“高级配置—用户管理”页面配置手册(ReOS 5.0版本)
文档编号:23
浏览:9162 评分:22
最后更新于:2008-08-20
本节主要讲述WEB管理界面—>高级配置—>用户管理的配置方法。
用户管理功能介绍
用户管理概述
要实现网络安全管理,首先必须解决用户的身份识别问题,然后才能进行必要的业务授权(业务管理)工作。在WEB管理界面—>高级配置—>业务管理中,我们已经详细地介绍了如何实现对局域网用户上网行为的控制。在本节,我们将介绍如何解决用户的身份识别问题。
在用户管理中,通过IP/MAC地址绑定功能完成用户的身份识别工作。使用绑定的IP/MAC地址对作为用户唯一的身份识别标识,可以保护HiPER和网络不受IP欺骗的攻击。IP欺骗攻击是一台主机企图使用另一台受信任的主机的IP地址连接到HiPER或者通过HiPER。这台电脑的IP地址可以轻易地改变为受信任的地址,但是MAC地址是由生产厂家添加到以太网卡上的,不能轻易地改变。
通过在“用户绑定配置”中添加可信的计算机的静态IP地址和对应的MAC地址,即可在“用户绑定信息列表”中形成对应的IP/MAC地址对条目。
用户管理的工作原理
为方便起见,我们先介绍一下HiPER中,合法用户、非法用户及身份未知用户的概念。
合法用户:其IP地址及MAC地址与“用户绑定信息列表”中的某条目的IP地址与MAC地址完全匹配。
非法用户:其IP地址和MAC地址中有且只有一个与“用户绑定信息列表”中的某条目的IP地址或MAC地址匹配。
身份未知用户:即非IP/MAC绑定用户,其IP地址或MAC地址均不与“用户绑定信息列表”中的任何条目的IP地址或MAC地址匹配,也就是除合法用户以及非法用户之外的所有用户。
对于身份未知的用户,是在用户管理全局设置中统一控制的。如果选中“允许非IP/MAC绑定用户”,就表示允许这些用户连接或者通过HiPER;如果没有选中“允许非IP/MAC绑定用户”,就表示禁止这些用户连接或者通过HiPER。
IP/MAC绑定应用于来自于局域网内部,连接到HiPER的数据包或者通过HiPER上网的数据包。当局域网用户有数据流量连接和通过HiPER时,将首先和“用户绑定信息列表”中的条目相比较,即进行身份识别;之后,根据用户身份的不同,来自该用户的数据包将被丢弃或进入IP业务管理功能模块处理(即继续去匹配业务策略)。具体描述如下:
1. 如果该用户是合法用户,则允许该数据包通过,并继续去匹配业务策略;
2. 如果该用户是非法用户,则丢弃该数据包;
3. 如果该用户身份未知,则根据用户管理全局设置执行:
1) 若允许身份未知用户,即在全局设置中,选中“允许非IP/MAC绑定用户”时,则允许该数据包通过,并继续去匹配业务策略;
2) 若禁止身份未知用户,即在全局设置中,没有选中“允许非IP/MAC绑定用户”时,则丢弃该数据包。
例如,如果某用户IP/MAC地址192.168.16.221和00:22:aa:00:22:bb已经添加到“用户绑定信息列表”,如下表所示:
.png)
那么,当HiPER接收到来自局域网的数据包时,将会根据以下几种情况处理:
1. 一个IP地址为192.168.16.221,MAC地址为00:22:aa:00:22:bb的数据包将被允许通过,并继续去匹配业务策略;
2. 一个IP地址为192.168.16.221,但是使用了其他MAC地址的数据包将立即被丢弃,以防止IP欺骗攻击;
3. 一个使用了其他IP地址,但是MAC地址是00:22:aa:00:22:bb的数据包也将被丢弃,以防止IP欺骗;
4. 如果这个数据包的IP地址和MAC地址在“用户绑定信息列表”都没有定义:
1) 如果选中“允许非IP和MAC绑定用户”,则允许该数据包通过,并继续去匹配业务策略。
2) 如果没有选中“允许非IP和MAC绑定用户”,则禁止该数据包通过。
注意,在启用了IP/MAC绑定功能之后,如果修改了一台电脑的IP地址或者MAC地址,而且此IP地址和MAC地址已经在“用户绑定信息列表”中,则必须同时修改“用户绑定信息列表”中的相应的条目。否则这台电脑将无法访问HiPER或者通过HiPER。当未选中“允许非IP/MAC绑定用户”时,如果希望局域网中新增的主机可以访问或通过HiPER,则必须为该主机在“用户绑定信息列表”中添加IP/MAC绑定地址对。
用户管理功能只能影响用户访问HiPER或通过HiPER访问其他网络(如Internet),但不能影响局域网内部通信(或不经过该HiPER的通信)。如果用户修改了IP或MAC,将不能访问HiPER或通过HiPER访问其他网络(如Internet),但是不能影响局域网内部通信,比如网络邻居浏
IP和MAC绑定用户配置
.png)
IP和MAC地址绑定用户配置
.png)
ARP表信息
用户管理全局设置
.png)
用户管理全局设置
用户绑定信息列表
.png)
用户绑定信息列表
自定义IP和MAC绑定用户
配置IP和MAC绑定用户的步骤如下:
第一步,进入WEB管理界面—>高级配置—>用户管理页面;
第二步,选择“添加”选项,输入该用户的“用户名”(自定义)、“IP地址”和“MAC地址”,然后单击“保存”按钮;
第三步,该IP和MAC绑定用户添加成功后,可以在“用户绑定信息列表”中看到相应的条目,对于匹配该条目的数据包,将被允许连接或者通过HiPER。如果在WEB管理界面—>高级配置—>业务管理中为该用户配置了业务策略,这些数据包还将继续去匹配这些业务策略;
第四步,继续配置其他IP和MAC绑定用户;
第五步,如果要禁止身份未知的用户,即“用户绑定信息列表”以外的用户,连接或者是通过HiPER,则需取消“允许非IP/MAC绑定用户”的选中,然后单击“保存”按钮。否则的话,身份未知的用户也将被允许连接或者是通过HiPER。
当配置完IP/MAC绑定之后,所有能正常连接到HiPER的数据包将首先和“用户绑定信息列表”中的条目相比较。然后根据相关配置,该数据包将被禁止或进入IP业务管理功能模块处理。
配置上网“白名单”和“黑名单”
灵活地运用IP/MAC绑定功能,可以为局域网用户配置上网“白名单”和“黑名单”。
通过配置上网“白名单”,将只允许“白名单”中的用户通过HiPER上网,禁止其他所有用户通过HiPER上网。因此,如果要求只允许局域网中的少数用户上网,可通过配置上网“白名单”来实现。
通过配置上网“黑名单”,将只禁止“黑名单”中的用户通过HiPER上网,允许其他所有用户通过HiPER上网。因此,如果要求只禁止局域网中的少数用户上网,可通过配置上网“黑名单”来实现。
在HiPER中,“白名单”中的用户即为合法用户——其IP地址及MAC地址与“用户绑定信息列表”中的某条目的IP地址与MAC地址完全匹配。“黑名单”中的用户即为非法用户——其IP地址和MAC地址中有且只有一个与“用户绑定信息列表”中的某条目的IP地址或MAC地址匹配。
配置上网“白名单”
为局域网用户配置上网“白名单”,步骤如下:
第一, 通过配置IP/MAC地址绑定对来指定合法用户,将具有上网权限的主机的IP地址和MAC地址作为IP/MAC地址绑定对,并添加到“用户绑定信息列表”中。
第二, 不选中“允许非IP/MAC绑定用户”,其他所有不在“用户绑定信息列表”中的主机将不能上网。
配置上网“黑名单”
为局域网用户配置上网“黑名单”,步骤如下:
第一, 通过配置IP/MAC地址绑定对来指定非法用户,有两种方法:将禁止上网的主机的IP地址和任意一个非本局域网网卡的MAC地址作为IP/MAC地址绑定对,并添加到“用户绑定信息列表”中;或将禁止上网的主机的MAC地址和任意一个非本局域网网段的IP地址作为IP/MAC地址绑定对,并添加到“用户绑定信息列表”中。
第二, 选中“允许非IP/MAC绑定用户”,其他所有IP地址和MAC地址均不在“用户绑定信息列表”中的主机将能够上网。
例如,如果要禁止具有某个MAC地址(例如00:22:44:00:22:44)的主机连接和通过HiPER,可以添加一个IP/MAC地址绑定对,输入该MAC地址,而IP地址则设置成一个任意的非本局域网网段的IP地址。
.png)
用户绑定信息列表——实例二
例如,如果要禁止具有某个IP地址(例如192.168.16.100)的主机访问和连接HiPER,可以添加一个IP/MAC地址绑定对,输入该IP地址,而MAC地址则设置成任意一个非本局域网网卡的MAC地址,如下表所示。
.png)
用户绑定信息列表——实例三
2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1
沪公网安备 31011702003579号