创建并分配用户特定的 IP 规则集

创建用户特定的 IP 规则集

在全局安全功能中，选择条目“防火墙 > 用户特定的 IP 规则集 > IP 规则集”(Firewall > User-specific IP rule sets > IP rule sets)。

双击“添加新的 IP 规则集”(Add new IP rule set) 条目创建用户特定的 IP 规则集。

结果：创建的用户特定的 IP 规则集将显示在条目中。

双击创建的用户特定的 IP 规则集。

结果：用户特定的 IP 规则集的可组态属性将显示在巡视窗口的“属性 > 常规”(Properties > General) 选项卡中。

在巡视窗口中，单击“常规”(General) 条目并输入以下数据：

- 名称 (Name)：项目范围内规则集的一名称。分配规则集后，名称显示在安全模块的本地规则列表中。

- 说明 (Description)（可选）：输入用户特定的 IP 规则集的描述。

单击“IP 规则”(IP rules) 条目并在列表中逐个输入防火墙规则。
不可在“源 IP 地址”(Source IP address) 框中输入 IP 地址。在节点登录到安全模块时将自动输入该地址。
对于用户特定的 IP 规则集的 IP 规则，无法禁用“状态”(Stateful) 复选框
请注意以下部分中的参数描述：
定义 IP 数据**滤规则

注意由 STEP 7 根据 NAT/NAPT 规则自动生成的防火墙规则的特性：
NAT/NAPT 路由器与用户特定防火墙之间的关系

在本地创建 RADIUS 用户和 RADIUS 角色

除了系统定义的用户或角色，还可以在本地创建 RADIUS 用户和 RADIUS 角色：

在巡视窗口中单击“用户和角色”(Users and roles) 条目。

在“可用用户和角色”(Available users and roles) 区域中，选择条目“<创建 RADIUS 用户/角色>”(<Create RADIUS user/role>)。

输入名称。

选择是否将名称分配为用户或角色。

单击“创建”(Create) 按钮。

创建的用户或角色显示在可用用户和角色列表中，并且可以分配给用户特定的 IP 规则集。

删除用户和角色

只有在不将条目分配给任何其它用户特定的 IP 规则集时才能将该条目删除。

要删除用户和角色，请按照以下步骤操作：

选择要删除的条目。

在快捷菜单中，选择“删除”(Delete) 命令或按 <Del> 键。

分配用户特定的 IP 规则集

在巡视窗口中单击“用户和角色”(Users and roles) 条目。

在“可用用户和角色”(Available users and roles) 区域中，选择要分配给用户特定的 IP 规则集的用户和角色。

单击“<<”按钮，将所选用户或角色分配给用户特定的规则集。给用户特定的 IP 规则集分配角色仅适用于 V4 及更高版本的 SCALANCE S 模块。

使用全局安全功能中的条目“分配用户特定的 IP 规则集”(Assign user-specific IP rule set) 将创建的用户特定的 IP 规则集分配给所需安全模块。要实现该功能，必须启用安全模式的高级防火墙模式。

提示 分配用户特定的 IP 规则集 - 针对每个用户，只能为安全模块分配一个用户特定的规则集。 - 由于分配的原因，只能针对已分配到 IP 规则集的所有用户和角色隐含地激活登录安全模块权限。

较大会话时间的值范围

用户可以登录到设备的较长时间。时间过期后，用户将从设备注销。

默认设置：30 分钟

较小值：5 分钟

较大值：480 分钟

结果

已分配的安全模块会将用户特定的规则集用作本地规则集，并将其自动显示在本地的防火墙规则列表中。

用户可以通过安全模块登录。是否验证用户取决于是选择通过安全模块还是通过 RADIUS 服务器验证。