华为防火墙(USG)的管理方式配置

一、华为防火墙设备的几种管理方式介绍:
由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下。

AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提供服务。其中:

  • 验证:哪些用户可以访问网络服务器。
  • 授权:具有访问权限的用户可以得到哪些服务,有什么权限。
  • 记账:如何对正在使用网络资源的用户进行审计。

AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。
.
网络设备的AAA认证方式有本地身份验证、远程身份验证两大类,本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的AAA服务器来完成,这需要设备和AAA服务器进行关联。
.
华为防火墙支持用户进行本地与远程配置,以下所有配置都将以本地配置来进行身份验证。

华为防火墙常见的管理方式有:

  • 通过Console方式管理:属于带外管理,不占用带宽,适用于新设备的首次配置时使用,在第一次配置时,会配置下面几个管理方式的其中一个或多个,下次在配置直接远程连接即可,无须使用Console连接了。
  • 通过Telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。因为在配置时所有数据是明文传输,所以仅限于内网环境使用。
  • 通过web管理方式:属于带内管理,可以基于图形化管理,适用于新手配置设备(但也要熟知其工作原理)。
  • 通过SSH方式管理,属于带内管理,配置相比较复杂些,资源占用也高,但是欣慰的是安全性极高,主要适用于对安全性要求较高的场景,如通过互联网远程管理公司网络设备。

二、各种管理方式的配置:
Console方式的管理,只要连接console线,在客户端使用超级终端连接即可,具体操作请百度吧,这里就不写了。
环境很简单,如下所示:

USG6000的防火墙,默认编号最小的接口(一般是G0/0/0)已经配置了远程管理的一些相关配置及IP地址,所以有很多配置是可以省略的,不过为了完整的将所需的配置写下来,我不使用它的G0/0/0接口,而使用别的全新没有配置的接口。
1、通过telenet管理配置:

<USG6000V1>sys                                  # 进入配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 1/0/0                     # 进入防火墙接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24                  # 配置防火墙接口IP(管理IP)
Oct 25 2019 11:23:06 USG6000V1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IPon the interface GigabitEthernet1/0/0 has entered the UP state.
[USG6000V1-GigabitEthernet1/0/0]undo shutdown                   # 打开接口
Info: Interface GigabitEthernet1/0/0 is not shutdown.
[USG6000V1-GigabitEthernet1/0/0]quit                     # 退出当前视图
[USG6000V1]telnet server enable                   # 打开防火墙的 Telnet 功能
[USG6000V1]int g 1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manage enable            # 配置接口管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit              # 允许Telnet
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust                              # 进入到 trust 区域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0                   # 将接口1/0/0加入到该区域
[USG6000V1-zone-trust]quit 
[USG6000V1]security-policy               # 配置规则
[USG6000V1-policy-security]rule name allow_telnet                 # 配置规则,allow_telnet是规则名称 
[USG6000V1-policy-security-rule-allow_telnet]                # 以下三条配置条件
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust             # 源区域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local       # 目标区域是防火墙本机
[USG6000V1-policy-security-rule-allow_telnet]action permit               # 动作为允许
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]user-interface vty 0 4                 # 配置VTY用户接口
[USG6000V1-ui-vty0-4]authentication-mode aaa                 # 讲VTY接口的验证方式设为aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound telnet                            # 允许Telnet用户连接到虚拟终端
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa                         # 进入aaa配置视图
[USG6000V1-aaa]manager-user zhangsan                       # 配置本地用户zhangsan
[USG6000V1-aaa-manager-user-zhangsan]password cipher pwd@123123             # 配置登录密码,cipher为明文密码,不建议使用,密文可参考web管理
Info: You are advised to config on man-machine mode.
[USG6000V1-aaa-manager-user-zhangsan]
[USG6000V1-aaa-manager-user-zhangsan]service-type telnet                 # 配置服务类型
[USG6000V1-aaa-manager-user-zhangsan]level 3                            # 配置用户权限级别[USG6000V1-aaa-manager-user-zhangsan]quit
[USG6000V1-aaa]quit

经过上面的配置,即可使用Xshell等超级终端软件连接该防火墙了。使用Telnet命令即可连接,如下:


.

[E:\~]$ telnet 192.168.1.1Connecting to 192.168.1.1:23...
Connection established.
The password needs to be changed. Change now? [Y/N]: y                    # 第一次登陆需要修改密码
Please enter old password:                  # 填写旧密码
Please enter new password:                 # 填写新密码
Please confirm new password:            # 确认新密码
Info: Receive a message from AAA of cutting user.Username:zhangsan
Password:                                   # 输入新密码
*************************************************************************
*         Copyright (C) 2014-2015 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************Info: The max number of VTY users is 10, and the numberof current VTY users on line is 1.The current login time is 2019-10-25 11:44:32+00:00.
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]

2、配置web方式登录设备:

<USG6000V1>sys                                  # 进入配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 1/0/0                     # 进入防火墙接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24                  # 配置防火墙接口IP(管理IP)
[USG6000V1-GigabitEthernet1/0/0]undo shutdown                   # 打开接口
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit                  # 允许http管理
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit                # 允许https管理
[USG6000V1]firewall zone trust                              # 进入到 trust 区域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0                   # 将接口1/0/0加入到该区域
[USG6000V1]security-policy               # 配置规则
[USG6000V1-policy-security]rule name allow_web                 # 配置规则,allow_web是规则名称 
[USG6000V1-policy-security-rule-allow_telnet]                # 以下三条配置条件
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust             # 源区域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local       # 目标区域是防火墙本机
[USG6000V1-policy-security-rule-allow_telnet]action permit               # 动作为允许
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable                 # 开启https功能
[USG6000V1]aaa                      # 配置aaa
[USG6000V1-aaa]manager-user web                         # 配置web为本地用户
[USG6000V1-aaa-manager-user-web]password                 # 密文密码Enter Password:                # 输入密码Confirm Password:                # 确认密码
[USG6000V1-aaa-manager-user-web]service-type web           # 指定用户类型
[USG6000V1-aaa-manager-user-web]level 3                              # 制定权限级别
[USG6000V1-aaa-manager-user-web]quit
[USG6000V1-aaa]quit
[USG6000V1]

经过以上配置,现在即可使用web访问测试,防火墙默认情况下开启的https端口为8443,使用客户端访问测试,经过上面的配置,应使用 https://192.168.1.1:8443 进行访问(建议使用谷歌浏览器,可能是eNSP模拟器的原因,若网页加载不出来,多刷新几次就好):




至此就配置完成了
3、配置SSH方式登录:

<USG6000V1>sys                                  # 进入配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 1/0/0                     # 进入防火墙接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24                  # 配置防火墙接口IP(管理IP)
[USG6000V1-GigabitEthernet1/0/0]undo shutdown                   # 打开接口
[USG6000V1-GigabitEthernet1/0/0]service-manage enable           
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit              # 允许SSH登录
[USG6000V1]firewall zone trust                              # 进入到 trust 区域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0                   # 将接口1/0/0加入到该区域
[USG6000V1]security-policy               # 配置规则
[USG6000V1-policy-security]rule name allow_ssh                 # 配置规则,allow_ssh是规则名称 
[USG6000V1-policy-security-rule-allow_telnet]                # 以下三条配置条件
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust             # 源区域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local       # 目标区域是防火墙本机
[USG6000V1-policy-security-rule-allow_telnet]action permit               # 动作为允许
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create                    # 创建ssh所需要的密钥对
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).                
NOTES: If the key modulus is greater than 512, it will take a few minutes.
Input the bits in the modulus[default = 2048]:                    # 输入默认的秘钥长度,直接回车采用默认2048
Generating keys...
.+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
[USG6000V1]
[USG6000V1]ssh user test                             # 指定 test 为SSH用户
[USG6000V1]ssh user test authentication-type password               # 配置认证方式
[USG6000V1]ssh user test service-type stelnet                       # 配置服务类型
[USG6000V1]aaa                     # 进入aaa
[USG6000V1-aaa]manager-user test                 # 指定用户
[USG6000V1-aaa-manager-user-test]password                 # 配置密码Enter Password:Confirm Password:
[USG6000V1-aaa-manager-user-test]
[USG6000V1-aaa-manager-user-test]service-type ssh             # 类型为ssh
[USG6000V1-aaa-manager-user-test]level 3               # 权限级别
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable                   # 开启ssh

至此配置完毕,开始使用Xshell连接即可。





.
每种方式各有各的好处,各有各的方便,就看各位怎么取决了!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/43665.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

华为USG防火墙区域配置

USG防火墙区域配置 学习目的 掌握防火墙安全区域的配置方法掌握对安全区域的参数配置掌握在区域之间进行包过滤的方法拓扑图

高数 | 周洋鑫 冲刺预测题自用整理复习

自用笔记整理复习。 内容来自2023周洋鑫冲刺班。 加油ヾ(◍∇◍)&#xff89;&#xff9e; 1、函数极限计算 【加项减项】 ☆ 二次积分求极限 【分母与面积同阶】—— 走二重积分中值定理 ☆ 中值点的包装 学思想 —— 别忘了可以洛必达 2、数列极限 【压缩映射原理】 高数 |…

AMC12和高考数学哪个更难?知识点有哪些不同?

AMC12和高考数学哪个更难&#xff1f;知识点有哪些不同&#xff1f;今天小编给大家来详细介绍一下&#xff01; 难度对比 从难度上看&#xff0c;高考数学的计算量更大&#xff0c;并且知识点比AMC10/12超前&#xff0c;需要用到极限和微积分的知识。 反观AMC10/12不需要用到…

首发!2022高考数学压轴题解析!

早点关注我&#xff0c;精彩不迷路&#xff01; 昨天和大伙一样&#xff0c;从新闻里得知了今年的高考题&#xff0c;并听说难度极大&#xff0c;区分度极高。于是我便来了兴趣&#xff0c;拿起压轴题就做了起来。想看看12年一个轮回过去&#xff0c;那些年做过的题是否还是当年…

【高考往期真题】—— 2022高考数学全国 I 卷参考答案

写在前面 本人为2018届浙江卷考生&#xff0c;目前大四即将毕业&#xff08;非数学专业&#xff09;&#xff0c;平时爱好数学&#xff0c;比较关心每年的高考数学卷情况&#xff0c;故斗胆尝试一下全国 I 卷。只挑选了一些压轴题&#xff0c;并且答案并非官方答案&#xff0c;…

2023考研数学冲刺模拟卷资源———以及模拟卷难度评估

提示&#xff1a;本文只是博主个人在冲刺模拟时的一些感受和心得体会&#xff0c;仅代表个人意见&#xff0c;供大家参考 注⚠️&#xff1a;本文不会出现博主的个人成绩&#xff0c;也不是那种超强做题人&#xff0c;公平公正合理描述。冲刺一个月前夕&#xff0c;宝贵时间写篇…

即时通讯平台--企业微信客户端搭建

即时通讯平台–企业微信客户端搭建 背景介绍 本学期我搭建了基于光学传感器的道路环境感知系统&#xff0c;可以对道路中的车辆进行识别与跟踪&#xff0c;速度监控与流量统计。速度监控与流量统计的结果若只能本地展示&#xff0c;需要耗费大量人力资源看守监控&#xff0c;…

小程序端接入企微客服 【微信客服】支持接入企微客服功能

一、使用场景 用户在小程序中查看服务项目&#xff0c;想立即确认服务时间、价格、商家位置&#xff0c;这时只需要点击联系客服的按钮&#xff0c;即可在微信内免加好友进行咨询。【微信客服】将成为商家直连消费者较高效的方式&#xff0c;帮助商家完成与用户的“售前咨询-售…

uniapp接入微信客服聊天流程(企业微信)

1.注册并认证企业微信 多平台开发企业微信客服是最好的解决方案 企业微信 2.打开微信客服 3.启用微信客服&#xff0c;并添加客服账号 4.接入场景 如果多平台开发可以都接入 里面有步骤&#xff0c;按照步骤走即可&#xff08;看完官方教程一定回来继续看代码&#xff01;&…

Android(安卓) 接入企业微信

安卓接入企业微信 概述&#xff1a;博主是个三流代码搬运工&#xff0c;最近接手某个课题&#xff0c;需要做一个数据可视化的 app &#xff0c;将一些信息直观的统计并且展示在地图上&#xff0c;所以也会用到高德地图 API 的接口&#xff0c;所以后续也会分享一下使用高德 A…

企业微信接入第三方应用(以服务商身份)

最近在搞企业微信的东西&#xff0c;刚开始对这个的确没有任何的概念&#xff0c;属于两眼抓瞎的类型&#xff0c;因为场景比较特殊网上搜到的资料也不多&#xff0c;只能自己看着官方文档一点一点去调试。于是&#xff0c;一系列的踩坑之路就上演了&#xff0c;这里就简单介绍…

从码力到算力的“狂飙”,探元宇宙的未来风向

导语 | 随着 GPT-4 的问世&#xff0c;大大加速催化了 AIGC 与元宇宙的融合发展&#xff0c;在大家对元宇宙的了解逐渐深入之后&#xff0c;越来越多企业不断探索元宇宙的发展机遇。那么在技术驱动的数字时代&#xff0c;我们该如何看待元宇宙的未来发展&#xff1f;今天&#…

chatgpt赋能python:Python怎么更改语言

Python怎么更改语言 Python是一种高级编程语言&#xff0c;因其简洁、易读、易学和可扩展性而受到许多程序员的青睐。 Python在许多领域中都有着广泛的应用&#xff0c;特别是在数据科学领域和人工智能领域。 本文将探讨如何使用Python更改语言&#xff0c;介绍一些工具和技巧…

ClickHouse用户路径分析原理及实现

在互联网数据分析钟&#xff0c;有一种针对用户行为路径的分析模型——路径分析。路径分析应用是对特定事件的上下游进行可视化展示并分析用户在使用产品时的路径分布情况。比如&#xff1a;当用户使用某APP时&#xff0c;是怎样从【首页】进入【详情页】的&#xff0c;用户从【…

【GIT】git个人笔记

GIT个人手册 版本 日期 修订内容 作者 V01 2019-06-25 初稿 备注&#xff1a; 使用中不断迭代完善&#xff0c;其他人使用中有其他总结的&#xff0c;可以补充。 目录 第一章 说明 一.1.1 GIT 中文手册 一.1.2 git仓库说明(工作区、暂存区、本地仓、远程仓)1 一.1.3 g…

ES优化实战- forceMerge搜索提升测试报告

测试结论 通过测试数据能够得出以下结论。 对于历史不变的数据&#xff0c;段合并的效果是非常好的。它对普通查询&#xff08;query_string&#xff09;有着较大的提升&#xff0c;提升在10%~90%不等的效果&#xff0c;其中搜索条件命中的结果集越多&#xff0c;提升就越明显…

unity对接T.Flight Hotas 4操控杆

unity对接T.Flight Hotas 4操控杆: 注: 提示: 本篇主要说明,如何使用unity获取 T.Flight Hotas 4 传回来的各种值 获取驱动: 提示:首先要下载安装官方的驱动,用他的软件先检测一边是否能够正常运行 地址: 固件地址:https://support.thrustmaster.com/zh/product…

ES优化实战 - 小操作节省百分之三十以上的磁盘空间

通过关闭索引的 _source来节省磁盘 un_source 是去掉存储的数据。在查询的时候&#xff0c;不反回数据。数据只做索引和倒排这些。 这样做的意思是&#xff0c;只让es做检索&#xff0c;不做存储。es检索完&#xff0c;只返回一个id。然后选用Hbase这样的数据库联动。Hbase擅长…

ES 搜索优化测试 - indexSort 对检索性能提升50%

indexSort 是在写入数据的时候&#xff0c;根据某个字段做排序。我们可以理解为数据的预排序。 在检索的时候&#xff0c;假如搜索正好是根据排好序的字段做排序的&#xff0c;那么将会有 50%的 检索性能提升效果。 注意&#xff0c;不要在请求中返回 count数据总量。这样配合i…

unity中的摇杆按钮设置

摇杆设备的所有按钮都有顺序编号&#xff0c;下图按钮框内的1到16分别对应摇杆设备的各个按钮。 若要使用摇杆的某个按钮需按 joystick button 按钮编号 的格式设置。unity的按钮从0开始计算在设置的时候需要减去一个数。 下图红线框住的选项其设置表示&#xff1a;摇杆7号按钮…