 验证使用ssh:2200登录设备
使用修改后的telnet:2300管理端口登录设备验证是否生效,如图1-37。
图1-37 验证使用telnet:2300登录设备
配置系统时间有两种方式,手动配置和通过配置NTP同步获得系统时间。通过菜单“系统管理 >系统设定 > 时间设定”进入时间设定页面,如图1-38所示。各个配置项的含义如表1-13所示。
|
标题项 |
子标题项 |
说明 |
|
系统当前时间 |
系统时间 |
显示当前系统时间。 |
|
时区 |
选择系统当前时区。 |
|
|
手动设定系统时间 |
系统时间 |
手动设置的系统时间。 |
|
时区 |
手动设置的时区。 |
|
|
NTP时间设定 |
主服务器 |
NTP主服务器。 |
|
备服务器 |
NTP备服务器。 |
|
|
同步间隔 |
NTP每次同步间隔,单位:分钟。 |
首次登录设备时会自动弹出快速配置框,也可以通过“系统管理 > 系统设定 > 快速配置”手动打开。通过快速配置向导的提示可以设置主机名称、系统时间等,根据网络拓扑以及应用场景选择工作模式,并完成接口、路由、DNS等功能的快速配置,可以在快速配置的引导下实现网关模式、网桥模式、旁路模式的快速配置。
首次登录设备后,系统自动弹出“快速配置”页面,在欢迎界面单击“下一步”。如图1-39所示。
在系统设定中完成主机名称、时间以及默认策略的配置,并单击“下一步”。如图1-40所示。
图1-40 快速配置1-系统设定
根据组网需求选择工作模式,并单击“下一步”。如图1-41所示。
图1-41 快速配置2-选择工作模式
根据组网需求配置接口相关内容,比如接口IP,管理方式等,然后单击“下一步”。如图1-42所示。
图1-42 快速配置3-接口配置
在路由配置界面单击“添加”,在新建框中填写路由相关配置,单击“提交”,然后单击“下一步”。如图1-43所示。
图1-43 快速配置4-路由配置
在DNS配置页面配置DNS服务器地址,并根据需求选择启用DNS全局代理。如图1-44所示。
核对配置信息,确认配置无误后,单击“提交”,即可完成快速配置。如图1-45所示。
图1-45 快速配置6-核对配置信息
· 首次登录设备时会自动弹出快速配置页面,忽略或者完成后,下次不再弹出。
· 如果已经在快速配置的页面选择了“下一次登录不再提示”,则后续登录不会弹出快速配置页面。
· 可以通过“系统管理 > 系统设定 > 快速配置”手动开启快速配置向导。
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Ping”,进入如图1-46所示页面。各个配置项的含义如表1-14所示。
表1-14 Ping各个配置项含义描述表
|
标题项 |
说明 |
|
目的地址 |
需要ping的IP地址,或域名。 |
|
探测包数目 |
发送探测包的数量。 |
|
探测包大小 |
每个探测包的大小。 |
|
Ping结果 |
显示ping包返回的结果。 |
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Traceroute”,进入如图1-47所示页面。各个配置项的含义如表1-15所示。
表1-15 Traceroute各个配置项含义描述表
|
标题项 |
说明 |
|
目的地址 |
需要探测的地址。 |
|
探测方式 |
可以选择UDP/ICMP两种探测方式。 |
|
Traceroute探测结果 |
显示探测结果。 |
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > TCP Syn”,进入如图1-48所示页面。各个配置项的含义如表1-16所示。
表1-16 TCP Syn各个配置项含义描述表
|
标题项 |
说明 |
|
目的地址 |
需要探测的地址。 |
|
端口 |
TCP端口号。 |
|
探测包数目 |
探测包的发送数量。 |
|
TCP Syn包探测结果 |
显示探测结果。 |
通过菜单“系统管理 > 系统维护 > 抓包工具”,进入如图1-49所示页面。各个配置项的含义如表1-17所示。
|
标题项 |
说明 |
|
接口 |
要抓取报文的接口。 |
|
协议 |
抓取报文的协议类型。 |
|
源IP |
抓取报文的源IP地址,全零或空表示任意地址。 |
|
源端口 |
抓取报文的源端口号,零或空表示任意端口号。 |
|
目的IP |
抓取报文的目的IP地址,全零或空表示任意地址。 |
|
目的端口 |
抓取报文的目的端口号,零或空表示任意端口号。 |
|
抓取新建会话 |
抓取新建连接的前N个报文,取值为0~1024。 |
|
应用 |
根据应用协议抓取报文。 |
抓取结束后,抓取的报文文件将以.pcap格式保存,在如图1-50所示的页面中显示,并提供导出。各个配置项的含义如表1-18所示。
|
标题项 |
说明 |
|
文件名称 |
抓取报文的文件名称。 |
|
文件大小 |
抓取报文的文件大小。 |
|
结束时间 |
抓取报文的结束时间。 |
|
操作 |
可删除或导出对应文件。 |
系统告警支持邮件外发功能,报表管理支持邮件外发和FTP外发,可通过服务器管理页面配置邮件服务器和FTP服务器来实现邮件外发及FTP外发。
通过菜单“系统管理>服务器管理>FTP服务器”,进入FTP服务器配置页面,如图1-51所示。
图1-51 FTP服务器配置页面
页面的详细说明如表1-19所示。
表1-19 FTP服务器配置详细说明
|
项目 |
说明 |
|
服务器地址/域名 |
发送的FTP服务器的IP地址或域名 |
|
FTP服务器端口 |
FTP服务器的端口 |
|
用户名 |
登录FTP服务器的用户名 |
|
密码 |
登录FTP服务器的密码 |
单击<验证用户和密码>验证FTP服务器的用户名和密码访问是否成功,并显示验证结果,如图1-52所示。
图1-52 FTP用户名和密码验证成功
通过菜单“系统管理>服务器管理>邮件服务器”,进入邮件服务器配置页面,如图1-53所示。
页面的详细说明如表1-20所示。
|
项目 |
说明 |
|
发件人地址 |
发件人邮箱地址 |
|
邮箱服务器 |
发送地址的邮箱服务器 |
|
服务器端口 |
服务器端口 |
|
SSL |
选中后可设置SSL协议端口号 |
|
smtp 服务器身份验证 |
配置smtp 服务器身份验证的用户名、密码,如果不需要验证可不选。 |
|
测试邮箱有效性 |
检查配置是否正确,正确则会收到测试邮件 |
短信网关是当终端与设备对接时,给认证终端指定的手机号下发授权验证码的设备,基于HTTP短信网关的通用框架,针对设备原短信认证功能业务扩展,整合共性方案,实现短信服务化,可解决如下问题:
· 短信服务和认证接口分离,减少相互间的耦合以及配置业务的分离;
· 解决原短信认证模块强绑定问题,为设备其它模块提供更有效短信服务接口。
在导航栏中选择“系统管理>服务器管理>短信服务”,单击新建进入短信服务设置页面,如下图所示。
图1-54 短信服务设置页面
页面的详细说明如下表所示。
表1-21 短信服务配置说明
|
项目 |
说明 |
|
名称 |
短信服务对象的名称 |
|
描述 |
可输入该短信服务对象的作用等信息 |
|
厂商 |
通过下拉框方式选择系统内置的不同短信厂商(不同厂商需要填写信息各不相同,实际情况请根据所选厂商进行填写,此处以“亿美软通”为例说明)。 |
|
短信内容前缀 |
短信内容前面部分的描述信息 |
|
网关地址 |
短信厂商提供的通信地址 |
|
序列号 |
短信厂商提供的产品序列号 |
|
密码 |
短信厂商提供的产品密码 |
|
短信key |
短信厂商提供的产品key值 |
|
扩展号段 |
短信厂商提供的扩展功能号码 |
在导航栏中选择“用户管理>认证管理>认证方式>短信认证”,进入短信认证页面,如下图所示。
图1-55 短信认证配置页面
短信认证配置页面的详细说明如下表所示。
表1-22 短信认证配置详细说明
|
项目 |
说明 |
|
启用短信认证 |
选择启用或者不启用短信认证功能 |
|
短信对象 |
通过下拉框选择创建的短信服务对象,只能下拉选择一个短信对象。 |
在导航栏中选择“用户管理>认证管理>认证策略”,单击新建进入认证策略配置页面,启用认证策略,认证方式选择“短信认证”,如下图所示。
图1-56 认证策略配置页面
管理员可以访问设备登录页面,如果配置外部认证方式,使用外部服务器内的账号可以登录设备。
· 设备到外部服务器可达。
· 如果设备到外部服务器不可达,开启服务器异常进行本地认证,使用本地账号可以登录。
(1) 配置RADIUS服务器。如图1-57所示。
图1-57 RADIUS服务器配置页面
(2) 配置管理员外部radius认证。如图1-58所示。
图1-58 管理员radius认证配置
(1) 配置完成后,用户访问设备登录页面,使用radius服务器内的账号密码登录设备,登录成功,使用本地账号密码登录,提示账号密码错误。
(2) “服务器异常开启本地认证”开关选择“开启”时,如果设备与服务器无法通讯,使用本地账号密码可以登录成功。
(3) “服务器异常开启本地认证”开关选择“关闭”时,如果设备与服务器无法通讯,使用本地账号无法登录设备。
· 管理员外部认证功能只针对管理员模式生效,三权模式不支持。
· 外部认证时,只支持选择服务器对象且只能选择一个,不支持同时选择多个,不支持服务器对象组。
检测设备网络是否畅通。
按照图1-59所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-60所示。
检测设备网络是否畅通。
按照图1-61所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-62所示。
检测设备网络是否畅通。
按照图1-63所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-64所示。
PC1和PC2分别属于group1和group2组通过设备访问外网,现需在设备上创建两个管理员admin1和admin2分别绑定group1和group2用户组,通过创建的管理员登录设备分别创建各自的审计策略和控制策略对下面的用户进行审计及控制。admin1管理员可以看到admin2创建的审计策略和控制策略但不能修改,也不能看到group2组下相关用户产生的审计日志和控制日志;同样admin2管理员可以看到admin1创建的审计策略和控制策略,但不能修改,也不能看到group1用户组下相关用户产生的审计日志和控制日志。
图1-65 管理员配置举例组网图
(1) 配置设备接口地址
图1-66 配置设备接口地址
(2) 配置设备默认路由。
图1-67 配置设备默路由
(3) 配置出接口源NAT地址转换
图1-68 配置出接口源地址转换
(4) 配置用户组绑定IP网段
图1-69 配置用户组绑定IP网段
(5) 创建角色并分配权限
图1-70 创建角色admin1
图1-71 创建角色admin2
图1-72 创建角色完成
(6) 创建管理员admin1和admin2,分配角色并绑定用户组,如图1-73、图1-74所示,配置完成后单击“提交”按钮,如图1-75所示。管理员都是在admin管理员下创建的,所以创建者都是admin。
图1-73 创建管理员admin1,并绑定用户组
图1-74 创建管理员admin2,并绑定用户组
(7) 使用admin1管理员登录设备创建控制策略和审计策略,在策略中用户组只能选择管理员绑定的group1组,策略创建成功之后策略的创建者为admin1。
图1-76 admin1登录设备创建控制策略
图1-77 admin1登录设备创建控制策略
图1-78 admin1登录设备创建审计策略
图1-79 admin1登录设备创建审计策略
(8) 使用admin2管理员登录设备创建控制策略和审计策略,在策略中用户组只能选择管理员绑定的group2组,策略创建成功之后策略的创建者为admin2。
图1-80 admin1登录设备创建控制策略
图1-81 admin1登录设备创建控制策略
图1-82 admin1登录设备创建审计策略
图1-83 admin1登录设备创建审计策略
(1) 使用admin1管理员登录设备可以看到admin2管理员创建的策略,但是无法编辑修改操作。
图1-84 admin1登录设备修改admin2创建的控制策略
图1-85 admin1登录设备修改admin2创建的审计策略
(2) 使用admin1管理员登录设备只能看到group1组下用户产生的控制日志和审计日志。
图1-86 admin1登录设备查看控制日志
图1-87 admin1登录设备查看审计日志
(3) 使用admin2管理员登录设备可以看到admin1管理员创建的策略,但是无法编辑修改操作。
图1-88 admin2登录设备修改admin1创建的控制策略
图1-89 admin2登录设备修改admin1创建的审计策略
(4) 使用admin2管理员登录设备只能看到group2组下用户产生的控制日志和审计日志。
图1-90 admin2登录设备查看控制日志
图1-91 admin2登录设备查看审计日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
