华为防火墙的管理方式介绍及配置

博文大纲:

  • 一、华为防火墙设备的几种管理方式介绍
  • 二、各种管理方式的配置
    1、通过Telnet方式管理
    2、通过web方式管理
    3、通过SSH方式管理

一、华为防火墙设备的几种管理方式介绍

由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下。

AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提供服务。其中:

  • 验证:哪些用户可以访问网络服务器。
  • 授权:具有访问权限的用户可以得到哪些服务,有什么权限。
  • 记账:如何对正在使用网络资源的用户进行审计。

    AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。

    网络设备的AAA认证方式有本地身份验证、远程身份验证两大类,本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的AAA服务器来完成,这需要设备和AAA服务器进行关联。

    华为防火墙支持用户进行本地与远程配置,以下所有配置都将以本地配置来进行身份验证。

华为防火墙常见的管理方式有:

  • 通过Console方式管理:属于带外管理,不占用带宽,适用于新设备的首次配置时使用,在第一次配置时,会配置下面几个管理方式的其中一个或多个,下次在配置直接远程连接即可,无须使用Console连接了。
  • 通过Telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。因为在配置时所有数据是明文传输,所以仅限于内网环境使用。
  • 通过web管理方式:属于带内管理,可以基于图形化管理,适用于新手配置设备(但也要熟知其工作原理)。
  • 通过SSH方式管理,属于带内管理,配置相比较复杂些,资源占用也高,但是欣慰的是安全性极高,主要适用于对安全性要求较高的场景,如通过互联网远程管理公司网络设备。

二、各种管理方式的配置

Console方式的管理,只要连接console线,在客户端使用超级终端连接即可,具体操作请百度吧,这里就不写了。

1、通过Telnet方式管理配置

这个的网络环境没什么好说的,我这里使用eNSP拉了一台防火墙,连接上宿主机即可,连接宿主机主要是为了验证,若需要在eNSP上验证效果,需要给模拟器上的防火墙导入系统,我这里使用的是USG6000的防火墙,可以下载我提供的防火墙系统文件

防火墙配置如下:

USG6000的防火墙,默认编号最小的接口(一般是G0/0/0)已经配置了远程管理的一些相关配置及IP地址,所以有很多配置是可以省略的,不过为了完整的将所需的配置写下来,我不使用它的G0/0/0接口,而使用别的全新没有配置的接口。

如下:

开始配置:

<USG6000V1>sys                <!--进入系统视图-->
[USG6000V1]in g1/0/0                    <!--进入该接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24          <!--给接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]telnet server enable                        <!--打开防火墙的Telnet功能-->
[USG6000V1]in g1/0/0                   <!--进入该接口-->
[USG6000V1-GigabitEthernet1/0/0]service-manage enable           <!--配置接口管理模式-->
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit        <!--允许Telnet-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust                    <!--进入trust区域-->
[USG6000V1-zone-trust]add in g1/0/0        <!--将g1/0/0加入该区域-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]security-policy               <!--设置安全策略-->
[USG6000V1-policy-security]rule name allow_telnet   <!--配置规则,allow_telnet是定义的规则名-->
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust <!--指定规则中的源区域为trust-->
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local <!--指定目标区域为local-->
[USG6000V1-policy-security-rule-allow_telnet]action permit           <!--动作是允许-->
[USG6000V1]user-interface vty 0 4                     <!--进入vty接口-->
[USG6000V1-ui-vty0-4]authentication-mode aaa          <!--指定验证方式为AAA-->
[USG6000V1-ui-vty0-4]protocol inbound telnet          <!--允许Telnet连接虚拟终端-->
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa              <!--进入AAA配置-->
[USG6000V1-aaa]manager-user lv              <!--配置本地用户“lv”-->
[USG6000V1-aaa-manager-user-lv]password            <!--设置密码-->

Enter Password:                           <!--输入密码-->

Confirm Password:                       <!--确认密码-->
[USG6000V1-aaa-manager-user-lv]service-type telnet         <!--配置服务类型为Telnet-->
[USG6000V1-aaa-manager-user-lv]level 3                   <!--设置管理级别为3-->
[USG6000V1-aaa-manager-user-lv]quit
[USG6000V1-aaa]quit

经过上面的配置,即可使用Xshell等超级终端软件连接该防火墙了。使用Telnet命令即可连接,如下:

[C:\~]$ telnet 192.168.1.254                     <!--telnet连接防火墙-->

Connecting to 192.168.1.254:23...
Connection established.
To escape to local shell, press ‘Ctrl+Alt+]‘.

Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.

Login authentication

Username:lv                         <!--输入刚才创建的用户名-->
Password:                         <!--输入刚才指定的密码-->
The password needs to be changed. Change now? [Y/N]: y
<!--账号首次登陆需要更改密码,输入“y”确定-->
Please enter old password:                <!--输入旧密码-->
Please enter new password:                   <!--新密码-->
Please confirm new password:                  <!--新密码-->

                   <!--
当新密码输入完成后,会断开连接,
再执行一下Telnet命令重新连接,使用新密码登陆即可
                                        -->

关于管理级别,在之前的博文提到过,“0”是参观级别,啥都做不了;“1”是监控级别,可以查看相关配置;“2”为配置级别,可以配置部分参数;“3-15”是管理级别,拥有最大的权限

2、配置web方式登录防火墙配置

注意:以下配置是在全新的防火墙上配置的,该防火墙默认没有任何配置,上面配置了Telnet的防火墙已经删除了。

开始配置:
<!---->

<USG6000V1>sys                       <!--进入系统视图-->
[USG6000V1]in g1/0/0                   <!--进入该接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24         <!--给接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit <!--允许https管理-->
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit <!--允许http管理-->
[USG6000V1]firewall zone trust          <!--进入trust区域-->
[USG6000V1-zone-trust]add in g1/0/0      <!--将g1/0/0加入该区域-->
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy        <!--设置安全策略-->
[USG6000V1-policy-security]rule name allow_web       <!--配置规则,allow_telnet是定义的规则名-->
[USG6000V1-policy-security-rule-allow_web]source-zone trust   <!--指定规则中的源区域为trust-->
[USG6000V1-policy-security-rule-allow_web]destination-zone local   <!--指定目标区域为local-->
[USG6000V1-policy-security-rule-allow_web]action permit   <!--动作是允许-->
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable
          <!--
开启web管理功能,该命令后面可以跟自定义端口号,默认是8443,
如web-manager security enable port 2000,执行security参数,是开启https功能,
不执行security参数,是开启http管理。注意不要使https和http的端口号冲突
                                     -->
[USG6000V1]aaa              <!--进入AAA配置-->
[USG6000V1-aaa]manager-user jian      <!--配置本地用户“jian”-->
[USG6000V1-aaa-manager-user-jian]password    <!--设置密码-->

Enter Password:                           <!--输入密码-->

Confirm Password:            <!--确认密码-->

[USG6000V1-aaa-manager-user-jian]level 3      <!--设置管理级别为3-->
[USG6000V1-aaa-manager-user-jian]quit
[USG6000V1-aaa]quit

经过以上配置,现在即可使用web访问测试,防火墙默认情况下开启的https端口为8443,使用客户端访问测试,经过上面的配置,应使用 https://192.168.1.254:8443 进行访问(建议使用谷歌浏览器,可能是eNSP模拟器的原因,若网页加载不出来,多刷新几次就好):

根据提示,输入相应密码,更改密码(用户首次登陆须更改密码):

更改新密码后,使用用户名及新密码进行登录:

登录后就可以看到下面的管理界面了(加载不出来就多刷新几次):

配置web方式管理设备至此就完成了。

3、配置SSH方式登录设备

和Telnet相比,SSH安全性更高,所以一般不推荐使用Telnet方式登录设备,而是通过ssh来登录设备,下面开始配置SSH方式登录设备(注意:防火墙所有配置都没了,现在又是重新开始配置):

开始配置:

<USG6000V1>sys                      <!--进入系统视图-->
[USG6000V1]in g1/0/0                  <!--进入该接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24        <!--给接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]service-manage enable            <!--配置接口管理模式-->
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit       <!--允许SSH-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust                    <!--进入trust区域-->
[USG6000V1-zone-trust]add in g1/0/0        <!--将g1/0/0加入该区域-->
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy               <!--设置安全策略-->
[USG6000V1-policy-security]rule name allow_ssh  <!--配置规则,allow_ssh是定义的规则名-->
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust <!--指定规则中的源区域为trust-->
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local <!--指定目标区域为local-->
[USG6000V1-policy-security-rule-allow_ssh]action permit           <!--动作是允许-->
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create            <!--创建密钥-->
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:         <!--设置密钥的长度,直接回车即可-->
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4              <!--进入vty接口-->
[USG6000V1-ui-vty0-4]authentication-mode aaa          <!--指定验证方式为AAA-->
[USG6000V1-ui-vty0-4]protocol inbound ssh      <!--允许ssh连接虚拟终端-->
[USG6000V1-ui-vty0-4]quit
[USG6000V1]ssh user zhao            <!--创建本地用户“zhao”-->
[USG6000V1]ssh user zhao authentication-type password           <!--设置密码-->
[USG6000V1]ssh user zhao service-type stelnet        <!--配置服务类型为stelnet-->
[USG6000V1]aaa          <!--进入AAA配置-->
[USG6000V1-aaa]manager-user zhao            <!--配置本地用户“zhao”-->
[USG6000V1-aaa-manager-user-zhao]password           <!--设置密码-->

Enter Password:                    <!--输入密码-->

Confirm Password:                   <!--确认密码-->
[USG6000V1-aaa-manager-user-zhao]service-type ssh        <!--配置服务类型为ssh-->
[USG6000V1-aaa-manager-user-zhao]level 3                   <!--设置管理级别为3-->
[USG6000V1-aaa-manager-user-zhao]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable              <!--开启stelnet-->

至此配置完毕,开始使用Xshell连接即可。

执行命令“ssh 192.168.1.254”进行连接,剩下操作看图吧,不解释了。

写在最后:

其实你们仔细看完后,应该不难发现,每种方式管理的配置并不复杂,很多地方都一样(第三种管理方式的注释我基本上都是复制前两种的,稍作改动就行了,所以,别嫌我繁琐,因为我想在一些新手参考这篇文档时可以看的更方便些。)

———————— 本文至此结束,感谢阅读 ————————

原文地址:https://blog.51cto.com/14154700/2426316

时间: 2024-11-05 14:39:53

华为防火墙的管理方式介绍及配置的相关文章

华为防火墙的管理方式(Console、Telnet、Web、SSH)

一.华为防火墙设备的管理方式 1.AAA介绍 AAA是验证(Authentication).授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务.其中: 验证:哪些用户可以访问网络服务器. 授权:具有访问权限的用户可以得到哪些服务,有什么权限. 记账:如何对正在使用网络资源的用户进行审计. AAA服务器通常同网络访问控制.网关服务器.数据库及用户信息目录等协同工作.

Windows Server 2012 R2 服务器管理器介绍和配置使用

1. 服务管理器是用于管理系统服务的管理工具.一般常用于windows系统,使用这个工具你可以启动.停止服务:设置服务是自动.手动启动或禁用:查看某个服务的相关信息:设置服务以什么用户启动等等(一般包括了超级管理员用户.管理员用户和游客用户):设置用户注销,软件等 2. 服务器管理器配置: http://www.jb51.net/os/windows/63454.html http://bbs.51cto.com/thread-953444-1-1.html Windows防火墙:控制面板-->

WAF Web应用防火墙常见部署方式介绍

1.透明代理模式,该模式可以理解为交换机,经过的流量先被WAF处理,在到防火墙:2.反向代理,单臂模式,需要通过NAT Server将外部用户访问内网服务器的流量映射到WAF,然后在由WAF做处理后转发给服务器:反代单臂模式可支持VRRP协议,通过部署两台H3C SecPath WAF开启VRRP协议可实现双机HA模式:3.反向代理,双臂模式,WAF接口工作在三层模式,同样的方法,采用映方式将流量映射到WAF,然后在由WAF反向代理到WEB服务器:4.反向代理,链路模式牵引模式部署:该方式可旁路

华为防火墙NAT控制详细介绍

原文地址:https://blog.51cto.com/14400213/2446085

初识华为防火墙应用层过滤技术

博文目录一.应用层过滤有哪些?1.文件类型过滤2.内容过滤3.URL过滤 一.应用层过滤有哪些? 文件类型过滤:主要针对不同类型(扩展名不同)的文件过滤,USG防火墙可以识别数据包携带的应用层文件类型.其检查过程并非只查询文件的扩展名,而是基于文件内容进行识别,如果发送方将a.exe文件改为a.docx,防火墙根据内容将识别为EXE文件. 内容过滤:基于HTTP中发送博客内容.论坛发送帖子内容.SMTP中的发送邮件主题及正文内容.FTP中上传和下载文件的名称,文件共享服务中的文件名称等过滤,可以

华为防火墙(USG)的管理方式配置

一.华为防火墙设备的几种管理方式介绍:由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下. AAA是验证(Authentication).授权(Authorization)和记账(Accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提供服务.其中: 验证:哪些用户可以访问网络服务器. 授权:具有访问权限的用户可以得到哪些服务,有什么权限. 记账:如何对正在使用网络资源的用户进行

Centos7.X自带的防火墙和服务的相关的配置

centos7.0版本之后相对于以前的版本更改行还是很大的,原先在6.5版本之前命令和配置文件大致都差不多,自7.0版本之后一些功能都有较大的改变,接下来会从防火墙和服务的相关配置来进行剖析. (一)防火墙firewall的相关介绍及配置 CentOS 7中防火墙是一个非常的强大的功能,在CentOS 6.5中在iptables防火墙中进行了升级了.(he dynamic firewall daemon firewalld provides a dynamically managed firew

华为防火墙实现远程管理的方式及配置详解

关于网络设备或是服务器,管理人员几乎很少会守着设备进行维护及管理,最普遍.应用最广泛的就是--远程管理.下面简单介绍一下华为防火墙管理的几种方式. 博文大纲:一.华为防火墙常见的管理方式:二.各种管理方式配置详解:1.通过Console线进行管理:2.通过Telnet方式管理:3.通过Web方式登录设备:4.配置SSH方式登录设备: 一.华为防火墙常见的管理方式 提到管理,必然会涉及到AAA的概念,我们首先来了解一下--AAA. AAA概述 AAA是验证.授权和记账三个英文单词的简称.是一个能够

华为防火墙的NAT介绍及配置详解

博文大纲:一.华为防火墙NAT的六个分类:二.解决NAT转换时的环路及无效ARP:三.server-map表的作用:四.NAT对报文的处理流程:五.各种常用NAT的配置方法: 一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转