中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

華為防火墻的管理方式介紹及配置

發布時間:2020-02-25 06:10:21 來源:網絡 閱讀:15180 作者:warrent 欄目:安全技術

博文大綱:

  • 一、華為防火墻設備的幾種管理方式介紹
  • 二、各種管理方式的配置
    1、通過Telnet方式管理
    2、通過web方式管理
    3、通過SSH方式管理

一、華為防火墻設備的幾種管理方式介紹

由于在對防火墻設備配置管理方式時,涉及到了AAA這個概念,索性就將AAA的相關介紹簡單寫一下。

AAA是驗證(Authentication)、授權(Authorization)和記賬(Accounting)三個部分組成,是一個能夠處理用戶訪問請求的服務器程序,主要目的是管理用戶訪問網絡服務器,為具有訪問權限的用戶提供服務。其中:

  • 驗證:哪些用戶可以訪問網絡服務器。
  • 授權:具有訪問權限的用戶可以得到哪些服務,有什么權限。
  • 記賬:如何對正在使用網絡資源的用戶進行審計。

    AAA服務器通常同網絡訪問控制、網關服務器、數據庫及用戶信息目錄等協同工作。若要訪問網絡資源,首先要進行用戶的入網認證,這樣才能訪問網絡資源。鑒別的過程就是驗證用戶身份的合法性;鑒別完成后,才能對用戶訪問網絡資源進行授權,并對用戶訪問網絡資源進行計費管理。

    網絡設備的AAA認證方式有本地身份驗證、遠程身份驗證兩大類,本地身份驗證通過將用戶名和密碼在本地創建并驗證,而遠程身份驗證通過各個廠商自有的AAA服務器來完成,這需要設備和AAA服務器進行關聯。

    華為防火墻支持用戶進行本地與遠程配置,以下所有配置都將以本地配置來進行身份驗證。

華為防火墻常見的管理方式有:

  • 通過Console方式管理:屬于帶外管理,不占用帶寬,適用于新設備的首次配置時使用,在第一次配置時,會配置下面幾個管理方式的其中一個或多個,下次在配置直接遠程連接即可,無須使用Console連接了。
  • 通過Telnet方式管理:屬于帶內管理,配置簡單,安全性低,資源占用少,主要適用于安全性不高、設備性能差的場景。因為在配置時所有數據是明文傳輸,所以僅限于內網環境使用。
  • 通過web管理方式:屬于帶內管理,可以基于圖形化管理,適用于新手配置設備(但也要熟知其工作原理)。
  • 通過SSH方式管理,屬于帶內管理,配置相比較復雜些,資源占用也高,但是欣慰的是安全性極高,主要適用于對安全性要求較高的場景,如通過互聯網遠程管理公司網絡設備。

二、各種管理方式的配置

Console方式的管理,只要連接console線,在客戶端使用超級終端連接即可,具體操作請百度吧,這里就不寫了。

1、通過Telnet方式管理配置

這個的網絡環境沒什么好說的,我這里使用eNSP拉了一臺防火墻,連接上宿主機即可,連接宿主機主要是為了驗證,若需要在eNSP上驗證效果,需要給模擬器上的防火墻導入系統,我這里使用的是USG6000的防火墻,可以下載我提供的防火墻系統文件

防火墻配置如下:

USG6000的防火墻,默認編號最小的接口(一般是G0/0/0)已經配置了遠程管理的一些相關配置及IP地址,所以有很多配置是可以省略的,不過為了完整的將所需的配置寫下來,我不使用它的G0/0/0接口,而使用別的全新沒有配置的接口。

如下:

華為防火墻的管理方式介紹及配置

開始配置:

<USG6000V1>sys                <!--進入系統視圖-->
[USG6000V1]in g1/0/0                    <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24          <!--給接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]telnet server enable                        <!--打開防火墻的Telnet功能-->
[USG6000V1]in g1/0/0                   <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]service-manage enable           <!--配置接口管理模式-->
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit        <!--允許Telnet-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust                    <!--進入trust區域--> 
[USG6000V1-zone-trust]add in g1/0/0        <!--將g1/0/0加入該區域-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]security-policy               <!--設置安全策略-->
[USG6000V1-policy-security]rule name allow_telnet   <!--配置規則,allow_telnet是定義的規則名-->
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust <!--指定規則中的源區域為trust-->
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local <!--指定目標區域為local-->
[USG6000V1-policy-security-rule-allow_telnet]action permit           <!--動作是允許-->
[USG6000V1]user-interface vty 0 4                     <!--進入vty接口-->
[USG6000V1-ui-vty0-4]authentication-mode aaa          <!--指定驗證方式為AAA-->
[USG6000V1-ui-vty0-4]protocol inbound telnet          <!--允許Telnet連接虛擬終端-->
[USG6000V1-ui-vty0-4]quit 
[USG6000V1]aaa              <!--進入AAA配置-->
[USG6000V1-aaa]manager-user lv              <!--配置本地用戶“lv”-->
[USG6000V1-aaa-manager-user-lv]password            <!--設置密碼-->

Enter Password:                           <!--輸入密碼-->

Confirm Password:                       <!--確認密碼-->
[USG6000V1-aaa-manager-user-lv]service-type telnet         <!--配置服務類型為Telnet-->
[USG6000V1-aaa-manager-user-lv]level 3                   <!--設置管理級別為3-->
[USG6000V1-aaa-manager-user-lv]quit
[USG6000V1-aaa]quit

經過上面的配置,即可使用Xshell等超級終端軟件連接該防火墻了。使用Telnet命令即可連接,如下:
華為防火墻的管理方式介紹及配置

[C:\~]$ telnet 192.168.1.254                     <!--telnet連接防火墻-->

Connecting to 192.168.1.254:23...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.

Login authentication

Username:lv                         <!--輸入剛才創建的用戶名-->
Password:                         <!--輸入剛才指定的密碼-->
The password needs to be changed. Change now? [Y/N]: y 
<!--賬號首次登陸需要更改密碼,輸入“y”確定-->
Please enter old password:                <!--輸入舊密碼-->
Please enter new password:                   <!--新密碼-->
Please confirm new password:                  <!--新密碼-->

                   <!--
當新密碼輸入完成后,會斷開連接,
再執行一下Telnet命令重新連接,使用新密碼登陸即可
                                        -->

關于管理級別,在之前的博文提到過,“0”是參觀級別,啥都做不了;“1”是監控級別,可以查看相關配置;“2”為配置級別,可以配置部分參數;“3-15”是管理級別,擁有最大的權限

2、配置web方式登錄防火墻配置

注意:以下配置是在全新的防火墻上配置的,該防火墻默認沒有任何配置,上面配置了Telnet的防火墻已經刪除了。

開始配置:

<USG6000V1>sys                       <!--進入系統視圖-->
[USG6000V1]in g1/0/0                   <!--進入該接口--> 
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24         <!--給接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit <!--允許https管理-->
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit <!--允許http管理-->
[USG6000V1]firewall zone trust          <!--進入trust區域-->
[USG6000V1-zone-trust]add in g1/0/0      <!--將g1/0/0加入該區域-->
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy        <!--設置安全策略-->
[USG6000V1-policy-security]rule name allow_web       <!--配置規則,allow_telnet是定義的規則名-->
[USG6000V1-policy-security-rule-allow_web]source-zone trust   <!--指定規則中的源區域為trust-->
[USG6000V1-policy-security-rule-allow_web]destination-zone local   <!--指定目標區域為local-->
[USG6000V1-policy-security-rule-allow_web]action permit   <!--動作是允許-->
[USG6000V1-policy-security-rule-allow_web]quit   
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable      
          <!--
開啟web管理功能,該命令后面可以跟自定義端口號,默認是8443,
如web-manager security enable port 2000,執行security參數,是開啟https功能,
不執行security參數,是開啟http管理。注意不要使https和http的端口號沖突
                                     -->
[USG6000V1]aaa              <!--進入AAA配置-->
[USG6000V1-aaa]manager-user jian      <!--配置本地用戶“jian”-->
[USG6000V1-aaa-manager-user-jian]password    <!--設置密碼-->

Enter Password:                           <!--輸入密碼-->

Confirm Password:            <!--確認密碼-->

[USG6000V1-aaa-manager-user-jian]level 3      <!--設置管理級別為3-->
[USG6000V1-aaa-manager-user-jian]quit
[USG6000V1-aaa]quit

經過以上配置,現在即可使用web訪問測試,防火墻默認情況下開啟的https端口為8443,使用客戶端訪問測試,經過上面的配置,應使用 https://192.168.1.254:8443 進行訪問(建議使用谷歌瀏覽器,可能是eNSP模擬器的原因,若網頁加載不出來,多刷新幾次就好):

華為防火墻的管理方式介紹及配置

根據提示,輸入相應密碼,更改密碼(用戶首次登陸須更改密碼):
華為防火墻的管理方式介紹及配置

更改新密碼后,使用用戶名及新密碼進行登錄:

華為防火墻的管理方式介紹及配置

登錄后就可以看到下面的管理界面了(加載不出來就多刷新幾次):

華為防火墻的管理方式介紹及配置

配置web方式管理設備至此就完成了。

3、配置SSH方式登錄設備

和Telnet相比,SSH安全性更高,所以一般不推薦使用Telnet方式登錄設備,而是通過ssh來登錄設備,下面開始配置SSH方式登錄設備(注意:防火墻所有配置都沒了,現在又是重新開始配置):

開始配置:

<USG6000V1>sys                      <!--進入系統視圖-->
[USG6000V1]in g1/0/0                  <!--進入該接口--> 
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24        <!--給接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]service-manage enable            <!--配置接口管理模式-->
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit       <!--允許SSH-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust                    <!--進入trust區域--> 
[USG6000V1-zone-trust]add in g1/0/0        <!--將g1/0/0加入該區域-->
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy               <!--設置安全策略-->
[USG6000V1-policy-security]rule name allow_ssh  <!--配置規則,allow_ssh是定義的規則名-->
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust <!--指定規則中的源區域為trust-->
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local <!--指定目標區域為local-->
[USG6000V1-policy-security-rule-allow_ssh]action permit           <!--動作是允許-->
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create            <!--創建密鑰-->
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:         <!--設置密鑰的長度,直接回車即可-->
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4              <!--進入vty接口-->
[USG6000V1-ui-vty0-4]authentication-mode aaa          <!--指定驗證方式為AAA-->
[USG6000V1-ui-vty0-4]protocol inbound ssh      <!--允許ssh連接虛擬終端-->
[USG6000V1-ui-vty0-4]quit
[USG6000V1]ssh user zhao            <!--創建本地用戶“zhao”-->
[USG6000V1]ssh user zhao authentication-type password           <!--設置密碼-->
[USG6000V1]ssh user zhao service-type stelnet        <!--配置服務類型為stelnet-->
[USG6000V1]aaa          <!--進入AAA配置-->
[USG6000V1-aaa]manager-user zhao            <!--配置本地用戶“zhao”-->
[USG6000V1-aaa-manager-user-zhao]password           <!--設置密碼-->

Enter Password:                    <!--輸入密碼-->

Confirm Password:                   <!--確認密碼-->
[USG6000V1-aaa-manager-user-zhao]service-type ssh        <!--配置服務類型為ssh-->
[USG6000V1-aaa-manager-user-zhao]level 3                   <!--設置管理級別為3-->
[USG6000V1-aaa-manager-user-zhao]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable              <!--開啟stelnet-->

至此配置完畢,開始使用Xshell連接即可。

執行命令“ssh 192.168.1.254”進行連接,剩下操作看圖吧,不解釋了。
華為防火墻的管理方式介紹及配置

華為防火墻的管理方式介紹及配置

華為防火墻的管理方式介紹及配置

華為防火墻的管理方式介紹及配置

華為防火墻的管理方式介紹及配置

寫在最后:

其實你們仔細看完后,應該不難發現,每種方式管理的配置并不復雜,很多地方都一樣(第三種管理方式的注釋我基本上都是復制前兩種的,稍作改動就行了,所以,別嫌我繁瑣,因為我想在一些新手參考這篇文檔時可以看的更方便些。)

———————— 本文至此結束,感謝閱讀 ————————

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

太原市| 阳泉市| 苏尼特右旗| 旬阳县| 澜沧| 梧州市| 富阳市| 盘锦市| 双柏县| 卓资县| 高陵县| 中牟县| 台江县| 怀来县| 江西省| 威海市| 丰城市| 武穴市| 绥宁县| 隆昌县| 松潘县| 衡东县| 汝阳县| 樟树市| 柳林县| 南投县| 巫山县| 定远县| 大港区| 晋宁县| 洪泽县| 和硕县| 濮阳县| 叶城县| 凤台县| 石河子市| 邯郸县| 渝中区| 班玛县| 新巴尔虎右旗| 仲巴县|