【简介】原则上只要接口开了HTTPS访问,那么这个接口下的所有电脑都可以登录防火墙。这就会给管理防火墙带来隐患,虽然有帐号和密码,但密码泄露或**也不是没有可能。为了防火墙的安全,我们可以指定哪些IP地址允许访问防火墙。
信任主机
允许哪些IP可以访问防火墙,通常是管理员的工作。
① 选择菜单【系统管理】-【管理员】,可以看到有个默认的管理员帐号admin,双击 admin 帐号或单击 admin 帐号选择【编辑】,进入帐号编辑状态。
② 启动【限制信任主机登录】,默认可以输入三个信任主机IP,可以是单个地址,也可以是一个网段,如果三个不够,点最后的加号可以添加。如果不用,则保持默认的0.0.0.0/0。点击【确认】保存并退出。
③ 返回管理员列表,可以看到可信主机发生变化,第三个0.0.0.0/0被忽略,没有加入。
④ 退出管理界面后再次登录防火墙,由于本地IP地址并不在上述两个IP地址范围,因此虽然物理结构没有动,访问地址还是一样的,但是无法登录防火墙了。
修改信任主机
经常会因为长时间没有使用,而忘记了信任主机IP地址,使得无法Web登录防火墙,解决办法只能是通过连接配置线到防火墙的控制口,用命令的方法登录并修改信任主机IP了。连接方法查看:
连接篇(5.2) 03. 配置线连接 ❀ 飞塔 (Fortinet) 防火墙
① 命令方式式登录防火墙后,用 show system admin 命令查看管理员设置。可以看到有两条信任主机(trusthost)设置,只有这些指定的IP可以通过Web浏览器访问防火墙。
② 用 config system admin 命令进入管理员配置,用
edit admin 命令编辑管理员帐号,用
set trusthost 命令,将信息主机都改变默认IP,最后用
end 命令保存退出。再次用
show system admin 命令查看管理员配置,可以看到 set trusthost 命令行不见了,因为默认值,所以不显示。
③ “还是原来的配方,还是熟悉的味道”,在没有任何环境改变下,因为没有了信任主机的限制,又可以访问防火墙了。
