华为防火墙SSL***按用户配置策略

华为防火墙SSL***按用户配置策略

配置好防火墙SSL***后，配置好安全策略，默认是针对全部SSL***用户生效。
如须要针对用户权限细化，容许某个用户或某个组仅某个服务或某个网段。
则须要进一步配置，配置用户的认证策略

例如：
SSL*** 分配IP地址段：172.16.100.0/24
用户testuser1 登陆SSL***后仅容许访问内部的 192.168.20.0网段，不容许访问其余网段。

配置方法以下：

1. 假定SSL***已配通；
2. 新建认证策略
   点击 对象 - 用户 - 认证策略
   

由于是从外部经过SSL***访问内部服务，因此
源安全区域：untrust
目的安全区域：trust
源地址：登陆SSL***后自动获取的IP地址
目的地址：登陆SSL***后容许访问的IP地址段或IP
认证动做：免认证

3. 配置好认证后，就能够配置安全策略，容许相关人员访问对应的网段或服务

   点击安全策略 - 新建
   源安全区域：untrust
   目的安全区域：trust
   源地址：登陆SSL***后自动分配的IP地址段
   目的地址：仅容许访问的内部网段或IP
   用户：选择对应的用户或用户组

配置好后，用户testuser1 登陆SSL***就只能访问10.10.1.0网段服务。