中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

華為防火墻實現遠程管理的方式及配置詳解

發布時間:2020-06-28 12:42:41 來源:網絡 閱讀:1609 作者:筱振 欄目:安全技術

關于網絡設備或是服務器,管理人員幾乎很少會守著設備進行維護及管理,最普遍、應用最廣泛的就是——遠程管理。下面簡單介紹一下華為防火墻管理的幾種方式。

博文大綱:
一、華為防火墻常見的管理方式;
二、各種管理方式配置詳解;
1.通過Console線進行管理;
2.通過Telnet方式管理;
3.通過Web方式登錄設備;
4.配置SSH方式登錄設備;

一、華為防火墻常見的管理方式

提到管理,必然會涉及到AAA的概念,我們首先來了解一下——AAA。

AAA概述

AAA是驗證、授權和記賬三個英文單詞的簡稱。是一個能夠處理用戶訪問請求的服務器程序,主要目的是管理用戶訪問網絡服務器,為具有訪問權限的用戶提供服務。

其中:

  • 驗證:哪些用戶可以訪問網絡服務器;
  • 授權:具有訪問權限的用戶可以得到哪些服務,具有什么樣的權限;
  • 記賬:如何對正在使用網絡資源的用戶進行審計;

AAA服務器通常同網絡訪問控制、網關服務器、數據庫及用戶信息目錄等協同工作。若要訪問網絡資源,首先要進行用戶的入網認證,這樣才能訪問網絡資源。鑒別的過程就是驗證用戶身份的合法性;鑒別完成后,才能對用戶訪問網絡資源進行授權,并對用戶訪問網絡資源進行計費管理。

網絡設備的AAA認證方式有本地驗證、遠程身份驗證兩大類。

  • 本地驗證就是將用戶和密碼在本地創建并驗證;
  • 遠程身份驗證通過各個廠商自由的AAA服務器來完成,這需要設備和AAA服務器進行關聯;

華為防火墻常見的管理方式有:

  • 通過Console方式管理:屬于帶外管理,不占用帶寬,適用于新設備的首次配置場景;
  • 通過Telnet方式管理:屬于帶內管理,配置簡單、安全性低、資源占用少,主要適用于安全性不高的場景。比如:公司內部;
  • 通過Web方式管理,屬于帶內管理,可以基于圖形化管理,更適用于新手配置設備;
  • 通過SSH方式管理:屬于帶內管理配置復雜、安全性高、資源占用高,主要適用于對安全性要求較高的場景,如通過互聯網遠程管理公司網絡設備;

二、各種管理方式配置詳解

1.通過Console線進行管理

這種方式適用于剛購買的新設備,實際環境中,插上Console即可!這里就不再多說了!

2.通過Telnet方式管理

Telnet管理方式通過配置使終端通過Telnet方式登錄設備,實現對設備的配置和管理。其實這種環境拓補只需一個防火墻(版本為USG6000)和Cloud(主要是為了可以橋接到宿主機或虛擬機)即可,實驗拓補如下:
華為防火墻實現遠程管理的方式及配置詳解

(1)首次登錄Console控制臺時,按要求配置密碼,如圖

華為防火墻實現遠程管理的方式及配置詳解

(2)配置防火墻接口IP地址,便于日后管理
<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable 
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]quit 
(3)打開防火墻的Telnet功能
[USG6000V1]telnet server enable 
(4)配置防火墻允許遠程管理
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable 
//配置接口管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit 
//允許Telnet
[USG6000V1-GigabitEthernet0/0/0]quit
(5)將防火墻接口g0/0/0加入安全區域
[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g0/0/0
 Error: The interface has been added to trust security zone. 
 //這是正常提示,表示這個接口 已經添加到安全區域中
[USG6000V1-zone-trust]quit
(6)將防火墻配置域間包過濾,以保證網絡基本通信正常

因為Telnet流量屬于防火墻自身收發,所以需要配置Trust區域到Local區域的安全策略,命令如下:

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_telent
//配置規則,其中allow_telnet為規則名,可自定義
[USG6000V1-policy-security-rule-allow_telent]source-zone trust 
//匹配條件,源區域是trust區域
[USG6000V1-policy-security-rule-allow_telent]destination-zone local 
//匹配條件,目標區域是local區域
[USG6000V1-policy-security-rule-allow_telent]action permit 
//匹配條件滿足后,執行的動作,permit為允許的意思
[USG6000V1-policy-security-rule-allow_telent]quit
[USG6000V1-policy-security]quit
(7)配置認證模式及本地用戶信息
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
//用戶接口驗證方式為AAA
[USG6000V1-ui-vty0-4]protocol inbound telnet 
//允許Telnet連接虛擬終端
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj
//配置本地用戶lzj
[USG6000V1-aaa-manager-user-lzj]password cipher lzj@1234
//配置用戶密碼(cipher為密文方式)
Info: You are advised to config on man-machine mode.
//建議使用man-machine方式配置密碼
[USG6000V1-aaa-manager-user-lzj]service-type telnet 
//配置服務類型為telnet
[USG6000V1-aaa-manager-user-lzj]level 3
//配置用戶權限級別
[USG6000V1-aaa-manager-user-lzj]quit 
[USG6000V1-aaa]quit

注意:USG6000系列屬于最新版本,配置本地用戶名和密碼需要使用manager-user命令,之前的版本則使用local-user命令。

(8)客戶端測試訪問

華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解

客戶端Telnet訪問成功!

3.通過Web方式登錄設備

建議在模擬器上重新部署設備,當然也可在Telnet的基礎上繼續配置Web方式訪問!為了簡單明了,朋友更加明白配置Web方式,本人重新畫實驗拓補,實驗拓補還是原本的樣子,一朵 Cloud模擬真實客戶端,一臺USG6000防火墻。配置命令如下:

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable 
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]service-manage http permit 
[USG6000V1-GigabitEthernet0/0/0]service-manage https permit 
[USG6000V1-GigabitEthernet0/0/0]quit
//打開接口的http和https管理
[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g0/0/0
 Error: The interface has been added to trust security zone. 
 //正常提示,可以忽略
[USG6000V1-zone-trust]quit
//配置接口加入Trust區域
[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust 
[USG6000V1-policy-security-rule-allow_web]destination-zone local
[USG6000V1-policy-security-rule-allow_web]action permit 
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
//如果在Telnet基礎上配置Web方式訪問,這些安全配置可以忽略
[USG6000V1]web-manager security enable 
//開啟https安全訪問功能
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj
[USG6000V1-aaa-manager-user-lzj]password

Enter Password:

Confirm Password:
//在這種模式下,配置的密碼將不可見,這也是華為推薦的方式
[USG6000V1-aaa-manager-user-lzj]service-type web
//指定服務類型
[USG6000V1-aaa-manager-user-lzj]level 3
//指定權限級別
[USG6000V1-aaa-manager-user-lzj]quit
[USG6000V1-aaa]quit

注意:
其中“web-manager security enable ”命令后也可以自定義端口,比如:web-manager security enableport 2000,執行security參數,是開啟https管理,不加security參數則表示可以開啟http管理。絕對不允許https和http管理使用相同的端口,這樣配置會導致端口沖突。訪問失敗!

客戶端訪問驗證:
華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解
客戶端通過Web方式訪問成功!

4.配置SSH方式登錄設備

為了初學者能夠看明白,這里還是重新部署設備,實驗拓補,跟前兩種方式一樣!也可在之前的基礎繼續配置,根據自己能力即可!SSH方式登錄設備,配置命令如下:

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable 
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.20 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]service-manage enable 
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit 
[USG6000V1-GigabitEthernet0/0/0]quit
//打開接口的ssh管理
[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g0/0/0
 Error: The interface has been added to trust security zone. 
 //正常提示,可以忽略
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local
[USG6000V1-policy-security-rule-allow_ssh]action permit 
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit 
[USG6000V1]
//配置安全策略,如果在web方式或者Telnet方式之后,這些步驟可以省略
[USG6000V1]rsa local-key-pair create 
//創建SSH所需的密鑰對
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
輸入默認的密鑰長度,默認值為2048           
Input the bits in the modulus[default = 2048]:
Generating keys...
.+++++
........................++
....++++
...........++

[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
//并且開啟ssh協議訪問
[USG6000V1]ssh user lzj 
//指定lzj為SSH用戶
[USG6000V1]ssh user lzj authentication-type password
//配置認證方式
[USG6000V1]ssh user lzj service-type stelnet
//配置服務類型
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj
//創建本地用戶lzj
[USG6000V1-aaa-manager-user-lzj]password cipher lzj@1234
Info: You are advised to config on man-machine mode.
//提示建議使用man-machine模式設置密碼
[USG6000V1-aaa-manager-user-lzj]service-type ssh
//指定服務類型為ssh
[USG6000V1-aaa-manager-user-lzj]level 3
//管理模式為3
[USG6000V1-aaa-manager-user-lzj]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable
//開啟SSH服務

客戶端訪問測試:
本人習慣使用xshell,個人習慣,cmd命令框也可以的!
華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解
華為防火墻實現遠程管理的方式及配置詳解

客戶端SSH方式訪問成功!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

宁河县| 白银市| 许昌市| 定西市| 乐安县| 大名县| 靖远县| 茂名市| 江油市| 博罗县| 白山市| 桃园市| 常德市| 宽甸| 尤溪县| 鄂温| 门头沟区| 荔浦县| 买车| 盐边县| 瑞安市| 革吉县| 根河市| 邹城市| 龙里县| 阿拉尔市| 新平| 固原市| 台中市| 梧州市| 定安县| 合江县| 电白县| 木兰县| 湾仔区| 德保县| 乌拉特前旗| 邢台市| 蓬溪县| 法库县| 湘潭县|