一、华为防火墙设备的管理方式

1、AAA介绍

AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称，是一个能够处理用户访问请求的服务器程序，主要目的是管理用户访问网络服务器，为具有访问权的用户提供服务。其中：

验证：哪些用户可以访问网络服务器。

授权：具有访问权限的用户可以得到哪些服务，有什么权限。

记账：如何对正在使用网络资源的用户进行审计。

AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源，首先要进行用户的入网认证，这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性；鉴别完成后，才能对用户访问网络资源进行授权，并对用户访问网络资源进行计费管理。

网络设备的AAA认证方式有本地身份验证(local)、远程身份验证两大类。本地身份验证通过将用户名和密码在本地创建并验证，而远程身份验证通过各个厂商自有的AAA服务器来完成，这需要设备和AAA服务器进行关联。

华为防火墙支持用户进行本地与远程配置，今天只介绍本地的身份验证。

2、华为防火墙常见的管理方式有：

通过Console方式管理：属于带外管理，不占用户带宽，适用于新设备的首次配置场景。

通过Telnet方式管理：属于带内管理，配置简单，安全性低，资源占用少，主要适用于安全性不高、设备性能差的场景。

通过Web方式管理：属于带内管理，可以基于图形化管理，更适用于新手配置设备。

通过SSH方式管理，属于带内管理，配置复杂，安全性高，资源占用高，主要适用于对安全性要求比较高的场景，比如通过互联网远程管理公司网络设备。

二、每个管理方式的配置

Console方式的管理，只要连接console线，在客户端使用超级终端连接即可，具体操作请查阅相关资料，这里就不多说了。

1、通过Telnet方式管理

Telnet管理方式通过配置使终端通过Telnet方式登录设备，实现对设备的配置和管理。

(1)配置前准备

我使用的是eNSP软件，在eNSP中添加一台防火墙，一台Cloud设备(桥接虚拟机充当客户端使用)模拟器上的防火墙需要导入系统，我这里使用的是USG6000的防火墙，可以通过下载位置：https://pan.baidu.com/s/1K8867Y8aPRjP_WuwBaqDhg 下载防火墙系统。

USG6000的防火墙，默认编号最小的接口(也就是G0/0/0)已经配置了远程管理的一些相关配置及IP地址，所以有很多配置是可以省略的，我就用G1/0/0这个全新的接口操作，比较全面。

(2)开始配置防火墙：

首次登录Console控制台，按要求配置初始管理密码：

system-view #切换到系统视图

[USG6000V1]int g1/0/0 #进入G1/0/0接口

[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24 #接口配置IP地址

[USG6000V1-GigabitEthernet1/0/0]undo shutdown #激活接口

[USG6000V1-GigabitEthernet1/0/0]quit #保存退出

[USG6000V1]int g1/0/0 #进入G1/0/0接口

[USG6000V1-GigabitEthernet1/0/0]service-manage enable #进入到管理模式

[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit #允许telnet

[USG6000V1-GigabitEthernet1/0/0]quit #保存退出

[USG6000V1]firewall zone trust #进入到trust区域

[USG6000V1-zone-trust]add int g1/0/0 #将G1/0/0加入到trust区域

[USG6000V1-zone-trust]quit #保存退出

[USG6000V1]security-policy #设置安全策略

[USG6000V1-policy-security]rule name allow_telnet #创建安全策略名字为allow_telnet

[USG6000V1-policy-security-rule-allow_telnet]source-zone trust #配置安全策略源区域trust

[USG6000V1-policy-security-rule-allow_telnet]destination-zone local #配置安全策略目标区域local

[USG6000V1-policy-security-rule-allow_telnet]action permit #允许trust区域访问防火墙本地区域local

[USG6000V1-policy-security-rule-allow_telnet]quit #保存退出

[USG6000V1-policy-security]quit #同上

[USG6000V1]user-interface vty 0 4 #配置vty，允许5个终端使用telnet功能

[USG6000V1-ui-vty0-4]authentication-mode aaa #配置telnet使用AAA身份验证

[USG6000V1-ui-vty0-4]protocol inbound telnet #允许AAA验证telnet

[USG6000V1-ui-vty0-4]quit #保存退出

[USG6000V1]aaa #进入AAA验证

[USG6000V1-aaa]manager-user benet #AAA验证账户是benet

[USG6000V1-aaa-manager-user-benet]password cipher pwd@1234 #AAA验证密码是pwd@1234

[USG6000V1-aaa-manager-user-benet]service-type telnet #AAA给telnet提供验证功能

[USG6000V1-aaa-manager-user-benet]level 15 #设置telnet账户Benet为管理员权限

#“0”是参观级别，啥都做不了；“1”是监控级别，可以查看相关配置；“2”为配置级别，可以配置部分参数；“3-15”是管理级别，拥有最大的权限

[USG6000V1-aaa-manager-user-benet]quit

[USG6000V1-aaa]quit

Telnet管理方式配置完成，可以通过CMD、CRT、Xshell等超级终端软件连接该防火墙。如下：

CMD连接：

Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.

Login authentication

Username:benet #输入刚才创建的账户名

Password: #输入刚才设置密码

The password needs to be changed. Change now? [Y/N]: y #首次登录需要更改密码，Y即可

Please enter old password: #输入旧密码

Please enter new password: #输入新密码

Please confirm new password: #确认新密码

遗失对主机的连接。 #退出重新telnet输入新密码即可

CRT连接：

Xshell连接：

2、通过SSH方式管理

和Telnet、Web相比，SSH安全性更高，所以一般不推荐使用Telnet方式登录设备，而是通过ssh来登录设备，下面开始配置SSH方式登录设备(重新搭环境重新配置)

开始配置：

system-view #切换到系统视图

[USG6000V1]int g1/0/0 #进入G1/0/0接口

[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24 #接口配置IP地址

[USG6000V1-GigabitEthernet1/0/0]service-manage enable #进入到管理模式

[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit #允许ssh

[USG6000V1-GigabitEthernet1/0/0]quit #保存退出

[USG6000V1]firewall zone trust #进入到trust区域

[USG6000V1-zone-trust]add int g1/0/0 #将G1/0/0接口加入trust区域

[USG6000V1-zone-trust]quit

[USG6000V1]security-policy #进入安全策略

[USG6000V1-policy-security]rule name allow_ssh #创建安全策略allow_ssh

[USG6000V1-policy-security-rule-allow_ssh]source-zone trust #定义安全策略源区域为trust

[USG6000V1-policy-security-rule-allow_ssh]destination-zone local #定义安全策略目标区域为local

[USG6000V1-policy-security-rule-allow_ssh]action permit #允许trust区域访问local区域

[USG6000V1-policy-security-rule-allow_ssh]quit

[USG6000V1-policy-security]quit

[USG6000V1]rsa local-key-pair create #设置ssh密钥对，最长2048

The key name will be: USG6000V1_Host

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

it will take a few minutes.

Input the bits in the modulus[default = 2048]:2048 #输入

Generating keys...

..+++++

........................++

....++++

...........++

[USG6000V1]user-interface vty 0 4 #配置vty，允许5个终端

[USG6000V1-ui-vty0-4]authentication-mode aaa #ssh使用AAA验证

[USG6000V1-ui-vty0-4]protocol inbound ssh #允许ssh使用AAA验证

[USG6000V1-ui-vty0-4]quit

[USG6000V1]ssh user test #创建验证账户test

[USG6000V1]ssh user test authentication-type password #使用密码验证

[USG6000V1]ssh user test service-type stelnet #配置验证服务类型为ssh

[USG6000V1]aaa #进入AAA

[USG6000V1-aaa]manager-user test #AAA验证用户名为test

[USG6000V1-aaa-manager-user-test]password cipher pwd@1234 #AAA验证test账户密码为pwd@1234

[USG6000V1-aaa-manager-user-test]service-type ssh #AAA给ssh提供验证

[USG6000V1-aaa-manager-user-test]level 15 #设置ssh验证账户为管理员

[USG6000V1-aaa-manager-user-test]quit

[USG6000V1-aaa]quit

[USG6000V1]stelnet server enable #开启ssh

SSH方式管理至此配置完成，Xshell或者CRT连接测试，如下：

CRT连接:

这是修改完密码登录的界面，第一次登录输入上面创建的账户(test)，密码pwd@1234登录即可，提示修改密码时输入“Y”修改密码重新连接即可。

Xshell连接：

刚才CRT登录修改过密码，这次就不需要修改了。、

3、通过Web方式管理：

开始配置：

system-view #切换系统视图

[USG6000V1]int g1/0/0 #进入G1/0/0接口

[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24 #接口配置IP地址

[USG6000V1-GigabitEthernet1/0/0]service-manage http permit #允许http协议远程

[USG6000V1-GigabitEthernet1/0/0]service-manage https permit #允许https协议远程

[USG6000V1-GigabitEthernet1/0/0]quit

[USG6000V1]firewall zone trust #进入到trust区域

[USG6000V1-zone-trust]add int GigabitEthernet 1/0/0 #将G1/0/0接口加入trust区域

[USG6000V1-zone-trust]quit

[USG6000V1]security-policy #进入安全策略

[USG6000V1-policy-security]rule name allow_web #创建安全策略名字为allow_web

[USG6000V1-policy-security-rule-allow_web]source-zone trust #策略源区域为trust

[USG6000V1-policy-security-rule-allow_web]destination-zone local #策略目标区域为local

[USG6000V1-policy-security-rule-allow_web]action permit #允许trust区域访问local区域

[USG6000V1-policy-security-rule-allow_web]quit

[USG6000V1-policy-security]quit

[USG6000V1]web-manager security enable #开启web管理功能

[USG6000V1]aaa #进入AAA配置

[USG6000V1-aaa]manager-user web #配置验证账户名为web

[USG6000V1-aaa-manager-user-web]password #设置AAA验证密码

Enter Password: #输入密码

Confirm Password: #重复输入

[USG6000V1-aaa-manager-user-web]service-type web #允许使用web验证

[USG6000V1-aaa-manager-user-web]level 15 #设置为管理员权限

[USG6000V1-aaa-manager-user-web]quit

[USG6000V1-aaa]quit

经过以上配置，现在即可使用web访问测试，防火墙默认情况下开启的https端口为8443，使用客户端访问测试，经过上面的配置，应使用 https://192.168.100.10:8443 进行访问，若网页加载不出来，多刷新几次就好了：

Web方式管理就配置完成了。

整个博文看完你会发现，每种方式管理的配置并不复杂，很多地方都是重复命令。

此博文到此结束，感谢阅读！