溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
博文大綱:
- 一、華為防火墻設備的幾種管理方式介紹
- 二、各種管理方式的配置
1、通過Telnet方式管理
2、通過web方式管理
3、通過SSH方式管理
由于在對防火墻設備配置管理方式時,涉及到了AAA這個概念,索性就將AAA的相關介紹簡單寫一下。
AAA是驗證(Authentication)、授權(Authorization)和記賬(Accounting)三個部分組成,是一個能夠處理用戶訪問請求的服務器程序,主要目的是管理用戶訪問網絡服務器,為具有訪問權限的用戶提供服務。其中:
記賬:如何對正在使用網絡資源的用戶進行審計。
AAA服務器通常同網絡訪問控制、網關服務器、數據庫及用戶信息目錄等協同工作。若要訪問網絡資源,首先要進行用戶的入網認證,這樣才能訪問網絡資源。鑒別的過程就是驗證用戶身份的合法性;鑒別完成后,才能對用戶訪問網絡資源進行授權,并對用戶訪問網絡資源進行計費管理。
網絡設備的AAA認證方式有本地身份驗證、遠程身份驗證兩大類,本地身份驗證通過將用戶名和密碼在本地創建并驗證,而遠程身份驗證通過各個廠商自有的AAA服務器來完成,這需要設備和AAA服務器進行關聯。
華為防火墻支持用戶進行本地與遠程配置,以下所有配置都將以本地配置來進行身份驗證。
華為防火墻常見的管理方式有:
- 通過Console方式管理:屬于帶外管理,不占用帶寬,適用于新設備的首次配置時使用,在第一次配置時,會配置下面幾個管理方式的其中一個或多個,下次在配置直接遠程連接即可,無須使用Console連接了。
- 通過Telnet方式管理:屬于帶內管理,配置簡單,安全性低,資源占用少,主要適用于安全性不高、設備性能差的場景。因為在配置時所有數據是明文傳輸,所以僅限于內網環境使用。
- 通過web管理方式:屬于帶內管理,可以基于圖形化管理,適用于新手配置設備(但也要熟知其工作原理)。
- 通過SSH方式管理,屬于帶內管理,配置相比較復雜些,資源占用也高,但是欣慰的是安全性極高,主要適用于對安全性要求較高的場景,如通過互聯網遠程管理公司網絡設備。
Console方式的管理,只要連接console線,在客戶端使用超級終端連接即可,具體操作請百度吧,這里就不寫了。
這個的網絡環境沒什么好說的,我這里使用eNSP拉了一臺防火墻,連接上宿主機即可,連接宿主機主要是為了驗證,若需要在eNSP上驗證效果,需要給模擬器上的防火墻導入系統,我這里使用的是USG6000的防火墻,可以下載我提供的防火墻系統文件
防火墻配置如下:
USG6000的防火墻,默認編號最小的接口(一般是G0/0/0)已經配置了遠程管理的一些相關配置及IP地址,所以有很多配置是可以省略的,不過為了完整的將所需的配置寫下來,我不使用它的G0/0/0接口,而使用別的全新沒有配置的接口。
如下:
開始配置:
<USG6000V1>sys <!--進入系統視圖-->
[USG6000V1]in g1/0/0 <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]telnet server enable <!--打開防火墻的Telnet功能-->
[USG6000V1]in g1/0/0 <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]service-manage enable <!--配置接口管理模式-->
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit <!--允許Telnet-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust <!--進入trust區域-->
[USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區域-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]security-policy <!--設置安全策略-->
[USG6000V1-policy-security]rule name allow_telnet <!--配置規則,allow_telnet是定義的規則名-->
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust <!--指定規則中的源區域為trust-->
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local <!--指定目標區域為local-->
[USG6000V1-policy-security-rule-allow_telnet]action permit <!--動作是允許-->
[USG6000V1]user-interface vty 0 4 <!--進入vty接口-->
[USG6000V1-ui-vty0-4]authentication-mode aaa <!--指定驗證方式為AAA-->
[USG6000V1-ui-vty0-4]protocol inbound telnet <!--允許Telnet連接虛擬終端-->
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa <!--進入AAA配置-->
[USG6000V1-aaa]manager-user lv <!--配置本地用戶“lv”-->
[USG6000V1-aaa-manager-user-lv]password <!--設置密碼-->
Enter Password: <!--輸入密碼-->
Confirm Password: <!--確認密碼-->
[USG6000V1-aaa-manager-user-lv]service-type telnet <!--配置服務類型為Telnet-->
[USG6000V1-aaa-manager-user-lv]level 3 <!--設置管理級別為3-->
[USG6000V1-aaa-manager-user-lv]quit
[USG6000V1-aaa]quit經過上面的配置,即可使用Xshell等超級終端軟件連接該防火墻了。使用Telnet命令即可連接,如下:
[C:\~]$ telnet 192.168.1.254 <!--telnet連接防火墻-->
Connecting to 192.168.1.254:23...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
Login authentication
Username:lv <!--輸入剛才創建的用戶名-->
Password: <!--輸入剛才指定的密碼-->
The password needs to be changed. Change now? [Y/N]: y
<!--賬號首次登陸需要更改密碼,輸入“y”確定-->
Please enter old password: <!--輸入舊密碼-->
Please enter new password: <!--新密碼-->
Please confirm new password: <!--新密碼-->
<!--
當新密碼輸入完成后,會斷開連接,
再執行一下Telnet命令重新連接,使用新密碼登陸即可
-->關于管理級別,在之前的博文提到過,“0”是參觀級別,啥都做不了;“1”是監控級別,可以查看相關配置;“2”為配置級別,可以配置部分參數;“3-15”是管理級別,擁有最大的權限
注意:以下配置是在全新的防火墻上配置的,該防火墻默認沒有任何配置,上面配置了Telnet的防火墻已經刪除了。
開始配置:
<USG6000V1>sys <!--進入系統視圖-->
[USG6000V1]in g1/0/0 <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit <!--允許https管理-->
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit <!--允許http管理-->
[USG6000V1]firewall zone trust <!--進入trust區域-->
[USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區域-->
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy <!--設置安全策略-->
[USG6000V1-policy-security]rule name allow_web <!--配置規則,allow_telnet是定義的規則名-->
[USG6000V1-policy-security-rule-allow_web]source-zone trust <!--指定規則中的源區域為trust-->
[USG6000V1-policy-security-rule-allow_web]destination-zone local <!--指定目標區域為local-->
[USG6000V1-policy-security-rule-allow_web]action permit <!--動作是允許-->
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable
<!--
開啟web管理功能,該命令后面可以跟自定義端口號,默認是8443,
如web-manager security enable port 2000,執行security參數,是開啟https功能,
不執行security參數,是開啟http管理。注意不要使https和http的端口號沖突
-->
[USG6000V1]aaa <!--進入AAA配置-->
[USG6000V1-aaa]manager-user jian <!--配置本地用戶“jian”-->
[USG6000V1-aaa-manager-user-jian]password <!--設置密碼-->
Enter Password: <!--輸入密碼-->
Confirm Password: <!--確認密碼-->
[USG6000V1-aaa-manager-user-jian]level 3 <!--設置管理級別為3-->
[USG6000V1-aaa-manager-user-jian]quit
[USG6000V1-aaa]quit經過以上配置,現在即可使用web訪問測試,防火墻默認情況下開啟的https端口為8443,使用客戶端訪問測試,經過上面的配置,應使用 https://192.168.1.254:8443 進行訪問(建議使用谷歌瀏覽器,可能是eNSP模擬器的原因,若網頁加載不出來,多刷新幾次就好):
根據提示,輸入相應密碼,更改密碼(用戶首次登陸須更改密碼):
更改新密碼后,使用用戶名及新密碼進行登錄:
登錄后就可以看到下面的管理界面了(加載不出來就多刷新幾次):
配置web方式管理設備至此就完成了。
和Telnet相比,SSH安全性更高,所以一般不推薦使用Telnet方式登錄設備,而是通過ssh來登錄設備,下面開始配置SSH方式登錄設備(注意:防火墻所有配置都沒了,現在又是重新開始配置):
開始配置:
<USG6000V1>sys <!--進入系統視圖-->
[USG6000V1]in g1/0/0 <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]service-manage enable <!--配置接口管理模式-->
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit <!--允許SSH-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust <!--進入trust區域-->
[USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區域-->
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy <!--設置安全策略-->
[USG6000V1-policy-security]rule name allow_ssh <!--配置規則,allow_ssh是定義的規則名-->
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust <!--指定規則中的源區域為trust-->
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local <!--指定目標區域為local-->
[USG6000V1-policy-security-rule-allow_ssh]action permit <!--動作是允許-->
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create <!--創建密鑰-->
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 2048]: <!--設置密鑰的長度,直接回車即可-->
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4 <!--進入vty接口-->
[USG6000V1-ui-vty0-4]authentication-mode aaa <!--指定驗證方式為AAA-->
[USG6000V1-ui-vty0-4]protocol inbound ssh <!--允許ssh連接虛擬終端-->
[USG6000V1-ui-vty0-4]quit
[USG6000V1]ssh user zhao <!--創建本地用戶“zhao”-->
[USG6000V1]ssh user zhao authentication-type password <!--設置密碼-->
[USG6000V1]ssh user zhao service-type stelnet <!--配置服務類型為stelnet-->
[USG6000V1]aaa <!--進入AAA配置-->
[USG6000V1-aaa]manager-user zhao <!--配置本地用戶“zhao”-->
[USG6000V1-aaa-manager-user-zhao]password <!--設置密碼-->
Enter Password: <!--輸入密碼-->
Confirm Password: <!--確認密碼-->
[USG6000V1-aaa-manager-user-zhao]service-type ssh <!--配置服務類型為ssh-->
[USG6000V1-aaa-manager-user-zhao]level 3 <!--設置管理級別為3-->
[USG6000V1-aaa-manager-user-zhao]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable <!--開啟stelnet-->至此配置完畢,開始使用Xshell連接即可。
執行命令“ssh 192.168.1.254”進行連接,剩下操作看圖吧,不解釋了。
寫在最后:
其實你們仔細看完后,應該不難發現,每種方式管理的配置并不復雜,很多地方都一樣(第三種管理方式的注釋我基本上都是復制前兩種的,稍作改動就行了,所以,別嫌我繁瑣,因為我想在一些新手參考這篇文檔時可以看的更方便些。)
———————— 本文至此結束,感謝閱讀 ————————
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
