【實訓(xùn)任務(wù)5.2】配置用戶認證對高級管理者進行用戶免認證_第1頁
【實訓(xùn)任務(wù)5.2】配置用戶認證對高級管理者進行用戶免認證_第2頁
【實訓(xùn)任務(wù)5.2】配置用戶認證對高級管理者進行用戶免認證_第3頁
【實訓(xùn)任務(wù)5.2】配置用戶認證對高級管理者進行用戶免認證_第4頁
【實訓(xùn)任務(wù)5.2】配置用戶認證對高級管理者進行用戶免認證_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

【實訓(xùn)任務(wù)5.2】配置用戶認證,對高級管理者進行用戶免認證(用戶與IP地址/MAC地址雙向綁定)任務(wù)陳述配置思路任務(wù)實施123任務(wù)陳述1如圖所示,某企業(yè)在網(wǎng)絡(luò)邊界處部署了防火墻作為出口網(wǎng)關(guān),用于連接內(nèi)網(wǎng)與Internet。該企業(yè)的管理員希望利用防火墻提供的用戶管理與認證機制,將內(nèi)網(wǎng)中的IP地址識別為用戶,為實現(xiàn)基于用戶的網(wǎng)絡(luò)行為控制和網(wǎng)絡(luò)權(quán)限分配提供基礎(chǔ)。其中,高級管理者使用固定IP地址10.3.1.168,為了提高其辦公效率,要求省略認證過程,同時,為了保證安全,要求其只能使用指定的IP地址和MAC地址訪問網(wǎng)絡(luò)資源。1任務(wù)陳述本實訓(xùn)任務(wù)僅介紹用戶管理與認證配置相關(guān)的內(nèi)容,聯(lián)網(wǎng)用戶本地認證數(shù)據(jù)規(guī)劃如下表所示。1任務(wù)陳述配置思路22配置思路①

配置網(wǎng)絡(luò)基本參數(shù)。②

創(chuàng)建高級管理者對應(yīng)的組和用戶,并與IP地址/MAC地址雙向綁定。③

創(chuàng)建認證策略。④

配置default認證域。⑤

配置安全策略。⑥

驗證和調(diào)試。

任務(wù)實施33任務(wù)實施①

配置防火墻網(wǎng)絡(luò)基本參數(shù)。(1)配置防火墻接口IP地址<FW>system-view[FW]interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]ipaddress1.1.1.124[FW-GigabitEthernet1/0/1]quit[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress10.2.1.124[FW-GigabitEthernet1/0/2]quit[FW]interfaceGigabitEthernet1/0/3[FW-GigabitEthernet1/0/3]ipaddress10.3.1.124[FW-GigabitEthernet1/0/3]quit3任務(wù)實施①

配置防火墻網(wǎng)絡(luò)基本參數(shù)。(2)將接口加入安全區(qū)域[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW-zone-untrust]quit[FW]firewallzonedmz[FW-zone-dmz]addinterfaceGigabitEthernet1/0/2[FW-zone-dmz]quit[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet1/0/3[FW-zone-trust]quit3任務(wù)實施②創(chuàng)建高級管理者對應(yīng)的用戶組和用戶,并與IP地址/MAC地址雙向綁定[FW]user-managegroup/default/manager[FW-usergroup-/default/manager]quit[FW]user-manageuseruser_0001[FW-localuser-user_0001]aliasSupervisor[FW-localuser-user_0001]parent-group/default/manager[FW-localuser-user_0001]undomulti-iponlineenableWarning:Disablingthemulti-IPaddressonlineconfigurationwillforceallonlineIPaddressesofthisusertobeoffline.Continue?[Y/N]Y3任務(wù)實施②創(chuàng)建高級管理者對應(yīng)的用戶組和用戶,并與IP地址/MAC地址雙向綁定[FW-localuser-user_0001]bindmodebidirectional/*配置用戶與IP地址/MAC地址的綁定方式為雙向綁定,即用戶只能使用指定的IP地址/MAC地址進行認證,且其他雙向綁定用戶不允許使用該IP地址/MAC地址*/[FW-localuser-user_0001]bindipv410.3.1.168mac000C-2969-F638//將用戶與IP地址/MAC地址綁定[FW-localuser-user_0001]quit3任務(wù)實施③創(chuàng)建認證策略(2)配置地址集配置地址集,將兩個不允許訪問外網(wǎng)的主機IP地址加入地址集。[FW]ipaddress-settrust_denytypeobject/*創(chuàng)建地址對象并進入配置視圖。其中,object指定類型為地址對象,只能添加IP地址或IP地址范圍作為成員*/[FW-object-address-set-trust_deny]address110.1.1.10mask32/*添加IP地址*/[FW-object-address-set-trust_deny]address210.1.1.11mask32[FW-object-address-set-trust_deny]quit[FW]auth-policy[FW-policy-auth]rulenamepolicy_auth_01[FW-policy-auth-rule-policy_auth_01]source-zonetrust[FW-policy-auth-rule-policy_auth_01]source-address10.3.1.16832[FW-policy-auth-rule-policy_auth_01]actionexempt-auth//配置認證策略規(guī)則的動作。其中,exempt-auth表示對匹配該規(guī)則的流量進行免認證[FW-policy-auth-rule-policy_auth_01]quit[FW-policy-auth]quit3任務(wù)實施④配置認證域(2)配置地址集配置地址集,將兩個不允許訪問外網(wǎng)的主機IP地址加入地址集。[FW]ipaddress-settrust_denytypeobject/*創(chuàng)建地址對象并進入配置視圖。其中,object指定類型為地址對象,只能添加IP地址或IP地址范圍作為成員*/[FW-object-address-set-trust_deny]address110.1.1.10mask32/*添加IP地址*/[FW-object-address-set-trust_deny]address210.1.1.11mask32[FW-object-address-set-trust_deny]quit[FW]aaa[FW-aaa]domaindefault[FW-aaa-domain-default]service-typeinternetaccess[FW-aaa-domain-default]quit[FW-aaa]quit3任務(wù)實施⑤配置安全策略(2)配置地址集配置地址集,將兩個不允許訪問外網(wǎng)的主機IP地址加入地址集。[FW]ipaddress-settrust_denytypeobject/*創(chuàng)建地址對象并進入配置視圖。其中,object指定類型為地址對象,只能添加IP地址或IP地址范圍作為成員*/[FW-object-address-set-trust_deny]address110.1.1.10mask32/*添加IP地址*/[FW-object-address-set-trust_deny]address210.1.1.11mask32[FW-object-address-set-trust_deny]quit(1)配置允許用戶訪問外網(wǎng)的安全策略[FW-policy-security]rulenamepolicy_sec_01[FW-policy-security-rule-policy_sec_01]source-zonetrust[FW-policy-security-rule-policy_sec_01]source-address10.3.1.024[FW-policy-security-rule-policy_sec_01]destination-zoneuntrust[FW-policy-security-rule-policy_sec_01]actionpermit[FW-policy-security-rule-policy_sec_01]quit3任務(wù)實施⑤配置安全策略(2)配置地址集配置地址集,將兩個不允許訪問外網(wǎng)的主機IP地址加入地址集。[FW]ipaddress-settrust_denytypeobject/*創(chuàng)建地址對象并進入配置視圖。其中,object指定類型為地址對象,只能添加IP地址或IP地址范圍作為成員*/[FW-object-address-set-trust_deny]address110.1.1.10mask32/*添加IP地址*/[FW-object-address-set-trust_deny]address210.1.1.11mask32[FW-object-address-set-trust_deny]quit(2)配置允許用戶訪問DMZ的安全策略[FW-policy-security]rulenamepolicy_sec_02[FW-policy-security-rule-policy_sec_02]source-zonetrust[FW-policy-security-rule-policy_sec_02]source-address10.3.1.024[FW-policy-security-rule-policy_sec_02]destination-zonedmz[FW-policy-security-rule-policy_sec_02]actionpermit[FW-policy-security-rule-policy_sec_02]quit[FW-policy-security]quit3任務(wù)實施⑥驗證和調(diào)試(1)高級管理者訪問網(wǎng)絡(luò)資源高級管理者無須進行認證就可以直接訪問網(wǎng)絡(luò)資源,其他用戶即使獲取了高級管理者的用戶名,也無法使用IP地址不是10.3.1.168且MAC地址不是000C-2969-F638的計算機直接訪問網(wǎng)絡(luò)資源。這里要注意

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論