老板:楼小楼,我发现公司新部署的这台PA防火墙,有其他人在尝试登录,不能限制不相关的人员无法访问么?
楼小楼:老板,这个是可以设置的,我一会儿配置一下,只允许IT部这个网段可以登录管理。
老板:另外,你可以给马小马创建一个帐号,让他每天上去看看防火墙有没有什么异常,但是不要给他操作权限。
楼小楼:好的,这个可以。
老板:我看这个墙是国外的,都是英文的,好操作么?
楼小楼:好操作呀,这个界面是支持中文的。
老板:还有……
楼小楼:没有了!我要开始配置了……
下面我们开始正题:
虽然PA的防火墙是国外的品牌,但是管理界面支持中文,切换方法很简单如下:
在界面右下角有一个language,点击一下会弹出一个窗口,如上图,在下拉列表中有防火墙支持的语言,我们选择简体中文,然后点击OK
这时界面语言已经切换到中文了,但是主菜单仍然是英文的。
需要说明的是:如果能用英文尽量用英文,有些中文翻译过来不是太准确。
基本于老板提出的要求,现在需要配置防火墙,只允许10.108.251.0/24这个网段对管理地址的访问。
配置之前可以看到测试PC可以访问防火墙的管理IP
下面我们看一下该要求的具体配置方法:
点击Device菜单,在左侧点击setup,如下图:
在左侧点击interface,下面列出了防火墙的管理口,直接点击management,如下图所示:
点击Add,添加允许访问的IP地址段
添加完成之后,点击OK。
点击commit,然后测试一下。
此时已经无法访问PA的管理地址了。
当然了,我在这里是限制了其它网段对PA防火墙管理口的访问,那么其它网段是不是就完全不能访问防火墙了呢?
还记得在上网篇(一)中讲到的interface management profile么?
如果你在左侧勾选了框中的选项,那么在右侧也必须进行与管理口同样的限制,否则其它网段一样可以访问防火墙的WEB界面、telnet及SSH。
访问限制已经做完了,下面需要为马小马创建一个只读帐号,方法如下:
在图中点击Add,弹出如下所示对话框:
配置用户名,密码,然后在下拉列表框中选择Superuser(read-only),然后点击OK
最后再commit一下配置。
我们现在测试一下:
首先我们以mxm这个帐号登录
我们随便打开一个窗口,显示如下:
在该对话框的标题中我们可以看到Read Only,该用户不具备编辑权限。
至此老板的要求完成了……
