华为防火墙设备管理方式

温馨提示:本章介绍最常用的两种Telnet、SSH方式管理

华为防火墙是AAA(Authentication Authorization Accounting)服务器,它是一种机制,能够处理用户访问请求的服务程序,为具有访问权限的用户提供服务。

验证:Authentication哪些用户可以访问
授权:具有访问权限的用户可以得到哪些服务,有什么权限
记账:对使用网络资源的用户审计

带外管理:Console方式管理,适用于刚买的新设备或者网络故障无法使用其他方式管理,此方式不需要IP地址,通过物理线连接。

带内管理:Telnet、web、SSH方式管理,Telnet安全性低、占用资源少;web图形化界面,适合新手;SSH配置复杂、安全性高、占用资源高,互联网远程管理公司设备。

配置SSH方式管理

注意:默认防火墙接口g0/0/0,IP是192.168.0.1并加入安全区域trust
若使用默认的地址和区域则不用配置此项。首次登录,必须配置一个本地登录密码,默认是admin@123

1、 允许ssh远程管理

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable  //启用接口管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit  //允许ssh服务流量通过
[USG6000V1-GigabitEthernet0/0/0]quit

查看默认接口地址:

2、启用并配置防火墙域间包过滤安全策略,允许trust区域流量与local区域互相通信

[USG6000V1]security-policy   //进入安全策略
[USG6000V1-policy-security]rule name allow_ssh //配置规则,名称为allow_ssh[USG6000V1-policy-security-rule-allow_ssh]source-zone trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local
[USG6000V1-policy-security-rule-allow_ssh]action permit //配置动作

3、 配置认证模式及本地用户信息

[USG6000V1]rsa local-key-pair create  //创建SSH密钥对
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512, it will take a few minutes.
Input the bits in the modulus[default = 2048]:    //按Enter键,采用默认密钥长度
Generating keys...
...+++++
........................++
....++++
...........++[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa  //认证模式:aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.[USG6000V1-ui-vty0-4]protocol inbound ssh  //协议类型是ssh入站
[USG6000V1-ui-vty0-4]quit[USG6000V1]ssh user test  //指定SSH用户为test
Info: Succeeded in adding a new SSH user.[USG6000V1]ssh user test authentication-type password //认证方式,密码
[USG6000V1]ssh user test service-type stelnet   //服务类型[USG6000V1]aaa
[USG6000V1-aaa]manager-user test //创建本地用户
[USG6000V1-aaa-manager-user-test]password cipher test@123  //指定密码
Info: You are advised to config on man-machine mode. //提示信息:建议采用man-machine模式[USG6000V1-aaa-manager-user-test]service-type ssh //服务类型
[USG6000V1-aaa-manager-user-test]level 3  //此用户的访问级别[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable   //启用此服务类型

4、 验证:在客户端以test用户登录,注意首次登录,提示设置新密码,必须设置符合密码复杂性要求的新密码,断开连接再次登录即可!
下图是x-shell登录成功,界面

配置Telnet方式管理

1、打开防火墙Telnet远程管理功能

[USG6000V1]telnet server enable

2、 启用并配置防火墙安全策略

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable   //启用接口管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit  //允许telnet管理流量通过[USG6000V1]security-policy //进入安全策略模式
[USG6000V1-policy-security]rule name allow_telnet  //规则名称allow_telnet [USG6000V1-policy-security-rule-allow_telnet]source-zone trust    //源区域
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local  //目标区域
[USG6000V1-policy-security-rule-allow_telnet]action permit  //配置动作
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit

3、 配置认证模式及本地用户信息

[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa  //认证模式aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.[USG6000V1-ui-vty0-4]protocol inbound telnet
[USG6000V1-ui-vty0-4]quit[USG6000V1]aaa
[USG6000V1-aaa]manager-user demo
[USG6000V1-aaa-manager-user-demo]password cipher demo@1234
Info: You are advised to config on man-machine mode.[USG6000V1-aaa-manager-user-demo]service-type telnet
Warning: The user access modes include Telnet or FTP, so security risks exist.
//翻译:警告用户访问方式有Telnet或FTP,存在安全隐患。忽略
[USG6000V1-aaa-manager-user-demo]level 3 //此用户的访问级别
[USG6000V1-aaa-manager-user-demo]quit
[USG6000V1-aaa]quit

4、验证:方法类似SSH

提示修改密码,修改完,自动断开连接。

再次以新密码登录

配置安全策略-实现服务访问控制

温馨提示:有好多种方式实现,具体视场景需求

  1. 实现内部的pc1可以访问外部的pc2,而pc3不可以访问
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name pc1toout[USG6000V1-policy-security-rule-pc1toout]source 192.168.1.2 32
[USG6000V1-policy-security-rule-pc1toout]service icmp
[USG6000V1-policy-security-rule-pc1toout]destination-zone untrust
[USG6000V1-policy-security-rule-pc1toout]action permit

验证:pc1可以ping通外部主机pc2

pc3不可以ping通外部主机pc2

查看会话:aaa认证模式实现记账功能,对使用网络资源的用户审计

  1. 实现外部的pc2可以访问dmz中的服务器(ftp,http以及icmp)
[USG6000V1-policy-security]rule name outtodmz
[USG6000V1-policy-security-rule-outtodmz]source-zone untrust
[USG6000V1-policy-security-rule-outtodmz]destination-address 192.168.3.2 32[USG6000V1-policy-security-rule-outtodmz]service icmp
[USG6000V1-policy-security-rule-outtodmz]service http
[USG6000V1-policy-security-rule-outtodmz]service ftp
[USG6000V1-policy-security-rule-outtodmz]action permit

测试:pc2可以ping通 dmz中的主机192.168.3.2

饿了吗!来点营养的-华为USG6000V防火墙超详细配置相关推荐

  1. 华为eNSP防火墙USG5500基本配置

    华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统:eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统.交换机采用的是5 ...

  2. 华为ensp防火墙web登陆配置

    步骤一 导入usg防火墙设备包:自行从官网下载相应的设备包,并在ensp第一次安装过后,拖动usg系列防火墙到画布上,双击后即会自动弹出导入设备包选项. 步骤二 启动usg防火墙,若是一直弹出#号,请 ...

  3. 华为ensp防火墙nat64案例配置

    不得不说csdn中关于nat64的案例配置没有几个详细,要么照抄,要么搬运~ 今天也敲个做了一单nat64的小实验,实话实说这种需求的题平时遇见的也少,今天跟大家详细的分析以下. 场景很简单,黄色区域 ...

  4. 华为ensp 防火墙的基础配置

    拓扑图: [FW3-zone-isp1]set priority 12 #配置防火墙优先级 步骤一 #首先进入防火墙需要输入默认账号和密码,必须修改密码. [USG6000V1] undo in en ...

  5. 华为设备!超详细的无线WIFI全覆盖技术讲解,命令行配置与思路实验拓扑图!!!

    *WLAN概述 1.WLAN在距离有限区域内实现无线通信,通常指采用无线传输介质的计算机局域网,使用IEEE802.11系列协议的WLAN也称之为WI-FI 2.优点:移动性.灵活性.可伸缩性.经济性 ...

  6. 华为ensp防火墙WEB界面配置。

    #登录一下,默认账户是admin,密码是Admin@123,登录以后需要修改密码. #进入接口以后会有一个默认的管理IP,需要重新给它配置一个IP. #配置IP. #配置允许任意服务. #端口号为84 ...

  7. 华为交换机vlan与trunk配置

    首先,使用ensp软件搭建好实验环境,并提取途中重要信息. 图中PC19和PC21在同一个vlan5,PC20和PC22在同一个vlan10 解题思路 (1) 首先我们需要确定我们需要用到的端口模式: ...

  8. 华为交换机一次性进入多个接口_华为交换机端口的批量配置命令

    华为交换机端口的批量配置命令 如何在华为交换机上进行批量管理端口呢,例如同时将多个端口加入到一个vlan中,下面yjbys为大家介绍华为交换机批量管理端口的方法!欢迎参考学习! 首先在S5700交换机 ...

  9. 华为ar2200路由器 策略路由_路由交换篇 06 华为路由器RIP协议的配置

    任务2 RIP路由协议的配置 ■ 任务背景 某大型企业已有12台路由器,需要组建内部网络实现资源共享,考虑公司规模较大不适合采用静态路由组网,工程师对公司的实际情况进行了分析:1.路由跳数较多,不适合 ...

  10. 6 华为交换机 路由配置_华为路由、交换机基础配置指令

    华为路由.交换机基础配置指令 一.华为路由器交换机配置命令:计算机命令 PCAlogin:root:使用root用户 password:linux:口令是linux #shutdown -h now: ...

最新文章

  1. 梭子鱼任命James Forbes-May为亚太区销售副总裁
  2. 如何防止同一账号多次登录
  3. AI理论知识基础(19)-线性变换(1)
  4. 用c#控制台模拟双色球随机选
  5. android系统优化(19)--系统性能优化第6季
  6. 服务器为什么要装操作系统,服务器需要安装操作系统吗
  7. 搭建Struts框架
  8. NGINX配置gzip请求自动解压
  9. imagej得到灰度图数据_用ImageJ处理空间成像数据
  10. 3dmax 2022卸载方法,怎么完全彻底卸载删除清理干净3dmax 2022各种残留注册表和文件?
  11. python+requests爬取汽车之家二手车
  12. 提取多个文件夹图片到一个文件夹
  13. 深度学习之数据标准化方法综述
  14. 层次、网状、关系模型
  15. Ubuntu安装NVIDIA 显卡驱动
  16. vSphere Client连接主机提示远程服务器响应时间过长
  17. 江苏省版权申请费用明细以及版权申报流程
  18. LSM存储引擎基本原理
  19. 让你在ManjaroLinux下也能只用你喜欢的中文输入法
  20. 云服务ftp服务器搭建_在阿里云服务器搭建FTP服务器,在本地电脑连接并操作

热门文章

  1. VC2010 sp1修复补丁
  2. Android http 下载保存文件
  3. Delphi用QJSON解析JSON格式的数据 【转】
  4. 万物皆可秒——淘宝秒杀Python脚本,扫货618,备战双11!
  5. 「大数据干货」基于Hadoop的大数据平台实施——整体架构设计
  6. 无法启动此程序因为计算机中丢失msvcr71
  7. 进销存管理系统源码VS2015
  8. 小白文件管理器android,小白文件管理器手机版
  9. echarts label加边框_ECharts 教程 富文本标签 - 闪电教程JSRUN
  10. 做数据迁移差点累死的程序员有话要说----数据迁移经验分享