IP 地址锁定
使用指南
为了保证业务安全,用户通过 SFTP、STelnet、Telnet 和 FTP 协议连接设备登录认证失败后,设备支持对用户的 IP 地址进行锁定。
当用户输入用户名或密码错误导致登录认证失败,设备会将登录的用户 IP 地址加入黑名单,第一次登录失败锁定时间为 5 秒,第二次锁定 10 秒,第三次锁定 20 秒,连续输错 5 次后,第六次登录失败直接锁定 300 秒。在锁定时间内,加入黑名单的 IP 地址不允许通过新窗口建立连接。锁定时间超时后,若输入正确的用户名和密码成功登录,IP 地址会从黑名单移除并记录恢复日志;若再次登录失败,会继续锁定 300 秒。设备支持同时锁定 IP 地址最多为 32 个。超出 32 个,新加入黑名单的 IP 地址会覆盖时间最早的一条记录。
缺省情况下,设备开启认证失败后对用户 IP 地址的锁定功能。若不需要认证失败后锁定用户的 IP 地址,可执行 system lock type none 命令,并根据提示选择清除已加入黑名单的 IP 地址。取消 IP 地址锁定功能后,用户通过 Telnet、STelnet、FTP 和 SFTP 方式访问设备,输入用户名和密码错误登录认证失败后,不会将用户的 IP 地址加入黑名单,即不对其 IP 地址进行锁定。
使用实例
开启登录认证失败后对用户 IP 地址进行锁定功能。
<Huawei> system-view
[Huawei] system lock type ip
登录认证失败后不对用户的 IP 地址进行锁定。
<Huawei> system-view
[Huawei] system lock type none
Info:All ip lock records logged in via telnet, stelnet, ftp and sftp will be del
eted. Continue? [Y/N]:y
对用户进行锁定
local-aaa-user wrong-password 命令用来使能本地帐号锁定功能并配置用户的重试时间间隔、连续输入错误密码的限制次数及帐号锁定时间。
undo local-aaa-user wrong-password 命令用来去使能本地帐号锁定功能。
缺省情况下,本地帐号锁定功能处于使能状态,用户的重试时间间隔为 5 分钟、连续输入错误密码的限制次数为 3 次,帐号锁定时间为 5 分钟。
local-aaa-user wrong-password retry-interval 5 retry-time 3 block-time 5
帐户锁定后如何处理
缺省情况下,帐号在 5 分钟后会自动解锁。可等待帐号自动解锁后输入正确的用户名密码重新登录。
也可以在帐号锁定时间内通过 CLI 方式登录设备,在 AAA 视图下执行命令 local-user user-name state active 解锁用户。
-
display local-user state block 查看锁定的用户
-
local-user user-name state active 解锁用户
注意:在 AAA 模式下使用该命令
[TJ15-PE-HWRT-05-aaa]local-user haadmin1 state active
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于