华为模拟器防火墙打开web_华为防火墙的管理方式(Console、Telnet、Web、SSH)
一、华为防火墙设备的管理方式
1、AAA介绍
AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务。其中:
验证:哪些用户可以访问网络服务器。
授权:具有访问权限的用户可以得到哪些服务,有什么权限。
记账:如何对正在使用网络资源的用户进行审计。
AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。
网络设备的AAA认证方式有本地身份验证(local)、远程身份验证两大类。本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的AAA服务器来完成,这需要设备和AAA服务器进行关联。
华为防火墙支持用户进行本地与远程配置,今天只介绍本地的身份验证。
2、华为防火墙常见的管理方式有:
通过Console方式管理:属于带外管理,不占用户带宽,适用于新设备的首次配置场景。
通过Telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。
通过Web方式管理:属于带内管理,可以基于图形化管理,更适用于新手配置设备。
通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,比如通过互联网远程管理公司网络设备。
二、每个管理方式的配置
Console方式的管理,只要连接console线,在客户端使用超级终端连接即可,具体操作请查阅相关资料,这里就不多说了。
1、通过Telnet方式管理
Telnet管理方式通过配置使终端通过Telnet方式登录设备,实现对设备的配置和管理。
(1)配置前准备
我使用的是eNSP软件,在eNSP中添加一台防火墙,一台Cloud设备(桥接虚拟机充当客户端使用)模拟器上的防火墙需要导入系统,我这里使用的是USG6000的防火墙,可以通过下载位置:https://pan.baidu.com/s/1K8867Y8aPRjP_WuwBaqDhg 下载防火墙系统。
USG6000的防火墙,默认编号最小的接口(也就是G0/0/0)已经配置了远程管理的一些相关配置及IP地址,所以有很多配置是可以省略的,我就用G1/0/0这个全新的接口操作,比较全面。
(2)开始配置防火墙:
首次登录Console控制台,按要求配置初始管理密码:
system-view #切换到系统视图
[USG6000V1]int g1/0/0 #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24 #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]undo shutdown #激活接口
[USG6000V1-GigabitEthernet1/0/0]quit #保存退出
[USG6000V1]int g1/0/0 #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]service-manage enable #进入到管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit #允许telnet
[USG6000V1-GigabitEthernet1/0/0]quit #保存退出
[USG6000V1]firewall zone trust #进入到trust区域
[USG6000V1-zone-trust]add int g1/0/0 #将G1/0/0加入到trust区域
[USG6000V1-zone-trust]quit #保存退出
[USG6000V1]security-policy #设置安全策略
[USG6000V1-policy-security]rule name allow_telnet #创建安全策略名字为allow_telnet
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust #配置安全策略源区域trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local #配置安全策略目标区域local
[USG6000V1-policy-security-rule-allow_telnet]action permit #允许trust区域访问防火墙本地区域local
[USG6000V1-policy-security-rule-allow_telnet]quit #保存退出
[USG6000V1-policy-security]quit #同上
[USG6000V1]user-interface vty 0 4 #配置vty,允许5个终端使用telnet功能
[USG6000V1-ui-vty0-4]authentication-mode aaa #配置telnet使用AAA身份验证
[USG6000V1-ui-vty0-4]protocol inbound telnet #允许AAA验证telnet
[USG6000V1-ui-vty0-4]quit #保存退出
[USG6000V1]aaa #进入AAA验证
[USG6000V1-aaa]manager-user benet #AAA验证账户是benet
[USG6000V1-aaa-manager-user-benet]password cipher pwd@1234 #AAA验证密码是pwd@1234
[USG6000V1-aaa-manager-user-benet]service-type telnet #AAA给telnet提供验证功能
[USG6000V1-aaa-manager-user-benet]level 15 #设置telnet账户Benet为管理员权限
#“0”是参观级别,啥都做不了;“1”是监控级别,可以查看相关配置;“2”为配置级别,可以配置部分参数;“3-15”是管理级别,拥有最大的权限
[USG6000V1-aaa-manager-user-benet]quit
[USG6000V1-aaa]quit
Telnet管理方式配置完成,可以通过CMD、CRT、Xshell等超级终端软件连接该防火墙。如下:
CMD连接:
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
Login authentication
Username:benet #输入刚才创建的账户名
Password: #输入刚才设置密码
The password needs to be changed. Change now? [Y/N]: y #首次登录需要更改密码,Y即可
Please enter old password: #输入旧密码
Please enter new password: #输入新密码
Please confirm new password: #确认新密码
遗失对主机的连接。 #退出重新telnet输入新密码即可
CRT连接:
Xshell连接:
2、通过SSH方式管理
和Telnet、Web相比,SSH安全性更高,所以一般不推荐使用Telnet方式登录设备,而是通过ssh来登录设备,下面开始配置SSH方式登录设备(重新搭环境重新配置)
开始配置:
system-view #切换到系统视图
[USG6000V1]int g1/0/0 #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24 #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]service-manage enable #进入到管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit #允许ssh
[USG6000V1-GigabitEthernet1/0/0]quit #保存退出
[USG6000V1]firewall zone trust #进入到trust区域
[USG6000V1-zone-trust]add int g1/0/0 #将G1/0/0接口加入trust区域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy #进入安全策略
[USG6000V1-policy-security]rule name allow_ssh #创建安全策略allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust #定义安全策略源区域为trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local #定义安全策略目标区域为local
[USG6000V1-policy-security-rule-allow_ssh]action permit #允许trust区域访问local区域
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create #设置ssh密钥对,最长2048
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 2048]:2048 #输入
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4 #配置vty,允许5个终端
[USG6000V1-ui-vty0-4]authentication-mode aaa #ssh使用AAA验证
[USG6000V1-ui-vty0-4]protocol inbound ssh #允许ssh使用AAA验证
[USG6000V1-ui-vty0-4]quit
[USG6000V1]ssh user test #创建验证账户test
[USG6000V1]ssh user test authentication-type password #使用密码验证
[USG6000V1]ssh user test service-type stelnet #配置验证服务类型为ssh
[USG6000V1]aaa #进入AAA
[USG6000V1-aaa]manager-user test #AAA验证用户名为test
[USG6000V1-aaa-manager-user-test]password cipher pwd@1234 #AAA验证test账户密码为pwd@1234
[USG6000V1-aaa-manager-user-test]service-type ssh #AAA给ssh提供验证
[USG6000V1-aaa-manager-user-test]level 15 #设置ssh验证账户为管理员
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable #开启ssh
SSH方式管理至此配置完成,Xshell或者CRT连接测试,如下:
CRT连接:
这是修改完密码登录的界面,第一次登录输入上面创建的账户(test),密码pwd@1234登录即可,提示修改密码时输入“Y”修改密码重新连接即可。
Xshell连接:
刚才CRT登录修改过密码,这次就不需要修改了。、
3、通过Web方式管理:
开始配置:
system-view #切换系统视图
[USG6000V1]int g1/0/0 #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24 #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit #允许http协议远程
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit #允许https协议远程
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust #进入到trust区域
[USG6000V1-zone-trust]add int GigabitEthernet 1/0/0 #将G1/0/0接口加入trust区域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy #进入安全策略
[USG6000V1-policy-security]rule name allow_web #创建安全策略名字为allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust #策略源区域为trust
[USG6000V1-policy-security-rule-allow_web]destination-zone local #策略目标区域为local
[USG6000V1-policy-security-rule-allow_web]action permit #允许trust区域访问local区域
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable #开启web管理功能
[USG6000V1]aaa #进入AAA配置
[USG6000V1-aaa]manager-user web #配置验证账户名为web
[USG6000V1-aaa-manager-user-web]password #设置AAA验证密码
Enter Password: #输入密码
Confirm Password: #重复输入
[USG6000V1-aaa-manager-user-web]service-type web #允许使用web验证
[USG6000V1-aaa-manager-user-web]level 15 #设置为管理员权限
[USG6000V1-aaa-manager-user-web]quit
[USG6000V1-aaa]quit
经过以上配置,现在即可使用web访问测试,防火墙默认情况下开启的https端口为8443,使用客户端访问测试,经过上面的配置,应使用 https://192.168.100.10:8443 进行访问,若网页加载不出来,多刷新几次就好了:
Web方式管理就配置完成了。
整个博文看完你会发现,每种方式管理的配置并不复杂,很多地方都是重复命令。
此博文到此结束,感谢阅读!
华为模拟器防火墙打开web_华为防火墙的管理方式(Console、Telnet、Web、SSH)相关推荐
- 华为P20PRO怎样开通云闪付_华为P20NFC_华为p20nfc怎么打开_华为p20nfc刷卡怎么用-站长之家...
伴随着第三方Pay支付的发展和移动公交的需求,这要求智能手机产品必须内置NFC芯片.对于上一周发布的国行华为P20旗舰手机目前受到了不少分 北京时间 12 月 20 日,在广州汇华希尔顿逸林酒店举办的 ...
- 华为路由器/交换机配置telnet,ssh远程登录
华为路由器/交换机配置telnet,ssh远程登录 文章目录 华为路由器/交换机配置telnet,ssh远程登录 1. Telnet 1.1 新建账号 1.2 配置远程访问 1.3 客户端远程访问 1 ...
- asa 防火墙拦截了https_防火墙(ASA)的基本配置与远程管理
在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分.这篇博客主要介绍防火墙安全算法的原理与基本配置以及远程管理防火墙的几种方式 硬件与软件防火墙 1 ...
- 华为防火墙(USG)的管理方式配置
一.华为防火墙设备的几种管理方式介绍: 由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下. AAA是验证(Authentication).授权(Author ...
- 【模拟器】华为模拟器eNSP安装注意事项及常见报错处理
华为eNSP模拟器:Enterprise Network Simulator Platform 简称ensp企业网络仿真平台华为公司自研的一款仿真软件,有利于大家学习华为相关网络技术. 01 安装eN ...
- 华为模拟器ensp安装与使用
华为模拟器ensp安装与使用 1.安装ensp软件,注册成功: 2.镜像导入. 安装ensp软件,注册成功 第一步,安装VirtualBox,以管理员身份运行: 根据安装向导,默认选择"下一 ...
- 玩转华为ENSP模拟器系列 | 两个网关之间通过IKE方式协商IPSec VdPdNd隧道(采用证书认证)
素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...
- ensp安装包_教你如何安装华为模拟器Ensp,另分享全套安装包
这两天后台总是收到要华为模拟器的私信,其实我的公众号之前分享过ensp,只是当时清理教程时不小心全部清理完了,那么今天瑞哥把它分享出来,有需要的朋友自行下载哦. 安装步骤 一.在安装之前,首先要删除原 ...
- Secure CRT连接华三模拟器和华为模拟器(CRT通过pipe连接华三模拟器)
为了方便你们,专门把软件的下载地址放在下面了,放了华三模拟器,华为的网上太多了,需要的可以自行下载,不用谢我,希望可以一起进步呦. CRT v8.5.3和pipe软件下载地址:链接:https://p ...
最新文章
- 裁员、亏损、倒闭,2019 十大 AI 失败案例回顾
- Xposed简介以及小米去桌面广告的简单实现
- (不误正业)鼓励做题的时间陷阱
- oracle truncsysdate_oracle trunc截断日期函数
- 六张图|教开发者该如何应对“中年危机”
- 分享给设计师们9款免费和有用的英文字体
- 【机器学习-公开数据集免费下载】
- 关于vs2015各版本的卸载
- 【2020年高被引学者】 车万翔 哈尔滨工业大学
- 右脑图像记忆法原理和方法入门
- 佛系宿华和他的“信任电商”伪命题
- 微信小程序加载图片优化
- word 宏命令批量把当前文件夹下的doc另存为docx格式
- 任性安装苹果应用,安装包在手天下我有
- 二倍图三倍图什么意思_什么是二倍图三倍图
- IOS软件版本检测更新
- 快速排序的递归算法C语言
- 安装erlang/otp和rebar3时遇到的一些问题和自己的见解
- 虚拟机和物理机之间互ping【局域网内ping不通,防火墙规则更改(win7为例)】
- 权限管理系统设计方案
热门文章
- 从量子到星空:混沌世界的隐藏秩序
- python线程类改变类变量
- 2023【iOS 真机调试支持包】 已更新至iOS 16.4 Beta 2 版本,Xcode 14.3 支持iOS 16.3、iOS15.7. iOS DeviceSupport 设备真机调试支持包
- vue脚手架做的项目如何放在服务端,vue项目部署到服务器
- 计算机考研复试_令人头大的_英文文献翻译
- 探探提醒对方账号异常_探探显示对方账号异常
- java中asscc码表,RedHat Linux各版本汇总
- 运动蓝牙耳机什么好用?防水性能好的运动蓝牙耳机
- 动图保存gif方法以及遇到MovieWriter ffmpeg unavailable; using Pillow instead.
- 以太坊的交易id是如何来的