组态安全功能 密码 密码 组态设备密码 说明 只有与设备存在在线连接时才显示该页面。说明 如果通过 RADIUS 服务器登录，则无法更改本地设备的任何密码。 在此页面上，可以更改密码。若登录后具有读/写权限，则可以更改所有用户帐户的密码。如 果登录后只具有读权限，则只能更改自己的密码。 说明 如果是以预设用户“admin”的身份首次登录，或是在“恢复出厂默认设置并重启”(Restore Factory Defaults and Restart) 之后登录，系统会提示您更改密码。 设备出厂时的密码设置如下： • admin：admin 说明 在试用模式下更改密码 即使在“试用”(Trial) 组态模式下更改密码，此更改也会立即保存。 显示框说明 • 当前用户 (Current User) 显示当前登录的用户。 • 当前用户密码 (Current User Password) 输入当前已登录的用户的密码。 • 用户帐户 (User Account) 选择要更改其密码的用户。 • 密码策略 (Password Policy) 显示分配新密码时正在使用的密码策略。角色 在此页面中，可创建在设备本地有效的角色。 说明 显示的值取决于已登录用户的权限。 显示框说明 该页面包含以下内容： • Role Name 输入角色的名称。该名称必须满足以下条件： – 名称必须唯一。 – 名称长度必须在 1 到 64 个字符之间。 说明 角色名称无法更改 创建完用角色后，将无法再更改角色名称。 如果需要更改角色名称，则必须删除该角色并创建一个新角色。 该表包含以下列： • Select 选中要删除的行中的复选框。 说明 无法删除或修改重新定义的角色和已分配的角色。 • Role 显示角色的名称。

            • Function Right 选择角色的功能权限。 – 0 如果验证失败，将为用户分配角色。无法访问设备。 – 1 拥有此角色的用户可读取设备参数，但不可更改这些参数。拥有此角色的用户可以更 改他们自己的密码。 – 15 拥有此角色的用户既可读取也可更改设备参数。 说明 功能权限无法更改 如果您已分配了一个角色，则您无法再更改该角色的功能权限。 如果要更改角色的功能权限，按照以下列出的步骤操作： 1. 删除所有已分配的用户。 2. 更改角色的功能权限： 3. 再次分配该角色。 • Description 输入角色的说明。对于预定义的角色，将显示一个说明。说明文本Zui长 100 个字节。 • Remote Access – None 无远程访问。用户无法登录动态防火墙，只能登录设备的 WBM。 – Additional 用户可登录设备的 WBM 和动态防火墙。 – Only 用户只能登录动态防火墙。 组 说明 只有与设备存在在线连接时才显示该页面。 用户组 在此页面中，可将一个组链接到一个角色。在此示例中，组“管理员”(Administrators) 被链接到“admin”角色：组在 RADIUS 服务器上定 义。角色在设备本地定义。当 RADIUS 服务器为用户授权，并将用户分配到“Administrators” 组时，此用户便拥有“admin”角色。 说明 显示的值取决于已登录用户的权限。网络节点登录 使用“AAA”的标识表示“Authentication, Authorization, Accounting”。该功能用于标识和允许 网络节点，为它们提供适当的可用服务并确定使用的范围。 在此页面中组态登录信息。 说明 该页面包含以下框： 说明 要使用登录验证模式“RADIUS”、“Local and RADIUS”或“RADIUS and fallback Local”，必须存 储和组态 RADIUS 服务器，以供用户验证。 • 登录验证 (Login Authentication) 指定登录方式： – 本地 (Local) 必须在设备上进行本地验证。 – RADIUS 必须通过 RADIUS 服务器处理验证。 – 本地和 RADIUS (Local and RADIUS) 使用设备上的用户（用户名和密码）以及通过 RADIUS 服务器都可以进行验证。 首先在本地数据库中搜索用户。如果本地数据库中不存在该用户，将发送 RADIUS 查询。 – RADIUS 和本地回退 (RADIUS and fallback Local) 必须通过 RADIUS 服务器处理验证。 只有无法在网络中访问 RADIUS 服务器时，才执行本地验证。 RADIUS 客户端 通过外部服务器进行验证 RADIUS 的概念基于外部验证服务器。• 允许的 RADIUS VLAN 分配 (RADIUS VLAN Assignment Allowed) 选择所需设置。如果选择“No Change”，则表 2 中的条目保持不变。 说明 仅在尚未为此 VLAN 组态端口时，才会应用 RADIUS 的 VLAN 分配。如果端口 VLAN ID 与 由 RADIUS 分配的 VLAN ID 匹配，则必须预组态此 VLAN 中的成员类型。 • MAC Auth.Zui大允许地址数 (MAC Auth. Max Allowed Addresses) 指定可以同时在端口上通信的 MAC 地址数目。 如果选择了“无变化”(No Change)，则表 2 中的条目保持不变。 • 复制到表 (Copy to Table) 单击此按钮，将为表 2 的所有端口应用这些设置。 表 2 包含以下列： • Port 此列会列出此设备上的全部可用端口。 • 802.1X Auth.Control) 指定端口的身份验证： – Force Unauthorized 阻止通过该端口进行数据通信。 – Force Authorized 允许通过该端口进行数据通信，无任何限制。 默认设置 – Auto 在端口上使用“802.1X”方法对终端设备进行身份验证。 根据验证结果允许或阻止通过该端口进行数据通信。 • 802.1X 重新验证 (802.1X Re-Authentication) 如果想要对已经过身份验证的终端设备周期性重复进行身份重新验证，请启用此选项。 • 重新验证超时 (Re-Authentication Timeout) 指定设备在相关接口中进行重新验证之前经过的时间间隔（以秒为单位）。默认值为 3600 秒。 • Tx 超时 (Tx Timeout) 该值指定无客户端响应的情况下发送 EAP 请求数据包之前经过的时长（以秒为单位）。如 果已启用 MAC 身份验证，会在发送第三个 EAP 请求数据包后从 802.1X 身份验证切换为 MAC 身份验证。默认值为 5 秒。预定义 IP 规则 此页面包含预定义的 IP 数据滤规则。如果创建了自己的 IP 数据滤规则，则其优先 级高于预定义的 IP 数据滤规则。 可以在此页面中设置应通过哪个接口/子网访问设备的哪些服务。• 组合 (Combined with) 将用户登录与事件（例如“数字量输入”(Digital Input) 事件）组合在一起。要登录到动态 防火墙的 WBM 页面，数字量输入处必须存在电压并且用户登录必须成功。 • 剩余时间 (Remaining Time)（仅在线时可用） 此用户登录时，显示访问剩余时间。 • 取消激活强制 (Force Deactivate)（仅在线时可用） 具有管理员权限的用户可以使用此按钮注销活动用户。 “数字量输入”(Digital Input) 表包含以下列： • “数字量输入”(Digital In) 可用数字量输入 • 规则集 (Rule set) 定义通过数字量输入控制的规则集。 • 动态源（范围）(Dynamic Source (Range)) 输入允许发送 IP 数据包的 IP 地址或 IP 范围。 • 状态 (State)（仅在线时可用） 显示访问剩余时间。 “RADIUS 角色”(RADIUS role) 表包含以下列： • 角色 (Role) 显示角色名称。仅显示远程访问为“另外”的角色前提条件是已在 RADIUS 服务器上创建 此角色，且已将 RADIUS 用户分配给该角色。 • 规则集 (Rule set) 定义对此 RADIUS 角色有效的规则集。 • 组合 (Combined with) 将登录与事件（例如“数字量输入”(Digital In) 事件）组合在一起。要登录到动态防火墙 的 WBM 页面，数字量输入处必须存在电压并且登录必须成功。 • 计数器 (Counter)（仅在线时可用） 成功登录后，会显示通过 RADIUS 激活且分配了 RADIUS 角色的用户数。 • 取消激活强制 (Force Deactivate)（仅在线时可用） 具有管理员权限的用户可以使用此按钮注销 RADIUS 角色。ICMP 服务 可在此页面中定义 ICMP 服务。使用 ICMP 服务定义，可以定义特定服务的防火墙规则。用 户只需要选择一个名称并为其分配服务参数。组态 IP 规则时，只需使用该名称。• Code 代码更加详细地说明了 ICMP 数据包类型。选择取决于所选的 ICMP 数据包类型。 例如，如果选择“Destination Unreachable”，则无法访问“代码 1”对应的主机。 IP 协议 在此页面中，可以组态用户自定义的协议，例如组播组的 IGMP 协议。用户只需要选择一个 协议名称并为其分配服务参数。组态 IP 规则时，只需使用该协议名称。 说明 该页面包含以下内容： • 协议名称 (Protocol Name) 输入协议名称。 该页面包含以下复选框： • 选择 (Select) 选中要删除的行中的复选框。 • 协议名称 (Protocol Name) 显示协议名称。 • 协议编号 (Protocol Number) 输入协议编号，例如，2。协议编号的列表，请参见 iana.org 的 Internet 页面。 IP 规则 在此页面中，可指定您自己的防火墙 IP 数据滤规则。 相比于以下规则，在此设置的 IP 数据滤规则优先级更高： • 预定义的 IP 数据滤规则（预定义的 IP）， • 依据连接组态自动创建的 IP 数据滤规则 (SINEMA RC)。