配置对Web用户进行访问控制
为了提高安全性,实现仅指定的客户端能够通过Web网管登录到设备,用户可以配置对Web用户进行访问控制。
背景信息
管理员可以通过配置HTTPS访问控制列表,实现只允许指定客户端的Web用户登录到设备,以提高安全性。另外,为了避免长时间无操作的用户占用Web通道资源,管理员还可以通过命令行强制这些Web用户下线。
当ACL/ACL6的rule配置为permit时,则允许指定客户端与本设备建立HTTPS连接。
当ACL/ACL6的rule配置为deny时,则拒绝指定客户端与本设备建立HTTPS连接。
当ACL/ACL6配置了rule,但来自客户端的报文没有成功匹配上该规则时,则拒绝客户端与本设备建立HTTPS连接。
当ACL/ACL6未配置rule时,则允许任何客户端与本设备建立HTTPS连接。
操作步骤
- 执行命令system-view,进入系统视图。
- 为HTTPS服务器配置访问控制列表。
- 对于HTTPS IPv4,请按照以下步骤进行配置。
执行命令acl [ number ] acl-number,进入ACL视图。
HTTPS IPv4支持基本ACL和高级ACL访问控制列表。对于基本ACL,acl-number的取值范围为2000~2999;对于高级ACL,acl-number的取值范围为3000~3999。
配置ACL规则。
对于基本ACL和高级ACL,配置ACL规则的命令有所不同。
对于基本ACL:
rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name | vpn-instance vpn-instance-name ] *
对于高级ACL:
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *
执行命令quit,退回到系统视图。
执行命令http acl acl-number,配置HTTPS IPv4服务器的访问控制列表。
缺省情况下,没有为HTTPS IPv4服务器配置访问控制列表,即允许任何客户端的Web用户与本设备建立HTTPS IPv4连接。
- 对于HTTPS IPv6,请按照以下步骤进行配置。
执行命令acl ipv6 [ number ] acl6-number,进入ACL6视图。
HTTPS IPv6支持基本ACL6和高级ACL6访问控制列表。对于基本ACL6,acl6-number的取值范围为2000~2999;对于高级ACL6,acl6-number的取值范围为3000~3999。
配置ACL6规则。
对于基本ACL6和高级ACL6,配置ACL6规则的命令有所不同。
对于基本ACL6:
rule [ rule-id ] { deny | permit } [ fragment | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *
对于高级ACL6:
rule [ rule-id ] { deny | permit } { tcp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | routing [ routing-type routing-type ] | { fragment | first-fragment } | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | vpn-instance vpn-instance-name ] *
执行命令quit,退回到系统视图。
执行命令http ipv6 acl acl6-number,配置HTTPS IPv6服务器的访问控制列表。
缺省情况下,没有为HTTPS IPv6服务器配置访问控制列表,即允许任何客户端的Web用户与本设备建立HTTPS IPv6连接。
- 对于HTTPS IPv4,请按照以下步骤进行配置。
- (可选)执行命令free
http user-id user-id,强制指定的Web用户下线。
目前,设备只支持5个Web用户同时在线,Web用户user-id的取值范围为89~93。如果长时间无操作的用户占用了Web通道资源,可能导致其它用户无法登录。此命令可以强制指定Web用户下线,释放Web通道资源。