華為防火墻的管理方式配置

一、華為防火墻設(shè)備的幾種管理方式介紹：

由于在對防火墻設(shè)備配置管理方式時，涉及到了AAA這個概念，索性就將AAA的相關(guān)介紹簡單寫一下。

AAA是驗證（Authentication）、授權(quán)（Authorization）和記賬（Accounting）三個部分組成，是一個能夠處理用戶訪問請求的服務(wù)器程序，主要目的是管理用戶訪問網(wǎng)絡(luò)服務(wù)器，為具有訪問權(quán)限的用戶提供服務(wù)。其中：

驗證：哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器。

授權(quán)：具有訪問權(quán)限的用戶可以得到哪些服務(wù)，有什么權(quán)限。

記賬：如何對正在使用網(wǎng)絡(luò)資源的用戶進行審計。

AAA服務(wù)器通常同網(wǎng)絡(luò)訪問控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫及用戶信息目錄等協(xié)同工作。若要訪問網(wǎng)絡(luò)資源，首先要進行用戶的入網(wǎng)認證，這樣才能訪問網(wǎng)絡(luò)資源。鑒別的過程就是驗證用戶身份的合法性；鑒別完成后，才能對用戶訪問網(wǎng)絡(luò)資源進行授權(quán)，并對用戶訪問網(wǎng)絡(luò)資源進行計費管理。

網(wǎng)絡(luò)設(shè)備的AAA認證方式有本地身份驗證、遠程身份驗證兩大類，本地身份驗證通過將用戶名和密碼在本地創(chuàng)建并驗證，而遠程身份驗證通過各個廠商自有的AAA服務(wù)器來完成，這需要設(shè)備和AAA服務(wù)器進行關(guān)聯(lián)。

華為防火墻支持用戶進行本地與遠程配置，以下所有配置都將以本地配置來進行身份驗證。

華為防火墻常見的管理方式有：

通過Console方式管理：屬于帶外管理，不占用帶寬，適用于新設(shè)備的首次配置時使用，在第一次配置時，會配置下面幾個管理方式的其中一個或多個，下次在配置直接遠程連接即可，無須使用Console連接了。

通過Telnet方式管理：屬于帶內(nèi)管理，配置簡單，安全性低，資源占用少，主要適用于安全性不高、設(shè)備性能差的場景。因為在配置時所有數(shù)據(jù)是明文傳輸，所以僅限于內(nèi)網(wǎng)環(huán)境使用。

通過web管理方式：屬于帶內(nèi)管理，可以基于圖形化管理，適用于新手配置設(shè)備（但也要熟知其工作原理）。

通過SSH方式管理，屬于帶內(nèi)管理，配置相比較復(fù)雜些，資源占用也高，但是欣慰的是安全性極高，主要適用于對安全性要求較高的場景，如通過互聯(lián)網(wǎng)遠程管理公司網(wǎng)絡(luò)設(shè)備。

二、各種管理方式的配置:

Console方式的管理，只要連接console線，在客戶端使用超級終端連接即可，具體操作請百度吧，這里就不寫了。
環(huán)境很簡單，如下所示：

USG6000的防火墻，默認編號最小的接口（一般是G0/0/0）已經(jīng)配置了遠程管理的一些相關(guān)配置及IP地址，所以有很多配置是可以省略的，不過為了完整的將所需的配置寫下來，我不使用它的G0/0/0接口，而使用別的全新沒有配置的接口。
1、通過telenet管理配置：

sys#進入配置視圖
Entersystemview,returnuserviewwithCtrl+Z.
[USG6000V1]intg1/0/0#進入防火墻接口
[USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP（管理IP）
Oct2520191106USG6000V1%%01IFNET/4/LINK_STATE(l)[0]:ThelineprotocolIP
ontheinterfaceGigabitEthernet1/0/0hasenteredtheUPstate.
[USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口
Info:InterfaceGigabitEthernet1/0/0isnotshutdown.
[USG6000V1-GigabitEthernet1/0/0]quit#退出當前視圖
[USG6000V1]telnetserverenable#打開防火墻的Telnet功能
[USG6000V1]intg1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manageenable#配置接口管理模式
[USG6000V1-GigabitEthernet1/0/0]service-managetelnetpermit#允許Telnet
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewallzonetrust#進入到trust區(qū)域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區(qū)域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy#配置規(guī)則
[USG6000V1-policy-security]rulenameallow_telnet#配置規(guī)則，allow_telnet是規(guī)則名稱
[USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件
[USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區(qū)域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標區(qū)域是防火墻本機
[USG6000V1-policy-security-rule-allow_telnet]actionpermit#動作為允許
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]user-interfacevty04#配置VTY用戶接口
[USG6000V1-ui-vty0-4]authentication-modeaaa#講VTY接口的驗證方式設(shè)為aaa
Warning:Theleveloftheuser-interface(s)willbethedefaultlevelofAAAuse
rs,pleasecheckwhetheritiscorrect.
[USG6000V1-ui-vty0-4]protocolinboundtelnet#允許Telnet用戶連接到虛擬終端
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa#進入aaa配置視圖
[USG6000V1-aaa]manager-userzhangsan#配置本地用戶zhangsan
[USG6000V1-aaa-manager-user-zhangsan]passwordcipherpwd@123123#配置登錄密碼，cipher為明文密碼，不建議使用，密文可參考web管理
Info:Youareadvisedtoconfigonman-machinemode.
[USG6000V1-aaa-manager-user-zhangsan]
[USG6000V1-aaa-manager-user-zhangsan]service-typetelnet#配置服務(wù)類型
[USG6000V1-aaa-manager-user-zhangsan]level3#配置用戶權(quán)限級別
[USG6000V1-aaa-manager-user-zhangsan]quit
[USG6000V1-aaa]quit

經(jīng)過上面的配置，即可使用Xshell等超級終端軟件連接該防火墻了。使用Telnet命令即可連接，如下：

.

[E:~]$telnet192.168.1.1

Connectingto192.168.1.1:23...
Connectionestablished.
Thepasswordneedstobechanged.Changenow?[Y/N]:y#第一次登陸需要修改密碼
Pleaseenteroldpassword:#填寫舊密碼
Pleaseenternewpassword:#填寫新密碼
Pleaseconfirmnewpassword:#確認新密碼
Info:ReceiveamessagefromAAAofcuttinguser.

Username:zhangsan
Password:#輸入新密碼
*************************************************************************
*Copyright(C)2014-2015HuaweiTechnologiesCo.,Ltd.*
*Allrightsreserved.*
*Withouttheowner'spriorwrittenconsent,*
*nodecompilingorreverse-engineeringshallbeallowed.*
*************************************************************************


Info:ThemaxnumberofVTYusersis10,andthenumber
ofcurrentVTYusersonlineis1.
Thecurrentlogintimeis2019-10-251132+00:00.
sys
Entersystemview,returnuserviewwithCtrl+Z.
[USG6000V1]

2、配置web方式登錄設(shè)備：

sys#進入配置視圖
Entersystemview,returnuserviewwithCtrl+Z.
[USG6000V1]intg1/0/0#進入防火墻接口
[USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP（管理IP）
[USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口
[USG6000V1-GigabitEthernet1/0/0]service-managehttppermit#允許http管理
[USG6000V1-GigabitEthernet1/0/0]service-managehttpspermit#允許https管理
[USG6000V1]firewallzonetrust#進入到trust區(qū)域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區(qū)域
[USG6000V1]security-policy#配置規(guī)則
[USG6000V1-policy-security]rulenameallow_web#配置規(guī)則，allow_web是規(guī)則名稱
[USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件
[USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區(qū)域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標區(qū)域是防火墻本機
[USG6000V1-policy-security-rule-allow_telnet]actionpermit#動作為允許
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-managersecurityenable#開啟https功能
[USG6000V1]aaa#配置aaa
[USG6000V1-aaa]manager-userweb#配置web為本地用戶
[USG6000V1-aaa-manager-user-web]password#密文密碼

EnterPassword:#輸入密碼

ConfirmPassword:#確認密碼
[USG6000V1-aaa-manager-user-web]service-typeweb#指定用戶類型
[USG6000V1-aaa-manager-user-web]level3#制定權(quán)限級別
[USG6000V1-aaa-manager-user-web]quit
[USG6000V1-aaa]quit
[USG6000V1]

經(jīng)過以上配置，現(xiàn)在即可使用web訪問測試，防火墻默認情況下開啟的https端口為8443，使用客戶端訪問測試，經(jīng)過上面的配置，應(yīng)使用 https://192.168.1.1:8443 進行訪問（建議使用谷歌瀏覽器，可能是eNSP模擬器的原因，若網(wǎng)頁加載不出來，多刷新幾次就好）：




至此就配置完成了
3、配置SSH方式登錄：

sys#進入配置視圖
Entersystemview,returnuserviewwithCtrl+Z.
[USG6000V1]intg1/0/0#進入防火墻接口
[USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP（管理IP）
[USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口
[USG6000V1-GigabitEthernet1/0/0]service-manageenable
[USG6000V1-GigabitEthernet1/0/0]service-managesshpermit#允許SSH登錄
[USG6000V1]firewallzonetrust#進入到trust區(qū)域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區(qū)域
[USG6000V1]security-policy#配置規(guī)則
[USG6000V1-policy-security]rulenameallow_ssh#配置規(guī)則，allow_ssh是規(guī)則名稱
[USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件
[USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區(qū)域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標區(qū)域是防火墻本機
[USG6000V1-policy-security-rule-allow_telnet]actionpermit#動作為允許
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsalocal-key-paircreate#創(chuàng)建ssh所需要的密鑰對
Thekeynamewillbe:USG6000V1_Host
Therangeofpublickeysizeis(512~2048).
NOTES:Ifthekeymodulusisgreaterthan512,
itwilltakeafewminutes.
Inputthebitsinthemodulus[default=2048]:#輸入默認的秘鑰長度，直接回車采用默認2048
Generatingkeys...
.+++++
........................++
....++++
...........++
[USG6000V1]user-interfacevty04
[USG6000V1-ui-vty0-4]authentication-modeaaa
[USG6000V1-ui-vty0-4]protocolinboundssh
[USG6000V1-ui-vty0-4]quit
[USG6000V1]
[USG6000V1]sshusertest#指定test為SSH用戶
[USG6000V1]sshusertestauthentication-typepassword#配置認證方式
[USG6000V1]sshusertestservice-typestelnet#配置服務(wù)類型
[USG6000V1]aaa#進入aaa
[USG6000V1-aaa]manager-usertest#指定用戶
[USG6000V1-aaa-manager-user-test]password#配置密碼

EnterPassword:

ConfirmPassword：
[USG6000V1-aaa-manager-user-test]
[USG6000V1-aaa-manager-user-test]service-typessh#類型為ssh
[USG6000V1-aaa-manager-user-test]level3#權(quán)限級別
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnetserverenable#開啟ssh

至此配置完畢，開始使用Xshell連接即可。





.
每種方式各有各的好處，各有各的方便，就看各位怎么取決了！?。?/p>