華為防火墻實(shí)現(xiàn)遠(yuǎn)程管理的方式及配置詳解

發(fā)布時(shí)間：2020-06-28 12:42:41 來(lái)源：網(wǎng)絡(luò) 閱讀：1608 作者：筱振欄目：安全技術(shù)

關(guān)于網(wǎng)絡(luò)設(shè)備或是服務(wù)器，管理人員幾乎很少會(huì)守著設(shè)備進(jìn)行維護(hù)及管理，最普遍、應(yīng)用最廣泛的就是——遠(yuǎn)程管理。下面簡(jiǎn)單介紹一下華為防火墻管理的幾種方式。

博文大綱：
一、華為防火墻常見(jiàn)的管理方式；
二、各種管理方式配置詳解；
1.通過(guò)Console線(xiàn)進(jìn)行管理；
2.通過(guò)Telnet方式管理；
3.通過(guò)Web方式登錄設(shè)備；
4.配置SSH方式登錄設(shè)備；

一、華為防火墻常見(jiàn)的管理方式

提到管理，必然會(huì)涉及到AAA的概念，我們首先來(lái)了解一下——AAA。

AAA概述

AAA是驗(yàn)證、授權(quán)和記賬三個(gè)英文單詞的簡(jiǎn)稱(chēng)。是一個(gè)能夠處理用戶(hù)訪(fǎng)問(wèn)請(qǐng)求的服務(wù)器程序，主要目的是管理用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù)器，為具有訪(fǎng)問(wèn)權(quán)限的用戶(hù)提供服務(wù)。

其中：

驗(yàn)證：哪些用戶(hù)可以訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù)器；

授權(quán)：具有訪(fǎng)問(wèn)權(quán)限的用戶(hù)可以得到哪些服務(wù)，具有什么樣的權(quán)限；

記賬：如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶(hù)進(jìn)行審計(jì)；

AAA服務(wù)器通常同網(wǎng)絡(luò)訪(fǎng)問(wèn)控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫(kù)及用戶(hù)信息目錄等協(xié)同工作。若要訪(fǎng)問(wèn)網(wǎng)絡(luò)資源，首先要進(jìn)行用戶(hù)的入網(wǎng)認(rèn)證，這樣才能訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。鑒別的過(guò)程就是驗(yàn)證用戶(hù)身份的合法性；鑒別完成后，才能對(duì)用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源進(jìn)行授權(quán)，并對(duì)用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源進(jìn)行計(jì)費(fèi)管理。

網(wǎng)絡(luò)設(shè)備的AAA認(rèn)證方式有本地驗(yàn)證、遠(yuǎn)程身份驗(yàn)證兩大類(lèi)。

本地驗(yàn)證就是將用戶(hù)和密碼在本地創(chuàng)建并驗(yàn)證；
遠(yuǎn)程身份驗(yàn)證通過(guò)各個(gè)廠(chǎng)商自由的AAA服務(wù)器來(lái)完成，這需要設(shè)備和AAA服務(wù)器進(jìn)行關(guān)聯(lián)；

華為防火墻常見(jiàn)的管理方式有：

通過(guò)Console方式管理：屬于帶外管理，不占用帶寬，適用于新設(shè)備的首次配置場(chǎng)景；

通過(guò)Telnet方式管理：屬于帶內(nèi)管理，配置簡(jiǎn)單、安全性低、資源占用少，主要適用于安全性不高的場(chǎng)景。比如：公司內(nèi)部；

通過(guò)Web方式管理，屬于帶內(nèi)管理，可以基于圖形化管理，更適用于新手配置設(shè)備；

通過(guò)SSH方式管理：屬于帶內(nèi)管理配置復(fù)雜、安全性高、資源占用高，主要適用于對(duì)安全性要求較高的場(chǎng)景，如通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程管理公司網(wǎng)絡(luò)設(shè)備；

二、各種管理方式配置詳解

1.通過(guò)Console線(xiàn)進(jìn)行管理

這種方式適用于剛購(gòu)買(mǎi)的新設(shè)備，實(shí)際環(huán)境中，插上Console即可！這里就不再多說(shuō)了！

2.通過(guò)Telnet方式管理

Telnet管理方式通過(guò)配置使終端通過(guò)Telnet方式登錄設(shè)備，實(shí)現(xiàn)對(duì)設(shè)備的配置和管理。其實(shí)這種環(huán)境拓補(bǔ)只需一個(gè)防火墻（版本為USG6000）和Cloud（主要是為了可以橋接到宿主機(jī)或虛擬機(jī)）即可，實(shí)驗(yàn)拓補(bǔ)如下：
華為防火墻實(shí)現(xiàn)遠(yuǎn)程管理的方式及配置詳解

（1）首次登錄Console控制臺(tái)時(shí)，按要求配置密碼，如圖

華為防火墻實(shí)現(xiàn)遠(yuǎn)程管理的方式及配置詳解

（2）配置防火墻接口IP地址，便于日后管理

<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable 
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]quit

（3）打開(kāi)防火墻的Telnet功能

[USG6000V1]telnet server enable

（4）配置防火墻允許遠(yuǎn)程管理

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable 
//配置接口管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit 
//允許Telnet
[USG6000V1-GigabitEthernet0/0/0]quit

（5）將防火墻接口g0/0/0加入安全區(qū)域

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g0/0/0
 Error: The interface has been added to trust security zone. 
 //這是正常提示，表示這個(gè)接口 已經(jīng)添加到安全區(qū)域中
[USG6000V1-zone-trust]quit

（6）將防火墻配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常

因?yàn)門(mén)elnet流量屬于防火墻自身收發(fā)，所以需要配置Trust區(qū)域到Local區(qū)域的安全策略，命令如下：

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_telent
//配置規(guī)則，其中allow_telnet為規(guī)則名，可自定義
[USG6000V1-policy-security-rule-allow_telent]source-zone trust 
//匹配條件，源區(qū)域是trust區(qū)域
[USG6000V1-policy-security-rule-allow_telent]destination-zone local 
//匹配條件，目標(biāo)區(qū)域是local區(qū)域
[USG6000V1-policy-security-rule-allow_telent]action permit 
//匹配條件滿(mǎn)足后，執(zhí)行的動(dòng)作，permit為允許的意思
[USG6000V1-policy-security-rule-allow_telent]quit
[USG6000V1-policy-security]quit

（7）配置認(rèn)證模式及本地用戶(hù)信息

[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
//用戶(hù)接口驗(yàn)證方式為AAA
[USG6000V1-ui-vty0-4]protocol inbound telnet 
//允許Telnet連接虛擬終端
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj
//配置本地用戶(hù)lzj
[USG6000V1-aaa-manager-user-lzj]password cipher lzj@1234
//配置用戶(hù)密碼（cipher為密文方式）
Info: You are advised to config on man-machine mode.
//建議使用man-machine方式配置密碼
[USG6000V1-aaa-manager-user-lzj]service-type telnet 
//配置服務(wù)類(lèi)型為telnet
[USG6000V1-aaa-manager-user-lzj]level 3
//配置用戶(hù)權(quán)限級(jí)別
[USG6000V1-aaa-manager-user-lzj]quit 
[USG6000V1-aaa]quit

注意：USG6000系列屬于最新版本，配置本地用戶(hù)名和密碼需要使用manager-user命令，之前的版本則使用local-user命令。

（8）客戶(hù)端測(cè)試訪(fǎng)問(wèn)

華為防火墻實(shí)現(xiàn)遠(yuǎn)程管理的方式及配置詳解

客戶(hù)端Telnet訪(fǎng)問(wèn)成功！

3.通過(guò)Web方式登錄設(shè)備

建議在模擬器上重新部署設(shè)備，當(dāng)然也可在Telnet的基礎(chǔ)上繼續(xù)配置Web方式訪(fǎng)問(wèn)！為了簡(jiǎn)單明了，朋友更加明白配置Web方式，本人重新畫(huà)實(shí)驗(yàn)拓補(bǔ)，實(shí)驗(yàn)拓補(bǔ)還是原本的樣子，一朵 Cloud模擬真實(shí)客戶(hù)端，一臺(tái)USG6000防火墻。配置命令如下：

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable 
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]service-manage http permit 
[USG6000V1-GigabitEthernet0/0/0]service-manage https permit 
[USG6000V1-GigabitEthernet0/0/0]quit
//打開(kāi)接口的http和https管理
[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g0/0/0
 Error: The interface has been added to trust security zone. 
 //正常提示，可以忽略
[USG6000V1-zone-trust]quit
//配置接口加入Trust區(qū)域
[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust 
[USG6000V1-policy-security-rule-allow_web]destination-zone local
[USG6000V1-policy-security-rule-allow_web]action permit 
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
//如果在Telnet基礎(chǔ)上配置Web方式訪(fǎng)問(wèn)，這些安全配置可以忽略
[USG6000V1]web-manager security enable 
//開(kāi)啟https安全訪(fǎng)問(wèn)功能
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj
[USG6000V1-aaa-manager-user-lzj]password

Enter Password:

Confirm Password:
//在這種模式下，配置的密碼將不可見(jiàn)，這也是華為推薦的方式
[USG6000V1-aaa-manager-user-lzj]service-type web
//指定服務(wù)類(lèi)型
[USG6000V1-aaa-manager-user-lzj]level 3
//指定權(quán)限級(jí)別
[USG6000V1-aaa-manager-user-lzj]quit
[USG6000V1-aaa]quit

注意：
其中“web-manager security enable ”命令后也可以自定義端口，比如：web-manager security enableport 2000，執(zhí)行security參數(shù)，是開(kāi)啟https管理，不加security參數(shù)則表示可以開(kāi)啟http管理。絕對(duì)不允許https和http管理使用相同的端口，這樣配置會(huì)導(dǎo)致端口沖突。訪(fǎng)問(wèn)失??！

客戶(hù)端訪(fǎng)問(wèn)驗(yàn)證：
華為防火墻實(shí)現(xiàn)遠(yuǎn)程管理的方式及配置詳解

客戶(hù)端通過(guò)Web方式訪(fǎng)問(wèn)成功！

4.配置SSH方式登錄設(shè)備

為了初學(xué)者能夠看明白，這里還是重新部署設(shè)備，實(shí)驗(yàn)拓補(bǔ)，跟前兩種方式一樣！也可在之前的基礎(chǔ)繼續(xù)配置，根據(jù)自己能力即可！SSH方式登錄設(shè)備，配置命令如下：

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable 
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.20 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]service-manage enable 
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit 
[USG6000V1-GigabitEthernet0/0/0]quit
//打開(kāi)接口的ssh管理
[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g0/0/0
 Error: The interface has been added to trust security zone. 
 //正常提示，可以忽略
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local
[USG6000V1-policy-security-rule-allow_ssh]action permit 
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit 
[USG6000V1]
//配置安全策略，如果在web方式或者Telnet方式之后，這些步驟可以省略
[USG6000V1]rsa local-key-pair create 
//創(chuàng)建SSH所需的密鑰對(duì)
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
輸入默認(rèn)的密鑰長(zhǎng)度，默認(rèn)值為2048           
Input the bits in the modulus[default = 2048]:
Generating keys...
.+++++
........................++
....++++
...........++

[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
//并且開(kāi)啟ssh協(xié)議訪(fǎng)問(wèn)
[USG6000V1]ssh user lzj 
//指定lzj為SSH用戶(hù)
[USG6000V1]ssh user lzj authentication-type password
//配置認(rèn)證方式
[USG6000V1]ssh user lzj service-type stelnet
//配置服務(wù)類(lèi)型
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj
//創(chuàng)建本地用戶(hù)lzj
[USG6000V1-aaa-manager-user-lzj]password cipher lzj@1234
Info: You are advised to config on man-machine mode.
//提示建議使用man-machine模式設(shè)置密碼
[USG6000V1-aaa-manager-user-lzj]service-type ssh
//指定服務(wù)類(lèi)型為ssh
[USG6000V1-aaa-manager-user-lzj]level 3
//管理模式為3
[USG6000V1-aaa-manager-user-lzj]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable
//開(kāi)啟SSH服務(wù)

客戶(hù)端訪(fǎng)問(wèn)測(cè)試：
本人習(xí)慣使用xshell，個(gè)人習(xí)慣，cmd命令框也可以的！
華為防火墻實(shí)現(xiàn)遠(yuǎn)程管理的方式及配置詳解

客戶(hù)端SSH方式訪(fǎng)問(wèn)成功！

向AI問(wèn)一下細(xì)節(jié)

華為防火墻實(shí)現(xiàn)遠(yuǎn)程管理的方式及配置詳解

一、華為防火墻常見(jiàn)的管理方式

AAA概述

二、各種管理方式配置詳解

1.通過(guò)Console線(xiàn)進(jìn)行管理

2.通過(guò)Telnet方式管理

（1）首次登錄Console控制臺(tái)時(shí)，按要求配置密碼，如圖

（2）配置防火墻接口IP地址，便于日后管理

（3）打開(kāi)防火墻的Telnet功能

（4）配置防火墻允許遠(yuǎn)程管理

（5）將防火墻接口g0/0/0加入安全區(qū)域

（6）將防火墻配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常

（7）配置認(rèn)證模式及本地用戶(hù)信息

（8）客戶(hù)端測(cè)試訪(fǎng)問(wèn)

3.通過(guò)Web方式登錄設(shè)備

4.配置SSH方式登錄設(shè)備

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽

（1）首次登錄Console控制臺(tái)時(shí)，按要求配置密碼，如圖

（2）配置防火墻接口IP地址，便于日后管理