• 华为防火墙实现远程管理的方式及配置详解

    关于网络设备或是服务器,管理人员几乎很少会守着设备进行维护及管理,最普遍、应用最广泛的就是——远程管理。下面简单介绍一下华为防火墙管理的几种方式。

    博文大纲:
    一、华为防火墙常见的管理方式;
    二、各种管理方式配置详解;
    1.通过Console线进行管理;
    2.通过Telnet方式管理;
    3.通过Web方式登录设备;
    4.配置SSH方式登录设备;

    一、华为防火墙常见的管理方式

    提到管理,必然会涉及到AAA的概念,我们首先来了解一下——AAA。

    AAA概述

    AAA是验证、授权和记账三个英文单词的简称。是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提供服务。

    其中:

    • 验证:哪些用户可以访问网络服务器;
    • 授权:具有访问权限的用户可以得到哪些服务,具有什么样的权限;
    • 记账:如何对正在使用网络资源的用户进行审计;

    AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。

    网络设备的AAA认证方式有本地验证、远程身份验证两大类。

    • 本地验证就是将用户和密码在本地创建并验证;
    • 远程身份验证通过各个厂商自由的AAA服务器来完成,这需要设备和AAA服务器进行关联;

    华为防火墙常见的管理方式有:

    • 通过Console方式管理:属于带外管理,不占用带宽,适用于新设备的首次配置场景;
    • 通过Telnet方式管理:属于带内管理,配置简单、安全性低、资源占用少,主要适用于安全性不高的场景。比如:公司内部;
    • 通过Web方式管理,属于带内管理,可以基于图形化管理,更适用于新手配置设备;
    • 通过SSH方式管理:属于带内管理配置复杂、安全性高、资源占用高,主要适用于对安全性要求较高的场景,如通过互联网远程管理公司网络设备;

    二、各种管理方式配置详解

    1.通过Console线进行管理

    这种方式适用于刚购买的新设备,实际环境中,插上Console即可!这里就不再多说了!

    2.通过Telnet方式管理

    Telnet管理方式通过配置使终端通过Telnet方式登录设备,实现对设备的配置和管理。其实这种环境拓补只需一个防火墙(版本为USG6000)和Cloud(主要是为了可以桥接到宿主机或虚拟机)即可,实验拓补如下:
    华为防火墙实现远程管理的方式及配置详解

    (1)首次登录Console控制台时,按要求配置密码,如图

    华为防火墙实现远程管理的方式及配置详解

    (2)配置防火墙接口IP地址,便于日后管理

    <USG6000V1>system-view 
    Enter system view, return user view with Ctrl+Z.
    [USG6000V1]undo info enable 
    Info: Information center is disabled.
    [USG6000V1]int g0/0/0
    [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
    [USG6000V1-GigabitEthernet0/0/0]undo shutdown 
    Info: Interface GigabitEthernet0/0/0 is not shutdown.
    [USG6000V1-GigabitEthernet0/0/0]quit

    (3)打开防火墙的Telnet功能

    [USG6000V1]telnet server enable

    (4)配置防火墙允许远程管理

    [USG6000V1]int g0/0/0
    [USG6000V1-GigabitEthernet0/0/0]service-manage enable 
    //配置接口管理模式
    [USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit 
    //允许Telnet
    [USG6000V1-GigabitEthernet0/0/0]quit

    (5)将防火墙接口g0/0/0加入安全区域

    [USG6000V1]firewall zone trust 
    [USG6000V1-zone-trust]add int g0/0/0
     Error: The interface has been added to trust security zone. 
     //这是正常提示,表示这个接口 已经添加到安全区域中
    [USG6000V1-zone-trust]quit

    (6)将防火墙配置域间包过滤,以保证网络基本通信正常

    因为Telnet流量属于防火墙自身收发,所以需要配置Trust区域到Local区域的安全策略,命令如下:

    [USG6000V1]security-policy 
    [USG6000V1-policy-security]rule name allow_telent
    //配置规则,其中allow_telnet为规则名,可自定义
    [USG6000V1-policy-security-rule-allow_telent]source-zone trust 
    //匹配条件,源区域是trust区域
    [USG6000V1-policy-security-rule-allow_telent]destination-zone local 
    //匹配条件,目标区域是local区域
    [USG6000V1-policy-security-rule-allow_telent]action permit 
    //匹配条件满足后,执行的动作,permit为允许的意思
    [USG6000V1-policy-security-rule-allow_telent]quit
    [USG6000V1-policy-security]quit

    (7)配置认证模式及本地用户信息

    [USG6000V1]user-interface vty 0 4
    [USG6000V1-ui-vty0-4]authentication-mode aaa
    //用户接口验证方式为AAA
    [USG6000V1-ui-vty0-4]protocol inbound telnet 
    //允许Telnet连接虚拟终端
    [USG6000V1-ui-vty0-4]quit
    [USG6000V1]aaa
    [USG6000V1-aaa]manager-user lzj
    //配置本地用户lzj
    [USG6000V1-aaa-manager-user-lzj]password cipher [email protected]
    //配置用户密码(cipher为密文方式)
    Info: You are advised to config on man-machine mode.
    //建议使用man-machine方式配置密码
    [USG6000V1-aaa-manager-user-lzj]service-type telnet 
    //配置服务类型为telnet
    [USG6000V1-aaa-manager-user-lzj]level 3
    //配置用户权限级别
    [USG6000V1-aaa-manager-user-lzj]quit 
    [USG6000V1-aaa]quit

    注意:USG6000系列属于最新版本,配置本地用户名和密码需要使用manager-user命令,之前的版本则使用local-user命令。

    (8)客户端测试访问

    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解

    客户端Telnet访问成功!

    3.通过Web方式登录设备

    建议在模拟器上重新部署设备,当然也可在Telnet的基础上继续配置Web方式访问!为了简单明了,朋友更加明白配置Web方式,本人重新画实验拓补,实验拓补还是原本的样子,一朵 Cloud模拟真实客户端,一台USG6000防火墙。配置命令如下:

    <USG6000V1>sys
    Enter system view, return user view with Ctrl+Z.
    [USG6000V1]undo info enable 
    Info: Information center is disabled.
    [USG6000V1]int g0/0/0
    [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
    [USG6000V1-GigabitEthernet0/0/0]undo shutdown 
    Info: Interface GigabitEthernet0/0/0 is not shutdown.
    [USG6000V1-GigabitEthernet0/0/0]service-manage http permit 
    [USG6000V1-GigabitEthernet0/0/0]service-manage https permit 
    [USG6000V1-GigabitEthernet0/0/0]quit
    //打开接口的http和https管理
    [USG6000V1]firewall zone trust 
    [USG6000V1-zone-trust]add int g0/0/0
     Error: The interface has been added to trust security zone. 
     //正常提示,可以忽略
    [USG6000V1-zone-trust]quit
    //配置接口加入Trust区域
    [USG6000V1]security-policy 
    [USG6000V1-policy-security]rule name allow_web
    [USG6000V1-policy-security-rule-allow_web]source-zone trust 
    [USG6000V1-policy-security-rule-allow_web]destination-zone local
    [USG6000V1-policy-security-rule-allow_web]action permit 
    [USG6000V1-policy-security-rule-allow_web]quit
    [USG6000V1-policy-security]quit
    //如果在Telnet基础上配置Web方式访问,这些安全配置可以忽略
    [USG6000V1]web-manager security enable 
    //开启https安全访问功能
    [USG6000V1]aaa
    [USG6000V1-aaa]manager-user lzj
    [USG6000V1-aaa-manager-user-lzj]password
    
    Enter Password:
    
    Confirm Password:
    //在这种模式下,配置的密码将不可见,这也是华为推荐的方式
    [USG6000V1-aaa-manager-user-lzj]service-type web
    //指定服务类型
    [USG6000V1-aaa-manager-user-lzj]level 3
    //指定权限级别
    [USG6000V1-aaa-manager-user-lzj]quit
    [USG6000V1-aaa]quit

    注意:
    其中“web-manager security enable ”命令后也可以自定义端口,比如:web-manager security enableport 2000,执行security参数,是开启https管理,不加security参数则表示可以开启http管理。绝对不允许https和http管理使用相同的端口,这样配置会导致端口冲突。访问失败!

    客户端访问验证:
    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解
    客户端通过Web方式访问成功!

    4.配置SSH方式登录设备

    为了初学者能够看明白,这里还是重新部署设备,实验拓补,跟前两种方式一样!也可在之前的基础继续配置,根据自己能力即可!SSH方式登录设备,配置命令如下:

    <USG6000V1>sys
    Enter system view, return user view with Ctrl+Z.
    [USG6000V1]undo info enable 
    Info: Information center is disabled.
    [USG6000V1]int g0/0/0
    [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.20 24
    [USG6000V1-GigabitEthernet0/0/0]undo shutdown 
    Info: Interface GigabitEthernet0/0/0 is not shutdown.
    [USG6000V1-GigabitEthernet0/0/0]service-manage enable 
    [USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit 
    [USG6000V1-GigabitEthernet0/0/0]quit
    //打开接口的ssh管理
    [USG6000V1]firewall zone trust 
    [USG6000V1-zone-trust]add int g0/0/0
     Error: The interface has been added to trust security zone. 
     //正常提示,可以忽略
    [USG6000V1-zone-trust]quit
    [USG6000V1]security-policy 
    [USG6000V1-policy-security]rule name allow_ssh
    [USG6000V1-policy-security-rule-allow_ssh]source-zone trust
    [USG6000V1-policy-security-rule-allow_ssh]destination-zone local
    [USG6000V1-policy-security-rule-allow_ssh]action permit 
    [USG6000V1-policy-security-rule-allow_ssh]quit
    [USG6000V1-policy-security]quit 
    [USG6000V1]
    //配置安全策略,如果在web方式或者Telnet方式之后,这些步骤可以省略
    [USG6000V1]rsa local-key-pair create 
    //创建SSH所需的密钥对
    The key name will be: USG6000V1_Host
    The range of public key size is (512 ~ 2048). 
    NOTES: If the key modulus is greater than 512, 
           it will take a few minutes.
    输入默认的密钥长度,默认值为2048           
    Input the bits in the modulus[default = 2048]:
    Generating keys...
    .+++++
    ........................++
    ....++++
    ...........++
    
    [USG6000V1]user-interface vty 0 4
    [USG6000V1-ui-vty0-4]authentication-mode aaa
    Warning: The level of the user-interface(s) will be the default level of AAA use
    rs, please check whether it is correct.
    [USG6000V1-ui-vty0-4]protocol inbound ssh
    [USG6000V1-ui-vty0-4]quit
    //并且开启ssh协议访问
    [USG6000V1]ssh user lzj 
    //指定lzj为SSH用户
    [USG6000V1]ssh user lzj authentication-type password
    //配置认证方式
    [USG6000V1]ssh user lzj service-type stelnet
    //配置服务类型
    [USG6000V1]aaa
    [USG6000V1-aaa]manager-user lzj
    //创建本地用户lzj
    [USG6000V1-aaa-manager-user-lzj]password cipher [email protected]
    Info: You are advised to config on man-machine mode.
    //提示建议使用man-machine模式设置密码
    [USG6000V1-aaa-manager-user-lzj]service-type ssh
    //指定服务类型为ssh
    [USG6000V1-aaa-manager-user-lzj]level 3
    //管理模式为3
    [USG6000V1-aaa-manager-user-lzj]quit
    [USG6000V1-aaa]quit
    [USG6000V1]stelnet server enable
    //开启SSH服务

    客户端访问测试:
    本人习惯使用xshell,个人习惯,cmd命令框也可以的!
    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解
    华为防火墙实现远程管理的方式及配置详解

    客户端SSH方式访问成功!

    相关文章
    相关标签/搜索
    王中王蓝月亮930三肖三码 塔城市| 达尔| 昌图县| 岢岚县| 夏邑县| 灵宝市| 盐边县| 高碑店市| 河津市| 普格县| 雅江县| 龙川县| 军事| 兰考县| 葫芦岛市| 乐安县| 玛沁县| 青川县| 巴中市| 武鸣县| 永登县| 桃源县| 乐业县| 乐至县| 德安县| 全南县| 五原县| 通化县| 卢湾区| 茶陵县| 隆昌县| 苍山县| 民乐县| 永和县| 开平市| 大竹县| 康乐县| 前郭尔| 绵竹市| 高密市| 枝江市| 克山县| 白朗县| 揭东县| 建湖县| 云阳县| 汉川市| 苗栗市| 上饶市| 栾川县| 施秉县| 泸溪县| 通城县| 武强县| 宝鸡市| 盖州市| 高要市| 华安县| 定边县| 桃园市| 淮南市| 阳江市| 包头市| 饶河县| 黔西| 诸暨市| 临江市| 永吉县| 耿马| 南安市| 宜川县| 广饶县| 民丰县| 保定市| 抚州市| 贡山| 平和县| 来凤县| 淅川县| 东丰县| 文水县| 北宁市| 普兰店市| 望江县| 石家庄市| 肥城市| 灌阳县| 马公市| 辽宁省| 太康县| 甘德县| 金沙县| 青海省| 巴彦淖尔市| 龙山县| 武邑县| 延边| 汉中市| 青川县| 抚松县| 荆门市| 布拖县| 安宁市| 军事| 沭阳县| 张家港市| 迁西县| 楚雄市| 武功县| 高淳县| 瑞丽市| 乌鲁木齐市| 富蕴县| 饶河县| 蒙山县| 曲麻莱县| 武宣县| 民县| 苏州市| 林州市| 海宁市| 龙海市| 喀喇沁旗| 龙泉市| 镇宁| 潼关县| 沅江市| 饶阳县| 磐安县| 广宁县| 麻江县| 张家界市| 克什克腾旗| 南漳县| 桦甸市| 晋州市| 留坝县| 塔河县| 改则县| 宁国市| 贵阳市| 临西县| 茌平县| 弥渡县| 马龙县| 蒙自县| 垦利县| 民丰县| 东阿县| 缙云县| 临洮县| 南平市| 雅安市| 四子王旗| 溧阳市| 含山县| 名山县| 阳江市| 鹤山市| 类乌齐县| 师宗县| 利川市| 彰化市| 贺兰县| 汝南县| 林口县| 双流县| 喀喇沁旗| 沽源县| 镇巴县| 荃湾区| 福州市| 孝昌县| 奎屯市| 津南区| 苏尼特左旗| 阜平县| 寻甸| 陈巴尔虎旗| 诸暨市| 山东| 吕梁市| 松滋市| 栾城县| 龙游县| 安化县| 南宁市| 泾阳县| 西藏| 辽阳市| 高雄市| 色达县| 白城市| 石林| 湄潭县| 南京市| 雷波县| 正蓝旗| 郓城县| 石嘴山市| 永年县| 武义县| 文成县| 仙游县| 太和县| 临高县| 廉江市| 河池市| 桃江县| 涟源市| 南陵县| 凤翔县| 沅江市| 青田县| 文登市| 遂宁市| 紫阳县| 临夏县| 古浪县| 陵水| 湖州市| 东丽区| 苗栗市| 余干县| 泰和县| 临西县| 临安市| 渝中区| 吉木萨尔县| 民权县| 保靖县| 鹤山市| 象州县| 武隆县| 盘山县| 韩城市| 陆河县| 开化县| 甘肃省| 汤阴县| 闻喜县| 张家港市| 商水县| 麻城市| 莱西市| 娄底市| 抚松县| 额济纳旗| 忻城县| 永德县| 荆州市| 西盟| 海伦市| 莎车县| 宁国市| 克拉玛依市| 大理市| 农安县| 惠来县| 临高县| 收藏| 上蔡县| 定南县| 高青县| 繁峙县| 平定县| 自治县| 石台县| 苗栗市| 新津县| 万全县| 宜城市| 靖州| 铜梁县| 通河县| 新余市| 宾阳县| 高州市| 邹平县| 松江区| 浦东新区| 江达县| 梁山县| 莲花县| 志丹县| 沽源县| 太湖县| 白玉县| 哈密市| 霍邱县| 西充县| 陆川县| 陇西县| 荣昌县| 通州市| 朔州市| 前郭尔| 富宁县| 芦溪县| 沙湾县| 白朗县| 运城市| 凤凰县| 肃宁县| 三明市| 满城县| 鄂尔多斯市| 宿迁市| 伊春市| 丹东市| 云和县| 原平市| 黔江区| 满洲里市| 荥阳市| 华池县| 武宣县| 靖边县| 滨州市| 砚山县| 五家渠市| 宝兴县| 正定县| 永仁县| 巴中市| 峡江县| 岢岚县| 铜川市| 石首市| 五寨县| 荆门市| 宁河县| 华蓥市| 德昌县| 苏尼特右旗| 德州市| 平邑县| 安远县| 东光县| 綦江县| 光山县| 江华| 河曲县| 保靖县| 榆树市| 聊城市| 波密县| 延庆县| 庐江县| 武汉市| 行唐县| 伊春市| 茶陵县| 双峰县| 曲水县| 蓝山县| 临邑县| 将乐县| 陵川县| 邵阳市| 正定县| 中西区| 平凉市| 道真| 崇州市| 始兴县| 绥阳县| 丰原市| 黔西县| 菏泽市| 玛沁县| 星子县| 昆山市| 鄂托克前旗| 三河市| 象州县| 秦皇岛市| 定西市| 灯塔市| 淮滨县| 万山特区| 兰州市| 赤峰市| 修武县| 襄城县| 巍山| 沐川县| 新乡市| 瑞安市| 扶沟县| 榆林市| 武安市| 武城县| 陕西省| 桦南县| 化德县| 扎鲁特旗| 德保县| 城固县| 麻阳| 罗平县| 东兴市| 丹江口市| 湘潭县| 龙海市| 桃江县| 常山县| 定襄县| 静乐县| 玉树县| 辰溪县| 东宁县| 吴堡县| 凤阳县| 北辰区| 昌乐县| 台江县| 昌江| 平远县| 银川市| 太谷县| 武川县| 东阳市| 阿荣旗| 剑河县| 万安县| 宜兰县| 石首市| 麦盖提县| 嘉义市| 呼伦贝尔市| 团风县| 鹤庆县| 贵南县| 九江市| 当阳市| 舞阳县| 仙游县| 金山区| 锡林郭勒盟| 西峡县| 集贤县| 珲春市| 伊通| 新密市| 佛学| 厦门市| 马龙县| 淮安市| 三原县| 天镇县| 阿城市| 九江市| 永定县| 彰武县| 大兴区| 比如县| 年辖:市辖区| 隆回县| 临汾市| 比如县| 松阳县| 华蓥市| 巴彦淖尔市| 腾冲县| 明水县| 章丘市| 禹州市| 资源县| 堆龙德庆县| 大港区| 正宁县| 梁河县| 巴马| 定安县| 泗水县| 元氏县| 六盘水市| 阿巴嘎旗| 云梦县| 广南县| 福州市| 石渠县| 安西县| 柳林县| 灵山县| 镇雄县| 宜宾市| 平昌县| 确山县| 金华市| 肃南| 伊吾县| 中方县| 杨浦区| 彭水| 丹阳市| 竹山县| 温宿县| 沁源县| 集贤县| 内乡县| 团风县| 扶沟县| 南陵县| 巴彦县| 宿迁市| 永康市| 武川县| 贡嘎县| 临海市| 凯里市| 丰城市| 织金县| 永定县| 玉林市| 板桥市| 南安市| 东源县| 北川| 石渠县| 武威市| 台南市| 铜梁县| 隆德县| 青海省| 水富县| 天柱县| 茌平县| 灯塔市| 永靖县| 云和县| 德保县| 北京市| 云和县| 湘乡市| 兴业县| 昭觉县| 会东县| 奇台县| 尼玛县| 海丰县| 公安县| 辽宁省| 昌宁县| 桐乡市| 梅州市| 石泉县| 潼南县| 镇江市| 武宣县| 阿合奇县| 承德县| 望江县| 丽江市| 延安市| 宜宾市| 嘉黎县| 大足县| 绍兴县| 中西区| 桓台县| 丰台区| 济宁市| 梨树县| 定结县| 收藏| 房产| 太仆寺旗| 巩义市| 淮滨县| 浦县| 丽水市| 调兵山市| 土默特左旗| 蒙阴县| 卢湾区| 盐城市| 石家庄市| 资讯| 隆子县| 江山市| 额敏县| 蕉岭县| 新和县| 孙吴县| 龙门县| 麟游县| 博湖县| 栾城县| 满洲里市| 密山市| 大同市| 方正县| 慈溪市| 呼图壁县| 天等县| 明溪县| 永寿县| 宿迁市| 咸阳市| 炎陵县| 大同市| 泸州市| 时尚| 江城| 吉林省| 太和县| 揭阳市| 梧州市| 东莞市| 阜南县| 龙泉市| 平遥县| 贺兰县| http://jx1870generatev.fun http://m.jx1870functionv.fun http://m.jx1870kidv.fun http://m.jx1870getv.fun http://jx1870farzv.fun http://wap.jx1870hearv.fun http://wap.jx1870helpv.fun http://jx1870indexv.fun http://wap.hz0j1r4vo.fun http://hz0j0r1vo.fun http://m.jx1870filev.fun http://jx1870financev.fun http://wap.jx1870hidev.fun http://m.jx1870hopv.fun http://m.jx1870enhancev.fun http://wap.hz0j1r9vo.fun http://m.hz0j1r8vo.fun http://wap.jx1870izagev.fun