所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300X V200R010C00 配置指南(Web网管)

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置对Web用户进行访问控制

配置对Web用户进行访问控制

为了提高安全性,实现仅指定的客户端能够通过Web网管登录到设备,用户可以配置对Web用户进行访问控制。

背景信息

管理员可以通过配置HTTPS访问控制列表,实现只允许指定客户端的Web用户登录到设备,以提高安全性。另外,为了避免长时间无操作的用户占用Web通道资源,管理员还可以通过命令行强制这些Web用户下线。

ACL/ACL6规则:
  • 当ACL/ACL6的rule配置为permit时,则允许指定客户端与本设备建立HTTPS连接。

  • 当ACL/ACL6的rule配置为deny时,则拒绝指定客户端与本设备建立HTTPS连接。

  • 当ACL/ACL6配置了rule,但来自客户端的报文没有成功匹配上该规则时,则拒绝客户端与本设备建立HTTPS连接。

  • 当ACL/ACL6未配置rule时,则允许任何客户端与本设备建立HTTPS连接。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 为HTTPS服务器配置访问控制列表。

    • 对于HTTPS IPv4,请按照以下步骤进行配置。
      1. 执行命令acl [ number ] acl-number,进入ACL视图。

        HTTPS IPv4支持基本ACL和高级ACL访问控制列表。对于基本ACL,acl-number的取值范围为2000~2999;对于高级ACL,acl-number的取值范围为3000~3999。

      2. 配置ACL规则。

        对于基本ACL和高级ACL,配置ACL规则的命令有所不同。

        • 对于基本ACL:

          rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name | vpn-instance vpn-instance-name ] *

        • 对于高级ACL:

          rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

      3. 执行命令quit,退回到系统视图。

      4. 执行命令http acl acl-number,配置HTTPS IPv4服务器的访问控制列表。

        缺省情况下,没有为HTTPS IPv4服务器配置访问控制列表,即允许任何客户端的Web用户与本设备建立HTTPS IPv4连接。

    • 对于HTTPS IPv6,请按照以下步骤进行配置。
      1. 执行命令acl ipv6 [ number ] acl6-number,进入ACL6视图。

        HTTPS IPv6支持基本ACL6和高级ACL6访问控制列表。对于基本ACL6,acl6-number的取值范围为2000~2999;对于高级ACL6,acl6-number的取值范围为3000~3999。

      2. 配置ACL6规则。

        对于基本ACL6和高级ACL6,配置ACL6规则的命令有所不同。

        • 对于基本ACL6:

          rule [ rule-id ] { deny | permit } [ fragment | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *

        • 对于高级ACL6:

          rule [ rule-id ] { deny | permit } { tcp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | vpn-instance vpn-instance-name ] *

      3. 执行命令quit,退回到系统视图。

      4. 执行命令http ipv6 acl acl6-number,配置HTTPS IPv6服务器的访问控制列表。

        缺省情况下,没有为HTTPS IPv6服务器配置访问控制列表,即允许任何客户端的Web用户与本设备建立HTTPS IPv6连接。

  3. (可选)执行命令free http user-id user-id,强制指定的Web用户下线。

    目前,设备只支持5个Web用户同时在线,Web用户user-id的取值范围为89~93。如果长时间无操作的用户占用了Web通道资源,可能导致其它用户无法登录。此命令可以强制指定Web用户下线,释放Web通道资源。

翻译
下载文档
更新时间:2019-08-21

文档编号:EDOC1000123894

浏览量:8183

下载量:572

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页