華為防火墻的管理方式配置
一、華為防火墻設備的幾種管理方式介紹:
由于在對防火墻設備配置管理方式時,涉及到了AAA這個概念,索性就將AAA的相關介紹簡單寫一下。
AAA是驗證(Authentication)、授權(Authorization)和記賬(Accounting)三個部分組成,是一個能夠處理用戶訪問請求的服務器程序,主要目的是管理用戶訪問網絡服務器,為具有訪問權限的用戶提供服務。其中:
驗證:哪些用戶可以訪問網絡服務器。
授權:具有訪問權限的用戶可以得到哪些服務,有什么權限。
記賬:如何對正在使用網絡資源的用戶進行審計。
AAA服務器通常同網絡訪問控制、網關服務器、數據庫及用戶信息目錄等協同工作。若要訪問網絡資源,首先要進行用戶的入網認證,這樣才能訪問網絡資源。鑒別的過程就是驗證用戶身份的合法性;鑒別完成后,才能對用戶訪問網絡資源進行授權,并對用戶訪問網絡資源進行計費管理。
網絡設備的AAA認證方式有本地身份驗證、遠程身份驗證兩大類,本地身份驗證通過將用戶名和密碼在本地創建并驗證,而遠程身份驗證通過各個廠商自有的AAA服務器來完成,這需要設備和AAA服務器進行關聯。
華為防火墻支持用戶進行本地與遠程配置,以下所有配置都將以本地配置來進行身份驗證。
華為防火墻常見的管理方式有:
通過Console方式管理:屬于帶外管理,不占用帶寬,適用于新設備的首次配置時使用,在第一次配置時,會配置下面幾個管理方式的其中一個或多個,下次在配置直接遠程連接即可,無須使用Console連接了。
通過Telnet方式管理:屬于帶內管理,配置簡單,安全性低,資源占用少,主要適用于安全性不高、設備性能差的場景。因為在配置時所有數據是明文傳輸,所以僅限于內網環境使用。
通過web管理方式:屬于帶內管理,可以基于圖形化管理,適用于新手配置設備(但也要熟知其工作原理)。
通過SSH方式管理,屬于帶內管理,配置相比較復雜些,資源占用也高,但是欣慰的是安全性極高,主要適用于對安全性要求較高的場景,如通過互聯網遠程管理公司網絡設備。
二、各種管理方式的配置:
Console方式的管理,只要連接console線,在客戶端使用超級終端連接即可,具體操作請百度吧,這里就不寫了。
環境很簡單,如下所示:
USG6000的防火墻,默認編號最小的接口(一般是G0/0/0)已經配置了遠程管理的一些相關配置及IP地址,所以有很多配置是可以省略的,不過為了完整的將所需的配置寫下來,我不使用它的G0/0/0接口,而使用別的全新沒有配置的接口。
1、通過telenet管理配置:
sys#進入配置視圖 Entersystemview,returnuserviewwithCtrl+Z. [USG6000V1]intg1/0/0#進入防火墻接口 [USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP(管理IP) Oct2520191106USG6000V1%%01IFNET/4/LINK_STATE(l)[0]:ThelineprotocolIP ontheinterfaceGigabitEthernet1/0/0hasenteredtheUPstate. [USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口 Info:InterfaceGigabitEthernet1/0/0isnotshutdown. [USG6000V1-GigabitEthernet1/0/0]quit#退出當前視圖 [USG6000V1]telnetserverenable#打開防火墻的Telnet功能 [USG6000V1]intg1/0/0 [USG6000V1-GigabitEthernet1/0/0]service-manageenable#配置接口管理模式 [USG6000V1-GigabitEthernet1/0/0]service-managetelnetpermit#允許Telnet [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]firewallzonetrust#進入到trust區域 [USG6000V1-zone-trust] [USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區域 [USG6000V1-zone-trust]quit [USG6000V1]security-policy#配置規則 [USG6000V1-policy-security]rulenameallow_telnet#配置規則,allow_telnet是規則名稱 [USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件 [USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區域是trust [USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標區域是防火墻本機 [USG6000V1-policy-security-rule-allow_telnet]actionpermit#動作為允許 [USG6000V1-policy-security-rule-allow_telnet]quit [USG6000V1-policy-security]quit [USG6000V1]user-interfacevty04#配置VTY用戶接口 [USG6000V1-ui-vty0-4]authentication-modeaaa#講VTY接口的驗證方式設為aaa Warning:Theleveloftheuser-interface(s)willbethedefaultlevelofAAAuse rs,pleasecheckwhetheritiscorrect. [USG6000V1-ui-vty0-4]protocolinboundtelnet#允許Telnet用戶連接到虛擬終端 [USG6000V1-ui-vty0-4]quit [USG6000V1]aaa#進入aaa配置視圖 [USG6000V1-aaa]manager-userzhangsan#配置本地用戶zhangsan [USG6000V1-aaa-manager-user-zhangsan]passwordcipherpwd@123123#配置登錄密碼,cipher為明文密碼,不建議使用,密文可參考web管理 Info:Youareadvisedtoconfigonman-machinemode. [USG6000V1-aaa-manager-user-zhangsan] [USG6000V1-aaa-manager-user-zhangsan]service-typetelnet#配置服務類型 [USG6000V1-aaa-manager-user-zhangsan]level3#配置用戶權限級別 [USG6000V1-aaa-manager-user-zhangsan]quit [USG6000V1-aaa]quit
經過上面的配置,即可使用Xshell等超級終端軟件連接該防火墻了。使用Telnet命令即可連接,如下:
.
[E:~]$telnet192.168.1.1 Connectingto192.168.1.1:23... Connectionestablished. Thepasswordneedstobechanged.Changenow?[Y/N]:y#第一次登陸需要修改密碼 Pleaseenteroldpassword:#填寫舊密碼 Pleaseenternewpassword:#填寫新密碼 Pleaseconfirmnewpassword:#確認新密碼 Info:ReceiveamessagefromAAAofcuttinguser. Username:zhangsan Password:#輸入新密碼 ************************************************************************* *Copyright(C)2014-2015HuaweiTechnologiesCo.,Ltd.* *Allrightsreserved.* *Withouttheowner'spriorwrittenconsent,* *nodecompilingorreverse-engineeringshallbeallowed.* ************************************************************************* Info:ThemaxnumberofVTYusersis10,andthenumber ofcurrentVTYusersonlineis1. Thecurrentlogintimeis2019-10-251132+00:00.sys Entersystemview,returnuserviewwithCtrl+Z. [USG6000V1]
2、配置web方式登錄設備:
sys#進入配置視圖 Entersystemview,returnuserviewwithCtrl+Z. [USG6000V1]intg1/0/0#進入防火墻接口 [USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP(管理IP) [USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口 [USG6000V1-GigabitEthernet1/0/0]service-managehttppermit#允許http管理 [USG6000V1-GigabitEthernet1/0/0]service-managehttpspermit#允許https管理 [USG6000V1]firewallzonetrust#進入到trust區域 [USG6000V1-zone-trust] [USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區域 [USG6000V1]security-policy#配置規則 [USG6000V1-policy-security]rulenameallow_web#配置規則,allow_web是規則名稱 [USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件 [USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區域是trust [USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標區域是防火墻本機 [USG6000V1-policy-security-rule-allow_telnet]actionpermit#動作為允許 [USG6000V1-policy-security-rule-allow_telnet]quit [USG6000V1-policy-security]quit [USG6000V1]web-managersecurityenable#開啟https功能 [USG6000V1]aaa#配置aaa [USG6000V1-aaa]manager-userweb#配置web為本地用戶 [USG6000V1-aaa-manager-user-web]password#密文密碼 EnterPassword:#輸入密碼 ConfirmPassword:#確認密碼 [USG6000V1-aaa-manager-user-web]service-typeweb#指定用戶類型 [USG6000V1-aaa-manager-user-web]level3#制定權限級別 [USG6000V1-aaa-manager-user-web]quit [USG6000V1-aaa]quit [USG6000V1]
經過以上配置,現在即可使用web訪問測試,防火墻默認情況下開啟的https端口為8443,使用客戶端訪問測試,經過上面的配置,應使用 https://192.168.1.1:8443 進行訪問(建議使用谷歌瀏覽器,可能是eNSP模擬器的原因,若網頁加載不出來,多刷新幾次就好):
至此就配置完成了
3、配置SSH方式登錄:
sys#進入配置視圖 Entersystemview,returnuserviewwithCtrl+Z. [USG6000V1]intg1/0/0#進入防火墻接口 [USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP(管理IP) [USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口 [USG6000V1-GigabitEthernet1/0/0]service-manageenable [USG6000V1-GigabitEthernet1/0/0]service-managesshpermit#允許SSH登錄 [USG6000V1]firewallzonetrust#進入到trust區域 [USG6000V1-zone-trust] [USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區域 [USG6000V1]security-policy#配置規則 [USG6000V1-policy-security]rulenameallow_ssh#配置規則,allow_ssh是規則名稱 [USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件 [USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區域是trust [USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標區域是防火墻本機 [USG6000V1-policy-security-rule-allow_telnet]actionpermit#動作為允許 [USG6000V1-policy-security-rule-allow_telnet]quit [USG6000V1-policy-security]quit [USG6000V1]rsalocal-key-paircreate#創建ssh所需要的密鑰對 Thekeynamewillbe:USG6000V1_Host Therangeofpublickeysizeis(512~2048). NOTES:Ifthekeymodulusisgreaterthan512, itwilltakeafewminutes. Inputthebitsinthemodulus[default=2048]:#輸入默認的秘鑰長度,直接回車采用默認2048 Generatingkeys... .+++++ ........................++ ....++++ ...........++ [USG6000V1]user-interfacevty04 [USG6000V1-ui-vty0-4]authentication-modeaaa [USG6000V1-ui-vty0-4]protocolinboundssh [USG6000V1-ui-vty0-4]quit [USG6000V1] [USG6000V1]sshusertest#指定test為SSH用戶 [USG6000V1]sshusertestauthentication-typepassword#配置認證方式 [USG6000V1]sshusertestservice-typestelnet#配置服務類型 [USG6000V1]aaa#進入aaa [USG6000V1-aaa]manager-usertest#指定用戶 [USG6000V1-aaa-manager-user-test]password#配置密碼 EnterPassword: ConfirmPassword: [USG6000V1-aaa-manager-user-test] [USG6000V1-aaa-manager-user-test]service-typessh#類型為ssh [USG6000V1-aaa-manager-user-test]level3#權限級別 [USG6000V1-aaa-manager-user-test]quit [USG6000V1-aaa]quit [USG6000V1]stelnetserverenable#開啟ssh
至此配置完畢,開始使用Xshell連接即可。
.
每種方式各有各的好處,各有各的方便,就看各位怎么取決了!!!
審核編輯:湯梓紅
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
華為
+關注
關注
216文章
34909瀏覽量
254636 -
服務器
+關注
關注
12文章
9596瀏覽量
86981 -
防火墻
+關注
關注
0文章
425瀏覽量
36009
原文標題:華為防火墻(USG)的管理方式配置
文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
發現 STM32 防火墻的安全配置
。Figure 5 RM0351中關于防火強控制寄存器的動態配置方式的描述也就是說,防火墻相比較MPU的優勢“配置有效直到系統復位”,在這種
發表于 07-27 11:04
Linux防火墻入門教程分享
合理的防火墻是你的計算機防止網絡入侵的第一道屏障。你在家里上網,通常互聯網服務提供會在路由中搭建一層防火墻。當你離開家時,那么你計算機上的那層防火墻就是僅有的一層,所以配置和控制好你
發表于 12-28 06:54
談防火墻及防火墻的滲透技術
談防火墻及防火墻的滲透技術
傳統的防火墻工作原理及優缺點:
1.(傳統的)包過濾防火墻的工作原理
包過濾是在IP層實現的,因
發表于 08-01 10:26
?1145次閱讀
什么是防火墻?防火墻如何工作?
防火墻是網絡與萬維網之間的關守,它位于網絡的入口和出口。 它評估網絡流量,僅允許某些流量進出。防火墻分析網絡數據包頭,其中包含有關要進入或退出網絡的流量的信息。然后,基于防火墻上配置的
請問Centos7如何配置firewalld防火墻規則?
Firewalld是CentOS系統自帶的一種動態防火墻管理工具。是一個前端工具,用于管理Linux系統上的netfilter防火墻規則。Firewalld提供了一種簡化和易于使用的方
工商網監
評論