华为防火墙的管理方式(Console、Telnet、Web、SSH)

一、华为防火墙设备的管理方式

1、AAA介绍

AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务。其中:

  • 验证:哪些用户可以访问网络服务器。
  • 授权:具有访问权限的用户可以得到哪些服务,有什么权限。
  • 记账:如何对正在使用网络资源的用户进行审计。

AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。

网络设备的AAA认证方式有本地身份验证(local)、远程身份验证两大类。本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的AAA服务器来完成,这需要设备和AAA服务器进行关联。

华为防火墙支持用户进行本地与远程配置,今天只介绍本地的身份验证。

2、华为防火墙常见的管理方式有:

  • 通过Console方式管理:属于带外管理,不占用户带宽,适用于新设备的首次配置场景。
  • 通过Telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。
  • 通过Web方式管理:属于带内管理,可以基于图形化管理,更适用于新手配置设备。
  • 通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,比如通过互联网远程管理公司网络设备。

二、每个管理方式的配置

Console方式的管理,只要连接console线,在客户端使用超级终端连接即可,具体操作请查阅相关资料,这里就不多说了。

1、通过Telnet方式管理

Telnet管理方式通过配置使终端通过Telnet方式登录设备,实现对设备的配置和管理。

(1)配置前准备

我使用的是eNSP软件,在eNSP中添加一台防火墙,一台Cloud设备(桥接虚拟机充当客户端使用)模拟器上的防火墙需要导入系统,我这里使用的是USG6000的防火墙,可以通过下载位置:https://pan.baidu.com/s/1K8867Y8aPRjP_WuwBaqDhg 下载防火墙系统。

USG6000的防火墙,默认编号最小的接口(也就是G0/0/0)已经配置了远程管理的一些相关配置及IP地址,所以有很多配置是可以省略的,我就用G1/0/0这个全新的接口操作,比较全面。

(2)开始配置防火墙:

首次登录Console控制台,按要求配置初始管理密码:

<USG6000V1>system-view     #切换到系统视图
[USG6000V1]int g1/0/0          #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24    #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]undo shutdown              #激活接口
[USG6000V1-GigabitEthernet1/0/0]quit               #保存退出
[USG6000V1]int g1/0/0                      #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]service-manage enable        #进入到管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit    #允许telnet
[USG6000V1-GigabitEthernet1/0/0]quit            #保存退出
[USG6000V1]firewall zone trust              #进入到trust区域
[USG6000V1-zone-trust]add int g1/0/0        #将G1/0/0加入到trust区域
[USG6000V1-zone-trust]quit                   #保存退出
[USG6000V1]security-policy               #设置安全策略
[USG6000V1-policy-security]rule name allow_telnet    #创建安全策略名字为allow_telnet
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust   #配置安全策略源区域trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local  #配置安全策略目标区域local
[USG6000V1-policy-security-rule-allow_telnet]action permit  #允许trust区域访问防火墙本地区域local
[USG6000V1-policy-security-rule-allow_telnet]quit     #保存退出
[USG6000V1-policy-security]quit           #同上
[USG6000V1]user-interface vty 0 4              #配置vty,允许5个终端使用telnet功能
[USG6000V1-ui-vty0-4]authentication-mode aaa    #配置telnet使用AAA身份验证
[USG6000V1-ui-vty0-4]protocol inbound telnet         #允许AAA验证telnet
[USG6000V1-ui-vty0-4]quit             #保存退出
[USG6000V1]aaa                 #进入AAA验证
[USG6000V1-aaa]manager-user benet           #AAA验证账户是benet
[USG6000V1-aaa-manager-user-benet]password cipher [email protected]  #AAA验证密码是[email protected]
[USG6000V1-aaa-manager-user-benet]service-type telnet    #AAA给telnet提供验证功能
[USG6000V1-aaa-manager-user-benet]level 15    #设置telnet账户Benet为管理员权限
#“0”是参观级别,啥都做不了;“1”是监控级别,可以查看相关配置;“2”为配置级别,可以配置部分参数;“3-15”是管理级别,拥有最大的权限
[USG6000V1-aaa-manager-user-benet]quit
[USG6000V1-aaa]quit

Telnet管理方式配置完成,可以通过CMD、CRT、Xshell等超级终端软件连接该防火墙。如下:

  • CMD连接:

    Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
    Login authentication
    Username:benet            #输入刚才创建的账户名
    Password:                        #输入刚才设置密码
    The password needs to be changed. Change now? [Y/N]: y   #首次登录需要更改密码,Y即可
    Please enter old password:           #输入旧密码
    Please enter new password:           #输入新密码
    Please confirm new password:           #确认新密码
    遗失对主机的连接。              #退出重新telnet输入新密码即可
  • CRT连接:

  • Xshell连接:

2、通过SSH方式管理

和Telnet、Web相比,SSH安全性更高,所以一般不推荐使用Telnet方式登录设备,而是通过ssh来登录设备,下面开始配置SSH方式登录设备(重新搭环境重新配置)

开始配置:

<USG6000V1>system-view    #切换到系统视图
[USG6000V1]int g1/0/0          #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24        #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]service-manage enable        #进入到管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit   #允许ssh
[USG6000V1-GigabitEthernet1/0/0]quit          #保存退出
[USG6000V1]firewall zone trust            #进入到trust区域
[USG6000V1-zone-trust]add int g1/0/0        #将G1/0/0接口加入trust区域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy           #进入安全策略
[USG6000V1-policy-security]rule name allow_ssh        #创建安全策略allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust  #定义安全策略源区域为trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local  #定义安全策略目标区域为local
[USG6000V1-policy-security-rule-allow_ssh]action permit  #允许trust区域访问local区域
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create          #设置ssh密钥对,最长2048
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:2048       #输入
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4        #配置vty,允许5个终端
[USG6000V1-ui-vty0-4]authentication-mode aaa     #ssh使用AAA验证
[USG6000V1-ui-vty0-4]protocol inbound ssh            #允许ssh使用AAA验证
[USG6000V1-ui-vty0-4]quit
[USG6000V1]ssh user test              #创建验证账户test
[USG6000V1]ssh user test authentication-type password   #使用密码验证
[USG6000V1]ssh user test service-type stelnet         #配置验证服务类型为ssh
[USG6000V1]aaa              #进入AAA
[USG6000V1-aaa]manager-user test      #AAA验证用户名为test
[USG6000V1-aaa-manager-user-test]password cipher [email protected]    #AAA验证test账户密码为[email protected]
[USG6000V1-aaa-manager-user-test]service-type ssh     #AAA给ssh提供验证
[USG6000V1-aaa-manager-user-test]level 15       #设置ssh验证账户为管理员
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable                 #开启ssh

SSH方式管理至此配置完成,Xshell或者CRT连接测试,如下:

CRT连接:

这是修改完密码登录的界面,第一次登录输入上面创建的账户(test),密码[email protected]登录即可,提示修改密码时输入“Y”修改密码重新连接即可。

Xshell连接:




刚才CRT登录修改过密码,这次就不需要修改了。、

3、通过Web方式管理:

开始配置:

<USG6000V1>system-view       #切换系统视图
[USG6000V1]int g1/0/0               #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24  #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit  #允许http协议远程
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit  #允许https协议远程
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust                  #进入到trust区域
[USG6000V1-zone-trust]add int GigabitEthernet 1/0/0       #将G1/0/0接口加入trust区域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy          #进入安全策略
[USG6000V1-policy-security]rule name allow_web      #创建安全策略名字为allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust    #策略源区域为trust
[USG6000V1-policy-security-rule-allow_web]destination-zone local  #策略目标区域为local
[USG6000V1-policy-security-rule-allow_web]action permit    #允许trust区域访问local区域
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable        #开启web管理功能
[USG6000V1]aaa       #进入AAA配置
[USG6000V1-aaa]manager-user web       #配置验证账户名为web
[USG6000V1-aaa-manager-user-web]password  #设置AAA验证密码
Enter Password:         #输入密码
Confirm Password:         #重复输入
[USG6000V1-aaa-manager-user-web]service-type web   #允许使用web验证
[USG6000V1-aaa-manager-user-web]level 15         #设置为管理员权限
[USG6000V1-aaa-manager-user-web]quit
[USG6000V1-aaa]quit

经过以上配置,现在即可使用web访问测试,防火墙默认情况下开启的https端口为8443,使用客户端访问测试,经过上面的配置,应使用 https://192.168.100.10:8443 进行访问,若网页加载不出来,多刷新几次就好了:




Web方式管理就配置完成了。

整个博文看完你会发现,每种方式管理的配置并不复杂,很多地方都是重复命令。

此博文到此结束,感谢阅读!

原文地址:https://blog.51cto.com/14156658/2433441

时间: 2024-11-09 07:22:27

华为防火墙的管理方式(Console、Telnet、Web、SSH)的相关文章

华为防火墙的管理方式介绍及配置

博文大纲: 一.华为防火墙设备的几种管理方式介绍 二.各种管理方式的配置1.通过Telnet方式管理2.通过web方式管理3.通过SSH方式管理 一.华为防火墙设备的几种管理方式介绍 由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下. AAA是验证(Authentication).授权(Authorization)和记账(Accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提

初识华为防火墙应用层过滤技术

博文目录一.应用层过滤有哪些?1.文件类型过滤2.内容过滤3.URL过滤 一.应用层过滤有哪些? 文件类型过滤:主要针对不同类型(扩展名不同)的文件过滤,USG防火墙可以识别数据包携带的应用层文件类型.其检查过程并非只查询文件的扩展名,而是基于文件内容进行识别,如果发送方将a.exe文件改为a.docx,防火墙根据内容将识别为EXE文件. 内容过滤:基于HTTP中发送博客内容.论坛发送帖子内容.SMTP中的发送邮件主题及正文内容.FTP中上传和下载文件的名称,文件共享服务中的文件名称等过滤,可以

华为防火墙实现远程管理的方式及配置详解

关于网络设备或是服务器,管理人员几乎很少会守着设备进行维护及管理,最普遍.应用最广泛的就是--远程管理.下面简单介绍一下华为防火墙管理的几种方式. 博文大纲:一.华为防火墙常见的管理方式:二.各种管理方式配置详解:1.通过Console线进行管理:2.通过Telnet方式管理:3.通过Web方式登录设备:4.配置SSH方式登录设备: 一.华为防火墙常见的管理方式 提到管理,必然会涉及到AAA的概念,我们首先来了解一下--AAA. AAA概述 AAA是验证.授权和记账三个英文单词的简称.是一个能够

华为防火墙(USG)的管理方式配置

一.华为防火墙设备的几种管理方式介绍:由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下. AAA是验证(Authentication).授权(Authorization)和记账(Accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提供服务.其中: 验证:哪些用户可以访问网络服务器. 授权:具有访问权限的用户可以得到哪些服务,有什么权限. 记账:如何对正在使用网络资源的用户进行

SSG140 web、telnet、ssh无法访问,仅支持console

近期做一个网络变更时,发现SSG140通过web/telnet/ssh均无法访问,但snmp监控和ping均正常,内部上网各种应用均无异常,仅无法访问管理页面.今天对故障进行了处理. 1.各种管理方式失效,尝试用console连接ssg140 2.登录成功后,首先备份配置文件 get config > tftp 192.168.1.1  ssg140cfg.txt 3.检查管理配置信息 get admin      get admin manage-ip    get int eth0/0 检查

华为交换机路由器Console/Telnet/STelnet配置

本文主要总结了华为S57xx系列交换机Console/Telnet/STelnet常用配置: Console登陆配置 配置不带认证登陆 <Huawei> system-view #进入系统视图 [Huawei] user-interface console 0 #进入Console用户界面 [Huawei] authentication-mode none #配置认证方式为不需要密码验证 [Huawei] quit 配置普通密码登陆 <Huawei> system-view #进入

Cisco路由器交换机和防火墙配置console、telnet、ssh登录

路由器交换机:路由器和交换机配置一样configure terminal进入全局模式username XXX password YYY配置用户名和密码 配置console: line console 0 进入console配置模式 login local 应用本地用户名和密码登录(就是上面配置的) exit 退出 ************************************************************** 配置telnet: line vty 0 4 进入vty线

(转)web会话管理方式

阅读目录 1. 基于server端session的管理 2. cookie-based的管理方式 3. token-based的管理方式 4. 安全问题 5. 总结 http是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的.当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端.所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断他是否有权限继续这个请求.这

http 3种web会话管理方式

http是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的.当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端.所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断他是否有权限继续这个请求.这个过程就是常说的会话管理.它也可以简单理解为一个用户从登录到退出应用的一段期间.本文总结了3种常见的实现web应用会话管理的方式: 1)基于server端sessio