要禁用SecPath ACG1000中的匿名用户,核心方法是配置强制认证策略,确保所有用户必须通过身份验证才能访问网络资源。以下是详细操作步骤:
一、理解匿名用户机制
在ACG1000中,未经过认证的用户默认以源IP地址作为标识,系统将其识别为"匿名用户"。当用户流量经过ACG设备时,若未进行认证,系统会自动将其归类为匿名用户并显示在用户管理界面。
二、禁用匿名用户的主要方法
1. 配置本地Web认证策略
这是最常用且推荐的方式,通过强制用户进行Web认证来消除匿名用户:
- 登录ACG1000管理界面
- 使用浏览器访问设备管理地址
- 输入管理员用户名和密码
- 配置本地认证
- 进入"用户管理 > 认证管理 > 认证方式"
- 确保"本地WEB认证"已启用
- 配置认证页面样式和提示信息
- 设置认证策略
- 进入"用户管理 > 认证管理 > 认证策略"
- 创建新策略,设置源地址为需要认证的内网网段(如192.168.10.0/24)
- 选择"本地WEB认证"作为认证方式
- 设置模式为"强制认证"(未认证用户将被重定向至认证页面)
- 配置用户组
- 进入"用户管理 > 用户组"
- 检查"匿名用户组"的配置
- 将匿名用户组的身份验证类型设置为"本地认证",确保其与认证方式关联
2. 配置Portal认证服务
若需更专业的认证体验,可配置Portal认证:
- 启用Portal服务
- 进入"用户管理 > 认证管理 > 认证方式"
- 选择"Portal Server认证"
- 启用"本地Portal Server"
- 配置RADIUS服务器(可选但推荐)
- 进入"用户管理 > 认证管理 > 认证服务器"
- 新建RADIUS服务器配置,填写服务器IP、共享密钥等信息
- 将认证方式与RADIUS服务器关联
- 设置重定向策略
- 进入"系统管理 > 系统设置 > 高级选项"
- 配置重定向策略,确保HTTP/HTTPS流量被正确重定向至认证页面
- 可选择"HTML-Refresh"模式替代默认的HTTP 302重定向,避免浏览器安全警告
3. 配置识别范围限制
限制系统仅识别特定网段的用户,避免无关IP被识别为匿名用户:
- 进入"用户管理 > 认证管理 > 高级选项"
- 设置"识别范围",仅包含需要认证的内网网段
- 配置识别模式为"启发模式",提高用户识别准确性
三、验证与测试
- 清除现有匿名用户
- 通过命令行执行:
clear user-waa local-waa - 此命令将清除所有本地无感知认证用户,强制用户重新认证
- 通过命令行执行:
- 测试认证流程
- 尝试访问内网资源,确认被重定向至认证页面
- 使用有效账号登录,验证是否能正常访问网络
- 检查日志
- 进入"数据中心 > 日志中心"
- 确认已开启"匿名审计"功能(通过命令
anony_user log enable) - 查看认证日志,确认匿名用户已被有效管控
四、注意事项
- 部署模式影响:确保ACG1000部署在流量必经路径上(路由模式或透明模式),否则无法有效拦截和认证用户流量
- 证书配置:若使用HTTPS重定向,需配置有效SSL证书,避免用户看到安全警告
- 用户分组策略:可创建不同用户组,针对不同网段或设备类型应用差异化认证策略
- 系统资源:开启全面认证可能增加系统负载,建议监控CPU和内存使用情况
通过以上配置,您可以有效禁用ACG1000中的匿名用户功能,实现对所有网络用户的强制认证管理,提升网络安全性和可管理性。
暂无评论
在 H3C SecPath ACG1000 上禁用匿名用户(未认证用户),核心是:开启强制认证 + 删掉 / 禁用匿名免审策略 + 只放行已认证用户。下面给你 Web 界面完整步骤(最常用版本)。
一、核心原理
ACG1000 默认:
- 未认证用户 = 匿名用户(Anonymous)
- 缺省策略往往是 允许匿名上网要禁用匿名:
- 开启 用户认证(Web 认证最常用)
- 设置 认证模式为强制(未认证不能上网)
- 删除 / 禁用 匿名用户 / 匿名组的放行策略
- 只对 已认证用户 / 用户组 放行
二、Web 界面完整配置步骤
1. 进入用户认证配置
- 登录 ACG1000 Web 管理
- 进入:用户管理 → 认证管理 → 认证配置
2. 开启强制认证(关键)
- 认证模式:选择 强制认证(不是 “可选”“旁路”)
- 未认证处理:拒绝访问 / 重定向到认证页面
- 认证方式:勾选 Web 认证(本地用户)
- 点击 提交
3. 配置本地用户(先建账号)
用户管理 → 用户组织 → 新建用户
- 用户名 / 密码
- 归属组:默认组 / 新建组
- 权限:网络用户
4. 禁用 / 删除匿名用户放行策略(最关键)
进入:策略配置 → 控制策略
你要做两件事:
- 找到源用户 = 匿名用户 / 匿名组 的策略
- 动作是 允许 的,删除或改为 拒绝
- 新建策略:只允许已认证用户
- 源用户:选择你的用户组(不是匿名)
- 目的:any
- 应用:any
- 动作:允许
- 提交
要点:控制策略默认拒绝,只给认证用户开允许。
5. (可选)禁用匿名用户审计
系统管理 → 高级配置 → 匿名用户日志
- 匿名用户审计:关闭(默认就是关)
三、CLI 命令行(备用)
bash
运行
configure terminal
// 开启强制认证
user-auth force enable
// 禁用匿名用户免审(如果有)
undo user-auth anonymous permit
// 本地用户示例
local-user test password simple Test@123
local-user test service-type web
exit
save
四、验证是否生效
- 用手机 / PC 连内网,打开网页
- 自动弹出 ACG Web 认证页面
- 不登录 → 不能上网、打不开网页
- 输入账号密码 → 正常上网
五、常见问题
- 还是能匿名上网
- 检查控制策略:匿名用户策略是否还在允许
- 认证模式是否真设为 强制
- 策略顺序:拒绝匿名 要在 允许认证 前面
- 弹不出认证页
- 内网 PC 网关指向 ACG
- ACG 接口放通 80/443 到 ACG 自身
- 浏览器清缓存、换浏览器
六、一句话总结
强制认证开 + 匿名策略删 + 只放认证用户 = 完全禁用匿名
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论