- 一、華為防火墻設(shè)備的幾種管理方式介紹
- 二、各種管理方式的配置
- 1、通過(guò)Telnet方式管理
- 2、通過(guò)web方式管理
- 3、通過(guò)SSH方式管理
一、華為防火墻設(shè)備的幾種管理方式介紹
由于在對(duì)防火墻設(shè)備配置管理方式時(shí),涉及到了AAA這個(gè)概念,索性就將AAA的相關(guān)介紹簡(jiǎn)單寫一下。
AAA是驗(yàn)證(Authentication)、授權(quán)(Authorization)和記賬(Accounting)三個(gè)部分組成,是一個(gè)能夠處理用戶訪問(wèn)請(qǐng)求的服務(wù)器程序,主要目的是管理用戶訪問(wèn)網(wǎng)絡(luò)服務(wù)器,為具有訪問(wèn)權(quán)限的用戶提供服務(wù)。其中:
- 驗(yàn)證:哪些用戶可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器。
- 授權(quán):具有訪問(wèn)權(quán)限的用戶可以得到哪些服務(wù),有什么權(quán)限。
- 記賬:如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行審計(jì)。
- AAA服務(wù)器通常同網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫(kù)及用戶信息目錄等協(xié)同工作。若要訪問(wèn)網(wǎng)絡(luò)資源,首先要進(jìn)行用戶的入網(wǎng)認(rèn)證,這樣才能訪問(wèn)網(wǎng)絡(luò)資源。鑒別的過(guò)程就是驗(yàn)證用戶身份的合法性;鑒別完成后,才能對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行授權(quán),并對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行計(jì)費(fèi)管理。
- 網(wǎng)絡(luò)設(shè)備的AAA認(rèn)證方式有本地身份驗(yàn)證、遠(yuǎn)程身份驗(yàn)證兩大類,本地身份驗(yàn)證通過(guò)將用戶名和密碼在本地創(chuàng)建并驗(yàn)證,而遠(yuǎn)程身份驗(yàn)證通過(guò)各個(gè)廠商自有的AAA服務(wù)器來(lái)完成,這需要設(shè)備和AAA服務(wù)器進(jìn)行關(guān)聯(lián)。
- 華為防火墻支持用戶進(jìn)行本地與遠(yuǎn)程配置,以下所有配置都將以本地配置來(lái)進(jìn)行身份驗(yàn)證。
華為防火墻常見(jiàn)的管理方式有:
- 通過(guò)Console方式管理:屬于帶外管理,不占用帶寬,適用于新設(shè)備的首次配置時(shí)使用,在第一次配置時(shí),會(huì)配置下面幾個(gè)管理方式的其中一個(gè)或多個(gè),下次在配置直接遠(yuǎn)程連接即可,無(wú)須使用Console連接了。
- 通過(guò)Telnet方式管理:屬于帶內(nèi)管理,配置簡(jiǎn)單,安全性低,資源占用少,主要適用于安全性不高、設(shè)備性能差的場(chǎng)景。因?yàn)樵谂渲脮r(shí)所有數(shù)據(jù)是明文傳輸,所以僅限于內(nèi)網(wǎng)環(huán)境使用。
- 通過(guò)web管理方式:屬于帶內(nèi)管理,可以基于圖形化管理,適用于新手配置設(shè)備(但也要熟知其工作原理)。
- 通過(guò)SSH方式管理,屬于帶內(nèi)管理,配置相比較復(fù)雜些,資源占用也高,但是欣慰的是安全性極高,主要適用于對(duì)安全性要求較高的場(chǎng)景,如通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程管理公司網(wǎng)絡(luò)設(shè)備。
二、各種管理方式的配置
Console方式的管理,只要連接console線,在客戶端使用超級(jí)終端連接即可,具體操作請(qǐng)百度吧,這里就不寫了。
1、通過(guò)Telnet方式管理配置
這個(gè)的網(wǎng)絡(luò)環(huán)境沒(méi)什么好說(shuō)的,我這里使用eNSP拉了一臺(tái)防火墻,連接上宿主機(jī)即可,連接宿主機(jī)主要是為了驗(yàn)證,若需要在eNSP上驗(yàn)證效果,需要給模擬器上的防火墻導(dǎo)入系統(tǒng),我這里使用的是USG6000的防火墻,可以下載我提供的防火墻系統(tǒng)文件
防火墻配置如下:
USG6000的防火墻,默認(rèn)編號(hào)最小的接口(一般是G0/0/0)已經(jīng)配置了遠(yuǎn)程管理的一些相關(guān)配置及IP地址,所以有很多配置是可以省略的,不過(guò)為了完整的將所需的配置寫下來(lái),我不使用它的G0/0/0接口,而使用別的全新沒(méi)有配置的接口。
如下:
開(kāi)始配置:
<USG6000V1>sys <!--進(jìn)入系統(tǒng)視圖--> [USG6000V1]in g1/0/0 <!--進(jìn)入該接口--> [USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址--> [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]telnet server enable <!--打開(kāi)防火墻的Telnet功能--> [USG6000V1]in g1/0/0 <!--進(jìn)入該接口--> [USG6000V1-GigabitEthernet1/0/0]service-manage enable <!--配置接口管理模式--> [USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit <!--允許Telnet--> [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]firewall zone trust <!--進(jìn)入trust區(qū)域--> [USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區(qū)域--> [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]security-policy <!--設(shè)置安全策略--> [USG6000V1-policy-security]rule name allow_telnet <!--配置規(guī)則,allow_telnet是定義的規(guī)則名--> [USG6000V1-policy-security-rule-allow_telnet]source-zone trust <!--指定規(guī)則中的源區(qū)域?yàn)閠rust--> [USG6000V1-policy-security-rule-allow_telnet]destination-zone local <!--指定目標(biāo)區(qū)域?yàn)閘ocal--> [USG6000V1-policy-security-rule-allow_telnet]action permit <!--動(dòng)作是允許--> [USG6000V1]user-interface vty 0 4 <!--進(jìn)入vty接口--> [USG6000V1-ui-vty0-4]authentication-mode aaa <!--指定驗(yàn)證方式為AAA--> [USG6000V1-ui-vty0-4]protocol inbound telnet <!--允許Telnet連接虛擬終端--> [USG6000V1-ui-vty0-4]quit [USG6000V1]aaa <!--進(jìn)入AAA配置--> [USG6000V1-aaa]manager-user lv <!--配置本地用戶“lv”--> [USG6000V1-aaa-manager-user-lv]password <!--設(shè)置密碼--> Enter Password: <!--輸入密碼--> Confirm Password: <!--確認(rèn)密碼--> [USG6000V1-aaa-manager-user-lv]service-type telnet <!--配置服務(wù)類型為Telnet--> [USG6000V1-aaa-manager-user-lv]level 3 <!--設(shè)置管理級(jí)別為3--> [USG6000V1-aaa-manager-user-lv]quit [USG6000V1-aaa]quit
經(jīng)過(guò)上面的配置,即可使用Xshell等超級(jí)終端軟件連接該防火墻了。使用Telnet命令即可連接,如下:
[C:~]$ telnet 192.168.1.254 <!--telnet連接防火墻--> Connecting to 192.168.1.254:23... Connection established. To escape to local shell, press 'Ctrl+Alt+]'. Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet. Login authentication Username:lv <!--輸入剛才創(chuàng)建的用戶名--> Password: <!--輸入剛才指定的密碼--> The password needs to be changed. Change now? [Y/N]: y <!--賬號(hào)首次登陸需要更改密碼,輸入“y”確定--> Please enter old password: <!--輸入舊密碼--> Please enter new password: <!--新密碼--> Please confirm new password: <!--新密碼--> <!-- 當(dāng)新密碼輸入完成后,會(huì)斷開(kāi)連接, 再執(zhí)行一下Telnet命令重新連接,使用新密碼登陸即可 -->
關(guān)于管理級(jí)別,在之前的博文提到過(guò),“0”是參觀級(jí)別,啥都做不了;“1”是監(jiān)控級(jí)別,可以查看相關(guān)配置;“2”為配置級(jí)別,可以配置部分參數(shù);“3-15”是管理級(jí)別,擁有最大的權(quán)限
2、配置web方式登錄防火墻配置
注意:以下配置是在全新的防火墻上配置的,該防火墻默認(rèn)沒(méi)有任何配置,上面配置了Telnet的防火墻已經(jīng)刪除了。
開(kāi)始配置:
<USG6000V1>sys <!--進(jìn)入系統(tǒng)視圖--> [USG6000V1]in g1/0/0 <!--進(jìn)入該接口--> [USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址--> [USG6000V1-GigabitEthernet1/0/0]service-manage https permit <!--允許https管理--> [USG6000V1-GigabitEthernet1/0/0]service-manage http permit <!--允許http管理--> [USG6000V1]firewall zone trust <!--進(jìn)入trust區(qū)域--> [USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區(qū)域--> [USG6000V1-zone-trust]quit [USG6000V1]security-policy <!--設(shè)置安全策略--> [USG6000V1-policy-security]rule name allow_web <!--配置規(guī)則,allow_telnet是定義的規(guī)則名--> [USG6000V1-policy-security-rule-allow_web]source-zone trust <!--指定規(guī)則中的源區(qū)域?yàn)閠rust--> [USG6000V1-policy-security-rule-allow_web]destination-zone local <!--指定目標(biāo)區(qū)域?yàn)閘ocal--> [USG6000V1-policy-security-rule-allow_web]action permit <!--動(dòng)作是允許--> [USG6000V1-policy-security-rule-allow_web]quit [USG6000V1-policy-security]quit [USG6000V1]web-manager security enable <!-- 開(kāi)啟web管理功能,該命令后面可以跟自定義端口號(hào),默認(rèn)是8443, 如web-manager security enable port 2000,執(zhí)行security參數(shù),是開(kāi)啟https功能, 不執(zhí)行security參數(shù),是開(kāi)啟http管理。注意不要使https和http的端口號(hào)沖突 --> [USG6000V1]aaa <!--進(jìn)入AAA配置--> [USG6000V1-aaa]manager-user jian <!--配置本地用戶“jian”--> [USG6000V1-aaa-manager-user-jian]password <!--設(shè)置密碼--> Enter Password: <!--輸入密碼--> Confirm Password: <!--確認(rèn)密碼--> [USG6000V1-aaa-manager-user-jian]level 3 <!--設(shè)置管理級(jí)別為3--> [USG6000V1-aaa-manager-user-jian]quit [USG6000V1-aaa]quit
經(jīng)過(guò)以上配置,現(xiàn)在即可使用web訪問(wèn)測(cè)試,防火墻默認(rèn)情況下開(kāi)啟的https端口為8443,使用客戶端訪問(wèn)測(cè)試,經(jīng)過(guò)上面的配置,應(yīng)使用 https://192.168.1.254:8443 進(jìn)行訪問(wèn)(建議使用谷歌瀏覽器,可能是eNSP模擬器的原因,若網(wǎng)頁(yè)加載不出來(lái),多刷新幾次就好):
根據(jù)提示,輸入相應(yīng)密碼,更改密碼(用戶首次登陸須更改密碼):
更改新密碼后,使用用戶名及新密碼進(jìn)行登錄:
登錄后就可以看到下面的管理界面了(加載不出來(lái)就多刷新幾次):
配置web方式管理設(shè)備至此就完成了。
3、配置SSH方式登錄設(shè)備
和Telnet相比,SSH安全性更高,所以一般不推薦使用Telnet方式登錄設(shè)備,而是通過(guò)ssh來(lái)登錄設(shè)備,下面開(kāi)始配置SSH方式登錄設(shè)備(注意:防火墻所有配置都沒(méi)了,現(xiàn)在又是重新開(kāi)始配置):
開(kāi)始配置:
<USG6000V1>sys <!--進(jìn)入系統(tǒng)視圖--> [USG6000V1]in g1/0/0 <!--進(jìn)入該接口--> [USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址--> [USG6000V1-GigabitEthernet1/0/0]service-manage enable <!--配置接口管理模式--> [USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit <!--允許SSH--> [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]firewall zone trust <!--進(jìn)入trust區(qū)域--> [USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區(qū)域--> [USG6000V1-zone-trust]quit [USG6000V1]security-policy <!--設(shè)置安全策略--> [USG6000V1-policy-security]rule name allow_ssh <!--配置規(guī)則,allow_ssh是定義的規(guī)則名--> [USG6000V1-policy-security-rule-allow_ssh]source-zone trust <!--指定規(guī)則中的源區(qū)域?yàn)閠rust--> [USG6000V1-policy-security-rule-allow_ssh]destination-zone local <!--指定目標(biāo)區(qū)域?yàn)閘ocal--> [USG6000V1-policy-security-rule-allow_ssh]action permit <!--動(dòng)作是允許--> [USG6000V1-policy-security-rule-allow_ssh]quit [USG6000V1-policy-security]quit [USG6000V1]rsa local-key-pair create <!--創(chuàng)建密鑰--> The key name will be: USG6000V1_Host The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, it will take a few minutes. Input the bits in the modulus[default = 2048]: <!--設(shè)置密鑰的長(zhǎng)度,直接回車即可--> Generating keys... ..+++++ ........................++ ....++++ ...........++ [USG6000V1]user-interface vty 0 4 <!--進(jìn)入vty接口--> [USG6000V1-ui-vty0-4]authentication-mode aaa <!--指定驗(yàn)證方式為AAA--> [USG6000V1-ui-vty0-4]protocol inbound ssh <!--允許ssh連接虛擬終端--> [USG6000V1-ui-vty0-4]quit [USG6000V1]ssh user zhao <!--創(chuàng)建本地用戶“zhao”--> [USG6000V1]ssh user zhao authentication-type password <!--設(shè)置密碼--> [USG6000V1]ssh user zhao service-type stelnet <!--配置服務(wù)類型為stelnet--> [USG6000V1]aaa <!--進(jìn)入AAA配置--> [USG6000V1-aaa]manager-user zhao <!--配置本地用戶“zhao”--> [USG6000V1-aaa-manager-user-zhao]password <!--設(shè)置密碼--> Enter Password: <!--輸入密碼--> Confirm Password: <!--確認(rèn)密碼--> [USG6000V1-aaa-manager-user-zhao]service-type ssh <!--配置服務(wù)類型為ssh--> [USG6000V1-aaa-manager-user-zhao]level 3 <!--設(shè)置管理級(jí)別為3--> [USG6000V1-aaa-manager-user-zhao]quit [USG6000V1-aaa]quit [USG6000V1]stelnet server enable <!--開(kāi)啟stelnet-->
至此配置完畢,開(kāi)始使用Xshell連接即可。
執(zhí)行命令“ssh 192.168.1.254”進(jìn)行連接,剩下操作看圖吧,不解釋了。
寫在最后:
其實(shí)你們仔細(xì)看完后,應(yīng)該不難發(fā)現(xiàn),每種方式管理的配置并不復(fù)雜,很多地方都一樣(第三種管理方式的注釋我基本上都是復(fù)制前兩種的,稍作改動(dòng)就行了,所以,別嫌我繁瑣,因?yàn)槲蚁朐谝恍┬率謪⒖歼@篇文檔時(shí)可以看的更方便些。)
