本案例适用于软件平台为Comware V7系列防火墙:如F1000-A-G2、F1000-S-G2、F100-M-G2、F100-S-G2等F1000-X-G2、F100-X-G2系列的防火墙。
注:本案例是在F1000-C-G2的Version 7.1.064, Release 9323P1801版本上进行配置和验证的。
根据网络安全规定用户通过SSH、Telnet、Console口登录设备后操作权限有如下限制:
不允许用户登录后对admin账号进行修改操作;
不允许用户登录后在全局或者接口执行undo、reset、shutdown、save等高危命令;
3、不允许用户执行所有三层协议相关功能的命令;
除了上述三点限制外用户可以对执行其他命令;
[H3C]role name test
#最后一条所有命令均允许;
[H3C-role-test] rule 10 permit command *
#拒绝用户在接口下执行shutdown命令;
[H3C-role-test] rule 20 deny command system-view ; interface * ; shutdown
#拒绝用户执行执行reset命令;
[H3C-role-test] rule 30 deny command reset *
#拒绝用户在全局下执行undo命令;
[H3C-role-test] rule 40 deny command system-view ; undo *
#拒绝用户在接口下执行undo命令;
[H3C-role-test] rule 50 deny command system-view ; interface * ; undo *
#拒绝用户执行save命令;
[H3C-role-test] rule 60 deny command save *
#拒绝用户执行关于设备三层协议的所有命令;
[H3C-role-test] rule 70 deny write feature-group L3
#使用超级管理员账号创建用户名为aaa的账号
[H3C]local-user aaa
[H3C-luser-manage-aaa]password simple XXXXXXX
[H3C-luser-manage-aaa] service-type telnet
[H3C-luser-manage-aaa] authorization-attribute user-role test
[H3C-luser-manage-aaa] undo authorization-attribute user-role network-operator
[H3C-luser-manage-aaa] quit
Login: aaa
Password:
[H3C]local-user 123
Insufficient right to perform the operation. \\无法进入其他用户视图
[H3C]local-user admin
Insufficient right to perform the operation. \\无法进入admin用户视图
[H3C]local-user aaa
[H3C-luser-manage-aaa] password simple 123456 \\可以进入本用户视图
Permission denied.
Permission denied.
[H3C]undo ssh server enable \\删除SSH服务被拒绝
Permission denied.
Permission denied.
Permission denied.
[H3C]ospf 1
Permission denied.
不允许用户登录后对admin账号进行修改操作;
缺省情况下仅network-admin或者level-15角色的用户具有执行创建/修改/删除所有本地用户和本地用户组的权限,使用其他角色用户只能对本用户内容进行编辑无法编辑其他用户配置,因此第一个需求只需要新建账号不具有network-admin或者level-15角色即可。
2.不允许用户登录后在全局或者接口执行undo、reset、shutdown、save等高危命令;
1)角色规则中是按照角色编号越大越优先执行的逻辑,因此配置只有某些命令不执行而其他命令均可以执行需求时,要求全放通策略规则编号比其他规则编号小;
2)对于“shutdown”、“undo”等命令需要注意命令所在的视图执行,举例“shutdown”一般在接口视图下执行,因此规则配置为system-view ; interface * ; shutdown,其中“;”表示视图。
3、不允许用户执行所有三层协议相关功能的命令;
缺省情况下,特性组存在两个系统预定义特性组,名称为L2和L3,且不能被修改和删除。其中L3特性组中包含了所有与路由等三层协议相关的命令;
4、创建本地用户时默认会生成“authorization-attribute user-role network-operator”命令,需要将其删除后再添加需要的角色策略;
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作