Для управления шлюзом безопасности реализована ролевая модель доступа.
В консоли разграничения доступа выделены роли – пользователя и администратора. В свою очередь допустимые действия администратора зависят от установленного уровня привилегий.
Пользователь имеет право на просмотр версии продукта, аппаратной и программной платформ, текущей конфигурации, состояния соединений, информации о текущем пользователе, настройке терминала.
Администратор консоли разграничения доступа с уровнем привилегий 15 имеет право на запуск и останов сервиса безопасности, запуск процедуры инициализации, создание учетных записей пользователей с однофакторной или двухфакторной аутентификацией для консоли разграничения доступа, работу с файлами, запуск утилит для регистрации лицензии, сертификатов, просмотр любой информации, доступ к ОС. Может перейти в cisco-like консоль.
Администратор консоли разграничения доступа с уровнем привилегий 1 имеет право перейти в cisco-like консоль, а также выполнить все действия, доступные пользователю.
В Cisco-like консоли может быть две роли – администратор с уровнем привилегий 0-14 и администратор с уровнем привилегий 15.
Администратор с уровнем привилегий 15 имеет право выполнять любые настройки политики безопасности шлюза, создавать учетные записи администраторов для cisco-like консоли, все команды просмотра.
Администратору с уровней привилегий 0-14 доступны только команды просмотра версии продукта и уровня привилегий администратора. Но зная пароль доступа к привилегированному режиму, администратор получает право на управление шлюзом безопасности. В привилегированном режиме текущий уровень привилегий всегда максимальный (15).
В таблице ниже приведена информация о двух консолях, режимах консолей, команды для перехода в режимы и доступность команд для ролей.
Таблица 1
Режим, приглашение |
Команда для перехода в режим, заводская настройка доступа администратора |
Возможности администратора |
Возможности пользователя |
Консоль разграничения доступа |
|||
administrator@sterragate] |
Доступ к консоли: Логин – administrator Пароль – s-terra
|
Команды просмотра, создание пользователей для консоли разграничения доступа, изменение паролей, работа с файлами, терминалом, запуск инициализации, утилит, доступ к ОС. |
Просмотр версии продукта, текущей конфигурации, состоянии соединений, о текущем пользователе, выставить тип терминала. |
Режим операционной системы root@sterragate:~# |
system Логин – root |
Переход к ОС для начальной настройки и в аварийных ситуациях. |
|
administrator@sterragate] |
configure
|
Переход к cisco-like консоли. |
|
Cisco-like консоль |
|||
Режим пользователя sterragate> |
configure (переход из консоли разграничения доступа администратора с уровнем привилегий 0-14). Enable (переход в привилег.режим при знании пароля). |
Администратор с уровнем привилегий 0-14. Команды просмотра версии продукта и уровня привилегий администратора. |
|
Привилегированный режим sterragate# |
configure (переход из консоли разграничения доступа администратора. с уровнем привилегий15): Логин – cscons enable (переход из режима пользователя администратора с уровнем
привилегий 0-14 при знании пароля, при этом происходит повышения
уровня привилегий до 15): |
Администратор с уровнем привилегий 15. Все команды просмотра, работа с файлами, терминалом, запуск команд ОС и утилит (регистрация лицензий, сертификатов, др.), работа с текущей конфигурацией -очистка, загрузка, копирование в файл, без возможности изменения. |
|
Режим конфигурирования sterragate(config)# |
configure terminal (переход из привилегированного режима)
|
Администратор с уровнем привилегий 15. Все настройки шлюза, создание пользователей для cisco-like консоли. |
|
Выход из режимов выполняется с использованием команды exit.