问题描述:
1.依据三权分立原则,合理创建审计员、系统管理员、安全员角色,避免超级用户存在;
2.开启审计功能,审计范围包括用户登录、登录失败、用户登出、用户操作、异常事件等内容,日志存放策略和存放空间需满足保存180天以上,设置日志定期备份策略或脚本或任务
3.对设备登录地址进行限制,需限制到单个IP地址或者掩码不得小于28位
华三防火墙相关的文档没有具体说明怎么配置,希望大佬们多多帮忙
组网及组网描述:
- 2021-05-06提问
- 举报
-
(0)
最佳答案
您好,请知:
对登录地址进行限制,可以使用ACL来指定,以下是参考命令:
acl basic 2000
rule 0 permit source 192.168.1.1 0
quit
ssh server acl 2000
ip http acl 2000
ip https acl 2000
针对用户分权,可以通过权限的分配来实现,以下是参考命令:
1、创建管理员账号,并赋予最高权限,仅允许SSH登录
[H3C]local-user admin
New local user added.
[H3C-luser-manage-admin]password simple admin
[H3C-luser-manage-admin]service-type ssh
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]quit
2、创建访客账号,赋予1级权限,仅允许SSH登录
[H3C]local-user user
New local user added.
[H3C-luser-manage-user]password simple 123456
[H3C-luser-manage-user]service-type ssh
[H3C-luser-manage-user]authorization-attribute user-role level-1
[H3C-luser-manage-user]quit
可以使用设备的调度功能来实现定期的任务,以下是参考命令:
1、配置调度工作
[H3C]scheduler job save //创建调度工作
[H3C-job-save]command 1 save //配置调度工作的第一条命令为save
[H3C-job-save]command 2 y //配置调度工作的第二条命令为y,因为在执行save命令时,设备会确认是否要保存
[H3C-job-save]command 3 y //配置调度工作的第三条命令为y,设备会确认是否写入当前启动配置文件中
[H3C-job-save]quit
2、配置调度策略
[H3C]scheduler schedule save //创建调度策略
[H3C-schedule-save]job save //调用调度工作
[H3C-schedule-save]time repeating at 0:00 //指定调度策略执行的时间是每天的0:00
[H3C-schedule-save]quit
- 2021-05-06回答
- 评论(2)
- 举报
-
(0)
大佬,这个是防火墙的三权分立吗,我网上找的都是上网行为管理
还有客户就想打开这个用户管理的审计功能,
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
还有客户就想打开这个用户管理的审计功能,