一、華為防火墻設(shè)備的幾種管理方式介紹:
由于在對防火墻設(shè)備配置管理方式時,涉及到了AAA這個概念,索性就將AAA的相關(guān)介紹簡單寫一下。
AAA是驗證(Authentication)、授權(quán)(Authorization)和記賬(Accounting)三個部分組成,是一個能夠處理用戶訪問請求的服務(wù)器程序,主要目的是管理用戶訪問網(wǎng)絡(luò)服務(wù)器,為具有訪問權(quán)限的用戶提供服務(wù)。其中:
驗證:哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器。
授權(quán):具有訪問權(quán)限的用戶可以得到哪些服務(wù),有什么權(quán)限。
記賬:如何對正在使用網(wǎng)絡(luò)資源的用戶進行審計。
AAA服務(wù)器通常同網(wǎng)絡(luò)訪問控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫及用戶信息目錄等協(xié)同工作。若要訪問網(wǎng)絡(luò)資源,首先要進行用戶的入網(wǎng)認證,這樣才能訪問網(wǎng)絡(luò)資源。鑒別的過程就是驗證用戶身份的合法性;鑒別完成后,才能對用戶訪問網(wǎng)絡(luò)資源進行授權(quán),并對用戶訪問網(wǎng)絡(luò)資源進行計費管理。
網(wǎng)絡(luò)設(shè)備的AAA認證方式有本地身份驗證、遠程身份驗證兩大類,本地身份驗證通過將用戶名和密碼在本地創(chuàng)建并驗證,而遠程身份驗證通過各個廠商自有的AAA服務(wù)器來完成,這需要設(shè)備和AAA服務(wù)器進行關(guān)聯(lián)。
華為防火墻支持用戶進行本地與遠程配置,以下所有配置都將以本地配置來進行身份驗證。
華為防火墻常見的管理方式有:
通過Console方式管理:屬于帶外管理,不占用帶寬,適用于新設(shè)備的首次配置時使用,在第一次配置時,會配置下面幾個管理方式的其中一個或多個,下次在配置直接遠程連接即可,無須使用Console連接了。
通過Telnet方式管理:屬于帶內(nèi)管理,配置簡單,安全性低,資源占用少,主要適用于安全性不高、設(shè)備性能差的場景。因為在配置時所有數(shù)據(jù)是明文傳輸,所以僅限于內(nèi)網(wǎng)環(huán)境使用。
通過web管理方式:屬于帶內(nèi)管理,可以基于圖形化管理,適用于新手配置設(shè)備(但也要熟知其工作原理)。
通過SSH方式管理,屬于帶內(nèi)管理,配置相比較復(fù)雜些,資源占用也高,但是欣慰的是安全性極高,主要適用于對安全性要求較高的場景,如通過互聯(lián)網(wǎng)遠程管理公司網(wǎng)絡(luò)設(shè)備。
二、各種管理方式的配置:
Console方式的管理,只要連接console線,在客戶端使用超級終端連接即可,具體操作請百度吧,這里就不寫了。
環(huán)境很簡單,如下所示:
USG6000的防火墻,默認編號最小的接口(一般是G0/0/0)已經(jīng)配置了遠程管理的一些相關(guān)配置及IP地址,所以有很多配置是可以省略的,不過為了完整的將所需的配置寫下來,我不使用它的G0/0/0接口,而使用別的全新沒有配置的接口。
1、通過telenet管理配置:
sys#進入配置視圖 Entersystemview,returnuserviewwithCtrl+Z. [USG6000V1]intg1/0/0#進入防火墻接口 [USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP(管理IP) Oct2520191106USG6000V1%%01IFNET/4/LINK_STATE(l)[0]:ThelineprotocolIP ontheinterfaceGigabitEthernet1/0/0hasenteredtheUPstate. [USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口 Info:InterfaceGigabitEthernet1/0/0isnotshutdown. [USG6000V1-GigabitEthernet1/0/0]quit#退出當前視圖 [USG6000V1]telnetserverenable#打開防火墻的Telnet功能 [USG6000V1]intg1/0/0 [USG6000V1-GigabitEthernet1/0/0]service-manageenable#配置接口管理模式 [USG6000V1-GigabitEthernet1/0/0]service-managetelnetpermit#允許Telnet [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]firewallzonetrust#進入到trust區(qū)域 [USG6000V1-zone-trust] [USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區(qū)域 [USG6000V1-zone-trust]quit [USG6000V1]security-policy#配置規(guī)則 [USG6000V1-policy-security]rulenameallow_telnet#配置規(guī)則,allow_telnet是規(guī)則名稱 [USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件 [USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區(qū)域是trust [USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標區(qū)域是防火墻本機 [USG6000V1-policy-security-rule-allow_telnet]actionpermit#動作為允許 [USG6000V1-policy-security-rule-allow_telnet]quit [USG6000V1-policy-security]quit [USG6000V1]user-interfacevty04#配置VTY用戶接口 [USG6000V1-ui-vty0-4]authentication-modeaaa#講VTY接口的驗證方式設(shè)為aaa Warning:Theleveloftheuser-interface(s)willbethedefaultlevelofAAAuse rs,pleasecheckwhetheritiscorrect. [USG6000V1-ui-vty0-4]protocolinboundtelnet#允許Telnet用戶連接到虛擬終端 [USG6000V1-ui-vty0-4]quit [USG6000V1]aaa#進入aaa配置視圖 [USG6000V1-aaa]manager-userzhangsan#配置本地用戶zhangsan [USG6000V1-aaa-manager-user-zhangsan]passwordcipherpwd@123123#配置登錄密碼,cipher為明文密碼,不建議使用,密文可參考web管理 Info:Youareadvisedtoconfigonman-machinemode. [USG6000V1-aaa-manager-user-zhangsan] [USG6000V1-aaa-manager-user-zhangsan]service-typetelnet#配置服務(wù)類型 [USG6000V1-aaa-manager-user-zhangsan]level3#配置用戶權(quán)限級別 [USG6000V1-aaa-manager-user-zhangsan]quit [USG6000V1-aaa]quit
經(jīng)過上面的配置,即可使用Xshell等超級終端軟件連接該防火墻了。使用Telnet命令即可連接,如下:
.
[E:~]$telnet192.168.1.1 Connectingto192.168.1.1:23... Connectionestablished. Thepasswordneedstobechanged.Changenow?[Y/N]:y#第一次登陸需要修改密碼 Pleaseenteroldpassword:#填寫舊密碼 Pleaseenternewpassword:#填寫新密碼 Pleaseconfirmnewpassword:#確認新密碼 Info:ReceiveamessagefromAAAofcuttinguser. Username:zhangsan Password:#輸入新密碼 ************************************************************************* *Copyright(C)2014-2015HuaweiTechnologiesCo.,Ltd.* *Allrightsreserved.* *Withouttheowner'spriorwrittenconsent,* *nodecompilingorreverse-engineeringshallbeallowed.* ************************************************************************* Info:ThemaxnumberofVTYusersis10,andthenumber ofcurrentVTYusersonlineis1. Thecurrentlogintimeis2019-10-251132+00:00.sys Entersystemview,returnuserviewwithCtrl+Z. [USG6000V1]
2、配置web方式登錄設(shè)備:
sys#進入配置視圖 Entersystemview,returnuserviewwithCtrl+Z. [USG6000V1]intg1/0/0#進入防火墻接口 [USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP(管理IP) [USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口 [USG6000V1-GigabitEthernet1/0/0]service-managehttppermit#允許http管理 [USG6000V1-GigabitEthernet1/0/0]service-managehttpspermit#允許https管理 [USG6000V1]firewallzonetrust#進入到trust區(qū)域 [USG6000V1-zone-trust] [USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區(qū)域 [USG6000V1]security-policy#配置規(guī)則 [USG6000V1-policy-security]rulenameallow_web#配置規(guī)則,allow_web是規(guī)則名稱 [USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件 [USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區(qū)域是trust [USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標區(qū)域是防火墻本機 [USG6000V1-policy-security-rule-allow_telnet]actionpermit#動作為允許 [USG6000V1-policy-security-rule-allow_telnet]quit [USG6000V1-policy-security]quit [USG6000V1]web-managersecurityenable#開啟https功能 [USG6000V1]aaa#配置aaa [USG6000V1-aaa]manager-userweb#配置web為本地用戶 [USG6000V1-aaa-manager-user-web]password#密文密碼 EnterPassword:#輸入密碼 ConfirmPassword:#確認密碼 [USG6000V1-aaa-manager-user-web]service-typeweb#指定用戶類型 [USG6000V1-aaa-manager-user-web]level3#制定權(quán)限級別 [USG6000V1-aaa-manager-user-web]quit [USG6000V1-aaa]quit [USG6000V1]
經(jīng)過以上配置,現(xiàn)在即可使用web訪問測試,防火墻默認情況下開啟的https端口為8443,使用客戶端訪問測試,經(jīng)過上面的配置,應(yīng)使用 https://192.168.1.1:8443 進行訪問(建議使用谷歌瀏覽器,可能是eNSP模擬器的原因,若網(wǎng)頁加載不出來,多刷新幾次就好):
至此就配置完成了
3、配置SSH方式登錄:
sys#進入配置視圖 Entersystemview,returnuserviewwithCtrl+Z. [USG6000V1]intg1/0/0#進入防火墻接口 [USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP(管理IP) [USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口 [USG6000V1-GigabitEthernet1/0/0]service-manageenable [USG6000V1-GigabitEthernet1/0/0]service-managesshpermit#允許SSH登錄 [USG6000V1]firewallzonetrust#進入到trust區(qū)域 [USG6000V1-zone-trust] [USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區(qū)域 [USG6000V1]security-policy#配置規(guī)則 [USG6000V1-policy-security]rulenameallow_ssh#配置規(guī)則,allow_ssh是規(guī)則名稱 [USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件 [USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區(qū)域是trust [USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標區(qū)域是防火墻本機 [USG6000V1-policy-security-rule-allow_telnet]actionpermit#動作為允許 [USG6000V1-policy-security-rule-allow_telnet]quit [USG6000V1-policy-security]quit [USG6000V1]rsalocal-key-paircreate#創(chuàng)建ssh所需要的密鑰對 Thekeynamewillbe:USG6000V1_Host Therangeofpublickeysizeis(512~2048). NOTES:Ifthekeymodulusisgreaterthan512, itwilltakeafewminutes. Inputthebitsinthemodulus[default=2048]:#輸入默認的秘鑰長度,直接回車采用默認2048 Generatingkeys... .+++++ ........................++ ....++++ ...........++ [USG6000V1]user-interfacevty04 [USG6000V1-ui-vty0-4]authentication-modeaaa [USG6000V1-ui-vty0-4]protocolinboundssh [USG6000V1-ui-vty0-4]quit [USG6000V1] [USG6000V1]sshusertest#指定test為SSH用戶 [USG6000V1]sshusertestauthentication-typepassword#配置認證方式 [USG6000V1]sshusertestservice-typestelnet#配置服務(wù)類型 [USG6000V1]aaa#進入aaa [USG6000V1-aaa]manager-usertest#指定用戶 [USG6000V1-aaa-manager-user-test]password#配置密碼 EnterPassword: ConfirmPassword: [USG6000V1-aaa-manager-user-test] [USG6000V1-aaa-manager-user-test]service-typessh#類型為ssh [USG6000V1-aaa-manager-user-test]level3#權(quán)限級別 [USG6000V1-aaa-manager-user-test]quit [USG6000V1-aaa]quit [USG6000V1]stelnetserverenable#開啟ssh
至此配置完畢,開始使用Xshell連接即可。
.
每種方式各有各的好處,各有各的方便,就看各位怎么取決了!?。?/p>
-
華為
+關(guān)注
關(guān)注
215文章
34187瀏覽量
250590 -
服務(wù)器
+關(guān)注
關(guān)注
12文章
8843瀏覽量
84946 -
防火墻
+關(guān)注
關(guān)注
0文章
413瀏覽量
35562
原文標題:華為防火墻(USG)的管理方式配置
文章出處:【微信號:網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號:網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論