USG配置nat server(7)

背景信息

不管SACG的部署模式是直挂还是旁挂，只要SACG与TSM控制器三层路由可达，就能完成两者之间的交换。所以两种部署模式下，SACG与TSM控制器的连接配置基本相同。

操作步骤

1. 执行命令system-view，进入系统视图。

2. 执行命令firewall packet-filter default permit interzone local zone-name，其中

zone-name应该是TSM中的TSM控制器所在安全区域。配置设备的Local域与TSM控制器

之间的缺省包过滤规则，使TSM服务器能给设备下发ACL规则。

3. 可选：采用无代理Web认证方式进行认证的情况下，需要执行本操作。执行命令firewall

packet-filter default permit interzone local zone-name，其中zone-name应该是终端设备所在安全区域。配置设备的Local域与终端用户之间的缺省包过滤规则，使无代理Web认证情况下，设备可以推送Web认证页面给终端用户。

4. 可选：如果采用旁挂模式，则需要执行本操作。执行命令undo firewall session

link-state check，关闭状态检测功能。

在旁挂模式下，只有一个方向的流量会经过设备，所以需要关闭SACG的状态检测功能。USG上基于状态检测实现的功能在旁挂模式中均不可用。

5. 执行命令right-manager server-group，进入TSM联动配置视图。TSM联动的主要配置都

在该视图下完成。

6. 执行命令default acl 3099，指定缺省ACL规则组号。执行本命令后才可添加TSM服务

器地址。

注意：

执行本命令后，ACL3099的原有规则将被清空，同时ACL3099将不能手工创建规则。 在TSM联动功能中，设备将ACL3099～3999预留用来承接TSM服务自动下发的访问规则，用户不能自行定义这些规则。所以在执行本命令后，设备就将锁定ACL3099～3999，使其不能被用户修改。

其中ACL3099是TSM向SACG下发的允许终端设备访问认证前域的规则。下发该ACL后，接入的用户才可以访问认证前域，这是接入用户能够进行认证的前提。

7. 可选：执行命令local ip ip-address，配置USG向TSM服务器发起连接时使用的IP地址。

ip-address为USG上已存在的地址，如物理接口地址、Loopback接口等逻辑接口地址。

8. 执行命令server ip ip-address [ port port-number ] [ shared-key key ]，配置TSM服

务器的相关参数。

在本命令中，ip-address应该是TSM控制器的IP地址。port-number一般不需要重新配置，除非TSM控制器上修改了端口号。key是SACG与TSM控制器之间通信时加密用的密钥，必须和TSM控制器上的配置保持一致，两者才能实现正常通信。

说明：

USG2110-X/2100和USG2100BSR/HSR支持的TSM服务器数量最大值为8个。

USG2200/5100/5500和USG2200/5100 BSR/HSR支持的TSM服务器数量最大值为32个。 设备与TSM控制器通信的端口port缺省值是3288。

设备与TSM控制器的预共享密钥shared-key缺省值是TSM_Security。 9. 可选：采用无代理Web认证方式进行认证的情况下，需要执行本操作。执行命令

right-manager authentication url url，配置无代理Web认证方式下，用来供用户认证的Web页面的URL地址。

如果终端设备上没有安装SA（Security Agent）安全代理软件，那么在用户没有经过认证就访问Web的情况下，会被强制跳转到该命令指定的页面上。在无代理Web认证方式下，通过这条命令，实现向用户推送认证网页的目的。

说明：

如果配置了多个URL地址，当有多个需要重定向的报文到达USG，USG会轮询推送这些URL地址，每次推送时总是选择被使用次数最少的一个URL地址。 该命令对URL地址的大小写敏感，请保证字母大小写正确。

10. 可选：执行命令integrity-check enable，开启完整性校验功能，对USG与TSM服务器

之间的通信报文做完整性校验。

缺省情况下，该完整性校验功能是关闭的。

11. 执行命令right-manager server-group enable，开启与TSM服务器的连接。

注意：

开启与TSM服务器的连接后，ACL3100～ACL3999将不能被人工配置。如果在开启之前，这些ACL已经包含规则或者正在被其他功能使用，必须先手工清除规则，并且取消在其他功能中的使用，才能开启与TSM服务器的连接。

配置本命令后，设备将立即尝试与TSM服务器进行连接。连接成功后，设备可以接收到TSM服务器下发的角色和角色规则。 12. 可选：配置逃生通道功能。

逃生通道功能是指在TSM系统出现故障时，为了不影响正常业务，在满足一定条件后，对接入的终端设备放开访问权限，使其可以访问网络。启动逃生功能后，终端设备不会再进行一系列的认证和授权的过程，可以直接访问网络。

a. 执行命令right-manager status-detect enable，开启TSM控制器存活检测功能。 b. 执行命令right-manager server-group active-minimun active-minimun，配置与

设备连接的TSM服务器个数的最小值。

开启TSM控制器存活检测功能之后，SACG会检测网络中可连接的TSM控制器情况。如果与设备成功连接的TSM控制器数量小于active-minimun，设备就会打开逃生通

道，就对用户开放所有权限；故障恢复后，如果与设备连接的TSM控制器数量大于或等于active-minimun，设备就会关闭逃生通道，恢复原有权限控制。 缺省情况下，active-minimun为1。

13. 执行命令quit，退回系统视图。

14. 执行命令policy interzone zone-name1 zone-name2 { inbound | outbound }，进入域间策

略视图。 ?

旁挂模式下，需要进入SACG用于旁挂的两个接口所在的安全区域的域间。即图1中的Trust和Untrust域间。 ?

直挂模式下： ?

如果启用了逃生通道功能，需要在分别进入两个域间应用下一步的命令：用户所在安全区域和TSM控制器所在安全区域的域间、用户所在安全区域和业务系统所在安全区域的域间。 ?

如果没有启用逃生通道功能，只需要在用户所在安全区域和TSM控制器所在安全区域的域间应用下一步的命令。

执行命令apply packet-filter right-manager，在域间应用TSM策略，开启联

动功能。

在域间应用TSM联动功能，实际上是将ACL3099应用到了域间。

由于ACL3099用于接受TSM系统下发的允许用户访问认证前域的规则，所以必须在终端设备与认证前域之间应用该ACL3099。

由于ACL3099还用于接受逃生通道功能下发的允许所有用户直接访问认证后域的规则，所以在使用逃生通道功能的时候，需要在终端设备与认证前域和终端设备与认证后域两个域间都应用ACL3099。

管理用户与角色

在SACG上，用户与角色的管理大部分操作都是由TSM系统自动完成的，但是SACG也提供了一些手工或强制管理用户和角色的功能，以满足一些特殊需求。

背景信息

“角色”是TSM方案中提出的概念，每个角色都有对应的成员及权限范围。TSM系统经过认证之后，根据已经制定好的策略，将接入的终端设备划入不同的角色，并生成相应的可以控制这些用户访问范围的ACL，下发到SACG上。SACG根据这些信息对终端设备进行访问控制。

一个用户可以拥有多个角色，这意味着这个用户可以获得这些角色定义的所有权限。关于用户与角色的详细原理，请参见SACG工作原理简介。

操作步骤

1. 执行命令system-view，进入系统视图。

2. 执行命令display right-manager role-info，查看已经同步到的角色信息。 3. [sysname] display right-manager role-info 4. All Role count:10

5. Role ID ACL number Role name

6. -------------------------------------------------------------------- 7. Role 0 3099 default 8. Role 1 3100 BaseResGroup 9. Role 2 3101 kk2 10. Role 3 3102 kk3 11. Role 4 3103 kk4

12. -------------------------------------------------------------------- 13. Role 5 3104 kk5 14. Role 6 3105 kk6 15. Role 7 3106 kk7 16. Role 8 3107 kk8 17. Role 9 3108 kk9

------------------------------------------------------------------- 以上显现是当前同步到的10种用户角色及其对应的ACL规则号。 18. 执行命令display right-manager online-users，查看当前在线用户。 19. [sysname] display right-manager online-users 20. User name : test1 21. Ip address : 10.10.10.10 22. ServerIp : 10.1.1.2

23. Login time : 16:27:23 2010/07/06 ( Hour:Minute:Second Year/Month/Day) 24. ----------------------------------------- 25. Role id Role name 26. 1 DefaultPermit 27. 4 FtpServerD 28. 6 HttpServerD 29. 255 PermitBase

----------------------------------------- 以上信息显示了当前在线的一个用户test1的相关信息。

30. 执行命令right-manager server-group，进入TSM联动配置视图。TSM联动的主要配置都

在该视图下完成。 31. 进行角色与用户管理。

?

执行命令right-manager user

user-name user-name ip ip-address roles { role-id role-id &<1-16>

| role-name role-name &<1-16>} 。配置不经过TSM服务器的认证就能获取给定的角色对应的访问权限的特权用户。

为保证安全性，user-name和ip必须同时配置，只有从指定IP地址登录的特权用户才能获得相应的权限。一个特权用户最多可以同时配置16个用户角色。这个特权用户将获取这些角色的所有权限。 ?

执行命令cut access-user { all | ip ip-address | user-name user-name }，强制注销非法用户。

如果在设备运行过程中，发现有非法用户上线，可以使用该命令强制注销非法用户，使其下线。用户名应与display right-manager online-users中查询到的Username保持一致。

配置自定义策略

自定义策略是给某些不需要经过TSM系统处理的特权用户使用的。通过给这些用户单独制定转发策略，可以使这些用户不经过认证、安全检查、授权等一系列过程而直接获得相应的网络权限。

背景信息

自定义策略是指在TSM策略中人工定义一些转发规则，以在TSM功能处理报文之前先对一些特殊报文进行处理。

将自定义策略应用到域间后，相当于在域间应用了一个优先于TSM功能的包过滤策略。设备在进行报文转发时，会首先使用自定义策略来进行处理。当流量没有对应的自定义策略时才会使用TSM功能进行一系列认证与授权的过程。所以可以为某些特权用户配置自定义策略。

操作步骤

1. 执行命令system-view，进入系统视图。

2. 执行命令policy right-manager，进入TSM自定义策略视图。

3. 执行命令policy [ policy-id ]，创建一条策略，并进入该条策略的配置视图。

同一个策略视图下可以为不同的流量创建不同的策略。缺省情况下，越先配置的策略，优先级越高，越先匹配报文。但是各个policy之间的优先级关系可以通过命令进行调整，详细信息请参见“后续处理”。 4. 执行命令policy

source { source-address{ source-wildcard | 0 | mask { mask-address | mask-len } } | address-set { address-set-name } &<1-256>

| range begin-address end-address | any }，指定需匹配流量的源地址。 5. 执行命令policy

destination { source-address{ source-wildcard | 0 | mask { mask-address | mask-len } } | address-set { address-set-name } &<1-256>

| range begin-address end-address | any }，指定需匹配流量的目的地址。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库USG配置nat server(7)在线全文阅读。