實驗二_防火墻用戶管理

1、實驗二、防火墻用戶管理一、 實驗目的學會使用GUI界面登錄防火墻，并建立用戶二、 應用環(huán)境目前網(wǎng)絡應用的發(fā)展步伐很快，企事業(yè)的網(wǎng)絡規(guī)模不斷增大，網(wǎng)絡管理的任務也越來越復雜，簡化管理任務的一個辦法是對管理任務進行分割，對管理用戶進行角色分工，按角色的不同分配不同的管理任務。對不同角色或權限的管理員來說，所見的防火墻系統(tǒng)是不一樣的。超級管理用戶對防火墻具有無限制的管理權，而其余管理用戶的管理權限均由超級管理用戶分配。神州數(shù)碼DCFW-1800E-G防火墻的多級用戶管理功能就是為了簡化防火墻管理員任務和實現(xiàn)安全分級控管而量身定做的。防火墻的管理用戶分為以下角色：超級管理用戶（Super Admin）

2、：對防火墻具有完全、無限制的管理權限。普通管理用戶（General Admin）：對防火墻的管理權限由超級管理用戶授予其對系統(tǒng)不同功能模塊的配置權限。另外，為用戶使用方便考慮，系統(tǒng)內(nèi)置了兩個管理帳號，一個是超級用戶管理帳號（admin,另一個是對各功能模塊僅具只讀權限的普通帳號（guest）。分級管理使對防火墻的管理更加安全可控，避免人為因素帶來的安全風險。三、 實驗設備i. 防火墻設備一臺ii. Console線一條iii. 交叉網(wǎng)絡線一條iv. 直通網(wǎng)絡線一條v. PC機一臺四、 實驗拓撲COM口COM口網(wǎng)卡接口雙絞線防火墻控制線五、 實驗要求掌握防火墻用戶的配置方法，理解各級別用戶的權限

3、范圍六、 實驗步驟(一) 建立超級終端連接，并進入命令行模式提示符下同實驗一。(二) 增加一個普通用戶a) 使用命令usrobj list查看現(xiàn)有各用戶情況，如下所示：# usrobj list1 *guest (guest administrator)2 *admin (super administrator)#此時的顯示說明只有兩個內(nèi)置的用戶，一個是普通級別用戶，另一個是超級管理員。b) 使用命令usrobj add增加一個普通用戶normal_user，如下所示：# usrobj add normal_user1 for_peixun /此處的用戶名為：normal_user1 “for

4、_peixun”是對此用戶的說明Password:Retype:#注：此處的密碼輸入仍舊沒有回顯。c) 使用a子步驟命令查看現(xiàn)有的用戶情況，如下：# usrobj list1 *guest (guest administrator)2 *admin (super administrator)3 normal_user1 (for_peixun)此時表明已成功增加一個用戶“normal_user1”。d) 使用“exit”命令推出當前admin超級用戶，在login:下重新以新用戶登錄，如下所示：# exitUser exitWelcome to DCFW (c)Digital China, A

5、ll rights reserved.login:normal_user1Password:Sorry!說明此用戶不可以在命令行模式進行登錄配置，它在防火墻中配置完成后的用戶在以后的實驗配置中會有所體現(xiàn)，這里不進行詳細講述。(三) 增加一個可管理用戶使用命令usrobj addadmin增加一個可管理用戶，如下所示：# usrobj addadmin normal_admin1 for_peixun/此處的“normal_admin1”表示可管理用戶的用戶名，“for_peixun”依然是對它的說明Password:Retype:#使用命令usrobj list列出現(xiàn)有用戶，得到如下列表：#

6、usrobj list1 *guest (guest administrator)2 *admin (super administrator)3 normal_user1 (for_peixun)4 +normal_admin1 (for_peixun)#此時退出超級管理用戶，再次以normal_admin1登錄，如下所示：# exitUser exitWelcome to DCFW (c)Digital China, All rights reserved.login:normal_admin1Password:>注意提示符與系統(tǒng)內(nèi)置的超級用戶admin是不同的，說明此用戶雖然是可管理

7、用戶但權限依然受限。在此提示符下輸入“?”可以得到這個用戶所有可以執(zhí)行的操作命令，如下所示：>List of commands in 'system' module: adminhost list antidos list zone list ifconfig list ifname dns list ddns list route list ruleconfig list osconfig list osconfig postdelay list brconfig list bridge count list pppoe list diagnose list sntp

8、list sntp enable|disable List of commands in 'net' module: arp list netobj list std netobj list ipr netobj list ifr netobj list znr netgrp list List of commands in 'svc' module: svcobj list svcobj confhttpgw <name> list svcobj confftpgw <name> list svcobj confsmtpgw <n

9、ame> list svcobj confpop3gw <name> list svcgrp list List of commands in 'usr' module: usrobj list auth|admin usrgrp list usrgrp list auth list auth policy list preauth list List of commands in 'time' module: timeobj list timegrp list List of commands in 'policy' modu

10、le: policy list bm list bm bwobj list interface bm policy list bm stat <interface> bwobj interval blackhole list freeze list idsplugin list List of commands in 'nat' module: nat list nat11 list rnat list lb list List of commands in 'vpn' module: vpn list vpn cert list vpn key l

11、ist id vpn tunnel list vpn dialupuser list vpn ipsecoption list vpn pptpoption list vpn ipsecstatus vpn dialupstatus List of commands in 'log' module: log policy list log list log dump2 <flags:anfcHTSORhPIi> <priority:0.7> log dump1 <flags:anfcHTSORhPIi> <priority:0.7>

12、; log mon <flags:anfcHTSORhPIi> <priority:0.7> loghost list snmphost list mailalarm list List of commands in 'ids' module: ids list List of commands in 'other' module: apply applyopt flush-state on|off applyopt kernel-proxy on|off applyopt list save debug packet debug ses

13、sion applyopt list save debug packet debug session debug connection exit quit help module ping <host> count packetsize traceroute <host> show version show license show login show hostid show interface interface show stat interval(1-60) show arp show date show memory show process show pro

14、tocol <tcp|udp|ip|icmp|igmp|ah|esp|ipencap|etherip> show route>注意黑體表示的的'system'、'net'、'svc'、'usr'、'time'、'policy'、'nat'、'vpn'、'log'、'ids'、'other'幾個大模塊，分別代表可以配置的防火墻幾個技術部分。在目前的默認的新用戶帳號登錄后，我們在這幾個模塊中只可執(zhí)行讀和應用

15、的操作，而無法對配置進行更改，但我們可以在超級管理用戶登錄后，使用usrobj命令對其權限進行部分和全部的修改。(四) 使用超級用戶登錄防火墻，使用命令查看有關當前用戶的具體情況：# show runningconfig#Digitalchina Version: .8VIP#Create time: Fri Sep 8 11:22:42 2006hostname "DCNU-FW"usrobj passwdp guest fyRW3nLH7ywPlusrobj passwdp admin NNtEDJuo3qa28usrobj addp normal_user1 pass

16、wd Sn/pESpRGa/oc "for_peixun"usrobj addadminp normal_admin1 passwd L2tD9vmEIluE0 "for_peixun"usrobj authorize normal_admin1 system:rusrobj authorize normal_admin1 net:rusrobj authorize normal_admin1 svc:rusrobj authorize normal_admin1 usr:rusrobj authorize normal_admin1 time:rusr

17、obj authorize normal_admin1 policy:rusrobj authorize normal_admin1 nat:rusrobj authorize normal_admin1 vpn:rusrobj authorize normal_admin1 log:rusrobj authorize normal_admin1 ids:rusrobj authorize normal_admin1 other:wblockshortip "on"blockipoptions "on"state ftpsession 2000注意黑體字

18、部分的內(nèi)容是與新用戶“normal_admin1”相關的，我們注意到此時所有系統(tǒng)配置模塊都是“r”（只讀）的。我們可以使用usrobj相應命令修改其權限，由于篇幅關系，我們本實驗以policy為例，更改此模塊的normal_admin1的權限為“w”。使用命令usrobj authorize 進行修改，如下所示：# usrobj authorize normal_admin1 policy:w#此時，再次使用show runningconfig命令查看如上用戶的信息，得到：usrobj authorize normal_admin1 policy:w接下來，我們可以使用這個用戶登錄查看poli

19、cy模塊可用的命令是否有所變化，如下所示：Policy:rList of commands in 'policy' module: policy list bm list bm bwobj list interface bm policy list bm stat <interface> bwobj interval blackhole list freeze list idsplugin listPolicy:wList of commands in 'policy' module: policy list policy add <servi

20、ce> <netfrom> <netto> pass options:dDfilstT toname policy add <service> <netfrom> <netto> block options:dDfilstT toname policy add <service> <netfrom> <netto> retureset options:dDfilstT toname policy add <service> <netfrom> <netto>

21、 retuicmp <icmpcode> options:dDfilstT toname policy add <service> <netfrom> <netto> auth <authpolicy> options:dDfilstT toname policy insert <index> <service> <netfrom> <netto> pass options:dDfilstT toname policy insert <index> <service&g

22、t; <netfrom> <netto> block options:dDfilstT toname policy insert <index> <service> <netfrom> <netto> retureset options:dDfilstTtoname policy insert <index> <service> <netfrom> <netto> retuicmp <icmpcode> options:dDfilstT tonamepolicy

23、change <index> <service> <netfrom> <netto> block options:dDfilstT toname policy change <index> <service> <netfrom> <netto> retureset options:dDfilstTtoname policy change <index> <service> <netfrom> <netto> retuicmp <icmpcode&

24、gt; options:dDfilstT toname policy change <index> <service> <netfrom> <netto> auth <authpolicy> options:dDfilstT toname policy move <indexfrom> <indexto> policy del <index> policy disable <index> policy enable <index> policy log <index&g

25、t; policy nolog <index> policy ids <index> policy noids <index> policy pass <index> policy block <index> policy retureset <index> policy fastpath <index> policy nofastpath <index> policy auth <index> <authpolicy> policy duptoids <index&g

26、t;policy icmpfilter <index> policy noicmpfilter <index> policy anti-synflood <index> policy noanti-synflood <index> policy timelimit <index> <toname> policy notimelimit <index> policy validitycheck policy cleaninvalid bm list bm enable bm disable bm ifconfig

27、 <interface> outgoing-bandwidth <bandwidth> bm ifdetect <interface> outgoing-bandwidth bm bwobj list interface bm bwobj add <name> <interface> <bandwidth> <priority> <comment> B|L bm bwobj change <index> <name> <interface> <bandwid

28、th> <priority> <comment> B|L bm bwobj del <name> bm policy list bm policy add <snet> <sport> <dnet> <dport> <protocol> <up-flow-bwobj> <down-flow-bwobj> bm policy insert <index> <snet> <sport> <dnet> <dport>

29、 <protocol> <up-flow-bwobj> <down-flow-bwobj>bm policy change <index> <snet> <sport> <dnet> <dport> <protocol> <up-flow-bwobj> <down-flow-bwobj> bm policy del <index> bm policy move <indexfrom> <indexto> bm policy en

30、able <index> bm policy disable <index> bm policy validitycheck bm policy cleaninvalid bm stat <interface> bwobj interval blackhole list blackhole add <ip/maskbits> <comment> blackhole del <index> freeze list freeze flush freeze set <ip1> <port1> <ip

31、2> <port2> <proto> <ttl> sessionlimit list sessionlimit set server <ip:port> total <count> perclient <count> except <ip1,.,ip10> sessionlimit unset <index> idsplugin list idsplugin port <port> idsplugin set <ip> <key> idsplugin uns

32、et <index>idsplugin unset <index>idsplugin flush我們發(fā)現(xiàn)，可以使用的policy命令已經(jīng)得到了很大的擴展。在實際的應用中，我們可以使用添加用戶的辦法，讓不同管理權限的用戶擁有不同的權利，分別負責防火墻的某項配置，避免管理過于集中所帶來的問題。七、 共同思考八、 課后練習使用防火墻命令行中的幫助命令，找到如何使用usrobj命令修改用戶密碼，并進行嘗試和驗證。在使用命令行模式進行防火墻配置的時候，如何快速將一個命令的單詞輸入進去？（在DCFW-1800系列中實際有兩種方法）請找到這個方法并熟練使用。九、 相關配置命令詳解(一

33、) usrobj list描述用戶類型分為認證用戶和管理用戶，如果不指定類型，則顯示所有用戶對象。語法usrobj list auth|admin參數(shù)auth可選參數(shù)，輸入auth時顯示所有認證用戶admin可選參數(shù)，輸入admin時顯示所有管理用戶保留字guest普通用戶admin管理員用戶例子#usrobj list 1 *guest (guest administrator) system(r) net(r) svc(r) usr(r) time(r) policy(r) nat(r) vpn(r) log(r) smartpro(r) other(w)2 *admin (super a

34、dministrator) system(w) net(w) svc(w) usr(w) time(w) policy(w) nat(w) vpn(w) log(w) smartpro(w) other(w).相關命令usrobj add, usrobj change, usrobj addadmin, usrobj changeadmin, usrobj authorize, usrobj passwd, usrobj del(二) usrobj add 描述該命令用于增加一個用戶對象語法usrobj add <name> <comment>參數(shù)name用戶名comm

35、ent注釋注意：comment中如果輸入了帶空格的字符串，則要用雙引號；否則不需要。如果comment中無內(nèi)容，則需輸入兩個單引號。保留字guest普通管理員用戶名admin系統(tǒng)管理員用戶名例子#usrobj add bbb just-for-testPassword:*Retype:*相關命令usrobj list, usrobj change, usrobj addadmin, usrobj changeadmin, usrobj authorize, usrobj passwd, usrobj del(三) usrobj change 描述該命令用于修改一個用戶對象語法usrobj ch

36、ange <index> <name> <comment>參數(shù)index用戶id序號name用戶名comment注釋保留字guest普通管理員用戶名admin系統(tǒng)管理員用戶名例子#usrobj change 1 ccc just-for-test相關命令usrobj list, usrobj add, usrobj addadmin, usrobj changeadmin, usrobj authorize, usrobj passwd, usrobj del(四) usrobj addadmin 描述該命令用于增加一個管理用戶對象語法usrobj adda

37、dmin <name> <comment>參數(shù)name管理用戶名comment注釋保留字guest普通管理員用戶名admin系統(tǒng)管理員用戶名例子#usrobj addadmin bbb just-for-test相關命令usrobj list, usrobj add, usrobj change, usrobj changeadmin, usrobj authorize, usrobj passwd, usrobj del(五) usrobj changeadmin 描述該命令用于修改一個管理用戶對象語法usrobj changeadmin <index>

38、<name> <comment>參數(shù)index管理用戶id序號name管理用戶名comment注釋保留字guest普通管理員用戶名admin系統(tǒng)管理員用戶名例子#usrobj changeadmin 1 ccc just-for-test相關命令usrobj list, usrobj add, usrobj change, usrobj addadmin, usrobj authorize, usrobj passwd, usrobj del(六) usrobj authorize描述該命令用于配置一個管理用戶的權限語法usrobj authorize <usrn

39、ame> <module:r|w|x>參數(shù)usrname管理用戶名module:r|w|xmodule包括：system(系統(tǒng)), net（網(wǎng)絡）, svc（服務）, usr（用戶）, time（時間）, nat（NAT）, policy（策略）, vpn（VPN）, smartpro（流探測）, log（日志）, other（其它）。r|w|x代表不同管理權限，r代表只讀,w讀寫,x無權限保留字guest普通管理員用戶名admin系統(tǒng)管理員用戶名例子#usrobj authorize user1 system:w (表示user1用戶在系統(tǒng)模塊中具有讀寫權限)相關命令usrobj list, usrobj add, usrobj change, usrobj addadmin, usrobj changeadmin, usrobj passwd, usrobj del(七) usrobj passwd 描述該命令用于修改用戶對象的密碼語法usrobj passwd <name>參數(shù)name要修改密碼的用戶名例子#usrobj passwd bbbPassword:*Rety