華爲防火牆實現遠程管理的方式及配置詳解
關於網絡設備或是服務器,管理人員幾乎不多會守着設備進行維護及管理,最廣泛、應用最普遍的就是——遠程管理。下面簡單介紹一下華爲防火牆管理的幾種方式。web
博文大綱:
1、華爲防火牆常見的管理方式;
2、各類管理方式配置詳解;
1.經過Console線進行管理;
2.經過Telnet方式管理;
3.經過Web方式登陸設備;
4.配置SSH方式登陸設備;shell
1、華爲防火牆常見的管理方式
提到管理,必然會涉及到AAA的概念,咱們首先來了解一下——AAA。數據庫
AAA概述
AAA是驗證、受權和記帳三個英文單詞的簡稱。是一個可以處理用戶訪問請求的服務器程序,主要目的是管理用戶訪問網絡服務器,爲具備訪問權限的用戶提供服務。安全
其中:服務器
- 驗證:哪些用戶能夠訪問網絡服務器;
- 受權:具備訪問權限的用戶能夠獲得哪些服務,具備什麼樣的權限;
- 記帳:如何對正在使用網絡資源的用戶進行審計;
AAA服務器一般同網絡訪問控制、網關服務器、數據庫及用戶信息目錄等協同工做。若要訪問網絡資源,首先要進行用戶的入網認證,這樣才能訪問網絡資源。鑑別的過程就是驗證用戶身份的合法性;鑑別完成後,才能對用戶訪問網絡資源進行受權,並對用戶訪問網絡資源進行計費管理。網絡
網絡設備的AAA認證方式有本地驗證、遠程身份驗證兩大類。ssh
- 本地驗證就是將用戶和密碼在本地建立並驗證;
- 遠程身份驗證經過各個廠商自由的AAA服務器來完成,這須要設備和AAA服務器進行關聯;
華爲防火牆常見的管理方式有:ide
- 經過Console方式管理:屬於帶外管理,不佔用帶寬,適用於新設備的首次配置場景;
- 經過Telnet方式管理:屬於帶內管理,配置簡單、安全性低、資源佔用少,主要適用於安全性不高的場景。好比:公司內部;
- 經過Web方式管理,屬於帶內管理,能夠基於圖形化管理,更適用於新手配置設備;
- 經過SSH方式管理:屬於帶內管理配置複雜、安全性高、資源佔用高,主要適用於對安全性要求較高的場景,如經過互聯網遠程管理公司網絡設備;
2、各類管理方式配置詳解
1.經過Console線進行管理
這種方式適用於剛購買的新設備,實際環境中,插上Console便可!這裏就再也不多說了!測試
2.經過Telnet方式管理
Telnet管理方式經過配置使終端經過Telnet方式登陸設備,實現對設備的配置和管理。其實這種環境拓補只需一個防火牆(版本爲USG6000)和Cloud(主要是爲了能夠橋接到宿主機或虛擬機)便可,實驗拓補以下:
ui
(1)首次登陸Console控制檯時,按要求配置密碼,如圖
(2)配置防火牆接口IP地址,便於往後管理
<USG6000V1>system-view Enter system view, return user view with Ctrl+Z. [USG6000V1]undo info enable Info: Information center is disabled. [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [USG6000V1-GigabitEthernet0/0/0]undo shutdown Info: Interface GigabitEthernet0/0/0 is not shutdown. [USG6000V1-GigabitEthernet0/0/0]quit
(3)打開防火牆的Telnet功能
[USG6000V1]telnet server enable
(4)配置防火牆容許遠程管理
[USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]service-manage enable //配置接口管理模式 [USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit //容許Telnet [USG6000V1-GigabitEthernet0/0/0]quit
(5)將防火牆接口g0/0/0加入安全區域
[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g0/0/0 Error: The interface has been added to trust security zone. //這是正常提示,表示這個接口 已經添加到安全區域中 [USG6000V1-zone-trust]quit
(6)將防火牆配置域間包過濾,以保證網絡基本通訊正常
由於Telnet流量屬於防火牆自身收發,因此須要配置Trust區域到Local區域的安全策略,命令以下:
[USG6000V1]security-policy [USG6000V1-policy-security]rule name allow_telent //配置規則,其中allow_telnet爲規則名,可自定義 [USG6000V1-policy-security-rule-allow_telent]source-zone trust //匹配條件,源區域是trust區域 [USG6000V1-policy-security-rule-allow_telent]destination-zone local //匹配條件,目標區域是local區域 [USG6000V1-policy-security-rule-allow_telent]action permit //匹配條件知足後,執行的動做,permit爲容許的意思 [USG6000V1-policy-security-rule-allow_telent]quit [USG6000V1-policy-security]quit
(7)配置認證模式及本地用戶信息
[USG6000V1]user-interface vty 0 4 [USG6000V1-ui-vty0-4]authentication-mode aaa //用戶接口驗證方式爲AAA [USG6000V1-ui-vty0-4]protocol inbound telnet //容許Telnet鏈接虛擬終端 [USG6000V1-ui-vty0-4]quit [USG6000V1]aaa [USG6000V1-aaa]manager-user lzj //配置本地用戶lzj [USG6000V1-aaa-manager-user-lzj]password cipher lzj@1234 //配置用戶密碼(cipher爲密文方式) Info: You are advised to config on man-machine mode. //建議使用man-machine方式配置密碼 [USG6000V1-aaa-manager-user-lzj]service-type telnet //配置服務類型爲telnet [USG6000V1-aaa-manager-user-lzj]level 3 //配置用戶權限級別 [USG6000V1-aaa-manager-user-lzj]quit [USG6000V1-aaa]quit
注意:USG6000系列屬於最新版本,配置本地用戶名和密碼須要使用manager-user命令,以前的版本則使用local-user命令。
(8)客戶端測試訪問
客戶端Telnet訪問成功!
3.經過Web方式登陸設備
建議在模擬器上從新部署設備,固然也可在Telnet的基礎上繼續配置Web方式訪問!爲了簡單明瞭,朋友更加明白配置Web方式,本人從新畫實驗拓補,實驗拓補仍是本來的樣子,一朵 Cloud模擬真實客戶端,一臺USG6000防火牆。配置命令以下:
<USG6000V1>sys Enter system view, return user view with Ctrl+Z. [USG6000V1]undo info enable Info: Information center is disabled. [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [USG6000V1-GigabitEthernet0/0/0]undo shutdown Info: Interface GigabitEthernet0/0/0 is not shutdown. [USG6000V1-GigabitEthernet0/0/0]service-manage http permit [USG6000V1-GigabitEthernet0/0/0]service-manage https permit [USG6000V1-GigabitEthernet0/0/0]quit //打開接口的http和https管理 [USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g0/0/0 Error: The interface has been added to trust security zone. //正常提示,能夠忽略 [USG6000V1-zone-trust]quit //配置接口加入Trust區域 [USG6000V1]security-policy [USG6000V1-policy-security]rule name allow_web [USG6000V1-policy-security-rule-allow_web]source-zone trust [USG6000V1-policy-security-rule-allow_web]destination-zone local [USG6000V1-policy-security-rule-allow_web]action permit [USG6000V1-policy-security-rule-allow_web]quit [USG6000V1-policy-security]quit //若是在Telnet基礎上配置Web方式訪問,這些安全配置能夠忽略 [USG6000V1]web-manager security enable //開啓https安全訪問功能 [USG6000V1]aaa [USG6000V1-aaa]manager-user lzj [USG6000V1-aaa-manager-user-lzj]password Enter Password: Confirm Password: //在這種模式下,配置的密碼將不可見,這也是華爲推薦的方式 [USG6000V1-aaa-manager-user-lzj]service-type web //指定服務類型 [USG6000V1-aaa-manager-user-lzj]level 3 //指定權限級別 [USG6000V1-aaa-manager-user-lzj]quit [USG6000V1-aaa]quit
注意:
其中「web-manager security enable 」命令後也能夠自定義端口,好比:web-manager security enableport 2000,執行security參數,是開啓https管理,不加security參數則表示能夠開啓http管理。絕對不容許https和http管理使用相同的端口,這樣配置會致使端口衝突。訪問失敗!
客戶端訪問驗證:
客戶端經過Web方式訪問成功!
4.配置SSH方式登陸設備
爲了初學者可以看明白,這裏仍是從新部署設備,實驗拓補,跟前兩種方式同樣!也可在以前的基礎繼續配置,根據本身能力便可!SSH方式登陸設備,配置命令以下:
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.20 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]service-manage enable
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit
[USG6000V1-GigabitEthernet0/0/0]quit
//打開接口的ssh管理
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g0/0/0
Error: The interface has been added to trust security zone.
//正常提示,能夠忽略
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local
[USG6000V1-policy-security-rule-allow_ssh]action permit
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit
[USG6000V1]
//配置安全策略,若是在web方式或者Telnet方式以後,這些步驟能夠省略
[USG6000V1]rsa local-key-pair create
//建立SSH所需的密鑰對
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
輸入默認的密鑰長度,默認值爲2048
Input the bits in the modulus[default = 2048]:
Generating keys...
.+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
//而且開啓ssh協議訪問
[USG6000V1]ssh user lzj
//指定lzj爲SSH用戶
[USG6000V1]ssh user lzj authentication-type password
//配置認證方式
[USG6000V1]ssh user lzj service-type stelnet
//配置服務類型
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj
//建立本地用戶lzj
[USG6000V1-aaa-manager-user-lzj]password cipher lzj@1234
Info: You are advised to config on man-machine mode.
//提示建議使用man-machine模式設置密碼
[USG6000V1-aaa-manager-user-lzj]service-type ssh
//指定服務類型爲ssh
[USG6000V1-aaa-manager-user-lzj]level 3
//管理模式爲3
[USG6000V1-aaa-manager-user-lzj]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable
//開啓SSH服務
客戶端訪問測試:
本人習慣使用xshell,我的習慣,cmd命令框也能夠的!
客戶端SSH方式訪問成功!
相關文章
- 1. 華爲防火牆的管理方式介紹及配置
- 2. 華爲防火牆配置遠程管理設備
- 3. 華爲防火牆(USG)的管理方式配置
- 4. 實驗案例:遠程管理防火牆(華爲USG6600防火牆)
- 5. 華爲防火牆實現雙機熱備配置詳解
- 6. 華爲防火牆的NAT介紹及配置詳解
- 7. 華爲防火牆USG6000V配置實驗
- 8. 華爲防火牆NAT策略及配置詳解
- 9. 華爲防火牆VRRP雙機熱備的原理及配置詳解
- 10. 華爲防火牆用戶管理
- 更多相關文章...
- • MyBatis配置文件詳解 - MyBatis教程
- • Spring聲明式事務管理(基於XML方式實現) - Spring教程
- • Flink 數據傳輸及反壓詳解
- • 常用的分佈式事務解決方案
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章