如何配置天融信NGFW4000防火墙基于用户对象的访问策略

　　a. 假设你已经通过串口初始化了防火墙4000（配置接口IP、GUI 登录权限等），并按照以上拓扑图连接好网络、创建了相关网络对象（如有疑问请参看“防火墙4000 管理配置”和“防火墙4000属性配置”相关文档或DEMO演示）；

　　b. 要求：创建一条用户访问策略，只有通过了用户认证后，才允许内网区域中的lihua能够访问外网区域中Server的主页，并能够通过FTP进行数据传输。实现方式如下：

　　c. 首先先在防火墙管理器中选取“网络”→“区域”菜单，会弹出区域管理窗口，将内网区域和外网区域的默认访问权限改为“默认禁止”；

　　d. 然后点击“高级管理”→“访问策略”，并选取外网区域，在右边空白区域点击右键，选取“增加”：

　　e. 接着会弹出“访问策略”对话框，源选择用户对象user_lihua，目的为server，服务选取ftp和http，控制方式为“允许”，如下图所示：

　　f. 最后完整的一条策略显示如下：

　　g. 接下来运行客户端认证软件，首先用右键点击右下脚客户端“配置”图标进行客户端配置，然后再进行用户“认证”登录，即可访问服务器，如下图：

　　h. 详细操作请参看DEMO演示。

　　注 意：

　　配置基于IP对象和基于用户的访问策略大部分方式都是相同的，唯一不同就是选择访问“源”：一个是IP对象；另一个是用户对象，并且需要用户认证。

　　关键词：

　　基于区域控制的访问策略：在防火墙4000中，每条访问策略都从属于某个网络区域，描述其他区域中的主机对此区域中的主机进行访问时应该如何控制；每条访问策略必定有目的、源、动作；并且在一条访问策略中对于同一个目的而言，可以有不同的源，每个源可以有不同的访问权限。