華為防火墻更改SSH端口

分公司新上一臺華為防火墻，為了方便管理，在公網接口開啟了SSH，默認的端口是TCP的22端口。配置完成，可以正常訪問了，可接下來問題來了，使用WEB端登錄或者SSH老彈出密碼驗證失敗，搞得我都開始懷疑人生了。
好在業務能正常運行，過了大半個小時，再登錄，可以正常登錄了，查看日志
Apr 20 2019 23:55:48 USG6300 %%01MANAGER/4/UNLOCK(l)[172]:The user was unlocked. (User Name=admin)
Apr 20 2019 23:24:36 USG6300 %%01MANAGER/3/LOCK(l)[350]:The user was locked out. (User Name=admin, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Type=ssh , IP Address=91.236.116.214)
Apr 20 2019 22:39:14 USG6300 %%01MANAGER/4/UNLOCK(l)[447]:The user was unlocked. (User Name=admin)
Apr 20 2019 22:01:41 USG6300 %%01MANAGER/3/LOCK(l)[508]:The user was locked out. (User Name=admin, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Type=ssh , IP Address=193.201.224.236)

因為在指定的時間內連續3次輸入了錯誤的密碼，導致賬號被鎖定30分鐘。

思考了一下原因，是什么問題導致的呢？存在兩個可能：

1. FW的公網接口允許PING，存在被嗅探的可能
2. 默認的SSH端口沒有更改，***者嗅探后，嘗試使用弱密碼或者字典登錄

那怎么解決這個問題呢？
肯定是更改配置，將公網的PING關閉，更改SSH的端口。

1. 在網絡-->接口處，找到公網接口，關閉PING
   
2. 更改默認的SSH端口
   

接下來，在內網使用ssh到LAN的9022端口，可以登錄了。再測試公網的9022，發現無法登錄，是 什么原因導致的呢？

我們更改了SSH協議的端口，也就意味著從untrust-->local 9022的安全策略要被放行，原來在接口下允許的 service-manager ssh permit，應該是自動生成了一條去往從untrust-->loal 22的隱含的策略。我們應該自己創建一條安全策略，應該就可以訪問了。

1. 首先需要創建一個服務
   
2. 創建一條安全策略
   

再進行測試，從公網可以通過SSH進行訪問了，在經歷關閉PING、更改SSH端口后，暫時沒有發現***者嘗試登錄了，問題解決。