華爲防火牆（USG）的管理方式配置

1、華爲防火牆設備的幾種管理方式介紹：
因爲在對防火牆設備配置管理方式時，涉及到了AAA這個概念，索性就將AAA的相關介紹簡單寫一下。

AAA是驗證（Authentication）、受權（Authorization）和記帳（Accounting）三個部分組成，是一個可以處理用戶訪問請求的服務器程序，主要目的是管理用戶訪問網絡服務器，爲具備訪問權限的用戶提供服務。其中：

• 驗證：哪些用戶能夠訪問網絡服務器。
• 受權：具備訪問權限的用戶能夠獲得哪些服務，有什麼權限。
• 記帳：如何對正在使用網絡資源的用戶進行審計。

AAA服務器一般同網絡訪問控制、網關服務器、數據庫及用戶信息目錄等協同工做。若要訪問網絡資源，首先要進行用戶的入網認證，這樣才能訪問網絡資源。鑑別的過程就是驗證用戶身份的合法性；鑑別完成後，才能對用戶訪問網絡資源進行受權，並對用戶訪問網絡資源進行計費管理。
.
網絡設備的AAA認證方式有本地身份驗證、遠程身份驗證兩大類，本地身份驗證經過將用戶名和密碼在本地建立並驗證，而遠程身份驗證經過各個廠商自有的AAA服務器來完成，這須要設備和AAA服務器進行關聯。
.
華爲防火牆支持用戶進行本地與遠程配置，如下全部配置都將以本地配置來進行身份驗證。

華爲防火牆常見的管理方式有：

• 經過Console方式管理：屬於帶外管理，不佔用帶寬，適用於新設備的首次配置時使用，在第一次配置時，會配置下面幾個管理方式的其中一個或多個，下次在配置直接遠程鏈接便可，無須使用Console鏈接了。
• 經過Telnet方式管理：屬於帶內管理，配置簡單，安全性低，資源佔用少，主要適用於安全性不高、設備性能差的場景。由於在配置時全部數據是明文傳輸，因此僅限於內網環境使用。
• 經過web管理方式：屬於帶內管理，能夠基於圖形化管理，適用於新手配置設備（但也要熟知其工做原理）。
• 經過SSH方式管理，屬於帶內管理，配置相比較複雜些，資源佔用也高，可是欣慰的是安全性極高，主要適用於對安全性要求較高的場景，如經過互聯網遠程管理公司網絡設備。

2、各類管理方式的配置:
Console方式的管理，只要鏈接console線，在客戶端使用超級終端鏈接便可，具體操做請百度吧，這裏就不寫了。
環境很簡單，以下所示：

USG6000的防火牆，默認編號最小的接口（通常是G0/0/0）已經配置了遠程管理的一些相關配置及IP地址，因此有不少配置是能夠省略的，不過爲了完整的將所需的配置寫下來，我不使用它的G0/0/0接口，而使用別的全新沒有配置的接口。
一、經過telenet管理配置：

<USG6000V1>sys                                  # 進入配置視圖
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 1/0/0                     # 進入防火牆接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24                  # 配置防火牆接口IP（管理IP）
Oct 25 2019 11:23:06 USG6000V1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
 on the interface GigabitEthernet1/0/0 has entered the UP state.
[USG6000V1-GigabitEthernet1/0/0]undo shutdown                   # 打開接口
Info: Interface GigabitEthernet1/0/0 is not shutdown.
[USG6000V1-GigabitEthernet1/0/0]quit                     # 退出當前視圖
[USG6000V1]telnet server enable                   # 打開防火牆的 Telnet 功能
[USG6000V1]int g 1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manage enable            # 配置接口管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit              # 容許Telnet
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust                              # 進入到 trust 區域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0                   # 將接口1/0/0加入到該區域
[USG6000V1-zone-trust]quit 
[USG6000V1]security-policy               # 配置規則
[USG6000V1-policy-security]rule name allow_telnet                 # 配置規則，allow_telnet是規則名稱 
[USG6000V1-policy-security-rule-allow_telnet]                # 如下三條配置條件
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust             # 源區域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local       # 目標區域是防火牆本機
[USG6000V1-policy-security-rule-allow_telnet]action permit               # 動做爲容許
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]user-interface vty 0 4                 # 配置VTY用戶接口
[USG6000V1-ui-vty0-4]authentication-mode aaa                 # 講VTY接口的驗證方式設爲aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound telnet                            # 容許Telnet用戶鏈接到虛擬終端
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa                         # 進入aaa配置視圖
[USG6000V1-aaa]manager-user zhangsan                       # 配置本地用戶zhangsan
[USG6000V1-aaa-manager-user-zhangsan]password cipher pwd@123123             # 配置登陸密碼，cipher爲明文密碼，不建議使用，密文可參考web管理
Info: You are advised to config on man-machine mode.
[USG6000V1-aaa-manager-user-zhangsan]
[USG6000V1-aaa-manager-user-zhangsan]service-type telnet                 # 配置服務類型
[USG6000V1-aaa-manager-user-zhangsan]level 3                            # 配置用戶權限級別
 [USG6000V1-aaa-manager-user-zhangsan]quit
[USG6000V1-aaa]quit

通過上面的配置，便可使用Xshell等超級終端軟件鏈接該防火牆了。使用Telnet命令便可鏈接，以下：

---

.

[E:\~]$ telnet 192.168.1.1

Connecting to 192.168.1.1:23...
Connection established.
The password needs to be changed. Change now? [Y/N]: y                    # 第一次登錄須要修改密碼
Please enter old password:                  # 填寫舊密碼
Please enter new password:                 # 填寫新密碼
Please confirm new password:            # 確認新密碼
Info: Receive a message from AAA of cutting user.

Username:zhangsan
Password:                                   # 輸入新密碼
*************************************************************************
*         Copyright (C) 2014-2015 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************

Info: The max number of VTY users is 10, and the number
      of current VTY users on line is 1.
      The current login time is 2019-10-25 11:44:32+00:00.
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]

二、配置web方式登陸設備：

<USG6000V1>sys                                  # 進入配置視圖
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 1/0/0                     # 進入防火牆接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24                  # 配置防火牆接口IP（管理IP）
[USG6000V1-GigabitEthernet1/0/0]undo shutdown                   # 打開接口
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit                  # 容許http管理
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit                # 容許https管理
[USG6000V1]firewall zone trust                              # 進入到 trust 區域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0                   # 將接口1/0/0加入到該區域
[USG6000V1]security-policy               # 配置規則
[USG6000V1-policy-security]rule name allow_web                 # 配置規則，allow_web是規則名稱 
[USG6000V1-policy-security-rule-allow_telnet]                # 如下三條配置條件
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust             # 源區域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local       # 目標區域是防火牆本機
[USG6000V1-policy-security-rule-allow_telnet]action permit               # 動做爲容許
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable                 # 開啓https功能
[USG6000V1]aaa                      # 配置aaa
[USG6000V1-aaa]manager-user web                         # 配置web爲本地用戶
[USG6000V1-aaa-manager-user-web]password                 # 密文密碼

Enter Password:                # 輸入密碼

Confirm Password:                # 確認密碼
[USG6000V1-aaa-manager-user-web]service-type web           # 指定用戶類型
[USG6000V1-aaa-manager-user-web]level 3                              # 制定權限級別
[USG6000V1-aaa-manager-user-web]quit
[USG6000V1-aaa]quit
[USG6000V1]

通過以上配置，如今便可使用web訪問測試，防火牆默認狀況下開啓的https端口爲8443，使用客戶端訪問測試，通過上面的配置，應使用 https://192.168.1.1:8443 進行訪問（建議使用谷歌瀏覽器，多是eNSP模擬器的緣由，若網頁加載不出來，多刷新幾回就好）：




至此就配置完成了
三、配置SSH方式登陸：

<USG6000V1>sys                                  # 進入配置視圖
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 1/0/0                     # 進入防火牆接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24                  # 配置防火牆接口IP（管理IP）
[USG6000V1-GigabitEthernet1/0/0]undo shutdown                   # 打開接口
[USG6000V1-GigabitEthernet1/0/0]service-manage enable           
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit              # 容許SSH登陸
[USG6000V1]firewall zone trust                              # 進入到 trust 區域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0                   # 將接口1/0/0加入到該區域
[USG6000V1]security-policy               # 配置規則
[USG6000V1-policy-security]rule name allow_ssh                 # 配置規則，allow_ssh是規則名稱 
[USG6000V1-policy-security-rule-allow_telnet]                # 如下三條配置條件
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust             # 源區域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local       # 目標區域是防火牆本機
[USG6000V1-policy-security-rule-allow_telnet]action permit               # 動做爲容許
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create                    # 建立ssh所須要的密鑰對
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).                
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:                    # 輸入默認的祕鑰長度，直接回車採用默認2048
Generating keys...
.+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
[USG6000V1]
[USG6000V1]ssh user test                             # 指定 test 爲SSH用戶
[USG6000V1]ssh user test authentication-type password               # 配置認證方式
[USG6000V1]ssh user test service-type stelnet                       # 配置服務類型
[USG6000V1]aaa                     # 進入aaa
[USG6000V1-aaa]manager-user test                 # 指定用戶
[USG6000V1-aaa-manager-user-test]password                 # 配置密碼

Enter Password:

Confirm Password：
[USG6000V1-aaa-manager-user-test]
[USG6000V1-aaa-manager-user-test]service-type ssh             # 類型爲ssh
[USG6000V1-aaa-manager-user-test]level 3               # 權限級別
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable                   # 開啓ssh

至此配置完畢，開始使用Xshell鏈接便可。





.
每種方式各有各的好處，各有各的方便，就看各位怎麼取決了！！！