華爲防火牆更改SSH端口

分公司新上一臺華爲防火牆，爲了方便管理，在公網接口開啓了SSH，默認的端口是TCP的22端口。配置完成，能夠正常訪問了，可接下來問題來了，使用WEB端登陸或者SSH老彈出密碼驗證失敗，搞得我都開始懷疑人生了。
好在業務能正常運行，過了大半個小時，再登陸，能夠正常登陸了，查看日誌
Apr 20 2019 23:55:48 USG6300 %%01MANAGER/4/UNLOCK(l)[172]:The user was unlocked. (User Name=admin)
Apr 20 2019 23:24:36 USG6300 %%01MANAGER/3/LOCK(l)[350]:The user was locked out. (User Name=admin, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Type=ssh , IP Address=91.236.116.214)
Apr 20 2019 22:39:14 USG6300 %%01MANAGER/4/UNLOCK(l)[447]:The user was unlocked. (User Name=admin)
Apr 20 2019 22:01:41 USG6300 %%01MANAGER/3/LOCK(l)[508]:The user was locked out. (User Name=admin, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Type=ssh , IP Address=193.201.224.236)

由於在指定的時間內連續3次輸入了錯誤的密碼，致使帳號被鎖定30分鐘。

思考了一下緣由，是什麼問題致使的呢？存在兩個可能：

1. FW的公網接口容許PING，存在被嗅探的可能
2. 默認的SSH端口沒有更改，***者嗅探後，嘗試使用弱密碼或者字典登陸

那怎麼解決這個問題呢？
確定是更改配置，將公網的PING關閉，更改SSH的端口。

1. 在網絡-->接口處，找到公網接口，關閉PING
   
2. 更改默認的SSH端口
   

接下來，在內網使用ssh到LAN的9022端口，能夠登陸了。再測試公網的9022，發現沒法登陸，是 什麼緣由致使的呢？

咱們更改了SSH協議的端口，也就意味着從untrust-->local 9022的安全策略要被放行，原來在接口下容許的 service-manager ssh permit，應該是自動生成了一條去往從untrust-->loal 22的隱含的策略。咱們應該本身建立一條安全策略，應該就能夠訪問了。

1. 首先須要建立一個服務
   
2. 建立一條安全策略
   

再進行測試，從公網能夠經過SSH進行訪問了，在經歷關閉PING、更改SSH端口後，暫時沒有發現***者嘗試登陸了，問題解決。